Integrar o ISE com o servidor de Smart Licensing

Introdução

Este documento descreve como configurar o Smart Licensing no ISE.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Versão 3.x do ISE
  
• Acesso a https://software.cisco.com/software/smart-licensing
  
• Cisco Smart Software Manager (CSSM) versão 8 202010+ para On-Prem (opcional)

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

A partir do ISE 3.0, o Smart Licensing é necessário. O Cisco Smart Licensing simplifica a aquisição, a implantação e o gerenciamento de licenças, permitindo que os dispositivos registrem-se automaticamente e relatem o uso.

1. Quando um token de licença inteligente está ativo e registrado no portal de administração do Cisco ISE, o CSSM monitora o consumo de licenças por cada sessão de endpoint por licença de produto.
2. O Smart Licensing notifica o administrador sobre o consumo de licenças por sessões de endpoint com um layout de tabela simples no Cisco ISE.
3. O Smart Licensing relata diariamente o uso máximo de cada licença habilitada para o banco de dados centralizado.
4. O Cisco ISE coleta amostras internas do consumo de licenças a cada 30 minutos. A conformidade e o consumo de licenças são atualizados de acordo.
5. A partir do momento em que você registra o nó de administração principal (PAN) do Cisco ISE no CSSM, o Cisco ISE relata contagens de pico de consumo de licenças para o servidor CSSM a cada seis horas.
6. Os relatórios de contagem de picos ajudam a garantir que o consumo de licenças no Cisco ISE esteja em conformidade com as licenças adquiridas e registradas.
7. O Cisco ISE se comunica com o servidor CSSM armazenando uma cópia local do certificado CSSM.
8. O certificado CSSM é automaticamente reautorizado durante a sincronização diária e quando você atualiza a tabela Licenças. Normalmente, os certificados CSSM são válidos por seis meses.
9. Como resultado, o ISE precisa de conectividade de rede para acessar o CSSM.

Fluxo de consumo de licenças

TACACS+

A licença Device Admin (PID: L-ISE-TACACS-ND=) ativa os serviços TACACS+ em um Policy Service Node (PSN). Cada PSN que usa TACACS+ requer sua própria licença de Administrador de dispositivo. A administração de dispositivos TACACS+ não conta para o uso de endpoint e não impõe limite no número de dispositivos de rede que você pode gerenciar. Uma licença essencial não é necessária para gerenciar dispositivos de acesso à rede (NADs), como roteadores e switches.

Licença de Endpoint de Contabilidade

O número de endpoints ativos pode diferir das licenças usadas, pois cada endpoint pode ter várias sessões. O consumo da licença é baseado no número de sessões ativas, não apenas no número de endpoints. Por exemplo, um sistema com 10 endpoints ativos com várias sessões pode usar mais licenças.

Certifique-se de que a contabilidade esteja habilitada nos pontos de acesso sem fio e no switch. O consumo de licença é determinado pelas mensagens Start - Stop enviadas do cliente AAA para o servidor AAA.

O ISE usa regras específicas para gerenciar sessões no Monitoramento e Solução de Problemas (MnT), dependendo de mensagens de relatório de Dispositivos de Acesso à Rede (NADs). Veja como o ISE processa sessões com base nessas mensagens de relatório:

- Se o ISE receber uma solicitação de autenticação RADIUS, mas nenhuma mensagem de relatório, ele manterá a sessão ativa por 1 hora.
- Ao receber uma mensagem de relatório, o ISE mantém a sessão por até 5 dias ou até que uma mensagem de relatório de parada seja recebida.
- A sessão de licença é liberada imediatamente depois que uma mensagem de parada de contabilidade é recebida.
- Uma atualização provisória estende os 5 dias.

Licenças do ISE

Avaliação

As Licenças de avaliação são ativadas por padrão quando você instala ou atualiza para o Cisco ISE Release 3.x e versões posteriores. A licença de avaliação está ativa por 90 dias e você tem acesso a todos os recursos do Cisco ISE durante esse período. O Cisco ISE é considerado no modo de avaliação quando a licença de avaliação está em uso. O canto superior direito do portal de administração do Cisco ISE exibe uma mensagem com o número de dias restantes no Modo de avaliação.

Camada

As licenças de camada substituem as licenças de Base, Apex e Plus usadas em versões anteriores à 3.x. As licenças de nível incluem três licenças — Essentials, Advantage e Premier. Se você tiver atualmente licenças de Base, Apex ou Plus, use o CSSM para convertê-las nos novos tipos de licença.

