Configurer les licences Smart pour les plates-formes de routage IOS Enterprise

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:29 août 2024
ID du document:217898

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les types de déploiement de Cisco Smart Licensing (SL) et la configuration requise.

    Conditions préalables

    Exigences

    • Un compte Smart avec accès au portail Cisco Smart Software Manager (CSSM)
    • Périphérique avec la version Cisco IOS® comprise entre 16.5.1 et 17.3.1
    • Serveur sur site Cisco Smart Software Manager
    • Connectivité HTTPS entre le périphérique et le serveur CSSM ou On-Prem

    Remarque : pour certains déploiements, Cisco Smart Software Manager On-Prem n'est pas nécessaire. Il s'agit d'un composant facultatif de la fonction.

    Attention : Smart Licensing est facultatif pour les versions comprises entre 16.5.1 et 16.9.8. Pour les périphériques physiques avec Cisco IOS® XE 16.10.1a jusqu'à Cisco IOS® XE 17.3.1, la licence Smart est obligatoire. À partir de la version 17.3.2, la politique d'utilisation des licences Smart est obligatoire. Pour les périphériques virtuels et les autres plates-formes Cisco, consultez les notes de version du code spécifique.

    Composants utilisés

    Ce document s'applique aux plates-formes de routage d'entreprise Cisco IOS XE.
    Les informations contenues dans ce document sont basées sur les versions matérielles et logicielles suivantes :

    • Cisco ASR1001-X avec Cisco IOS XE version 16.9.4 et Cisco ISR4351 avec Cisco IOS XE version 16.12.1. 
    • Serveur Smart Software Manager avec version 8-202108.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Types de déploiement 

    Quatre options de déploiement principales sont disponibles pour l'enregistrement et l'utilisation des licences Smart :

    1. Accès CSSM direct
    2. Accès CSSM direct avec proxy
    3. Accès sur site SSM
    4. Réservation de licence spécifique (SLR)

    Types of Deployment

    Accès CSSM direct

    Cette option de déploiement vous permet de transférer des informations d'utilisation via Internet directement à Cisco via HTTPS.

    À partir de Cisco IOS XE 16.10.1a, les licences Smart sont activées par défaut et constituent le seul modèle de licence disponible. Pour ce déploiement, la configuration de couche 3 est requise et l'accessibilité à tools.cisco.com dans le port HTTPS (443) à partir de l'interface appropriée. La configuration DNS est requise.

    Une fois la connectivité confirmée, les étapes d'enregistrement des périphériques sont les suivantes :

    Étape 1. Activez la licence Smart sur le périphérique (facultatif). À partir de 16.10.1a, il est activé par défaut.

    Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

    Remarque : cette commande active le service call-home requis.

    Étape 2. Configurez un serveur DNS (Domain Name System) ou une entrée d'hôte statique pour tools.cisco.com.

    Router(config)#ip name-server X.X.X.X 
    or
    Router(config)#ip host tools.cisco.com X.X.X.X

    Étape 3. Générez un nouveau jeton depuis Cisco Smart Software Manager.

    • Connectez-vous à Cisco Smart Software Manager à l'adresse https://software.cisco.com/# et accédez à la section Smart Software Manager.
    • Sélectionnez l'onglet Inventaire, puis Compte virtuel dans la liste déroulante Compte virtuel.
    • Sélectionnez l'onglet General, puis sélectionnez New Token.

    Generate a New Token from Cisco Smart Software Manager

    • Saisissez la description du jeton et spécifiez le nombre de jours pendant lesquels le jeton doit être actif.
    • Activez Autoriser la fonctionnalité de contrôle d'exportation sur les produits enregistrés avec ce jeton.Cela permet la demande d'une licence de cryptage élevée pour les périphériques enregistrés.
    • Sélectionnez Créer un jeton. Une fois le jeton créé, sélectionnez Copy.

    Create Registration Token

    Étape 4. Modifier la configuration de la fonction Call-Home (facultatif).

