مدل جدید لایسنس سیسکو ISE

 

به عنوان ادمین شبکه احتمالا میدانید که شما برای استفاده از نرم افزار پرقدرت Identity Services Engine و یا Cisco ISE به لایسنس های متنوعی برای فعالسازی ویژگی های آن احتیاج دارید. شرکت سیسکو با معرفی نسل جدید و ورژن ISE 3.0 از مدل جدید لایسنس های این نرم افزار پرقدرت رونمایی کرد و بصورت کلی ساختار لایسنس ها را تغییر داد. دسته بندی این لایسنس های جدید همانند لایسنس های DNA سیسکو میباشد که شامل لایسنس Essentials سیسکو ISE ، لایسنس Advantage سیسکو ISE و لایسنس Premier سیسکو ISE میباشد. لازم بذکر است مدل سوم سیسکو ISE تنها از شیوه اسمارت لایسنسینگ سیسکو پشتیبانی کرده و لایسنس های کلاسیک برروی این نسخه کارایی نخواهند داشت. توصیه میشود در صورتی که قصد مهاجرت از ISE 2.x به نسل ISE 3.x را دارید حتما این مطلب را دنبال نمایید.

شایان ذکر میباشد که دو لایسنس Device Admin (TACACS +) برای قابلیت های مدیریتی برروی Persona مختلف سیسکو ISE و لایسنس VM بمنظور استفاده از سرورهای مجازی درکنار لایسنس های ذکر شده و برحسب نیاز باید تهیه شود.

در شکل زیر ویژگی ها و انواع لایسنس های مورد نیاز در نسخه کنونی ISE نمایش داده شده است:

مدل جدید لایسنس سیسکو ISE

برای مثال ، درصورتی که شما تنها نیاز به قابلیت های Guest Network Security مانند کنترل دسترسی های باسیم و بی سیم را در سطح شبکه خود دارید، باید لایسنس ISE Essentials را تهیه کنید یا اگر میخواید دسترسی های تجهیزات همراه کاربران را برحسب نوع دستگاه و سیستم عامل مدیریت نمایید، باید لایسنس ISE Premier را تهیه کنید.

لطفا توجه داشته باشید مسیر نمایش داده شده در تصویر بالا تمام نیازهای کاربران را پوشش نمیدهد و هر مشتری باید برحسب نیاز خود مسیر خود را شکل دهد. برای نمونه شروع مسیر برای شما میتواند مدیریت قابلیت های BYOD ، مدیریت تهدیدات و یا سیاست های Posture باشد.

بصورت کلی، نوع لایسنس های مورد استفاده در نسخه های سنتی ISE 2.x مدل Lego نام داشت که شامل نوع لایسنس Base برای نظارت و اعمال سیاست ها برای کاربران، لایسنس Plus برای مباحث Context و لایسنس Apex برای مدیریت تجهیزات میشد و برای هرنیازی شما باید هرکدام از این لایسنس ها را به مقدار لازم تهیه میکردید. این لایسنس ها وجه اشتراکی باهم نداشتند و توامان باهم برروی نرم افزار سیسکو ISE ذخیره میشدند.

نرم افزار سیسکو ISE

مهم ترین تغییری که در شیوه جدید Cisco ISE License (لایسنس سیسکو ISE) شکل گرفته است قابلیت سلسله مراتبی این لایسنس ها میباشد و به آن مدل Nested Doll اطلاق میگردد. در این حالت ویژگی های لایسنس Essential در لایسنس Advantage و ویژگی های لایسنس Advantage در لایسنس Premier موجود است و مشتریان تنها کافی است یک مدل را انتخاب نمایند.

ساختار لایسنس Cisco در نسخه جدید بسیار آسانتر گردیده است. برای مثال برای استفاده از نهایت قابلیت های سیسکو ISE در نسخه 2.x شما نیاز به تهیه و خرید هر لایسنس بصورت جداگانه داشتید ولی در شیوه جدید تنها تهیه لایسنس Premier به تنهایی کفایت میکد. همچنین با پشتیبانی از Cisco smart licensing ، شما میتوانید در پورتال مدیریت لایسنس های سیسکو و یا Cisco Smart Software Manager تعداد لایسنس های خود و نحوه استفاده از آنها را بصورت لحظه مانیتور نمایید. البته لازم بذکر است برای استفاده از این قابلیت سرور ISE شما باید دسترسی مستقیم از طریق اینترنت و یا از طریق Proxy به وبسایت CSSM داشته باشد.

همچنین تمامی لایسنس های جدید سیسکو بجز لایسنس  Device Admin و VM License، بصورت دوره ای ( سه ، پنج و هفت ساله ) میباشند.

علاوه بر موارد ذکر شده، در نسخه ISE 3.x و برای محیط هایی که تمایلی به ارتباط این نرم افزار با خارج از شبکه سازمانی ندارند، از لایسنس Cisco PLR، بعنوان راهکاری مطمئن و دائمی، میتوان بهره برد. مشتریان میتوانند با تهیه لایسنس PLR سیسکو ISE تمام قابلیت های فول ( Premier ) بعلاوه قابلیت Device Admin و VM License را برروی این نرم افزار بصورت دائمی ( بدون نیاز به تمدید ) فعال نمایند.

نسخه ISE 3.x

شاید بصورت ساده، لایسنس Essential معادل لایسنس Base ، لایسنس Advantage معادل لایسنس های Base و Plus و لایسنس Premier معادل لایسنس های Base ، Plus و Apex میباشد.

لایسنس Premier

اکنون بهتر است نگاهی داشته باشیم به تغییرات ایجاد شده در روش جدید. ابتدا درحالی که برای اعمال قابلیت های group based policy و یا TrustSec در نسخه 2.x نیاز به لایسنس Base داشتیم، در نسخه 3.x لایسنس Advantage مورد نیاز است. البته از آنجاییکه استفاده از تمامی ویژگی های TrustSec در نیاز به لایسنس Apex داشت شاید این مورد تفاوت زیادی بحساب نیاید. مورد دوم، در نسخه جدید برای استفاده از قابلیت های RTC و ANC نیاز به لایسنس Premier خواهید داشت. همچنین در لایسنس های جدید و با توجه به قابلیت های نوآورانه سیسکو ISE 3.x ، برای استفاده از قابلیت Endpoint Analytic Visibility به لایسنس Advantage و برای بهره مندی از قابلیت های Endpoint Analytics Enforcement و UDN به لایسنس Premier احتیاج خواهید داشت.

در حالت کلی، ویژگی های Cisco ISE را میتوان به دو حالت مختلف بر اساس شیوه استفاده از لایسنس ها نمایش داد :

ویژگی های Cisco ISE

مورد اول، قابلیت هایی هستند که با استفاده از لایسنس مناسب فعال خواهند گردید. قابلیت هایی نظیر Guest service ، Easy Connect ، pxGrid ، TrustSec و Threat Centric NAC در این گروه قرار دارند.

مورد دوم، قابلیت هایی هستند که با توجه به تعداد ارتباطات فعال از لایسنس مصرف میکنند. ویژگی هایی مانند AAA ، Dot1x ، BYOD ، MDM ، Posture و RTC در این دسته جای میگیرند.

در جدول زیر خلاصه از موارد بالا نشان داده شده است:

Threat Centric NAC

قابل ذکر است لایسنس PLR سیسکو ISE و یا Cisco ISE Permanent License Reservation تمامی موارد بالا را نیز بصورت دائمی فعال خواهد کرد.

در آخر، در جدول زیر میتوانید PID لایسنس های Cisco ISE را نیز مشاهده نمایید:

لایسنس PLR سیسکو ISE