구매 혹은 리뉴얼하기
구매 혹은 리뉴얼하기
취소
제안사항 사용
자동 제안 기능은 사용자가 입력함에 따라 가능한 일치 항목을 제안하여 검색 결과를 신속하게 좁히는 데 도움이 됩니다.
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
새 글 작성하기
588
VIEWS
0
Helpful
0
의견

2.3 Cisco ISE Licensing and Network Requirements

Kai Shin
Cisco Employee
Cisco Employee

날짜: ‎08-11-2023 02:08 PM

Cisco ISE(Identity Services Engine)는 회사 규모와 요구 사항에 따라 여러 가지 기능 라이선스를 사용할 수 있습니다. 이러한 라이선스 옵션은 수년에 걸쳐 조금씩 변경되었습니다.

많은 고객사분들이 Cisco ISE 버전 2.X에서 최신 3.X 버전으로 전환하고 있습니다. 이러한 업그레이드 또는 새로운 버전 3 배포를 설치할 때는 라이선스의 차이점이 배포에 어떤 영향을 미치는지 파악하는 것이 매우 중요합니다.

이번 내용에서는 Cisco ISE 라이선스 옵션과 네트워크에 Cisco ISE를 설치하기 위한 여러 요구 사항을 알아보겠습니다.

Cisco ISE 2.X Licensing

Cisco ISE 버전 2.X에서는 네트워크 액세스 라이선스에 세 가지 계층이 있습니다. Base, Plus Apex입니다. 네트워크 액세스 제어에 영향을 미치는 라이선스 외에도 Device Admin 및 가상 머신에 Cisco ISE를 설치하는 데 필요한 라이선스도 있습니다.

KaiShin_0-1691725942871.png

Base license RADIUS 802.1X, EasyConnect, Cisco TrustSec SGA(Scalable Group Access), 여러 APIs(Application Programming Interfaces) Guest Services 를 포함한 AAA에 액세스할 수 있는 권한을 제공합니다. Base license는 영구적이므로 한 번 설치하면 배포 기간 동안 활성화됩니다. Base license는 버전 3.0 이전의 모든 Cisco ISE 배포에 대해 설치해야 합니다.

Plus 라이선스는 1, 3년 또는 5년 기간으로 제공되는 구독 기반 라이선스입니다. 이 라이선스는 Base license에 추가로 설치되어 Cisco ISE가 제공하는 일부 고급 서비스에 액세스할 수 있도록 합니다. Plus 라이선스는 profiling, BYOD(Bring Your Own Device), pxGrid, ANC(Adaptive Network Control), MSE(Mobility Service Engine) 통합에 필요합니다.

Apex 라이선스는 구독 기반 라이선스로 1, 3년 또는 5년 기간으로 제공됩니다. Base license에 추가로 설치되지만 Base license와는 별도의 라이선스입니다. Apex 라이선스를 통해 Cisco ISEPosture Compliance, MDM 연동, TC-NAC(Threat Centric Network Access Control), AnyConnect Apex ISE Posture Module에 사용될 수 있습니다.

Cisco ISE TACACS+ 관리 옵션에 대한 액세스 권한을 부여하려면 Device Admin 라이선스가 필요합니다. 이 라이선스는 Cisco ISE 버전 2.0 release와 함께 영구 라이선스로 제공되었습니다. 처음에는 전체 배포에 대해 하나의 라이선스만 필요했지만 버전 2.4부터는 장치 관리 서비스를 실행하는 각 ISE node에 라이선스가 적용되어야 합니다.

Cisco ISE 버전 2.4 이전에는 VMRight-To-Use 사용 권한이 있으면 작동하는 데 특별한 라이선스가 필요하지 않았습니다. 서비스를 사용하려면 여전히 Base, Plus 또는 Apex 라이선스가 필요했지만 VM을 설치하거나 실행하는 데는 라이선스가 필요하지 않았습니다. 버전 2.4부터 VM은 상대적으로 하드웨어 성능에 따라 필요한 가상 리소스의 연동된 라이선스가 필요합니다. 이 라이선스는 영구적이며 small, medium, large로 제공됩니다. 이러한 크기는 ISE를 사용할 수 있는 3615, 3655 3695 Cisco Secure Network 서버 하드웨어를 기준으로 조정됩니다.

버전 3.0 이전의 Cisco ISE 라이선스는 라이선스를 관리할 수 있는 두 가지 옵션 - Smart Licencing 또는 Traditional Licencing 을 제공합니다.

Smart Licencing을 사용하면 관리자가 단일 토큰 등록을 통해 ISE 소프트웨어 라이선스 및 엔드포인트 라이선스 소비를 쉽고 효율적으로 모니터링할 수 있습니다. 구매한 라이선스는 Cisco SSM(Cisco Smart Software Manager)이라는 중앙 집중식 데이터베이스에서 유지 관리됩니다.

기존 라이선스는 필요에 따라 개별 라이선스를 구매하고 가져와야 합니다. 이러한 라이선스는 Cisco ISE 네트워크 리소스를 사용할 수 있는 동시 엔드포인트 수와 같은 애플리케이션 기능 및 액세스를 관리합니다.

Cisco ISE 3.X Licensing

Cisco ISE 3.0 release부터는 Smart Licensing이 필요하므로 ISE를 업그레이드하거나 기존 "Classic" ISE 라이선스를 마이그레이션하기 전에 Cisco License Smart Account를 생성 및 구성해야 합니다.