    La configuration du profil call-home par défaut est suffisante pour enregistrer le périphérique. Vous pouvez vérifier la configuration actuelle du profil Call Home ici :

    Router#show run | sec call-home
    service call-home
    call-home
    ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
    ! the email address configured in Cisco Smart License Portal will be used as
    contact email address to send SCH notifications.
    contact-email-addr sch-smart-licensing@cisco.com
    profile "CiscoTAC-1"
    active
    destination transport-method http
    no destination transport-method email

    Étape 5. Enregistrez le périphérique avec le CSSM avec le jeton.

    Router#license smart register idtoken < token from CSSM portal > force
    note-icon

    Remarque : le mot clé force immédiatement la tentative d'enregistrement. Si elle n'est pas utilisée, la procédure d'enregistrement peut prendre plus de temps.

    Étape 6. Vérifiez que le périphérique est correctement enregistré auprès du module CSSM.

    Router#show license status 
Smart Licensing is ENABLED 

Registration: 
 Status: REGISTERED 
 Smart Account: TAC Cisco Systems, Inc. 
 Virtual Account: CORE TAC 
 Export-Controlled Functionality: Allowed 
 Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC 
 Last Renewal Attempt: None 
 Next Renewal Attempt: Feb 28 12:54:22 2018 UTC 
 Registration Expires: Sep 01 12:49:04 2018 UTC 

License Authorization: 
 Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC 
 Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC 
 Next Communication Attempt: Oct 01 12:54:28 2017 UTC 
 Communication Deadline: Nov 30 12:49:12 2017 UTC

    Accès CSSM direct avec VRF (Virtual Routing and Forwarding)

    Si le périphérique utilise un VRF pour atteindre le CSSM, il est nécessaire de configurer le VRF source et l'interface source dans la configuration du profil d'appel à distance. Pour configurer ce déploiement, vous devez suivre les étapes 1 à 3 de la section Direct CSSM Access. Ensuite, modifiez la configuration de call-home avec le VRF correct et l'interface source pour atteindre l'URL CSSM. Ici est utilisée l'interface de gestion GigabitEthernet0 qui est dans le VRF Mgmt-intf comme exemple.

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#call-home
    Router(cfg-call-home)#source-interface gigabitEthernet 0
    Router(cfg-call-home)#vrf Mgmt-intf

    Configurez l'interface HTTP source avec l'interface correcte affectée au VRF. Cette configuration influence le trafic HTTP et HTTPS.

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#ip http client source-interface gigabitEthernet 0

    Configurez DNS pour le VRF spécifique :

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#ip name-server vrf Mgmt-intf X.X.X.X

    Une fois la configuration VRF effectuée, vous pouvez poursuivre avec les étapes 5 et 6 de la section Direct CSSM Access.

    Accès CSSM direct avec proxy 

    Si un serveur proxy est requis pour obtenir la connectivité HTTPS au CSSM, il est nécessaire de suivre les étapes dans la section Accès direct au CSSM et d'inclure la commande http-proxy dans la configuration call-home.

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#call-home
    Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080

    Accès sur site SSM

    Ce type de déploiement vous permet de gérer les produits et les licences dans vos locaux sans connexion directe au CSSM hébergé par Cisco. Pour implémenter cela, vous devez déjà avoir installé un SSM On-Prem sur votre réseau. Les étapes d'installation de SSM On-Prem sortent du cadre de ce document.

    Les étapes de configuration permettant de connecter le serveur On-Prem SSM à un périphérique sont les suivantes :

    Étape 1. Activez la licence Smart sur le périphérique.

    Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

    Remarque : cette commande active le service call-home qui est requis.

    Étape 2. Assurez-vous que vous êtes en mesure de communiquer avec votre serveur sur site CSSM.

    Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

    Remarque : si vous disposez d'un serveur DNS, vous pouvez l'utiliser pour convertir votre adresse IP de serveur On-Prem en nom.

