در معماریهای مدرن شبکه، یکی از بخشهایی که اغلب دستکم گرفته میشود، مدیریت لایسنس است. اما کافی است در میانهی یک Migration یا پروژهی حساس روی Cisco ISE، متوجه شوید که لایسنس شما معتبر نیست؛ در این لحظه، مشکل دیگر صرفا «فعالسازی یک فیچر» نیست، بلکه پایداری کل اکوسیستم احراز هویت و Policy Enforcement سازمان زیر سؤال میرود.
با معرفی ISE 3.x، سیسکو مدل کلاسیک لایسنسینگ را کنار گذاشت و Smart Licensing را بهعنوان تنها روش رسمی فعال سازی Smart License در Cisco ISE و مدیریت لایسنس وارد چرخه کرد. این تغییر در ظاهر فقط یک شیفت مدیریتی است، اما در عمل زیرساخت امنیت و قابلیت مقیاسپذیری را بهطور مستقیم تحت تأثیر قرار میدهد.
در این مقاله، قدمبهقدم با نحوهی مدیریت و فعال سازی Smart License در Cisco ISE 3.x آشنا میشوید. یاد میگیرید چگونه ISE را به Cisco Smart Software Manager متصل کنید، روشهای مختلف فعالسازی را اجرا کنید، انواع لایسنسها را مدیریت کنید و در نهایت مصرف لایسنسها را مانیتور کرده و خطاهای رایج را عیبیابی کنید.
دامنه و پیشنیازها قبل از فعال سازی Smart License در Cisco ISE
برای اینکه بتوانید ISE را به Smart Licensing متصل کنید، چند پیشنیاز ضروری وجود دارد:
- نصب ISE نسخه 3.x یا بالاتر
- داشتن یک Smart Account در پورتال Cisco
- دسترسی شبکهای به سرویسهای CSSM (مانند smartreceiver.cisco.com) یا یک سرور محلی On-Prem
- در صورت استفاده از Proxy یا محیط ایزوله، پیکربندیهای جانبی متناسب با همان روش
نکتهی عملیاتی: قطع این دسترسیها باعث میشود ISE نتواند مصرف را گزارش کند و تبعاتش تا محدود شدن قابلیتها و از دست رفتن دسترسی ادمین پیش میرود.
معماری Smart Licensing در سیسکو ISE
برای درک بهتر فرآیند، باید بدانیم که Smart Licensing چگونه کار میکند. پس از ثبت ISE با استفاده از یک Registration Token در CSSM، این سیستم بهطور منظم اطلاعات مصرف لایسنس را ارسال میکند. ISE هر ۳۰ دقیقه مصرف داخلی را نمونهبرداری میکند و هر شش ساعت یک گزارش کامل به CSSM میفرستد.
به این ترتیب، CSSM همیشه تصویری بهروز از تعداد endpointها و sessionهای فعال دارد. این گزارشها به شکل Peak Usage ذخیره میشوند تا مطمئن شوید مصرف شما با لایسنسهای خریداریشده همخوانی دارد.
منطق مصرف لایسنس و مدیریت Session در سیسکو ISE
مصرف لایسنس بر تعداد Sessionهای فعال استوار است، نه صرفا تعداد Endpointها. اگر یک Endpoint چند Session همزمان داشته باشد، مصرف بالاتر میرود. مهمترین وابستگی این بخش، Accounting سمت NADهاست:
- Accounting غیر فعال: اگر فقط درخواست RADIUS Auth برسد و هیچ Accounting دیده نشود، ISE Session را ۱ ساعت نگه میدارد.
- Accounting فعال: با دریافت پیام Accounting، سشن تا ۵ روز فعال میماند یا تا وقتی Accounting Stop برسد؛ رسیدن Stop بلافاصله لایسنس را آزاد میکند.
- Interim-Update، مهلت ۵ روزه را تمدید میکند.
- برای اینکه شمارش دقیق باشد، Accounting را روی سوییچها و اکسسپوینتها روشن کنید (Start/Stop).
لایسنس اسمارت سیسکو ISE
برای مدیریت هوشمند دسترسیها و افزایش امنیت سازمان خود، لایسنس Cisco ISE را همین حالا از تتیسنت تهیه کنید. برای اطلاعات بیشتر و خرید به صفحه محصول مراجعه کنید.
مدلهای لایسنس در ISE 3.x
ISE 3.x با تغییر بنیادی مدل لایسنسینگ، چهار نوع لایسنس اصلی دارد که هر کدام نقش متفاوتی در مدیریت سرویس و ظرفیت شبکه ایفا میکنند. شناخت دقیق هر نوع لایسنس، به برنامهریزی درست ظرفیت، رعایت Compliance و پیشگیری از مشکلات ناگهانی در محیط عملیاتی کمک میکند.