KaiShin_1-1691725942876.png

Cisco Smart Licensing은 디바이스가 자체적으로 라이선스 소비를 등록하고 보고할 수 있도록 지원하여 라이선스를 쉽게 조달, 배포 및 관리할 수 있도록 도와줍니다. 이 변경 사항으로 인해 PAK(Product Authorization Key)가 필요하지 않으며 Cisco SSM(Cisco Smart Software Manager)을 사용하여 필요한 인증을 획득할 수 있습니다.

3.0 release에서 모든 Cisco ISE 라이선스는 1, 3년 또는 5년 단위의 구독 기반입니다. 라이선스 계층은 스택형입니다. Tier는 이전 버전의 Tier(Essentials와 일치하는 Base, Advantage와 일치하는 Plus, Premier와 일치하는 Apex)와 거의 일치하지만 각 Tier를 개별적으로 구매할 필요는 없습니다. Tier를 쌓아 올리면 필요한 가장 높은 Tier만 구매하면 하위 Tier의 기능이 모두 포함됩니다. 예를 들어 Advantage 라이선스를 구매하면 Essential의 기능을, Premier 라이선스를 구매하면 EssentialAdvantage의 기능을 사용할 수 있습니다.

Cisco ISE 3.1 Virtual Machine Licensing

Cisco ISE release 3.1부터 클라우드에서 VM 라이선스를 사용할 수 있으므로 변화하는 비즈니스 요구 사항을 충족하도록 Cisco ISE 배포를 빠르고 쉽게 확장할 수 있습니다.

KaiShin_2-1691725942878.png

 

Release 3.1에서는 AWS를 통해 홈 네트워크의 Cisco ISE 정책을 새로운 원격 배포로 안전하게 확장할 수 있습니다. AWS에는 세 가지 유형의 Cisco ISE 인스턴스가 있으며, 이러한 인스턴스에서 PAN(Policy Administration Node) 또는 MnT(Monitoring and Troubleshooting) node를 구성할 수 있습니다. 필요에 따라 Cisco ISE 인스턴스 유형을 선택할 수 있으므로 Cisco는 가상 머신 라이선스로 여러 Tier를 제공하지 않습니다.

ISE 3.1 이상으로 업그레이드하지 않는 한 기존 가상 머신 라이선스를 사용할 수 있습니다. ISE 3.1 이상으로 업그레이드하는 경우 VM Small, Medium /또는 Large 라이선스를 VM Common 라이선스로 마이그레이션해야 합니다. VM 라이선스를 VM Common 라이선스로 마이그레이션한 후에는 ISE 3.0 이하로 다운그레이드하더라도 VM Common 라이선스를 사용할 수 있습니다.

Note : 더 자세한 라이선스 마이그레이션 정보는 아래 링크를 통해 확인하실 수 있습니다.

https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/ise-licensing-migration-guide-og.html

VM OVA Templates

Cisco ISEVM Cisco ISE를 설치 및 배포하는 데 사용할 수 있는 몇 가지 OVA(Open Virtual Appliance) 템플릿을 제공합니다.

KaiShin_3-1691725942884.png

 

이러한 OVA 템플릿은 템플릿 이름에 일치하는 동등한 하드웨어를 기반으로 필요한 리소스 예약으로 구성됩니다. Policy Service 또는 pxGrid node 역할을 하는 Cisco ISE node에는 300GB OVA 템플릿으로 충분합니다. Administration 혹은 Monitoring persona를 실행하는 ISE node에 대한 최소 요구 사항을 충족하려면 600GB 1.2TB OVA 템플릿을 사용하는 것이 좋습니다.

디스크 크기, CPU 또는 메모리 할당을 사용자가 지정해야 하는 경우 표준 .iso 이미지를 사용하여 Cisco ISE를 수동으로 배포할 수 있습니다. 그러나 최소 요구 사항 및 리소스 예약의 가용성을 보장하는 것이 중요합니다. OVA 템플릿은 각 플랫폼에 필요한 최소 리소스를 자동으로 적용하여 ISE 가상 어플라이언스 배포를 간소화합니다.

VM Provisioning and Disk IO Guidance

Cisco ISE 설치 프로세스는 적절한 디스크 I/O를 보장합니다. VM의 하드 드라이브 I/O가 부족한 경우 설치 중 및 GUI 대시보드에 compliant 메시지가 표시됩니다. 이러한 경우는 Cisco ISE node를 다른 서버로 이동하여 문제를 해결해야 할 수 있습니다.

KaiShin_4-1691725942890.png

 

Thin Provisioning이 지원되지만, 특히 MnT의 경우 Thick Provisioning을 적극 권장합니다. Thin Provisioning을 선택하면 초기 디스크 확장 중에 더 많은 디스크 공간이 필요한 업그레이드, 백업 및 복원, 디버그 로깅과 같은 작업이 영향을 받을 수 있습니다.

하이퍼스레딩은 필수는 아니지만 초당 트랜잭션이 증가할 수 있습니다.

가이드라인으로 읽기 성능은 초당 300MB 이상, 쓰기 성능은 초당 50MB 이상이어야 합니다.

이 수준의 성능을 달성하기 위한 몇 가지 아이디어로는 10K RPM 이상의 드라이브를 사용하고, RAID(Redundant Array of Independent Disks) 컨트롤러에서 캐싱을 활성화하고, RAID 미러링을 활성화하고, RAID 5가 아닌 RAID 10을 사용하는 것이 있습니다.

0 Helpful
시작하기

상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.

이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.

빠른 링크

커뮤니티를 보다 손쉽게 둘러보실 수 있는 빠른 링크를 사용해보세요

보안 전문가에게 물어보세요 아이디어 및 뉴스 공유 기술 관련 비디오 게시 또는 보기
Customers Also Viewed These Support Documents