cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
274
Views
0
Helpful
7
Replies
Highlighted

Tiempo de Vigencia para ACtivación de Licencia - Cisco ISE Device Admin License (L-ISE-TACACS=)

Saludos Comunidad.

Escribo para hacreme de su experiencia y demas conocimientos en relación a saber si existe algun tiempo preestablecido por Cisco para activar la Licencia: Cisco ISE Device Admin License (L-ISE-TACACS=) en una implementación de ISE 2.0.

La pregunta nace debido a que me encuentro trabajando una oportunidad que implica la migración de un cluster Cisco ISE 1.2.8 a 2.0. El proceso de migración lo tengo bastante claro. La inquietud de la licencia nace debido a que el cliente compró las licencias a un tercero con anterioridad pero por motivos externos no llevo a cabo la migración y por ende no ha podido aplicar las licencias ni mucho menos activarlas.

Mis preguntas:

1.- ¿Existe algún tiempo preestablecido por Cisco para activar esta licencia luego de que es adquirida y por ende entregada al cliente? De ser cierto haganme el tiempo, las consecuencias y que opciones tendría para subsanar esta situación en caso de consecuencias negativas.

2.- Desde mi perspectiva estas licencias deberían ser activadas y registradas en el ISE luego de lograr la migración de la plataforma a la versión 2.0. ¿Tienen alguna sugerencia o lección aprendida al respecto?

Mucho sabre agradecer sus comentarios seria genial que pudieran compartir algún documento a fin de documentar sus opiniones.

Gracias de antemano.

7 REPLIES 7
Hall of Fame Master

The ISE Device Admin license

The ISE Device Admin license is perpetual and may be activated at any time. It requires only an ISE deployment with any number of Base licenses running release 2.0 or later software.

Your customer is best advised to be on the most recent version (currently 2.2 Patch 1) for many reasons. 

Spanish / en Espanol

La licencia ISE Device Admin es perpetua y puede ser activada en cualquier momento. Requiere sólo un despliegue de ISE con cualquier número de licencias de Base que ejecutan el software de versión 2.0 o posterior.

Se recomienda que su cliente esté en la versión más reciente (actualmente 2.2 Patch 1) por muchas razones.

Thanks Marvin,

Thanks Marvin,

I'd really appreciate if You give a little more details about the advantages of going to version 2.2 rather than going to versión 2.0.

Hall of Fame Master

There are numerous advantages

There are numerous advantages of ISE 2.2.

I would recommend the following page to see them all laid out with links to the details for each one:

https://communities.cisco.com/docs/DOC-71325

I can think of no reason why one would run 2.0 when 2.2 is an option. Generally speaking, Cisco has made great improvements in both quality and features with each new ISE release.

Existen numerosas ventajas de ISE 2.2.

Yo recomendaría la siguiente página para verlos todos establecidos con enlaces a los detalles de cada uno:

Https://communities.cisco.com/docs/DOC-71325

No puedo pensar en ninguna razón por la que se ejecutaría 2.0 cuando 2.2 es una opción. En términos generales, Cisco ha realizado grandes mejoras en calidad y características con cada nueva versión de ISE.

ajc Frequent Contributor
Frequent Contributor

Daniel, como bien senala

Daniel, como bien senala marvin los nuevos release corrigen bugs e incorporan mejoras o nuevos servicios.

Muy importante, porque si tienes cisco appliances, los modelos viejos no soportan bien las versions 2.x. Si vas a correr ISE en VM's mi experiencia no ha sido muy satisfactoria por lo lento que corre el sistema. Nosotros estamos migrando de 3395 y 3495 a 3595 appliances. Si existe limitaciones presupuestarias, yo me iria entonces con el uso de VM's al ser menos costoso y escalable.

Nosotros usamos 1.4.0.253 patch 10 pero esa version pronto dejara de recibir soporte de acuerdo a las conversaciones semanales con Cisco. De ahi que nos indicaran usar 2.2 patch 1 ya que no tenia sentido ir a la version 2.0 donde existirian bugs que la 2.2 ya corrigio.

