Otra de esas cosas que te alegran la mañana, alguien compra un producto, lo licencia (sin contar con nadie) y dos años despues me piden explicaciones (a mi) sobre como estan montadas las licencias.
En fin, lo tipico …
Resulta que el modelo de licenciamiento ha cambiado desde la versión 2.0 (que no he visto, asi que no puedo opinar), ahora dicen que es mas sencillo (en fin…).
Necesitas, todo esto por nodo, 2 nodos -> 2 licencias
Una licencia para arrancar la maquina virtual-> Cisco ISE virtual machine medium (x2 acuerdate)
Una licencia que imagino que sera el soporte de la maquina virtual -> SOLN SUPP SWSS Cisco ISE virtual machine medium (x2)
Despues …
Cisco ISE device admin node license (otra vez x2). Pagas por arrancar la maquina, y pagas porque te dejen administrarla, esto empieza a irse de madre.
Y la cosa no para aqui …
Cisco Identity service engine subscription (que al menos esta es gratis)
Cisco identity service engine essential subscription (esta tiene miga, resulta que cada cacharro que use AAA u 802.1x te va a consumir una licencia, pero solo cuenta sesiones concurrentes, aunque te dicen que compres mas de lo que tengas).
O sea (lo que yo entiendo), si tienes 1000 switches no necesitas 1000 licencias, porque jamas vas a entrar en todos a la vez, pero por ejemplo, si autenticas usuarios wifi, cada usuario que esta online te consume una licencia (lo cual complica hacer la cuenta y eso es bueno para cisco, porque siempre hay que tirar hacia arriba).
No se vayan todavia, que aun hay mas …
Cisco Identity service engine advantage subscription -> esta hace falta si usas profiling (que es una de las nuevas caracteristicas y que es interesante aplicar). Igual que la otra, por usuarios concurrentes (y esta es mas cara)
Pero es que todavia hay mas …
Cisco Identity service engine premier subscription -> aqui la cosa se complica, si usas MDM (Mobile device magagement), o si usas Posture assesment con anyconnect (esto sirve para chequear el dispositvo contra parches o lo que quieras (ademas ese chequeo requiere una tercera aplicacion) (y por lo visto requiere otra licencia mas que llaman APEX) <- Vamos que esto es lo que da un punto mas al ise, no solo autenticar (prepara la visa). Igual, por usuario concurrente. Joder, y dicen que ahora es mas facil, no quiero ni imaginar como era antes. Funcionar, funciona muy bien ... pero la ostia como les gusta complicar las cosas (y poner el cazo, todo hay que decirlo). https://ciscolicense.com/blog/cisco-ise-license-types/
Y ahora, como monitorizar el uso de las licencias, porque lo de entrar todos los dias va a ser que no.
En un foro de cisco encontre una forma de mirarla mediante un API
La URL en cuestión es esta.
https://
Echa un ojo antes, a ver si tienes que habilitar el acceso a las APIS, en mi caso estaba activado y no recuerdo haberlo hecho, asi que asumo que viene activado por defecto.
Tienes que logarte con un usuario local, que ademas tiene que estar en el grupo REST (o ser super admin).
Te devuelve la informacion en formato XMl, a ver si soy capaz de hacer que PRTG lo interprete correctamente.
He encontrado esto … que tampoco funciona …
Ya estamos con los putos errores absurdos …
si hago un wget –no-check-certificate –user:aaaa –ask-password https://xx/admin/API/mnt/Session/License/LicenseCountFromSessionDB
Me pide la password, entra y me devuelve el fichero xml, que luego puedo parsear con prtg y me sirve
Ahora bien, si hago wget –no-check-certificate –user:aaaa –password:bbb https://xx/admin/API/mnt/Session/License/LicenseCountFromSessionDB
siempre me dice «Username/password authentication failed», probé con la password normal y con la password Encodeada (porque tiene algun caracter).
No te digo hasta donde me tiene … que no haya una puta forma sencilla de sacar (o monitorizar) el uso de las licencias … o que te avise de alguna manera si te estas pasando.