Co daje, na co należy zwrócić uwagę i czy można nie robić… nic?
Ci, którzy znają Cisco ISE i używają tego systemu od kilku ładnych lat, przyzwyczaili się do systemu licencjonowania znanego z ISE 1.x i 2.x. Dobrze znane licencje Base, Plus i Apex kończą swój żywot wraz z pojawieniem sie ISE 3.X. W ich miejsce pojawiły się licencje tzw. Tier Based, czyli Essentials, Advantage i Premier. Co to zmienia, na co należy zwrócić uwagę i czy można nie robić nic? O tym w artykule, ale po kolei.
Najpierw bardzo ważna wiadomość dla posiadaczy ISE w wersji 2.7.
Dla tych, którzy dopiero zaczynają przygodę z systemami NAC w swojej firmie (lub domu?) nowa instalacja to wybór rozwiązania. Jeśli padło na Cisco Identity Services Engine (Cisco ISE), ten artykuł może się przydać.
Warto wiedzieć, że ISE można uruchomić za darmo w wersji evaluation, która przez 90 dni wspiera wszystkie możliwe funkcjonalności ISE (czyli te odblokowywane przez najwyższą licencję). Super sprawa i okazja do tego żeby ISE przetestować wzdłuż i wszerz. Należy tylko pamiętać, że po 90 dniach, ISE przestaje dawać się zarządzać i czeka na podanie legalnych licencji!
Jak wspomniałem, Base, Plus, Appex mają już dzisiaj następców i są nimi Essentials, Advantage i Premier. Nomeknlatura skądinąd znana, bo sięgając do produktów Cisco z półki Switching, Routing i Wireless znajdziemy cała filozofię licencjonowania DNA właśnie Essentials i Advatage. Różnica między nowymi i starymi licencjami ISE polega przede wszystkim na zmianie podejścia do ważności licencji.
Licencje Base były dotychczas licencjami permanentnymi, czyli raz kupione, nie wygasały. Inaczej było z Plus i Apex. Od ISE 3.0 wszystkie licencje są czasowe! (Tier-based licenses). Jakie funkcjonalności znajdziemy w posczególnych poziomach licencyjnych? To jest bardzo dobrze opisane między innymi w Licensing Guide, więc nie będę powielał (w razie wątpliwości wiecie gdzie mnie znaleźć).
Kolejną różnicą jest podejście do funkcjonalności oraz „składania” licencji dla naszych potrzeb. Mimo, że mniej więcej nowe licencje można traktować analogicznie pod kątem funkcjonalności, które zapewniają, czyli :
W ISE 3.0 licencje wyższe zawierają w sobie licencje niższe (tzw. Nested doll model). Oznacza to, że wystarczy kupić licencję Advantage, żeby mieć funkcjonalność licencji Essentials + Advantage. W starym modelu licencje były addytywne, dodawało się różne poziomy licencyjne, były też wymagania posiadania minimalnej liczby licencji Base do posiadania X licencji wyższychiI tak dalej.
W uproszczeniu stary model wyglądał tak: Żeby móc zainstalować 200 licencji Plus, należało mieć min. tyle samo (lub więcej) licencji Base. Dzisiaj jeśli wiemy, że chcemy mieć 200 licencji Advantage, możemy po prostu kupić 200 licencji advantage.
Na obrazku wygląda to mniej więcej tak:
Ceny licencji Cisco ISE są uzależnione od wielkości pakietu , czyli liczby licencji które kupujemy. W skrócie 10000 licencji będzie tańszcze niż 2000 licencji w przeliczeniu na 1 licencję.
Chcesz wybrać odpowiedni system NAC lub zaplanowac migrację? Uniknij powszechnych błędów. Porozmawiaj z naszymi ekspertami podczas bezpłatnej konsultacji i dowiedz się więcej, która konfiguracja będzie dla Ciebie najkorzystniejsza.
Licencje liczymy per device. Pamiętać należy o tym, że jeden użytkownik zalogowany i uwierzytelniony do sieci mechanizmem 802.1x wired + w tym samym czasie 802.1x wireless będzie konsumował 2 licencje! Licencjonowanie opiera się na liczbie jednocześnie połączonych urządzeń / enpoint’ów / adresów MAC do sieci.
Uwaga! Od ISE 3.1, Cisco waliduje licencje na tzw. Node VM. Jeśli nasz deployment (instalacja ISE) jest złożony np. z 5 węzłów, tzw node’ów, należy kupić 5 licencji w zależności od tego, jak duża maszyna wirtualna jest potrzebna. Jeśli tego nie zrobimy, ISE bedzie upominać się o taką licencję (per node) i wyśle stosowne ostrzeżenia.
Cena licencji w tym przypadku zależy od wielkości VM appliance, a to z kolei od dobranego do skali rozwiązania obrazu VM. Tutaj mamy następujące możliwości:
Którą kiedy wybrać? O tym mówi sizing guideline, lub ponownie – daj mi znać, możemy wspólnie to przeanalizować dla Twojego środowiska.
Dla tych, którzy lubią lub po prostu używają TACACS+, czyli zarządzania uwierzytelnieniem i autoryzacją administratorów sieci do urządzeń, na ISE możemy uruchomić serwis TACACS+. Taki serwis uruchamia licencja Device Administration, która instalowana jest na PSN-ach. Jedna licencja na 1 PSN (!), na którym chcemy to uruchomić. Role węzłów ISE opisywalem w tym wpisie o modelach deploymentu ISE.
Dość prosto.
Tu nie jest prosto. Najlepiej zaplanować upgrade do 3.X. W tym momencie rekomendowana przez Cisco wersja to 3.1 (oznaczona jako safe harbour). Jak zmigrować? Pisałem ostatnio w newsletterze, przypomnę:
Migracja przebiega na kilku poziomach:
Pamiętaj, że 22.09.2023 nastapi End of Software maintenance dla Cisco ISE 2.7, co oznacza, że producent nie będzie już rozwijał ani naprawiał wad w oprogramowaniu. Łatwo wywnioskować, że z czasem używanie ISE w wersji 2.x będzie coraz bardziej niebezpieczne i ryzykowne z punktu widzenia ciągłości biznesu.
Podsumowując, czas na zmiany. Wraz z ISE 3.X zmienia się model licencjonowania, co w sposób znaczący może wpłynąć na planowanie budżetu w tym segmencie systemów. Nowe licencje dotyczą funkcjonalności, ale też liczby maszyn wirtualnych, ISE VM Appliance. Warto planować już teraz zadania związane z upgrade, migracją rozwiązania NAC w Twojej organizacji.
Zapisz się do Grandmetric Tech Newsletter. Otrzymaj dostęp do materiałów premium: ebooków, checklist, webinarów i innych.
Dodaj komentarz