ISE: Air Gapped環境におけるSpecific License Reservation(SLR)の有効方法

junmjian · ‎2022-05-01

はじめに
Specific License Reservationの有効化とReservation Codeの発行
CSSMで Authorization Code発行
Authorization Codeファイルのアップロードと実行
ライセンスステータスの確認
参考情報

はじめに

本ドキュメントでは、Cisco Smart Software Manager(CSSM)の特定のライセンス予約であるSpecific License Reservation(SLR)のISEへ適用と動作確認方法について紹介します。

ISE 3.0リリース以後では、製品アクティベーションキー（PAK）の登録が不要となり、CSSMを利用してスマートライセンスが必要です。通常のスマートライセンスはISEがCSSMと通信する必要がありますが、ISE 3.1リリース以後では、SLRを利用することで、Air Gapped環境でもISEのライセンスを有効化することが可能です。

本ドキュメントは、単体構成のISEバージョン 3.1を用いて確認、作成しております。

SLRの有効化は主に以下の手順で実施することができます。

1.Specific License Reservationの有効化とReservation Codeの発行
2.CSSMで Authorization Code発行
3.Authorization Codeファイルのアップロードと実行
4.ライセンスステータスの確認

Specific License Reservationの有効化とReservation Codeの発行

Cisco ISE GUIで、［メニュー(Menu) ］アイコンをクリックして、[管理(Administration)]>[システム(System)]>[ライセンス(Licensing) ]を選択します。[ライセンスタイプ(License Type)]の領域から、[Specific Licensing Reservation]を選択し、[SLR 構成（SLR Configuration）] 領域で、[スタンドアロン/プライマリ PAN（Standalone/Primary PAN）] 領域の [コードの生成（Generate Code）] をクリックします。

有効化した後で、画面の上部に下記のメッセージが生成されます。登録完了までに、Cisco ISEへのアクセスが一部制限されます。

コードが横にある [予約コード（Reservation Code）] フィールドに表示されます。予約コードを生成した後で、[リクエストのキャンセル（Cancel Request）] をクリックして予約コードを CSSM サーバーに返却できます。返却したコードは無効になります。次回、プライマリ PAN で特定ライセンス予約をインストールして有効にする場合は、新しい予約コードを生成する必要があります。

CSSM ポータルで送信するために、予約コードをコピーします。

CSSMで Authorization Code発行

CSSMの[インベントリ（Inventory）] > [ライセンス（Licenses）]にアクセスし、「ライセンスの予約（License Reservation）」を選択します。

[スマートライセンス予約ワークフロー（Smart License Reservation workflow）] ダイアログボックスが表示されます。[ステップ 1：要求コードの入力（Step 1: Enter Request Code）] タブで、表示されるテキストフィールドに、 Cisco ISE から受信した予約コードを入力します。[次へ（Next）] をクリックします。

[ステップ 2：ライセンスを選択する（Step 2: Select Licenses）] タブで、[特定ライセンスの予約（Reserve a specific license）] オプションボックスをクリックします。

次に、表示されるテーブルの[使用可能（Available）]列のライセンスの数を確認し、 [予約（Reserve）] 列に、ライセンスタイプごとに、プライマリ PAN で予約するライセンス権限の数を入力します。

[次へ（Next）] をクリックしたら、[ステップ 3：レビューと確認（Step 3: Review and Confirm）] タブで、特定ライセンス予約の詳細を確認します。次に、[承認コードの生成（Generate Authorization Code）] をクリックします。

[ステップ 4：承認コード（Step 4: Authorization Code）] タブには、承認コードを XML 形式で表示するフィールドがあります。この XML コンテンツには、SLR が生成されるライセンス予約と Cisco ISE ノードに関する情報が含まれます。改ざんされたコードは Cisco ISE によって拒否されるため、このコンテンツは変更しないでください。[ファイルとしてダウンロード（Download As File）] をクリックし、XML コンテンツを含む .txt ファイルをローカルシステムにダウンロードします。

Authorization Codeファイルのアップロードと実行

Cisco ISE 管理ポータルの [ライセンス（Licensing）] ウィンドウの[スタンドアローン/プライマリ Standalone/PAN（Primary PAN）] 領域で、[SLR ライセンスキーのアップロード（Upload SLR License Key）] をクリックしします。

CSSM ポータルからダウンロードした XML ファイルを選択します。

キーがノードにアップロードされ、特定ライセンス予約がアクティブ化されるまでに数分かかります。

ライセンスステータスの確認

ISEの[スタンドアローン/プライマリ Standalone/PAN（Primary PAN）] 領域でLicensesには、予約するライセンス権限の数とすでに消費された数が表示されます。SLRが有効されていることがわかります。

参考情報

Cisco Identity Services Engine Administrator Guide, Release 3.1
https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/admin_guide/b_ise_admin_3_1/b_ISE_admin_31_licensing.html#concept_dpc_csy_fqb

matsu · ‎2022-07-03

junmjian さん

こんにちわ。

ISE は3.x 系からスマートライセンスへの対応が必要となったこともあり、その内容を詳細確認できて大変助かります。

本記事について投稿いただき誠にありがとうございます。

記事の内容から、スマートライセンスになったとしても、ISE では Primary PAN で基本的に操作を行うことになると理解致しました。

その上での確認となり恐縮ですが、Device Admin ライセンスに関しても、同様に Primary PAN 上で Reservation Codeを発行し、登録を進めていく流れで問題ないでしょうか。

Device Admin ライセンスに関しては、PSN の台数分だけ購入して適用するものかと思います。

スマートライセンスに変わったことで、PSN 側で何か作業が必要となっていないかどうか、

という点を懸念しております。

御社ガイド上 PSN 側で操作が必要などの情報は確認できておりませんし、ISE 2.x では Primary PAN に適用することで配下ノードにライセンスが伝播される仕様でしたので、特に必要ではないと考えているのですが、念のため確認できますと幸いです。

M M · ‎2023-05-31

Specific License Reservation(SLR)の有効方法のご紹介ありがとうございます。

Reservation Codeの発行手順の中に "permanent license reservation" があります。
ISEの資料に"permanent license reservation" を見かけませんが、こちらはどの様なときに利用するものでしょうか。