Configurar o licenciamento do ISE usando a API aberta

Introdução

Este documento descreve como configurar o licenciamento do Cisco Identity Service Engine 3.3 usando a API aberta.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Cisco ISE 3.3
• API REST
• Licenciamento de software inteligente

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco ISE 3.3
• Cliente da API REST da insônia.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

O licenciamento do Cisco ISE oferece a capacidade de gerenciar os recursos e o acesso do aplicativo, como o número de endpoints ativos simultâneos que podem usar os recursos de rede do Cisco ISE a qualquer momento. O licenciamento no Cisco ISE é fornecido como pacotes baseados em recursos em que diferentes recursos são suportados por cada tipo de licença.

O Cisco ISE é uma solução baseada em assinatura. As licenças de assinatura do Cisco ISE estão aninhadas, o que significa que as licenças de nível superior incluem todos os recursos de nível inferior. Por exemplo, a licença Premier do ISE inclui todos os recursos mapeados para as licenças do ISE Advantage e do ISE Essentials. Da mesma forma, a licença do ISE Advantage inclui todos os recursos mapeados para a licença do ISE Essentials. Com esse modelo, você pode comprar diretamente licenças Premier ou Advantage sem a necessidade de uma licença Essentials.

Etapas iniciais

Habilitar API aberta no ISE

A API aberta é desabilitada por padrão no ISE. Para habilitá-la, navegue até Administração > Sistema > Configurações de API > Configurações de serviço de API. Alterne as opções da API aberta. Click Save.

Abrir configurações de API

IU Swagger

Para acessar todas as definições de API aberta no ISE, navegue para Administração > Sistema > Configurações > Configurações de API. Clique no link Para obter mais informações sobre a API aberta do ISE, visite:

Os URLs para o uso de definição neste documento são: https://<ISE-PAN-IP>/api/swagger-ui/index.html?urls.primaryName=License 

Configurar Licenciamento usando Open API

GET License Tier-State

Para configurar a licença, o atributo de conformidade precisa ser conhecido usando o estado de camada, pois nenhuma licença foi configurada. O atributo de conformidade pode ser definido como Avaliação.

Autenticação

Autenticação de estado de camada

Cabeçalhos

Cabeçalhos Tier-state

Saída esperada

Saída esperada do estado da camada

GET Dias Restantes para Licença de Avaliação

Para saber os dias restantes da licença de avaliação, use esta chamada de API.

Autenticação

Autenticação de Licença de Avaliação

Cabeçalhos

Cabeçalhos de licença de avaliação

Saída esperada

Saída Esperada da Licença de Avaliação

Registrar Licença

Observação: a criação do token Smart Licensing está fora do escopo deste documento.

Para registrar a licença, você precisa inserir o connectionType, o registrationType e o tier.

Tipos de conexão:

• HTTP_DIRECT
• PROXY
• SSM_ONPREM_SERVER Se este atributo for selecionado, você deverá declarar a chave ssmOnPremServer e o valor.
  
• TRANSPORT_GATEWAY

Tipos de registro:

• CANCELAR REGISTRO
• REGISTRO
• RENOVAR
• UPDATE

Camada:

• VANTAGEM
• DEVICEADMIN
• ESSENCIAL
• PREMIER
• VM

{
"connectionType": "PROXY",
"registrationType": "REGISTER",
"ssmOnPremServer": "CSSM28.demo.local",
"tier": [
"ADVANTAGE", "DEVICEADMIN", "ESSENTIAL", "PREMIER", "VM"
],
"token": "NzFjNjQyYWYtMjkyYS00OGJiLTkzNzYtNWY5Nzg5OTU4ZjhkLTE2MzE2MTM1%0AMTg4ODl8QU0wdWUzRmZXRnhBQzBWZldmTmZaTjFwdzdaZ0diVXpmU0hjTUVz%0AS0NYZz0%3D%0A"
}

Corpo

POST - Register License Body (Registro do corpo da licença)

Autenticação

POST - Registrar Autenticação de Licença

Cabeçalhos

POST - Registrar Cabeçalhos de Licença

Saída esperada

POST - Registrar Saída Esperada de Licença

Verificar

GET Registrar Informações de Licença

Para conhecer os pares chave-valor usados para configurar o registro, use esta chamada de API.

Autenticação

GET - Registrar Autenticação de Licença

Cabeçalhos

GET - Registrar Cabeçalhos de Licença

Saída esperada

GET - Registrar Saída Esperada da Licença

OBTENHA informações sobre Smart License

Para saber o estado da conexão com o Smart Licensing, use esta chamada de API.

Autenticação

Autenticação de Informações do Smart Licensing

Cabeçalhos

Cabeçalhos de informações do Smart Licensing

Saída esperada

Saída esperada de informações de Smart Licensing

Verificação de licença da GUI do ISE

Para verificar a instalação apropriada na GUI. Navegue até Administração > Sistema > Licenciamento > Licenças.

Verificação da GUI do Smart Licensing

Observação: a Liberação de direitos significa que as licenças foram compradas e liberadas para uso, mas nenhuma foi consumida até o momento nessa implantação do Cisco ISE. Nesse cenário, a Contagem de consumo da licença é 0. As licenças podem ser alteradas para Conformidade depois que a Contagem de consumo for alterada de 0

Troubleshooting

Licenciamento

No ISE, navegue até Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Selecione seu PAN (Primary Admin Node, Nó principal do administrador) e clique emEditar.

Filtre oNome do componente por licença e licença de administrador e, em seguida, selecione o Nível de log necessário. Clique em Salvar.

Licenciamento de Configuração de Nível de Depuração

• No ISE PAN CLI, os registros estão em:

admin#show logging application ise-psc.log

• Na GUI do ISE, navegue até Operações > Solução de Problemas > Download Logs > Selecionar ISE PAN > Log de depuração > Tipo de Log de Depuração > Logs de Aplicativos. Faça o download dos arquivos zip para ise-psc.log.
  

API aberta

No ISE, navegue até Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Selecione seu PAN (Primary Admin Node, Nó principal do administrador) e clique emEditar.

Filtre o Nome do Componente por um serviçoe selecione o Nível de Log necessário. Clique em Salvar.

API aberta de configuração de nível de depuração

• No ISE PAN CLI, os registros estão em:

admin#show logging application api-service.log

• Na GUI do ISE, navegue até Operações > Solução de Problemas > Download Logs > Selecionar ISE PAN > Log de depuração > Tipo de Log de Depuração > Logs de Aplicativos. Faça download dos arquivos zip para api-service.log.
• Códigos de resposta de API e seus possíveis significados:
  •    200 (OK): indica que a API Aberta executou com êxito a ação desejada.
  •    201 (Criado): Indica que o recurso foi criado e a solicitação foi bem-sucedida.
  •    400 (Solicitação Incorreta): o servidor não pode processar a solicitação. Reconhecer erro do cliente devido a sintaxe de solicitação malformada, parâmetros inválidos e assim por diante. Leia os detalhes da mensagem, se disponíveis.
  •    401 (Não autorizado): indica que a ação foi realizada com credenciais incorretas, sem credenciais ou que a conta não está autorizada a executar essa ação.
  •    403 (Proibido): indica que o servidor é capaz de entender a solicitação, mas não está autorizado.
  •    404 (Não Encontrado): Indica que o servidor não pode localizar o recurso solicitado.
  •    500 (Erro interno do servidor): indica um problema no lado do servidor. Os registros no ISE podem ajudar a entender a causa.

Informações Relacionadas

• Suporte técnico e downloads da Cisco