안녕하세요.
오늘은 Cisco ISE License에 대해서 알아보겠습니다.
cisco ISE 2.7에서는 영구 라이센스, 구독형 라이센스를 동시에 제공 하였으나, 이후 버전에서는 구독형 라이센스만 제공합니다. 즉 1/3/5 마다 라이센스를 갱신해야 합니다.
고객사 입장에서는 cisco ISE 2.7 downgrade하고 사용 하면 영구적으로 라이센스를 사용 할수 있습니다.
하지만 cisco ISE 2.7 EOS, EOL, EOS되면 TAC엔지니어 support도 받을수 없습니다. 그래도 보안 차원에서 권장 하지 않습니다.
** 결국 cisco ISE 라이센스는 구동형입니다. **
구독 라이선스는 ISE를 사용하여 네트워크 내에서 관리하고 보호하려는 활성 엔드포인트 수를 기반으로 하는 라이선스를 의미합니다. 이러한 라이선스는 ISE에서 인증, 권한 부여, 모니터링 또는 보호할 수 있는 활성 엔드포인트 수를 결정하므로 ISE 배포의 중요한 부분입니다.
ISE Essentials:
ISE Essential은 기본적인 ID 및 액세스 관리 기능을 제공하는 기본 라이선싱 계층입니다. 여기에는 802.1X 기반 네트워크 액세스, 게스트 액세스 관리, 상태 평가, 기본 프로파일링 기능과 같은 기능이 포함되어 있습니다. 이 계층은 네트워크 리소스에 대한 액세스를 제어하기 위해 필수적인 보안 기능을 찾는 조직에 적합합니다.
ISE Advantage:
ISE Advantage는 Essential 계층에서 제공되는 기능을 기반으로 구축된 중간 계층 라이선싱 옵션입니다. Essential에서 제공되는 기능 외에도 Advantage에는 프로파일링, BYOD, Cisco pxGrid 통합, TrustSec SGT(보안 그룹 태깅) 시행과 같은 고급 기능이 포함되어 있습니다. 이 계층은 보다 광범위한 정책 시행과 고급 네트워크 액세스 제어 기능이 필요한 조직에 적합합니다.
ISE Premier:
Cisco ISE Premier는 Cisco ISE에 사용할 수 있는 가장 높은 라이선싱 계층입니다. 이는 Essential 및 Advantage 계층에서 제공되는 모든 기능을 포함하며 엔드포인트 규정 준수, MDM 및 Posture와 같은 보안 자동화 통합, 고급 위협 억제 및 가시성 기능 TC-NAC와 같은 향상된 기능을 추가합니다. 이 계층은 복잡한 네트워크 환경과 고급 보안 요구 사항이 있는 조직에 적합합니다.
Table 2. ISE licensing consumption
| Feature | License tier | Dictionary/attribute | Trigger of license consumption | When license is released |
| AAA and 802.1X | Essentials | An endpoint establishes a RADIUS session | RADIUS session ends | |
| Guest | Essentials | An endpoint with RADIUS session uses any Guest authorization | RADIUS session ends | |
| Easy Connect (PassiveID) | Essentials | An endpoint with a RADIUS session uses any Easy Connect functionality | RADIUS session ends | |
| Profiling | Advantage | EndPoints.EndPointPolicy EndPoints.LogicalProfile |
An endpoint with a RADIUS session uses profiling classification in an authorization policy | RADIUS session ends |
| BYOD (+CA, MDP) |
Advantage | EndPoints.BYODRegistration | An endpoint with a RADIUS session uses its registration status in an authorization policy | RADIUS session ends |
| pxGrid, pxGrid Cloud, and pxGrid Direct (Context In or Out with Cisco and external third-party products) | Advantage | An endpoint with a RADIUS session connects over pxGrid | RADIUS session ends | |
| Integrations (non-pxGrid) |
Advantage | An endpoint establishes a RADIUS session | RADIUS session ends | |
| Group-Based Policy (Cisco TrustSec®) | Advantage | An endpoint establishes a RADIUS session | RADIUS session ends | |
| Endpoint Analytics Visibility/ Enforcement | Advantage | CMDB_MODELCATEGORY CMDB_SERIAL_NUMBER CONCURRENT_MAC_ADDRESS EA_DEVICE_TYPE EA_HIERARCHY EA_MANUFACTURER EA_HW_MODEL CHANGE_IN_MFC_RESULT NAT_DETECTION_RESULT EA_OS |
When you use these conditions, it’s going to be under Enforcement. If not, it’s just for visibility. | |
| Cisco AnyConnect® with Agent | Premier | Session.PostureStatus | An endpoint with a RADIUS session receives an authorization based on a posture status other than “Not applicable” | RADIUS session ends |
| Mobile device management (MDM) | Premier | MDM.DevicelsRegistered MDM.DeviceCompliantStatus |
An endpoint uses an MDM attribute in an authorization policy | RADIUS session ends |
| Threat-Centric Network Admission Control (TC-NAC) | Premier | An endpoint uses or triggers threat-based information or action as part of the authorization policy | RADIUS session ends | |
| RTC (ANC) | Advantage | Session:ANCPolicy | An endpoint with a RADIUS session uses Adaptive Network Control (ANC) policy in an authorization policy | RADIUS session ends |
| User Defined Network | Advantage | UDN:Private-group-id UDN:Private-group-name UDN:Private-group-owner |
An endpoint with RADIUS uses a UDN attribute in an authorization policy | RADIUS sessions ends |
Reference - 자세한 내용은 Cisco 공식 홈페이지에서 참고 부탁드립니다.
Cisco Identity Services Engine - Cisco ISE Licensing Guide
Comprehensive guide for CISCO ISE Licensing provides information related to new ISE releases, Ordering and migrating of ISE licenses, and FAQs.
www.cisco.com
아래처럼 Licensing 클릭 하면 정보를 확인 가능 합니다.
Device Admin
TACACS+기능을 의미 합니다. 장비에 AAA를 설정해서 Authentication, Authorization, Audit 기능을 제공합니다.
이 부분은 구독형 라이센스가 아니라 영구 라이센스 방식 입니다.
2. 라이센스 등록 방법.
2-1 License 구매
2-2 구매한 곳에서 License를 CSSM SA/VA 계정에 옮깁니다.
2-3 cisco ise가 인터넷이 가능 하면 CSSM을 통해서 라이센스 관리 하도록 설정
2-4 cisco ise가 인터넷이 불가능 하면 SLR방식으로 라이센스를 수동으로 cisco ISE등록 합니다.
지금까지 [2025][CISCO ISE#18] - License 글을 읽어주 셔서 감사합니다.
'CISCO > CISCO ISE' 카테고리의 다른 글
| [2025][CISCO ISE#20] - Certificate (0) | 2025.01.06 |
|---|---|
| [2025][CISCO ISE#19] - License Register (0) | 2025.01.06 |
| [2025][CISCO ISE#17] - Personas (0) | 2025.01.06 |
| [2025][CISCO ISE#16] - Deployment Terminology (0) | 2025.01.06 |
| [2025][CISCO ISE#15] - Dashboard (0) | 2025.01.06 |