تكوين الترخيص الذكي للأنظمة الأساسية لتوجيه المؤسسات IOS

المقدمة

يصف هذا المستند أنواع نشر الترخيص الذكي (SL) من Cisco والتكوين المطلوب.

المتطلبات الأساسية

المتطلبات

• حساب ذكي مع وصول إلى بوابة مدير البرامج الذكية (CSSM) من Cisco
• جهاز بإصدار Cisco IOS® بين 16.5.1 و 17.3.1
• خادم مدير البرامج الذكية من Cisco على الجهاز مسبقا
• اتصال HTTPS بين الجهاز و CSSM أو الخادم على الإعداد المسبق

ملاحظة: بالنسبة لبعض عمليات النشر، لا يكون مدير البرامج الذكية من Cisco قيد التشغيل ضروريا. هو مكون إختياري للميزة.

تحذير: يعد "الترخيص الذكي" إختياريا للنسخ بين 16.5.1 و 16.9.8. بالنسبة للأجهزة المادية مع برنامج Cisco IOS® XE 16.10.1a up to Cisco IOS® XE 17.3.1 Smart Licensing إلزامي. اعتبارا من 17.3.2 وما بعده، يعد "الترخيص الذكي باستخدام السياسة" أمرا إلزاميا. للأجهزة الظاهرية والأنظمة الأساسية الأخرى من Cisco، تحقق من ملاحظات الإصدار الخاصة بالرمز المحدد.

المكونات المستخدمة

ينطبق هذا المستند على الأنظمة الأساسية لتوجيه المؤسسات Cisco IOS XE.
أسست المعلومة في هذا وثيقة على هذا جهاز وبرمجية صيغة:

• Cisco ASR1001-X مع Cisco IOS XE الإصدار 16.9.4 و Cisco ISR4351 مع Cisco IOS XE الإصدار 16.12.1. 
• خادم مدير البرامج الذكية مع الإصدار 8-202108.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

أنواع النشر 

هناك أربعة خيارات نشر أساسية متوفرة لتسجيل الترخيص الذكي واستهلاكه:

1. الوصول المباشر إلى CSSM
2. الوصول المباشر إلى CSSM باستخدام الوكيل
3. الوصول إلى SSM On-PREM
4. حجز الترخيص المحدد (SLR)

الوصول المباشر إلى CSSM

يتيح لك خيار النشر هذا نقل معلومات الاستخدام عبر الإنترنت مباشرة إلى Cisco عبر HTTPS.

من Cisco IOS XE 16.10.1a، يتم تمكين الترخيص الذكي بشكل افتراضي، وهو نموذج الترخيص الوحيد المتاح. بالنسبة لهذا النشر، يلزم تكوين الطبقة 3، ويمكن الوصول إلى tools.cisco.com في منفذ HTTPS (443) من الواجهة المناسبة. تكوين DNS مطلوب.

بمجرد تأكيد الاتصال، تكون خطوات تسجيل الأجهزة هي:

الخطوة 1. تمكين الترخيص الذكي على الجهاز (إختياري). من 16.10.1a يتم تمكينها بشكل افتراضي.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

ملاحظة:يعمل هذا الأمر على تمكين Service Call-home المطلوب.

الخطوة 2. قم بتكوين خادم نظام اسم المجال (DNS) أو إدخال المضيف الثابت ل tools.cisco.com.

Router(config)#ip name-server X.X.X.X 
or
Router(config)#ip host tools.cisco.com X.X.X.X

الخطوة 3. قم بإنشاء رمز مميز جديد من مدير البرامج الذكية من Cisco.

• قم بتسجيل الدخول إلى مدير البرامج الذكية من Cisco في https://software.cisco.com/# واستقل إلى قسم مدير البرامج الذكية.
• حدد علامة التبويب المخزون، وحدد الحساب الظاهري من القائمة المنسدلة الحساب الظاهري.
• حدد علامة التبويب عام، ثم حدد رمز مميز جديد.

• أدخل وصف الرمز المميز وحدد عدد الأيام التي يجب أن يكون الرمز المميز فيها نشطا.
• قم بتمكين السماح بوظائف التحكم في التصدير على المنتجات المسجلة بهذا الرمز المميز.وهذا يسمح بطلب ترخيص التشفير العالي في الأجهزة المسجلة.
• حدد إنشاء رمز مميز. بعد إنشاء الرمز المميز، حدد نسخ.

الخطوة 4. تغيير تكوين الاتصال بالمنزل (إختياري).

يكون تكوين ملف تعريف الاتصال بالمنزل الافتراضي كافيا لتسجيل الجهاز. يمكنك التحقق من تكوين ملف تعريف الاتصال بالمنزل الحالي هنا:

Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email

الخطوة 5. قم بتسجيل الجهاز باستخدام CSSM باستخدام الرمز المميز.

Router#license smart register idtoken < token from CSSM portal > force

الخطوة 6. تحقق من تسجيل الجهاز بشكل صحيح مع CSSM.

Router#show license status 
Smart Licensing is ENABLED 

Registration: 
 Status: REGISTERED 
 Smart Account: TAC Cisco Systems, Inc. 
 Virtual Account: CORE TAC 
 Export-Controlled Functionality: Allowed 
 Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC 
 Last Renewal Attempt: None 
 Next Renewal Attempt: Feb 28 12:54:22 2018 UTC 
 Registration Expires: Sep 01 12:49:04 2018 UTC 

License Authorization: 
 Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC 
 Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC 
 Next Communication Attempt: Oct 01 12:54:28 2017 UTC 
 Communication Deadline: Nov 30 12:49:12 2017 UTC

الوصول المباشر إلى CSSM مع التوجيه وإعادة التوجيه الظاهري (VRF)

إن يستعمل الأداة VRF أن يبلغ ال CSSM، هو ضروري أن يشكل المصدر VRF والمصدر قارن تحت call-home profile تشكيل. لتكوين هذا النشر، يجب عليك اتباع الخطوات 1-3 من قسم الوصول المباشر إلى CSSM. بعد ذلك، قم بتحرير تكوين الاتصال بالمنزل باستخدام VRF الصحيح، وواجهة المصدر للوصول إلى عنوان URL الخاص ب CSSM. هنا يتم إستخدام واجهة الإدارة GigabitEthernet0 الموجودة في Mgmt-intf VRF كمثال.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

قم بتكوين واجهة HTTP المصدر باستخدام الواجهة الصحيحة التي تم تعيينها إلى VRF. يؤثر هذا التكوين في حركة مرور بيانات HTTP و HTTPS.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

شكلت DNS ل خاص VRF:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X

ما إن يتم ال VRF تشكيل يكون، هو يستطيع كنت تابعت مع steps 5 و 6 من ال CSSM منفذ قسم.

الوصول المباشر إلى CSSM باستخدام الوكيل 

إذا كان هناك حاجة لخادم وكيل لتحقيق اتصال HTTPS ب CSSM، فمن المطلوب اتباع الخطوات الموجودة في قسم الوصول المباشر إلى CSSM وتضمين الأمر http-proxy داخل تكوين الاتصال بالمنزل.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080 

الوصول إلى SSM On-PREM

يتيح لك نوع النشر هذا إدارة المنتجات والتراخيص على المباني لديك دون اتصال مباشر ب CSSM الذي تستضيفه Cisco. لتنفيذ هذا الإجراء، يجب أن يكون لديك بالفعل SSM قيد التشغيل في شبكتك. تقع الخطوات الخاصة بتثبيت SSM على الجهاز التمهيدي خارج نطاق هذا المستند.

خطوات التكوين الخاصة بتوصيل خادم SSM على الخادم الأولي باستخدام الجهاز هي:

الخطوة 1. تمكين الترخيص الذكي على الجهاز.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

ملاحظة: يقوم هذا الأمر بتمكين خدمة Call-home المطلوبة.

الخطوة 2. تأكد من قدرتك على الاتصال بخادم CSSM على PREM الخاص بك.

Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

ملاحظة: إذا كان لديك خادم DNS، فيمكنك إستخدامه لحل عنوان IP الخاص بخادم PREM إلى اسم.

الخطوة 3. إنشاء رمز مميز جديد من SSM على Prem.

3.1 سجل الدخول إلى خادم SSM.

إنشاء الرمز المميز 3.2

• أدخل وصف الرمز المميز. حدد عدد الأيام التي يجب أن يكون الرمز المميز فيها نشطا.
• قم بتمكين خانة الاختيار السماح بوظائف التحكم في التصدير للمنتجات المسجلة باستخدام هذا الرمز المميز.
• حدد إنشاء رمز مميز.
• بعد إنشاء الرمز المميز، حدد نسخ لنسخ الرمز المميز الذي تم إنشاؤه حديثا.

الخطوة 4. تكوين الاتصال بالمنزل على الجهاز.

هو مطلوب أن يغير الغاية عنوان http أمر مع ال ip من ال on-prem نادل (http://X.X.X.X/Transportgateway/services/DeviceRequestHandler) ويزيل التقصير واحد.

Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end

الخطوة 5. قم بتكوين none الإبطال-الفحص على SLA-TrustPoint TrustPoint.

Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none

الخطوة 6. تسجيل الجهاز باستخدام الرمز المميز الذي تم إسترداده من SSM على-Prem.

Router#license smart register idtoken < token from SSM On-Prem portal > force

الخطوة 7. تحقق من تسجيل الجهاز بشكل صحيح مع SSM On-Prem.

Router#show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLEDData Privacy:
 Sending Hostname: yes
 Callhome hostname privacy: DISABLED
 Smart Licensing hostname privacy: DISABLED
 Version privacy: DISABLED

Transport:
 Type: Callhome

Registration:
 Status: REGISTERED
 Smart Account: manudiaz
 Virtual Account: Default
 Export-Controlled Functionality: ALLOWED
 Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
 Last Renewal Attempt: None
 Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
 Registration Expires: Oct 19 04:35:44 2021 UTC

الوصول إلى SSM على PREM مع تكوين VRF

إن يستعمل أنت VRF أن يبلغ SSM على prem، أنت ينبغي شكلت المصدر VRF لذلك الأداة يلد الطلب من ال VRF صحيح.

اتبع الخطوات الواردة في قسم الوصول إلى ذاكرة SSM على ذاكرة التخزين المؤقت حتى الخطوة 3.

الخطوة 1. حرر تكوين الاتصال بالمنزل باستخدام VRF الصحيح وواجهة المصدر حيث يمكنك الوصول إلى SSM على-PREM:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

الخطوة 2. شكلت المصدر http-client قارن مع القارن صحيح يعين إلى ال VRF:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

الخطوة 3. قم بتكوين DNS ل VRF المحدد.

يمكنك تكوين خادم DNS في بيئة التشغيل المسبق لحل اسم خادم SSM على الإعداد المسبق:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X

يمكنك متابعة الخطوات 5 و 6 من الوصول إلى SSM على الإعداد بعد هذه التغييرات.

حجز الترخيص المحدد (SLR)

SLR هي ميزة تتيح لك نشر ترخيص برنامج على جهاز دون إبلاغ معلومات الاستخدام مباشرة إلى Cisco. تكون هذه الوظيفة مفيدة بشكل خاص في الشبكات عالية الأمان، ويتم دعمها على الأنظمة الأساسية التي تحتوي على بوابة ترخيص ذكية.  يفترض دليل التكوين هذا أنك قد طلبت إستخدام SLR وتم تخويل هذا الاستخدام.

ملاحظة: لا يتم تمكين SLR بشكل افتراضي. يجب عليك طلب هذه الوظيفة تحديدا. 

ملاحظة: يتم دعم SLR وإنفاذ الترخيص في الإصدارات الأحدث من Cisco IOS XE 16.11.1a.

لتكوين SLR في الجهاز، يلزم تنفيذ هذه الخطوات من جانب الموجه بالإضافة إلى بوابة CSSM

الخطوة 1. قم بتكوين الموجه ل SLR. يجب إدخال الأمر license smart reserve وطلب ميزة SLR باستخدام طلب الحجز الذكي للترخيص محليا.

