Nowe licencjonowanie Cisco ISE.

Ci, którzy znają Cisco ISE i używają tego systemu od kilku ładnych lat, przyzwyczaili się do systemu licencjonowania znanego z ISE 1.x i 2.x. Dobrze znane licencje Base, Plus i Apex kończą swój żywot wraz z pojawieniem sie ISE 3.X. W ich miejsce pojawiły się licencje tzw. Tier Based, czyli Essentials, Advantage i Premier. Co to zmienia, na co należy zwrócić uwagę i czy można nie robić nic? O tym w artykule, ale po kolei.  

Najpierw bardzo ważna wiadomość dla posiadaczy ISE w wersji 2.7.

Nowy NAC, nowy deployment 

Dla tych, którzy dopiero zaczynają przygodę z systemami NAC w swojej firmie (lub domu?) nowa instalacja to wybór rozwiązania. Jeśli padło na Cisco Identity Services Engine (Cisco ISE), ten artykuł może się przydać.

Warto wiedzieć, że ISE można uruchomić za darmo w wersji evaluation, która przez 90 dni wspiera wszystkie możliwe funkcjonalności ISE (czyli te odblokowywane przez najwyższą licencję). Super sprawa i okazja do tego żeby ISE przetestować wzdłuż i wszerz. Należy tylko pamiętać, że po 90 dniach, ISE przestaje dawać się zarządzać i czeka na podanie legalnych licencji! 

Licencje ISE Stare vs Nowe  

Jak wspomniałem, Base, Plus, Appex mają już dzisiaj następców i są nimi Essentials, Advantage i Premier. Nomeknlatura skądinąd znana, bo sięgając do produktów Cisco z półki Switching, Routing i Wireless znajdziemy cała filozofię licencjonowania DNA właśnie Essentials i Advatage. Różnica między nowymi i starymi licencjami ISE polega przede wszystkim na zmianie podejścia do ważności licencji.

  

W ISE 3.0 licencje wyższe zawierają w sobie licencje niższe (tzw. Nested doll model). Oznacza to, że wystarczy kupić licencję Advantage, żeby mieć funkcjonalność licencji Essentials + Advantage. W starym modelu licencje były addytywne, dodawało się różne poziomy licencyjne, były też wymagania posiadania minimalnej liczby licencji Base do posiadania X licencji wyższychiI tak dalej.

W uproszczeniu stary model wyglądał tak: Żeby móc zainstalować 200 licencji Plus, należało mieć min. tyle samo (lub więcej) licencji Base. Dzisiaj jeśli wiemy, że chcemy mieć 200 licencji Advantage, możemy po prostu kupić 200 licencji advantage.  

  

Na obrazku wygląda to mniej więcej tak: 

Ceny licencji Cisco ISE są uzależnione od wielkości pakietu , czyli liczby licencji które kupujemy. W skrócie 10000 licencji będzie tańszcze niż 2000 licencji w przeliczeniu na 1 licencję.  

Chcesz wybrać odpowiedni system NAC lub zaplanowac migrację? Uniknij powszechnych błędów. Porozmawiaj z naszymi ekspertami podczas bezpłatnej konsultacji i dowiedz się więcej, która konfiguracja będzie dla Ciebie najkorzystniejsza.

Jak liczymy licencje ISE?  

 Licencje liczymy per device. Pamiętać należy o tym, że jeden użytkownik zalogowany i uwierzytelniony do sieci mechanizmem 802.1x wired + w tym samym czasie 802.1x wireless będzie konsumował 2 licencje! Licencjonowanie opiera się na liczbie jednocześnie połączonych urządzeń / enpoint’ów / adresów MAC do sieci. 

ISE Virtual Appliance 

Uwaga! Od ISE 3.1, Cisco waliduje licencje na tzw. Node VM. Jeśli nasz deployment (instalacja ISE) jest złożony np. z 5 węzłów, tzw node’ów, należy kupić 5 licencji w zależności od tego, jak duża maszyna wirtualna jest potrzebna. Jeśli tego nie zrobimy, ISE bedzie upominać się o taką licencję (per node) i wyśle stosowne ostrzeżenia. 

Cena licencji w tym przypadku zależy od wielkości VM appliance, a to z kolei od dobranego do skali rozwiązania obrazu VM. Tutaj mamy następujące możliwości: 

• VM Small 
• VM Medium 
• VM Large 

  

Którą kiedy wybrać? O tym mówi sizing guideline, lub ponownie – daj mi znać, możemy wspólnie to przeanalizować dla Twojego środowiska.  

  

Device Administration  

Dla tych, którzy lubią lub po prostu używają TACACS+, czyli zarządzania uwierzytelnieniem i autoryzacją administratorów sieci do urządzeń, na ISE możemy uruchomić serwis TACACS+. Taki serwis uruchamia licencja Device Administration, która instalowana jest na PSN-ach. Jedna licencja na 1 PSN (!), na którym chcemy to uruchomić. Role węzłów ISE opisywalem w tym wpisie o modelach deploymentu ISE.

  

Kupujemy od nowa – jak skonfigurować? 

Dość prosto.  

1. Zdecyduj co chcesz osiągnąć projektem NAC. 
2. Ustal i zaplanuj, jaki duży będzie deployment I jakiego rodzaju licencję będą potrzebne 
3. Oszacuj liczbę endpointów. 
4. Wyceń określoną liczbę licencji Essentials, Advantage, lub Premier 
5. Wyceń określoną w pkt. 2 liczbę licencji VM Appliance 

  

Mam już ISE 1.X lub 2.X – co dalej ?  

Tu nie jest prosto. Najlepiej zaplanować upgrade do 3.X. W tym momencie rekomendowana przez Cisco wersja to 3.1 (oznaczona jako safe harbour). Jak zmigrować? Pisałem ostatnio w newsletterze, przypomnę: 

Migracja przebiega na kilku poziomach: 

• Migracja licencji: Base, Plus, Apex na odpowiednio Essentials, Advantage oraz Premier 
• Migracja maszyn wirtualnych (jeśli dotyczy Twojej infrastruktury) 
• Migracja maszyn fizycznych w przypadku, gdy ISE 3.1 nie wspiera fizycznych maszyn, których używasz z ISE 2.x. Lista wspieranych appliance podana jest w release notes do poszczególnych wersji 
• Migracja techniczna (upgrade). W tym ostatnim, najważniejsze jest aby wybrać poprawną ścieżkę migracji, czyli bezpośredni upgrade do 3.1.0 możliwy jest z Cisco ISE 2.6, Cisco ISE 2.7, Cisco ISE 3.0. 

  

Czytaj do końca!

Pamiętaj, że 22.09.2023 nastapi End of Software maintenance dla Cisco ISE 2.7, co oznacza, że producent nie będzie już rozwijał ani naprawiał wad w oprogramowaniu. Łatwo wywnioskować, że z czasem używanie ISE w wersji 2.x będzie coraz bardziej niebezpieczne i ryzykowne z punktu widzenia ciągłości biznesu. 

Podsumowując, czas na zmiany. Wraz z ISE 3.X zmienia się model licencjonowania, co w sposób znaczący może wpłynąć na planowanie budżetu w tym segmencie systemów. Nowe licencje dotyczą funkcjonalności, ale też liczby maszyn wirtualnych, ISE VM Appliance. Warto planować już teraz zadania związane z upgrade, migracją rozwiązania NAC w Twojej organizacji.