將ISE與智慧許可伺服器整合

下載選項

PDF (1.7 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (1.4 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.1 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2024 年 10 月 3 日

文件 ID:222337

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹如何在ISE上配置智慧許可。

必要條件

需求

思科建議您瞭解以下主題：

ISE 3.x版本
存取 https://software.cisco.com/software/smart-licensing
適用於內部部署的思科智慧軟體管理員(CSSM)版本8版本202010+（選購）

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

ISE - Licensing Flow Diagram

從ISE 3.0開始，需要智慧許可。思科智慧許可使裝置能夠自行註冊並報告使用情況，從而簡化許可證採購、部署和管理。

當智慧許可證令牌處於活動狀態並在思科ISE管理門戶中註冊時，CSSM監控每個產品許可證的每個終端會話的許可證使用情況。
智慧許可透過思科ISE中的簡單表佈局按終端會話通知管理員許可證使用情況。
智慧許可每天向集中式資料庫報告每個已啟用許可證的尖峰使用情況。
思科ISE每30分鐘採集一次內部許可證使用示例。許可證合規性和使用會相應地更新。
從您向CSSM註冊思科ISE主管理節點(PAN)時，思科ISE每六小時向CSSM伺服器報告一次許可證消耗的峰值計數。
峰值計數報告有助於確保思科ISE中的許可證使用符合已購買和註冊的許可證。
Cisco ISE透過儲存CSSM證書的本地副本與CSSM伺服器通訊。
CSSM證書在每日同步期間以及刷新許可證表時自動重新授權。通常，CSSM證書的有效期為六個月。
因此，ISE需要網路連線才能到達CSSM。

許可證消耗流程

TACACS+

裝置管理許可證(PID： L-ISE-TACACS-ND=)在策略服務節點(PSN)上啟用TACACS+服務。每個使用TACACS+的PSN都需要其自己的裝置管理許可證。TACACS+裝置管理不計入終端使用情況，而且對您可以管理的網路裝置的數量沒有限制。管理路由器和交換機等網路接入裝置(NAD)不需要基本許可證。

帳戶處理端點授權

License Allocation

注意：此圖使用傳統許可證術語，但是這些術語同樣適用於本文檔中引用的新層許可證。

活動終端的數量可能與使用的許可證不同，因為每個終端可以有多個會話。許可證使用量取決於活動會話的數量，而不只是終端的數量。例如，具有10個活動終端且具有多個會話的系統可以使用更多許可證。

確保在無線存取點和交換機上都啟用了記帳。許可證使用量由從AAA客戶端傳送到AAA伺服器的「開始」-「停止」消息確定。

ISE使用特定規則來管理監控和故障排除(MnT)中的會話，依賴於來自網路訪問裝置(NAD)的記帳消息。以下是ISE如何根據以下記帳消息處理會話：

- 如果ISE收到RADIUS身份驗證請求但沒有記帳消息，它將保持會話活動1小時。
- 收到記賬消息後，ISE將會話保持最多5天或直到收到記賬停止消息。
- 收到記賬停止消息後，立即釋放許可證會話。
- 臨時更新會延長5天。

ISE許可證

評估

當您安裝或升級到Cisco ISE版本3.x及更高版本時，預設啟用評估許可證。評估許可證的有效期為90天，在此期間，您可以訪問所有思科ISE功能。使用評估許可證時，思科ISE被視為處於評估模式。思科ISE管理門戶的右上角顯示一條消息，其中包含評估模式剩餘天數。

Evaluation License Error

層

層許可證替換早於3.x版中使用的基礎、Apex和Plus許可證。分層許可證包括三個許可證— Essentials、Advantage和Premier。如果您當前擁有Base、Apex或Plus許可證，請使用CSSM將它們轉換為新的許可證型別。

裝置管理

裝置管理許可證允許您在策略服務節點上使用TACACS服務。在高可用性獨立部署中，裝置管理許可證允許您在高可用性對中的單個策略服務節點上使用TACACS服務。在ISE上，它被定義為「裝置管理」，在智慧許可證門戶上，它被定義為「授權TACACS+事務的最大節點數」。

虛擬裝置許可證

從ISE 3.x開始，VM許可證的新形式為「VM通用許可證」。如果您正在使用傳統的VM許可證，則必須將其轉換為VM通用許可證。

有關許可證型別和轉換的資訊，請參閱以下連結：

許可證功能

思科許可證指南

許可證註冊型別

對於ISE 3.1的引入，您有三個選項可用於啟用智慧許可。它們是：

智慧軟體許可預留(Direct-Https、HTTP-Proxy、SSM On-Prem)

透過單個令牌註冊，智慧軟體許可保留可以輕鬆且高效地使用。您購買的許可證在稱為CSSM的集中式資料庫中維護。登入CSSM門戶以輕鬆跟蹤可供您使用的終端許可證和消費統計資訊。在此模式下，ISE需要直接連線（直接HTTPS）或透過Proxy與CSSM連線，以交換消費和合規性資訊。新選項SSM On-Prem允許空隙ISE以本地伺服器形式利用CSSM的功能，託管為內部（衛星）伺服器。

特定許可證預留（在ISE 3.1及更高版本中提供）

特定許可證預留(SLR)允許高度安全網路中的客戶在不通訊許可證資訊的情況下使用智慧許可（和智慧許可證）。SLR允許保留特定許可證，包括附加許可證。SLR不需要ISE才能連線到CSSM，並且允許ISE使用智慧帳戶中的許可證，直到這些許可證到期。

設定

將CSSM與ISE整合的連線方法（直接HTTPS/HTTPS-Proxy）

步驟 1.瀏覽到Administration > System > Licensing：

Licensing Tab on ISE GUI

步驟 2.在許可證型別中選擇智慧軟體許可保留(Smart Software Licensing Reservation)，然後在註冊詳細資訊中貼上註冊令牌(Registration Token)。視需要選擇適用層。直接HTTPS和HTTPS代理之間的過程略有不同。

直接HTTPS

步驟 3.對於直接HTTPS，請選擇Direct HTTPS作為Connection Method，然後按一下Register：

Smart Licensing Enabling

HTTPS代理

步驟 4.為確保已預配置HTTPS代理，請瀏覽到Administration > System > Settings。

增加Proxy details > Host、user ID和Password：

Proxy Configuration

步驟 5.返回ISE許可頁面，選擇HTTPS代理作為「連線方法」，並確保在「HTTPS代理」部分下看到配置的代理。點選註冊：

Registration Token

最後，ISE現在註冊到CSSM，並且可以在虛擬帳戶的產品例項中找到此ISE節點的條目（從生成令牌的位置）。

配置智慧軟體管理器內部伺服器

此配置要求在環境中部署SSM內建（衛星）伺服器。部署並連線之後，衛星伺服器就充當本地許可伺服器，允許ISE執行許可事務而不透過網際網路聯絡CSSM。反過來，衛星伺服器可以在聯機或離線模式下與CSSM同步(使用.yml檔案)。有關衛星伺服器的更多詳細資訊，請參閱 此處 .安裝內部伺服器快速入門手冊已提供 此處 .

這些步驟假定衛星伺服器已配置，並且包含ISE許可證的CSSM上的虛擬帳戶已增加到衛星伺服器。執行相同的步驟可追溯到此處。

第1步：登入衛星伺服器並選擇智慧許可選項：

Smart Software Manager On-Prem

步驟 2.從資產中生成令牌並複製令牌值。在ISE上，選擇智慧軟體許可保留和連線方法作為「SSM內部伺服器」：

Smart Licensing Configuration

步驟 3.SSM On-Prem Server Host欄位取自在內部伺服器上配置的主機名。這也可以透過On-Prem Server Admin Workspace > Security > Certificates > Host Common Name命令確認：