ملاحظة: إذا تم التسجيل في منصة HA، يجب إستخدام طلب الحجز الذكي للترخيص "الكل".

Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
  Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX

ملاحظة: لا يتم تمكين SLR بشكل افتراضي. يجب عليك طلب هذه الوظيفة تحديدا.

ملاحظة: لإلغاء طلب حجز الترخيص، قم بتشغيل الأمر إلغاء الحجز الذكي للترخيص.

في CSSM، يلزم حجز التراخيص المطلوبة.

الخطوة 2. قم بتسجيل الدخول إلى CSSM على https://software.cisco.com/#. يجب عليك تسجيل الدخول إلى البوابة باستخدام بيانات اعتماد Cisco الخاصة بك.

الخطوة 3. حدد علامة تبويب المخزون. من القائمة المنسدلة "الحساب الظاهري"، حدد حسابك الذكي.

الخطوة 4. من علامة التبويب التراخيص، حدد حجز الترخيص.

الخطوة 5. في صفحة إدخال رمز الطلب، أدخل رمز طلب الحجز الذي أنشأته من الموجه أو قم بإرفاقه، ثم حدد التالي.

الخطوة 6. حدد مربع حجز ترخيص محدد وحدد الترخيص ومقدار الترخيص المحجوز المطلوب لكل جهاز.

الخطوة 7. من علامة التبويب مراجعة وتأكيد، حدد إنشاء كود التخويل.

ملاحظة: بعد إنشاء رمز SLR لجهاز محدد، يكون ملف رمز التخويل صالحا حتى تقوم بتثبيت الرمز. إذا فشل التثبيت، فيجب عليك الاتصال بعمليات الترخيص العالمية (GLO) من Cisco لإنشاء رمز تخويل جديد. يمكنك الاتصال ب GLO.

الخطوة 8. حدد نسخ إلى الحافظة لنسخ الرمز، أو تنزيله كملف. تحتاج إلى نسخ الرمز أو الملف إلى جهازك لمتابعة العملية.

إذا قمت بتكوين SLR، فيمكنك تنزيل ملف نص رمز التخويل أو تثبيته. إذا قمت بتكوين حجز الترخيص الدائم (PLR)، يمكنك نسخ كود التخويل ولصقه.

الخطوة 9. سجل الدخول إلى جهازك واستخدم أمر التثبيت ترخيص "التثبيت الذكي" ملف bootflash:<SLR file>.

Router#enable
Router#license smart reservation install file bootflash:

 إذا لزم الأمر، يمكنك إرجاع التراخيص المحجوزة في الجهاز والعودة إلى حالة غير مسجلة. يتم إنشاء رمز إرجاع ويجب إدخاله في CSSM لإزالة مثيل المنتج.

Router#enable
Router#license smart reservation return local

تحديث حجز ترخيص محدد

بعد تسجيل أحد الأجهزة بنجاح، يمكنك تحديث الحجز باستخدام ميزة أو ترخيص جديد، إذا كان ذلك مطلوبا:

الخطوة 1. سجل الدخول إلى مدير البرامج الذكية من Cisco على https://software.cisco.com/#. أنت ينبغي login إلى المدخل مع ال cisco يزود username وكلمة.

الخطوة 2. انتقل إلى علامة التبويب المخزون وحدد حسابك الذكي من القائمة المنسدلة "الحساب الظاهري".

الخطوة 3. من علامة التبويب مثيلات المنتج، حدد إجراءات للجهاز الذي تحتاج إلى تحديثه.

الخطوة 4. حدد تحديث التراخيص المحجوزة.

الخطوة 5. حدد الترخيص الذي تريد تحديثه.

الخطوة 6. حدد التالي.

الخطوة 7. من علامة التبويب مراجعة وتأكيد، حدد إنشاء كود التخويل. يتم عرض علامة التبويب رمز التخويل. يعرض النظام كود التخويل الذي تم إنشاؤه.

الخطوة 8. حدد خيار نسخ إلى الحافظة لنسخ الرمز، أو تنزيله كملف. تحتاج إلى نسخ الرمز أو الملف إلى جهازك.

الخطوة 9. قم بتسجيل الدخول إلى الجهاز الذي تريد تحديثه.

الخطوة 10. قم بتشغيل أمر ملف التثبيت الذكي للترخيص.

Router#enable
Router#license smart reservation install file bootflash:

إلغاء تسجيل حجز ترخيص محدد

لإلغاء تسجيل حجز ترخيص محدد لجهاز، يجب إرجاع حجز الترخيص في CLI وإزالة المثيل من CSSM.

الخطوة 1. قم بتسجيل الدخول إلى الجهاز الذي تريد إلغاء تسجيله.

الخطوة 2. لإزالة كود تفويض حجز الترخيص، أستخدم الأمر ترخيص الحفظ الذكي Return.

Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
    CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33

الخطوة 3. قم بتسجيل الدخول إلى CSSM على https://software.cisco.com/#.

الخطوة 4. حدد علامة التبويب المخزون. من القائمة المنسدلة "الحساب الظاهري"، حدد حسابك الذكي.

الخطوة 5. من علامة التبويب مثيل المنتج، حدد الإجراءات للجهاز الذي تريد إلغاء تسجيله.

الخطوة 6. حدد إزالة.

الخطوة 7. عند المطالبة، أدخل رمز الإرجاع.

استكشاف الأخطاء وإصلاحها

يتعذر على الجهاز حل مشكلة tools.cisco.com

 تحقق من تكوين خادم DNS بشكل صحيح لجدول المسار العمومي أو VRF الصحيح. إذا كنت تفضل، يمكنك أيضا إنشاء إدخال DNS ثابت:

Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8 

ملاحظة: يتم إستخدام عنواني IP 72.163.4.38 و 173.37.145.8 للوصول إلى tools.cisco.com. ويمكن أن تتغير هذه العوامل كما تم حلها بواسطة DNS. تأكد من ذلك باستخدام المعدات المحلية قبل التهيئة اليدوية.

الموجه غير قادر على الاتصال ب tools.cisco.com

• تأكد من تكوين مسار افتراضي إلى الإنترنت.
• تأكد من عدم وجود جدار حماية أو وكيل بين الجهاز و CSSM.
• تأكد من عدم حظر المنافذ 443 و 80.

Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open

• Telnet مع VRF.

Router#telnet tools.cisco.com 443 /vrf Mgmt-intf 
Trying tools.cisco.com (72.163.4.38, 443)... Open

الترخيص بحالة "خارج عن الامتثال"

تحدث هذه الحالة عندما يستخدم الجهاز إستحقاقا ولا يكون في حالة توافق (الرصيد السالب). وهذا يحدث عندما لا يتوفر ترخيص مطلوب في الحساب الظاهري الذي يتم من خلاله تسجيل جهاز Cisco.

Router#show license all

License Authorization:
  Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
  Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
  Next Communication Attempt: Mar 26 03:12:31 2019 CDT
  Communication Deadline: Jun 23 15:06:30 2019 CDT

• للدخول في حالة التوافق / التخويل، يجب إضافة عدد ونوع التراخيص الصحيحة إلى الحساب الذكي
• عندما يكون الجهاز في هذه الحالة، فإنه يرسل تلقائيا طلب تجديد التخويل كل يوم

تصحيح أخطاء الترخيص الذكي

فيما يلي بعض عمليات تصحيح الأخطاء التي يمكن إستخدامها لاستكشاف أخطاء تسجيل المكالمات المنزلية والتراخيص الذكية وإصلاحها:

• debug call-home trace
• خطأ debug call-home
• debug call-home smart-licensing all
• debug ip http client all
• debug crypto pki <all options>
• debug ssl openssl <all options>

معلومات إضافية

دليل الترخيص الذكي من Cisco لأنظمة توجيه المؤسسات Cisco Enterprise Routing Platforms