1. Evaluation License
پس از نصب یا ارتقا به ISE 3.x، به صورت پیشفرض یک لایسنس Evaluation فعال میشود. این لایسنس ۹۰ روزه است و امکان دسترسی کامل به تمام قابلیتهای ISE را فراهم میکند، شامل:
- TACACS+ و RADIUS Device Administration
- Policy Enforcement و Monitoring & Troubleshooting (MnT)
- Endpoint Profiling و Guest Access
ویژگیها و نکات عملیاتی:
- در گوشه بالای راست پنل مدیریتی، تعداد روزهای باقیمانده به صورت واضح نمایش داده میشود.
- پس از اتمام دوره، ISE نیاز به Smart Licensing فعال دارد تا سرویسها ادامه پیدا کنند.
استفاده از Evaluation در محیطهای Production فقط برای تست و Proof of Concept توصیه میشود، زیرا پس از پایان دوره بدون Smart License، بسیاری از قابلیتها محدود میشوند.
2. Tier Licenses (Essentials / Advantage / Premier)
این لایسنسها جایگزین مدلهای قدیمی Base، Apex و Plus هستند و به سه سطح تقسیم میشوند:
- Essentials: مناسب برای محیطهای متوسط با نیازهای پایه مانند RADIUS، Guest Access و Policy Enforcement محدود.
- Advantage: شامل تمام قابلیتهای Essentials و ویژگیهای پیشرفتهتر مانند Profiling و Threat-Centric Policy Enforcement.
- Premier: بالاترین سطح، تمام قابلیتها از جمله TACACS+, Device Administration و Enterprise-Wide Policy Management را فعال میکند.
ویژگیها و نکات عملیاتی:
- اگر قبلا از Base/Apex/Plus استفاده میکردید، CSSM امکان تبدیل لایسنسها به Tier جدید را فراهم میکند.
- در ISE، Tier License مشخص میکند کدام Featureها در دسترس هستند و برای هر PSN یا Endpoint محدودیتهای Consumption اعمال میشود.
- لایسنسهای Tier در Smart Account قابل مدیریت هستند و امکان رصد Peak Usage و مصرف واقعی فراهم است.
3. Device Admin License (TACACS+)
لایسنس Device Admin برای فعالسازی سرویس TACACS+ روی Policy Service Node (PSN) ضروری است. ویژگیهای کلیدی:
- PID: L-ISE-TACACS-ND=
- هر PSN که TACACS+ اجرا کند، نیاز به یک Device Admin License دارد.
- مصرف Device Admin جزو Endpoint Usage حساب نمیشود و محدودیتی روی تعداد Network Access Deviceها اعمال نمیکند.
نکات عملیاتی:
- در حالت High-Availability، هر PSN از HA Pair نیازمند لایسنس جداگانه است.
- بدون Device Admin، سرویس TACACS+ فعال نخواهد شد، حتی اگر سایر Tier Licenses معتبر باشند.
4. VM Common License
با انتشار ISE 3.x، لایسنسهای سنتی VM به مدل VM Common تغییر یافتند تا سازگاری با Smart Licensing و مدیریت یکپارچه تضمین شود.
ویژگیها و نکات عملیاتی:
- هر VM ISE که راهاندازی میکنید، نیازمند یک VM Common License است.
- اگر هنوز از لایسنسهای قدیمی VM استفاده میکنید، باید آنها را به VM Common تبدیل کنید تا قابلیتهای Smart Licensing فعال شوند.
- این مدل امکان تخصیص انعطافپذیر منابع و استفاده از SSM On-Prem یا SLR را فراهم میکند.
روشهای فعال سازی Smart License در Cisco ISE
ISE چند راه مختلف برای ارتباط با CSSM و فعالسازی Smart Licensing ارائه میدهد:
1. Direct HTTPS
سادهترین روش، اتصال مستقیم ISE به CSSM است. کافی است در پنل مدیریتی مسیر Administration > System > Licensing را باز کنید، یک Registration Token وارد کنید و Connection Method را روی Direct HTTPS بگذارید. پس از ثبت موفق، ISE بهصورت خودکار با CSSM همگام میشود.
2. HTTPS Proxy
اگر دسترسی مستقیم به اینترنت ندارید، میتوانید از یک Proxy استفاده کنید. در بخش System Settings، مشخصات Proxy شامل Hostname، نام کاربری و رمز عبور را وارد کنید.
سپس در صفحهی Licensing روش اتصال را روی HTTPS Proxy قرار داده و روی دکمه Register کلیک کنید:
3. SSM On-Prem (Satellite Server)
برای شبکههای ایزوله یا Air-Gap، راهکار SSM On-Prem در نظر گرفته شده است. در این حالت، شما یک سرور Satellite در محیط داخلی نصب میکنید. این سرور مانند یک واسطه عمل میکند و ISE میتواند بدون خروج به اینترنت، لایسنسها را از آن دریافت کند.
پس از نصب و پیکربندی Satellite، یک Token از آن تولید کرده و در ISE وارد کنید. ارتباط ISE با Satellite برقرار میشود و در ادامه Satellite خودش را با CSSM همگام میکند (آنلاین یا حتی آفلاین با فایل .yml).
4. Specific License Reservation (SLR)
در شبکههای بسیار حساس و ایزوله که حتی امکان نصب On-Prem هم وجود ندارد، روش SLR کاربرد دارد. در این مدل، ISE یک Reservation Code تولید میکند که باید در CSSM وارد شود.