Una pregunta, los ISE's que quieres usar son para ambiente wired o wireless?.

Adicionalmente, como los ACS de Cisco que usabamos estan en End of Sale & Support, estamos reemplazandolos por ISE usando la opcion tacacs que es nueva en las versions 2.x. Tengo previsto correr primero unas pruebas antes de la implementacion. El Plan es que este ISE/Tacacs provea accesso controlado a mas de 5000 LAN switches que tenemos en la red.

Cualquier otra pregunta estamos a la orden

ajc Frequent Contributor
Frequent Contributor

Daniel,

Daniel,

Olvide mencionarte una parte super importante, es altamente recommendable usar F5 (load balancing) para cualquier implementacion con multiple ISE's.

En mi ambiente wireless (escuelas), yo tuve que apuntar cada WLC a un ISE, eso limitaba mi margen de maniobra ya que la session del enduser tiene que apuntar siempre al mismo dispositivo incluso cuando haces roaming de un access point a otro (lo cual genera una nueva reauthentication). DNS round robin no funciona bien.

Estoy terminando mis pruebas de configuracion y testing usando F5 + ISE basados en las guias de Cisco (que por cierto estan incompletas en varios aspectos de la configuracion). Hemos probado EAP-TLS, PEAP, MAB, HotSpot Portal (redirect), Guest Portal Access para ambiente wireless. Tengo previsto crear la documentacion correspondiente y estare posteando luego en los forums.

ajc Frequent Contributor
Frequent Contributor

Daniel, como menciona marvin

Daniel, como menciona marvin la version recomendada actualmente es 2.2 patch 1. Yo de hecho me estoy moviendo en esa direccion. La licencia que compraste NO tiene tiempo de instalacion determinado solo el trial gratis que te da el ISE cuando lo instalas la primera vez y dura 60 dias. Es decir, puedes instalar tus equipos hacer unos testing por 60 dias y despues instalar la licencia permanente (esta licencia permanente se puede instalar desde el principio).

Otro detalle, la licencia es por numero de usuarios conectados. En nuestro caso, tenemos varias licencias que suman 120 mil usuarios y de ese total hemos llegado a consumir 99 mil.

Revisando tu nota, me he percatado que las compraron a un tercero. Mientras esas licencias NO esten asociadas a otra cuenta cisco que ya las haya registrado, NO deberias tener problemas. Es decir, creas una cuenta CCO en cisco.com, entras y te diriges a la opcion de LICENSE y ahi deberias poder registrar la licencia para lo cual debes tener algo llamado PAK NUMBER, una vez ingresada en la pagina el PAK #, te da automaticamente la opcion de bajar un archivo con extension .LIC que es en realidad la licencia que aplicaria a tu instalacion de ambiente ISE. Este .LIC file se instala en el PRIMARY ADMINISTRATION NODE.

Pregunta, cuantos ISE's tienes y cual es el escenario a instalar. Existe opcion standalone o ambiente distribuido.

Hola Abraham.

Hola Abraham.

Gracias por tu respuesta.

Aprovecho para aclarar algunos detalles.

Cuando me refiero a que las compraron a un tercero, me refiero a otro Partner y por algun motivo no ejecutaron la Instalación con ese partner.

En relacion al modelo de Impleementación es un entorno dsitribuido con 6 instancias:

- 1 Primary y 1 Secundary

- 4 Service Policy.

Actualmente están en la Versión 1.2.8 y desean migrar a la Versión 2.0 además de habilitar la Licencia de Device Management (TACACS+).

El proceso de migración lo tenemos bastante claro sin embargo, dado que haces enfasis en que vas a la versión 2.2, quisiera que me indicaras las ventajas que puede tener esa versión 2.2 sobre la 2.0.

Gracias de antemano.