将ISE与智能许可服务器集成

简介

本文档介绍如何在ISE上配置智能许可。

先决条件

要求

Cisco 建议您了解以下主题：

• ISE 3.x版本
  
• 访问 https://software.cisco.com/software/smart-licensing
  
• 思科智能软件管理器(CSSM)版本8内部版本202010+（可选）

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

从ISE 3.0开始，需要智能许可。思科智能许可使设备能够自行注册并报告使用情况，从而简化许可证采购、部署和管理。

1. 当智能许可证令牌在思科ISE管理门户中活动并注册时，CSSM按每个产品许可证监控每个终端会话的许可证使用情况。
2. 智能许可使用思科ISE中的简单表布局按终端会话向管理员通知许可证使用情况。
3. 智能许可每天向集中式数据库报告每个已启用许可证的高峰使用率。
4. 思科ISE每30分钟进行一次内部许可证使用样本。许可证合规性和使用量会相应地更新。
5. 从您向CSSM注册您的思科ISE主要管理节点(PAN)时，思科ISE每六小时向CSSM服务器报告一次许可证消耗的峰值计数。
6. 峰值计数报告有助于确保思科ISE中的许可证消耗与购买和注册的许可证一致。
7. 思科ISE通过存储CSSM证书的本地副本与CSSM服务器通信。
8. 在每日同步期间以及刷新“许可证”(Licenses)表时，会自动重新授权CSSM证书。通常，CSSM证书的有效期为六个月。
9. 因此，ISE需要网络连接才能到达CSSM。

许可证使用流程

TACACS+

设备管理许可证(PID： L-ISE-TACACS-ND=)在策略服务节点(PSN)上激活TACACS+服务。使用TACACS+的每个PSN都需要其自己的设备管理许可证。TACACS+设备管理不计入终端使用，对可以管理的网络设备的数量没有限制。管理路由器和交换机等网络接入设备(NAD)不需要基本许可证。

记帐终端许可证

由于每个终端可以有多个会话，因此活动终端的数量可以不同于使用的许可证。许可证使用量取决于活动会话的数量，而不仅仅是终端的数量。例如，具有10个活动终端的系统具有多个会话，可以使用更多许可证。

确保在无线接入点和交换机上都启用记帐。许可证使用量取决于从AAA客户端发送到AAA服务器的“开始-停止”消息。

ISE使用特定规则来管理监控和故障排除(MnT)中的会话，依靠来自网络接入设备(NAD)的记帐消息。以下是ISE如何根据以下记账消息处理会话：

- 如果ISE收到RADIUS身份验证请求但没有记帐消息，则会使会话保持活动状态1小时。
- 收到记账消息后，ISE将会话保持最多5天或直到收到记账停止消息。
- 收到记账停止消息后，立即释放许可证会话。
- 临时更新会延长5天。

ISE许可证

评估

当您安装或升级到思科ISE版本3.x及更高版本时，默认激活评估许可证。评估许可证的有效期为90天，在此期间，您可以访问所有Cisco ISE功能。当使用评估许可证时，思科ISE被视为处于评估模式。思科ISE管理门户的右上角显示一条消息，指示剩余天数的评估模式。

层

层许可证替换早于版本3.x的版本中使用的Base、Apex和Plus许可证。层许可证包括三个许可证：基本版、优势版和高级版。如果您当前拥有Base、Apex或Plus许可证，请使用CSSM将其转换为新的许可证类型。

设备管理

设备管理许可证允许您在策略服务节点上使用TACACS服务。在高可用性独立部署中，设备管理许可证允许您在高可用性对中的单个策略服务节点上使用TACACS服务。在ISE上，它被定义为“Device Admin”，在智能许可证门户上，它被定义为“Maximum number of nodes entited to TACACS+ transactions”。

虚拟设备许可证

从ISE 3.x开始，VM许可证的新形式为“VM通用许可证”。如果您使用的是传统VM许可证，则必须将其转换为VM通用许可证。

有关许可证类型和转换的信息，请参阅以下链接：

许可证功能

思科许可证指南

许可证注册类型

对于ISE 3.1的介绍，有三个选项可用于启用智能许可。即：

智能软件许可预留(Direct-Https、HTTP-Proxy、SSM On-Prem)

通过单一令牌注册即可轻松高效地使用智能软件许可预留。您购买的许可证在名为CSSM的集中式数据库中维护。登录CSSM门户以轻松跟踪可用的终端许可证和消费统计信息。在此模式下，ISE需要直接（直接HTTPS）或通过代理与CSSM连接以交换消费和合规性信息。新选项SSM On-Prem允许气隙ISE以作为本地（卫星）服务器托管的本地服务器的形式利用CSSM的功能。

特定许可证预留（在ISE 3.1及更高版本中提供）

特定许可证预留(SLR)允许高度安全的网络中的客户使用智能许可（和智能许可证），而无需交流许可证信息。SLR允许保留特定许可证，包括附加许可证。SLR不需要ISE即可连接到CSSM，并且允许ISE使用智能帐户中存在的许可证，直到这些许可证到期。

配置

将CSSM与ISE集成的连接方法（直接HTTPS/HTTPS代理）

步骤1:浏览到:Administration > System > Licensing

第二步：在“许可证类型”(License Type)中选择智能软件许可预留(Smart Software Licensing Reservation)，并将注册令牌粘贴到“注册详细信息”(Registration Details)中。根据需要选择适用的层。直接HTTPS与HTTPS代理之间的流程略有不同。