پس از انتخاب تعداد و نوع لایسنسها در پورتال، یک Authorization Code صادر میشود که دوباره به ISE بازگردانده و بارگذاری میکنید.
به این ترتیب، ISE میتواند بدون ارتباط مستقیم با CSSM از لایسنسها استفاده کند. در صورت نیاز، امکان Return Reservation هم وجود دارد تا لایسنسها به حساب اصلی بازگردند.
مانیتورینگ و مدیریت مصرف اسمارت لایسنس Cisco ISE
پس از فعال سازی Smart License در Cisco ISE، میتوانید وضعیت مصرف را هم از داخل ISE و هم از CSSM مانیتور کنید. ISE اطلاعات مصرف را بهصورت دورهای ارسال میکند و مدیر سیستم میتواند مصرف Endpointها و Sessionها را بررسی کند.
برای کارهای پیشرفتهتر، ISE امکان فراخوانی API نیز دارد. با فعالسازی ERS و OpenAPI در بخش API Settings میتوانید از طریق APIهای REST وضعیت مصرف لایسنس را دریافت کنید.
خطاها و عیبیابی فعال سازی Smart License در Cisco ISE ( چکلیست عملیاتی)
۱. Reachability (ارتباط شبکهای)
یکی از رایجترین دلایل شکست در فعال سازی Smart License در Cisco ISE، مشکل در دسترسی به سرورهای سیسکو است.
روی فایروال یا پراکسی سازمانی بررسی کنید که پورتهای مورد نیاز (معمولا 443/TCP) بسته نباشند. بسیاری از خطاهای «Registration Failed» ریشه در همین Ruleها دارند.، مشکل در دسترسی به سرورهای سیسکو است.
در نسخههای 3.0p7 / 3.1p5 / 3.2 و بالاتر، مقصد شما smartreceiver.cisco.com است.
در نسخههای قدیمیتر (≤3.0) هنوز باید ارتباط با دامنههای tools*.cisco.com بررسی شود.
پیشنهاد میشود علاوه بر تست سادهی پینگ، DNS Resolve را هم امتحان کنید (nslookup smartreceiver.cisco.com) تا مطمئن شوید نامها بهدرستی ترجمه میشوند.
۲. Token/Portal (اعتبارسنجی توکن و پورتال)
توکن فعالسازی نقطهی شروع فرآیند Smart Licensing است. مشکلات متداول در این بخش:
- تاریخ انقضای توکن گذشته و پورتال خطای Token Expired برمیگرداند.
- توکن روی حساب سازمانی دیگری ساخته شده و با محیط شما همخوانی ندارد.
- اختلال سمت Cisco Smart Software Manager (CSSM) یا قطعی موقت اینترنت.
در این شرایط توصیه میشود لاگهای سیستم را بررسی کنید و در صورت نیاز، توکن جدید بسازید.
۳. Logging (تحلیل لاگها)
ISE اطلاعات دقیقی از فرآیند لایسنس در لاگها ذخیره میکند:
- فایل ise-psc.log را با سطح Debug فعال کنید.
- رخدادهایی مثل COMMUNICATION_FAILURE یا REGISTRATION_FAILED به شما سرنخ میدهند که مشکل شبکهای است یا مربوط به پورتال.
- در محیطهای چندنودی (Deployment) توجه کنید لاگها را از Primary Admin Node استخراج کنید.
۴. اثر انسداد (پیامدهای عدم گزارشدهی)
اگر ارتباط با CSSM برای مدت طولانی قطع باشد:
- در فاز اول سیستم هشدار میدهد و وضعیت لایسنس به Out of Compliance تغییر میکند.
- در ادامه برخی قابلیتها (مثل Device Administration یا Passive Identity) محدود یا غیرفعال میشوند.
- در حالت شدیدتر، حتی دسترسی مدیریتی به کنسول ISE تحت محدودیت قرار میگیرد.
به همین دلیل در محیطهایی که دسترسی به اینترنت ندارند، استفاده از SSM On-Prem یا SLR بهشدت توصیه میشود.
جمعبندی
Smart Licensing در Cisco ISE 3.x روشی مدرن برای مدیریت لایسنسهاست که علاوه بر سادهتر کردن فرآیند خرید و فعالسازی، امکان مانیتورینگ متمرکز و گزارشگیری دقیق را فراهم میکند. بسته به شرایط شبکه، میتوانید یکی از روشهای Direct HTTPS، Proxy، SSM On-Prem یا SLR را انتخاب کنید.
با اجرای مراحل بالا، Cisco ISE شما همیشه در وضعیت compliant باقی میماند و نگرانی از بابت محدود شدن قابلیتها نخواهید داشت. برای اطلاعات بیشتر، دریافت مشاوره رایگان یا خرید اسمارت لایسنس Cisco ISE از تتیس نت با کارشناسان فنی ما تماس بگیرید و یا فرم دریافت مشاوره تخصصی زیر را پر کنید.