SSM On-Prem Configuration

步驟 4.確認主機名後，將其增加到ISE的SSM內部伺服器主機下，並按一下Register。成功註冊後，ISE會出現在增加到衛星伺服器上的虛擬帳戶的產品例項清單中。

ISE和CSSM的整合方法

SLR

步驟 1.瀏覽Administration > System > Licensing至（如圖所示）：

Licensing Tab on ISE GUI

步驟 2.對於「License Type」，選擇SLR，然後按一下Generate Code。複製CSSM需要生成的預留代碼，以便生成授權代碼：

SLR Configuration

步驟 3.在CSSM上，選擇包含ISE許可證（基本、優勢、高級、VM、TACACS+）的虛擬帳戶。在Licenses部分下，選擇License Reservation。

Available License on SSM

步驟 4.輸入從ISE複製的授權代碼，並按一下Next以選擇 Reserve a specific license 選項。根據可用許可證，指定要為ISE保留的計數，然後按一下Next。請注意，層許可證和VM許可證允許使用上層許可證的替換，以滿足對較低層許可證的請求。在此處檢查層模型 ISE 3.x許可模式 .

License Reservation On Portal

步驟 5.使用Download as File選項檢視和下載生成的授權代碼。返回ISE並按一下Upload SLR License Key以上傳檔案。ISE上許可證的到期日期反映了智慧帳戶上許可證的原始到期日期。

返回SLR的預留

第1步：點選返回保留，複製所提供的保留代碼並保持其安全。

步驟 2.瀏覽到要向其增加ISE的虛擬賬戶的產品例項，並使用其ISE序列號搜尋ISE。按一下Actions > Remove，輸入在步驟1中複製的代碼。然後按一下Return Product Reservation。這會將保留的許可證返回至虛擬帳戶。

疑難排解

一般準則

對於ISE 3.0 p7、3.1 p5和3.2或更高版本，請檢查此連結的可達性：https://smartreceiver.cisco.com/。
對於較低的ISE版本<= Ise 3.0，請檢查以下連結的可達性：tools.cisco.com、tools1.cisco.com和tools2.cisco.com。
這些連結非常重要，因為它們在與往返的CSSM通訊中起著至關重要的作用，如果阻止這些IP，則思科ISE無法向CSSM報告許可證使用情況，而缺少報告將導致失去對思科ISE的管理訪問和思科ISE功能的限制。

ISE日誌記錄屬性設定為調試級別

許可證(ise-psc.log)

管理員許可證(ise-psc.log)

註冊與續約錯誤

要排除註冊錯誤，請先驗證智慧許可雲(https://tools.cisco.com/或https://smartreceiver.cisco.com/)是否不存在通訊問題。有多種因素會中斷ISE和智慧許可雲之間的連線，包括：

防火牆或其他阻斷流量的裝置。
DNS問題。如果ISE無法解析https://tools.cisco.com/或https://smartreceiver.cisco.com/的相應FQDN，則無法傳送註冊API呼叫。
智慧許可門戶問題。

調查ISE許可狀態的API請求

直接從瀏覽器使用HTTPS API呼叫，以便瞭解ISE上使用的許可證數量：

https://<MnTNodeIP>/admin/API/mnt/Session/ActiveCount

https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB

https://<MnTNodeIP>/admin/API/mnt/License/Base

https://<MnTNodeIP>/admin/API/mnt/許可證/中級

https://<MnTNodeIP>/admin/API/mnt/License/Premium

https://<MnTNodeIP>/admin/API/mnt/Session/ActiveList

在ISE 3.1或更高版本中，您可以使用OpenAPI。您必須導航到Administration > Settings > API Settings.API呼叫，以便獲取有關許可狀態的更多資料。

API Settings for Licensing Logging

提示：確保在ISE中啟用ERS和開放式API服務。您可以導航到Administration > Settings > API Settings > API Service Settings來驗證這一點。如果未啟用這些服務，則必須在透過URL訪問API呼叫之前啟用這些服務。

API Commands for Troubleshooting Licensing