直接HTTPS

第三步：对于直接HTTPS，选择直接HTTPS作为Connection Method，然后单击Register：

HTTPS代理

第四步：为确保已预配置HTTPS代理，请浏览到Administration > System > Settings。

添加代理详细信息>主机、用户ID和密码：

第五步：返回ISE授权页，选择HTTPS代理作为“连接方法”，并确保在“HTTPS代理”部分下看到已配置的代理。点击注册：

最后，ISE现已注册到CSSM，并且此ISE节点的条目可以在虚拟帐户的产品实例中找到（从中生成令牌）。

配置智能软件管理器内部服务器

此配置要求在环境中部署SSM本地（卫星）服务器。部署并连接后，卫星服务器即充当本地许可服务器，允许ISE执行许可事务，而无需通过互联网连接CSSM。反过来，卫星服务器可以在联机或脱机模式下与CSSM同步(使用.yml文件)。有关卫星服务器的更多详细信息，请参阅 此处 .本指南提供内部服务器安装快速入门指南 此处 .

这些步骤假设已配置卫星服务器，并且包含ISE许可证的CSSM上的虚拟帐户已添加到卫星服务器。执行相同操作的步骤可追溯到此处。

第1步：登录卫星服务器并选择智能许可选项：

第二步：从资产中生成令牌并复制令牌值。返回ISE，选择智能软件许可预留和连接方法作为“SSM内部服务器”：

第三步：SSM On-Prem Server Host字段取自在On-Prem Server上配置的主机名。还可以从On-Prem Server Admin Workspace > Security > Certificates > Host Common Name命令进行确认：

第四步：确认主机名后，将其添加到SSM On-Prem server Host下的ISE中，然后单击Register。成功注册后，ISE会出现在添加到卫星服务器上的虚拟帐户的产品实例列表中。

ISE和CSSM的集成方法

SLR

步骤1:浏览到Administration > System > Licensing如图所示：

第二步：对于“License Type”，选择SLR，然后单击Generate Code。复制生成的预留代码，因为CSSM需要此代码才能生成授权代码：

第三步：在CSSM上，选择包含ISE许可证(Essential、Advantage、Premier、VM、TACACS+)的虚拟帐户。在Licenses部分下，选择License Reservation。

第四步：输入从ISE复制的授权代码，然后单击Next以选择 Reserve a specific license 选项.根据可用的许可证，指定要为ISE保留的计数，然后点击Next。请注意，层许可证和VM许可证允许使用上层许可证进行替换，以满足对下层许可证的请求。 在此处检查层模型 ISE 3.x许可模式 .

第五步：使用Download as File选项查看和下载生成的授权码。返回ISE并单击Upload SLR License Key以上传文件。ISE上许可证的到期日期反映智能帐户上许可证的原始到期日期。

返回SLR的预留

第1步：点击返回保留，复制提供的保留代码，并保持其安全。

第二步：浏览到已添加ISE的虚拟帐户的产品实例，然后使用其序列号搜索ISE。单击Actions > Remove，输入在步骤1中复制的代码。然后单击Return Product Reservation。 这会将保留的许可证返回到虚拟帐户。

故障排除 

一般准则

• 对于ISE 3.0 p7、3.1 p5和3.2或更高版本，请检查此链接的可达性：https://smartreceiver.cisco.com/。
• 对于较低的ISE版本<= Ise 3.0，请检查以下链接的可达性：tools.cisco.com、tools1.cisco.com和tools2.cisco.com。
• 这些链接非常重要，因为它们在与往返的CSSM通信中起着至关重要的作用，如果您阻止这些IP，则思科ISE无法向CSSM报告许可证使用情况，而缺少报告将导致失去对思科ISE的管理访问权限和思科ISE功能中的限制。

ISE日志记录属性设置为调试级别

• 许可证(ise-psc.log)

• 管理许可证(ise-psc.log)

注册和续订错误

为了排除注册错误，请先验证智能许可云(https://tools.cisco.com/或https://smartreceiver.cisco.com/)是否不存在通信问题。有多种因素可能会中断ISE和智能许可云之间的连接，包括：

• 防火墙或其他设备阻止流量。
• DNS问题。如果ISE无法解析https://tools.cisco.com/或https://smartreceiver.cisco.com/的相应FQDN，则无法发送注册API调用。
• 智能许可门户出现问题。

调查ISE许可状态的API请求

直接从浏览器使用HTTPS API调用，以了解ISE上使用的许可证数量：

https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount

https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB

https://<MnTNodeIP>/admin/API/mnt/License/Base

https://<MnTNodeIP>/admin/API/mnt/License/Intermediate

https://<MnTNodeIP>/admin/API/mnt/License/Premium

https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

在ISE 3.1或更高版本中，您可以使用OpenAPI。您必须导航到Administration > Settings > API Settings.API调用用于获取有关许可状态的更多数据。

相关信息

• 使用CSSM为Cisco ISE创建SLR
• Cisco ISE许可基础知识
• 排除ISE许可问题
• 思科ISE智能许可
  
• 思科技术 管理引擎端口 和下载