Administrador do dispositivo

Uma licença de Administração de dispositivo permite que você use serviços TACACS em um nó de Serviço de política. Em uma implantação autônoma de alta disponibilidade, uma licença de Administração de dispositivo permite que você use serviços TACACS em um único nó de Serviço de política no par de alta disponibilidade. No ISE, ele é definido como 'Device Admin' e, no portal Smart License, é definido como 'Número máximo de nós com direito a transações TACACS+'.

Licenças de dispositivos virtuais

O ISE 3.x vem com uma nova forma de licença de VM, que é a 'licença VM Common'. Se você estiver usando licenças de VM tradicionais, elas deverão ser convertidas em licenças comuns de VM.

Para obter informações sobre tipos de licença e conversão, consulte os links:

Recursos de licença

Guia de licença da Cisco

Tipos de registro de licença

Para a introdução do ISE 3.1, você tem três opções disponíveis para habilitar o Smart Licensing. Estas são:

Reserva de Licenciamento de Software Inteligente (Https Direto, Proxy HTTP, SSM Local)

A Smart Software Licensing Reservation é facilmente usada e eficientemente com um único registro de token. As licenças adquiridas são mantidas em um banco de dados centralizado chamado CSSM. Faça login no portal CSSM para rastrear facilmente as licenças de endpoint disponíveis para você e as estatísticas de consumo. Neste modo, o ISE é necessário para se conectar ao CSSM diretamente (HTTPS direto) ou através de proxy para trocar as informações de consumo e conformidade. A nova opção SSM On-Prem permite ISE com isolamento de ar para utilizar os recursos do CSSM na forma de um servidor local hospedado como um servidor On-Prem (satélite).

Reserva de licença específica (disponível no ISE 3.1 e posterior)

A reserva de licença específica (SLR) permite que os clientes em redes altamente seguras usem o Smart Licensing (e as licenças Smart) sem comunicar as informações da licença. O SLR permite a reserva de licenças específicas, incluindo licenças complementares. O SLR não exige o ISE para se conectar ao CSSM e permite que o ISE consuma as licenças presentes na Smart Account até que elas expirem.

Configurar

Métodos de conexão (proxy HTTPS/HTTPS direto) para integração do CSSM com o ISE

Etapa 1. Navegue até Administration > System > Licensing:

Etapa 2. Escolha Reserva de Licenciamento de Software Inteligente em Tipo de Licença e cole o Token de Registro nos Detalhes de Registro. Escolha a camada aplicável conforme necessário. O processo é ligeiramente diferente entre o proxy HTTPS e HTTPS direto.

HTTPS direto

Etapa 3. Para Direct HTTPS, escolha o Método de Conexão como Direct HTTPS e clique em Registrar:

Proxy HTTPS

Etapa 4. Para garantir que o proxy HTTPS esteja pré-configurado, navegue até Administração > Sistema > Configurações.

Adicione detalhes de proxy > Host, ID de usuário e Senha:

Etapa 5. De volta à página de licenciamento do ISE, escolha Método de conexão como Proxy HTTPS e verifique se o Proxy configurado é visto na seção Proxy HTTPS. Clique em Registrar:

Finalmente, o ISE agora está registrado no CSSM e uma entrada para esse nó do ISE pode ser encontrada nas instâncias de produto na Virtual Account (de onde o token foi gerado).

Configuração do servidor local do Smart Software Manager

Esta configuração requer que um servidor SSM local (satélite) seja implantado no ambiente. Depois de implantado e conectado, o servidor satélite atua como um servidor de licenciamento local, permitindo que o ISE execute as transações de licenciamento sem acessar o CSSM pela Internet. Os servidores satélite podem, por sua vez, sincronizar com o CSSM no modo on-line ou off-line (usando arquivos .yml). Mais detalhes sobre o servidor satélite estão disponíveis aqui . Um guia de início rápido para a instalação do servidor local está presente aqui .

Estas etapas pressupõem que o servidor satélite esteja configurado e uma Virtual Account no CSSM contendo licenças do ISE seja adicionada ao servidor satélite. As etapas para executar o mesmo podem ser rastreadas aqui.

Etapa 1. Faça login no servidor satélite e escolha a opção Smart Licensing:

Etapa 2. No inventário, gere um token e copie o valor do token. De volta ao ISE, escolha Smart Software Licensing Reservation and Connection Method as 'SSM On-Prem server':

Etapa 3. O campo Host do servidor local do SSM é retirado do nome do host configurado no servidor local. O mesmo pode ser confirmado pelo On-Prem Server Admin Workspace > Security > Certificates > Host Common Name:

Etapa 4. Depois que o nome do host for confirmado, adicione-o ao ISE no host do servidor SSM On-Prem e clique emRegister. Após o registro bem-sucedido, o ISE aparece na lista de instâncias de produtos adicionadas à Virtual Account no servidor satélite.

Métodos de integração para ISE e CSSM

SLR

Etapa 1. Navegue até Administration > System > Licensingconforme mostrado na imagem:

Etapa 2. Para o Tipo de licença, escolha SLR e clique em Gerar código. Copie o código de reserva gerado, pois ele é exigido pelo CSSM para gerar um código de autorização:

Etapa 3. No CSSM, escolha a Virtual Account que contém licenças do ISE (Essential, Advantage, Premier, VM, TACACS+). Na seção Licenses (Licenças), escolha License Reservation (Reserva de licença).

Etapa 4. Insira o código autorizado copiado do ISE e clique em Avançar para escolher Reserve a specific license opção. Dependendo das licenças disponíveis, especifique as contagens a serem reservadas para o ISE e clique emNext. Observe que as Licenças de Tier e as Licenças de VM permitem a substituição de licenças de Nível Superior que podem ser usadas para atender às solicitações de licenças de nível inferior. Verifique o modelo de camada aqui Modelo de licenciamento do ISE 3.x .

Etapa 5. Revise e baixe o código de autorização gerado usando a opção Download como arquivo. Retorne ao ISE e clique em Upload SLR License Key para carregar o arquivo. A data de expiração das licenças no ISE reflete a data de expiração original das licenças na Conta inteligente.

Retornando a Reserva para o SLR

Etapa 1. Clique em Return Reservation, copie o código de reserva fornecido e mantenha-o seguro.

Etapa 2. Navegue até Product Instances para a Virtual Account à qual o ISE é adicionado e procure o ISE usando seu número de série. Clique em Actions > Remove, insira o código copiado na Etapa 1 e clique em Return Product Reservation. Isso retorna as licenças reservadas para a Virtual Account.

Troubleshooting 

Diretrizes gerais

• Para ISE 3.0 p7, 3.1 p5 e 3.2 ou posterior, verifique a acessibilidade para este link: https://smartreceiver.cisco.com/.
• Para versões inferiores do ISE<= Ise 3.0, verifique a acessibilidade para estes links: tools.cisco.com, tools1.cisco.com e tools2.cisco.com.
• Esses links são importantes porque desempenham um papel vital na comunicação com o CSSM de e para, se você bloquear esses IPs, o Cisco ISE não poderá relatar o uso da licença para o CSSM, e essa falta de relatórios resulta na perda de acesso administrativo ao Cisco ISE e restrições nos recursos do Cisco ISE.

Atributos de log do ISE a serem definidos no nível de depuração

• Licença (ise-psc.log)

• admin-license (ise-psc.log)

Erros de registro e renovação

Para solucionar erros de registro, comece verificando se não há problemas de comunicação com a Smart Licensing Cloud (https://tools.cisco.com/ ou https://smartreceiver.cisco.com/). Vários fatores podem interromper a conexão entre o ISE e a nuvem de Smart Licensing, incluindo:

• Firewalls ou outros dispositivos bloqueando o tráfego.
• Problemas de DNS. Se o ISE não puder resolver o FQDN correspondente para https://tools.cisco.com/ ou https://smartreceiver.cisco.com/, ele não poderá enviar a chamada à API de registro.
• Problemas com o Smart Licensing Portal.

Solicitações de API para investigar o status de licenciamento do ISE

Use chamadas de API HTTPS diretamente do navegador para saber o número de licenças que estão sendo consumidas no ISE:

https://<MnTNodeIP>/admin/API/mnt/Session/AtiveCount

https://<MnTNodeIP>/admin/API/mnt/Session/License/LicenseCountsFromSessionDB

https://<MnTNodeIP>/admin/API/mnt/License/Base

https://<MnTNodeIP>/admin/API/mnt/License/Intermediate

https://<MnTNodeIP>/admin/API/mnt/License/Premium

https://<MnTNodeIP>/admin/API/mnt/Session/AtiveList

No ISE 3.1 ou posterior, você pode usar o OpenAPI. Navegue até Administration > Settings > API Settings. as chamadas de API usadas para obter mais dados sobre o estado de Licenciamento.

Informações Relacionadas

• Criação de um SLR usando CSSM para Cisco ISE
• Conceitos básicos do licenciamento do Cisco ISE
• Solucionar problemas de licenciamento do ISE
• Licenciamento inteligente do Cisco ISE
  
• Técnico da Cisco Supporta & Downloads