    Étape 3. Générez un nouveau jeton à partir de SSM On-Prem.

    3.1 Connexion au serveur SSM

    Generate a New Token from SSM On-Prem

    3.2 Création de jeton

    • Saisissez la description du jeton. Spécifiez le nombre de jours pendant lesquels le jeton doit être actif.
    • Activez la case à cocher Autoriser la fonctionnalité d'exportation contrôlée sur les produits enregistrés avec ce jeton.
    • Sélectionnez Créer un jeton.
    • Une fois le jeton créé, sélectionnez Copy pour copier le jeton nouvellement créé.

    Select Copy to Copy the Newly Created Token

    Étape 4. Configurez le call-home sur le périphérique.

    Il est nécessaire de modifier la commande destination address http avec l'adresse IP du serveur On-Prem (http://X.X.X.X/Transportgateway/services/DeviceRequestHandler) et de supprimer celle par défaut.

    Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end

    Étape 5. Configurez revocation-check none sur le point de confiance SLA-TrustPoint.

    Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none

    Étape 6. Enregistrez le périphérique avec le jeton récupéré depuis SSM On-Prem.

    Router#license smart register idtoken < token from SSM On-Prem portal > force

    Étape 7. Vérifiez que le périphérique s'est correctement enregistré avec le module SSM On-Prem.

    Router#show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLEDData Privacy:
 Sending Hostname: yes
 Callhome hostname privacy: DISABLED
 Smart Licensing hostname privacy: DISABLED
 Version privacy: DISABLED

Transport:
 Type: Callhome

Registration:
 Status: REGISTERED
 Smart Account: manudiaz
 Virtual Account: Default
 Export-Controlled Functionality: ALLOWED
 Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
 Last Renewal Attempt: None
 Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
 Registration Expires: Oct 19 04:35:44 2021 UTC

    Accès sur site SSM avec configuration VRF

    Si vous utilisez un VRF pour atteindre SSM On-Prem, vous devez configurer le VRF source de sorte que le périphérique génère la requête à partir du VRF correct.

    Suivez les étapes de la section SSM On-Prem Access jusqu'à l'étape 3.

    Étape 1. Modifiez la configuration Call Home avec le VRF approprié et l'interface source où vous pouvez accéder à SSM On-Prem :

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#call-home
    Router(cfg-call-home)#source-interface gigabitEthernet 0
    Router(cfg-call-home)#vrf Mgmt-intf

    Étape 2. Configurez l'interface http-client source avec l'interface correcte affectée au VRF :

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#ip http client source-interface gigabitEthernet 0

    Étape 3. Configurez DNS pour le VRF spécifique.

    Vous pouvez configurer un serveur DNS dans votre environnement On-Prem pour résoudre le nom de votre serveur On-Prem SSM :

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X

    Vous pouvez continuer avec les étapes 5 et 6 de l'accès sur site SSM après ces modifications.

    Réservation de licence spécifique (SLR)

    SLR est une fonctionnalité qui vous permet de déployer une licence logicielle sur un périphérique sans communiquer directement les informations d'utilisation à Cisco. Cette fonctionnalité est particulièrement utile dans les réseaux hautement sécurisés et elle est prise en charge sur les plates-formes disposant du portail de gestion des licences Smart.  Ce guide de configuration suppose que vous avez demandé et avez été autorisé à utiliser le reflex.

    Remarque : le reflex n'est pas activé par défaut. Vous devez demander spécifiquement cette fonctionnalité. 

    Remarque : le SLR et les mises en application de licence sont pris en charge dans Cisco IOS XE 16.11.1a et les versions ultérieures.

    Pour configurer le reflex dans le périphérique, il est nécessaire d'effectuer ces étapes du côté du routeur ainsi que du portail CSSM

    Étape 1. Configurez le routeur pour le reflex. Vous devez entrer la commande license smart reservation et demander la fonctionnalité SLR avec license smart reservation request local.

    Remarque : si l'enregistrement est effectué sur une plate-forme HA, vous devez utiliser license smart reservation request all.

    Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
    UDI: PID:ASR1002-X,SN:JAE170XXXXX
      Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX

    Remarque : le reflex n'est pas activé par défaut. Vous devez demander spécifiquement cette fonctionnalité.

    Remarque : pour annuler la demande de réservation de licence, exécutez la commande license smart reservation cancel.

    Sur le CSSM, il est nécessaire de réserver les licences requises.

    Étape 2. Connectez-vous à CSSM à l'adresse https://software.cisco.com/#. Vous devez vous connecter au portail avec vos identifiants Cisco.

    Étape 3. Sélectionnez l'onglet Inventaire. Dans la liste déroulante Compte virtuel, sélectionnez votre compte Smart.

    Étape 4. Dans l'onglet Licences, sélectionnez License Reservation.

    Specific License Registration

    Étape 5. Sur la page Enter Request Code, saisissez ou joignez le code de demande de réservation que vous avez généré à partir du routeur, et sélectionnez Next.

    Enter Request Code

    Étape 6. Cochez la case Reserve a Specific License et sélectionnez la licence et la quantité de licence réservée requise pour chaque périphérique.

    Select Licenses

    Étape 7. Dans l'onglet Vérifier et confirmer, sélectionnez Générer un code d'autorisation.

    Review and Confirm

    Remarque : une fois que vous avez généré le code SLR pour un périphérique spécifique, le fichier de code d'autorisation est valide jusqu'à ce que vous installiez le code. Si l'installation échoue, vous devez contacter Cisco Global License Operations (GLO) pour créer un nouveau code d'autorisation. Vous pouvez contacter GLO.

    Étape 8. Sélectionnez Copier dans le Presse-papiers pour copier le code ou Télécharger-le en tant que fichier. Vous devez copier le code ou le fichier sur votre périphérique pour continuer le processus.

    Authorization Code Issued

    Si vous configurez SLR, vous pouvez télécharger ou installer le fichier texte du code d'autorisation. Si vous configurez la réservation de licence permanente (PLR), vous pouvez copier et coller le code d'autorisation.

    Étape 9. Connectez-vous à votre périphérique et utilisez la commande d'installation license smart reservation install file bootflash:<SLR file>.

    Router#enable
Router#license smart reservation install file bootflash:

     Si nécessaire, vous pouvez renvoyer les licences réservées dans le périphérique et revenir à un état non enregistré. Un code de retour est généré et doit être entré dans CSSM pour supprimer l'instance de produit.

    Router#enable
Router#license smart reservation return local

    Mettre à jour une réservation de licence spécifique

    Une fois que vous avez enregistré correctement un périphérique, si nécessaire, vous pouvez mettre à jour la réservation avec une nouvelle fonctionnalité ou licence :

    Étape 1. Connectez-vous à Cisco Smart Software Manager à l'adresse https://software.cisco.com/#. Vous devez vous connecter au portail avec le nom d'utilisateur et le mot de passe fournis par Cisco.

    Étape 2. Accédez à l'onglet Inventaire et sélectionnez votre compte Smart dans la liste déroulante Compte virtuel.

    Étape 3. Dans l'onglet Product Instances, sélectionnez Actions pour le périphérique que vous devez mettre à jour.

    Étape 4. Sélectionnez Mettre à jour les licences réservées.

    Étape 5. Sélectionnez la licence que vous souhaitez mettre à jour.

    Étape 6. Sélectionnez Suivant.

    Étape 7. Dans l'onglet Vérifier et confirmer, sélectionnez Générer un code d'autorisation. L'onglet Authorization Code s'affiche. Le système affiche le code d'autorisation généré.

    Étape 8. Sélectionnez l'option Copier dans le Presse-papiers pour copier le code ou le télécharger sous forme de fichier. Vous devez copier le code ou le fichier sur votre périphérique.

    Étape 9. Connectez-vous au périphérique que vous souhaitez mettre à jour.

    Étape 10. Exécutez la commande license smart reservation install file.

    Router#enable
Router#license smart reservation install file bootflash:

    Résilier une réservation de licence spécifique

    Pour annuler l'enregistrement d'une réservation de licence spécifique pour un périphérique, vous devez renvoyer la réservation de licence dans l'interface de ligne de commande et supprimer l'instance de CSSM.

    Étape 1. Connectez-vous au périphérique dont vous souhaitez annuler l'inscription.

    Étape 2. Pour supprimer le code d'autorisation de réservation de licence, utilisez la commande license smart reservation return.

    Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
    back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
    CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33

    Étape 3. Connectez-vous à CSSM à l'adresse https://software.cisco.com/#.

    Étape 4. Sélectionnez l'onglet Inventaire. Dans la liste déroulante Compte virtuel, sélectionnez votre compte Smart.

    Étape 5. Dans l'onglet Product instance, pour le périphérique que vous souhaitez annuler l'enregistrement, sélectionnez Actions.

    Étape 6. Sélectionnez Supprimer.

    Étape 7. Lorsque vous y êtes invité, entrez le code de retour.

    Dépannage

    Le périphérique ne peut pas résoudre tools.cisco.com

     Vérifiez que vous avez correctement configuré un serveur DNS pour le VRF ou la table de routage globale corrects. Si vous le souhaitez, vous pouvez également créer une entrée DNS statique :

    Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8

    Remarque : les adresses IP 72.163.4.38 et 173.37.145.8 sont utilisées pour accéder à tools.cisco.com. Ceux-ci peuvent changer comme résolu par DNS. Confirmer avec l'équipement local avant la configuration manuelle.

    Le routeur ne peut pas communiquer avec tools.cisco.com

      • Assurez-vous qu'une route par défaut vers Internet est configurée.
      • Assurez-vous qu'il n'y a pas de pare-feu ou de proxy entre le périphérique et CSSM.
      • Assurez-vous que les ports 443 et 80 ne sont pas bloqués.
    Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open
      • Telnet avec VRF.
    Router#telnet tools.cisco.com 443 /vrf Mgmt-intf 
Trying tools.cisco.com (72.163.4.38, 443)... Open

    Licence dans l'état « HORS CONFORMITÉ »

    Cet état se produit lorsque le périphérique utilise un droit et n'est pas conforme (solde négatif). Cela se produit lorsqu'une licence requise n'est pas disponible dans le compte virtuel auprès duquel le périphérique Cisco est enregistré.

    Router#show license all

License Authorization:
  Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
  Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
  Next Communication Attempt: Mar 26 03:12:31 2019 CDT
  Communication Deadline: Jun 23 15:06:30 2019 CDT
        • Pour passer à l'état Conformité / Autorisé, vous devez ajouter le nombre et le type de licences corrects au compte Smart
        • Lorsque le périphérique est dans cet état, il envoie automatiquement une demande de renouvellement d'autorisation chaque jour

    Débogages des licences Smart

    Voici quelques débogages qui peuvent être utilisés pour résoudre les problèmes d'enregistrement de licences Smart et Call-Home :

        • debug call-home trace
        • debug call-home error
        • debug call-home smart-licensing all
        • debug ip http client all
        • debug crypto pki <toutes les options>
        • debug ssl openssl <toutes les options>

    Additional Information

    Guide Cisco Smart Licensing pour les plates-formes de routage d'entreprise Cisco

    Historique de révision

    Révision Date de publication Commentaires
    3.0
    29-Aug-2024
    Titre mis à jour, exigences de marque, traduction automatique, exigences de style, orthographe et mise en forme.
    2.0
    27-Jun-2023
    Texte de remplacement ajouté. Titre mis à jour, exigences de marque, traduction automatique, exigences de style, orthographe et mise en forme.
    1.0
    24-May-2022
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Sergio Romero
      Responsable technique de l'ingénierie de livraison client
    • Manuel Diaz
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits