Introduzione
In questo documento viene descritto come usare Cisco Smart Licensing (sistema basato su cloud) per risolvere i problemi e gestire le licenze software sugli switch Nexus.
Cos'è Cisco Smart Licensing?
Uno Cisco Smart Account è un repository di dati gestiti che fornisce visibilità completa e controllo dell'accesso alle licenze software, ai diritti e alle istanze dei prodotti Cisco nell'intera azienda
Per ulteriori informazioni su Smart Licensing e/o la gestione degli Smart Account,
iscriversi al nuovo corso di formazione per amministratori e registrarsi a
Piattaforme Cisco Nexus supportate
Nexus 3000 e 9000
Le versioni NX-OS precedenti alla 9.3(3) supportano solo le licenze tradizionali. Le versioni NX-OS dalla 9.3(3) alla 10.1(2) supportano sia le licenze tradizionali sia le licenze Smart, come illustrato in questo documento. Le versioni NX-OS successive alla 10.1(2) supportano solo Smart Licensing Using Policy, che è diversa da Smart Licensing. Per le versioni più recenti di 10.1(2), fare riferimento a questa guida.
Nexus 7000
Smart Licensing è supportato su Cisco Nexus 7000 con NX-OS versione 8.0(1) e successive.
Metodi supportati di licenza Smart sugli switch Nexus
Flusso di lavoro utente di Smart Licensing
Stati dei prodotti Smart License
Registrato
Licenze
Richiesta o rinnovo
Rinnovo
Registrazione e stati della licenza
Durante la configurazione di Smart Licensing, è possibile che un dispositivo Cisco si trovi in diversi stati. Questi stati possono essere visualizzati con il comando "show license all o show license status" dall'interfaccia della riga di comando (CLI) del dispositivo Cisco.
Di seguito è riportato un elenco di tutti gli stati e del loro significato:
Stato Eval Mode (Valutazione) (non identificato)
- Lo stato predefinito del dispositivo al primo avvio.
- In genere, questo stato viene visualizzato quando un dispositivo Cisco non è stato ancora configurato per la gestione Smart Licensing oppure non è stato ancora registrato su uno Smart Account.
- In questo stato, sono disponibili tutte le funzionalità ed è possibile modificare liberamente i livelli di licenza.
- Il periodo di valutazione viene applicato ai dispositivi non sono stati ancora identificati. Il dispositivo non tenta di comunicare con Cisco in questo stato.
- Sono 90 giorni di utilizzo e non 90 giorni di calendario. Una volta scaduto, non viene più reimpostato.
- Il periodo di valutazione copre l'intero dispositivo, non i singoli diritti di licenza.
- Il periodo di valutazione scade al termine dei 90 giorni e il dispositivo passa in modalità EVAL EXPIRY (VALUTAZIONE SCADUTA) senza influire sulla funzionalità, anche quando il dispositivo viene ricaricato. Attualmente non sono previste applicazioni forzate.
- La scadenza viene calcolata a prescindere dal numero di riavvii.
- Il periodo di valutazione è utilizzato se il dispositivo non è ancora stato registrato con Cisco e non ha ricevuto questi due messaggi dal back-end Cisco:
- Successful response to a registration request (Risposta corretta a una richiesta di registrazione)
- Successful response to an entitlement authorization request (Risposta corretta a una richiesta di attivazione dei diritti di licenza).
Stato Registered (Registrato)
- Questo è lo stato previsto dopo il completamento della registrazione.
- Il dispositivo Cisco è stato in grado di comunicare correttamente con un Cisco Smart Account e di registrarsi.
- Il dispositivo riceve un certificato ID valido per un anno che viene utilizzato per le comunicazioni future.
- Il dispositivo invia una richiesta al CSM per autorizzare i diritti per le licenze in uso sul dispositivo.
- In base alla risposta CSSM, il dispositivo entra in stato Autorizzato o Non conforme
- Il certificato di identità scade dopo un anno. Dopo 6 mesi, il processo dell'agente software tenta di rinnovare il certificato. Se l'agente non riesce a comunicare con Cisco Smart Software Manager, continua a provare a rinnovare il certificato ID fino alla data di scadenza (1 anno). Alla fine di un anno, l'agente torna allo stato Non identificato e tenta di abilitare il periodo di valutazione. Il modulo CSM rimuove l'istanza del prodotto dal relativo database.
Stato Authorized (Autorizzato)
- Si tratta dello stato previsto quando il dispositivo utilizza un diritto ed è conforme (nessun saldo negativo),
- L'account virtuale nel CSM disponeva del tipo e del numero di licenze corretti per autorizzare l'utilizzo delle licenze del dispositivo.
- Al termine di 30 giorni, il dispositivo invia una nuova richiesta al CSM per rinnovare l'autorizzazione.
- Dopo un periodo di tempo di 90 giorni, se la licenza non è stata rinnovata correttamente, passa nello stato Authorization Expired (Autorizzazione scaduta).
Stato di non conformità
- Questo è lo stato in cui il dispositivo utilizza un diritto e non è conforme (saldo negativo).
- Questo stato viene visualizzato quando il dispositivo non ha un licenza disponibile nell'account virtuale corrispondente con cui il dispositivo Cisco è stato registrato sul Cisco Smart Account.
- Per entrare nello stato di conformità/autorizzazione, è necessario aggiungere il numero e il tipo di licenze corretti allo Smart Account.
- In questo stato, il dispositivo invia automaticamente ogni giorno una richiesta di rinnovo dell'autorizzazione.
- Le licenze e le funzionalità continuano a funzionare e non vi è alcun impatto funzionale.
Stato Authorization Expired (Autorizzazione scaduta)
- Questo è lo stato in cui il dispositivo usa un diritto e non è stato in grado di comunicare con lo Smart Account Cisco associato per oltre 90 giorni.
- Questa condizione si verifica in genere se il dispositivo Cisco perde l'accesso a Internet o non è in grado di connettersi a tools.cisco.com dopo la registrazione iniziale.
- Per evitare questo stato, i metodi online di Smart Licensing richiedono che i dispositivi Cisco comunichino almeno una volta ogni 90 giorni.
- CSSM restituisce tutte le licenze in uso per questo dispositivo al pool poiché non ha avuto comunicazioni per 90 giorni.
- Mentre è in questo stato, il dispositivo continua a provare a contattare Cisco, ogni ora, per rinnovare l'autorizzazione di accesso, fino alla scadenza del periodo di registrazione (certificato ID).
- Le licenze e le funzionalità continuano a funzionare e non vi è alcun impatto funzionale.
- Se l'agente software ristabilisce le comunicazioni con Cisco e riceve la richiesta di autorizzazione, elabora la risposta normale ed entra in uno degli stati stabiliti.
Metodi supportati su Nexus e config
Metodo 1 (accesso diretto al cloud)
Configurazione di base:
switch# show run callhome
!Command: show running-config callhome
!Running configuration last done at: Wed Jun 22 16:14:37 2022
!Time: Wed Jun 22 16:16:28 2022
version 9.3(4) Bios:version 07.67
callhome
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
switch# show license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: ldap_user_test
Virtual Account: Default
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Jun 22 16:15:41 2022 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Dec 19 16:15:41 2022 UTC
Registration Expires: Jun 22 16:13:53 2023 UTC
License Authorization:
Status: AUTHORIZED on Jun 22 16:15:44 2022 UTC
Last Communication Attempt: SUCCEEDED on Jun 22 16:15:44 2022 UTC
Next Communication Attempt: Jul 22 16:15:43 2022 UTC
Communication Deadline: Sep 20 16:12:55 2022 UTC
Smart License Conversion:
Automatic Conversion Enabled: False
Status: Not started
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/nx-os/licensing/guide/b_Cisco_NX-OS_Licensing_Guide/m-smart-licensing-for-cisco-nexus-3000-and-9000-series-switches.html
Metodo 2 (accesso tramite un proxy HTTP)
switch# show run callhome
version 9.3(4) Bios:version 07.67
call home
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService transport http proxy server X.X.X.X port 80 transport http use-vrf management transport http proxy enable Switch# license smart register idtoken XXXX (force) Initiated device registration with backend. run show license status, for registration status
Metodo-3 (In Loco - In Linea )
switch# show run callhome
version 9.3(4) Bios:version 07.67
callhome
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://10.106.41.xx/Transportgateway/services/DeviceRequestHandlerend
transport http use-vrf management
enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
Metodo-4 (On-Prem - Offline )
Che cos'è ID Token?
Utilizzato per registrare in modo sicuro i prodotti su uno Smart Account e un account virtuale
I token ID sono identificatori organizzativi utilizzati per stabilire l'identità quando un prodotto viene registrato.
Come generare un token ID da CSM
https://software.cisco.com/software/csws/ws/platform/home?locale=en_US#
Gestisci licenze -> Inventario -> Generale -> Nuovo token -> Crea token
Risoluzione dei problemi
Quando si esegue la migrazione di un dispositivo Cisco a una versione software abilitata per Smart Licensing, questo diagramma di flusso può essere utilizzato come guida generale per tutti e tre i metodi (accesso diretto al cloud, proxy HTTPS e Cisco Smart Software Manager on-prem).
Workflow
Problemi noti
- Il problema è ottenere la registrazione di N9K-C9348GC-FXP per la licenza intelligente.
1. Errore - Impossibile inviare il codice HTTP della chiamata a domicilio
[+] Configurazioni call home
Switch# show running-config callhome
version 9.3(5) Bios:version 07.68
callhome
email-contact abc@example.com
phone-contact +919XXXXXXXXX
streetaddress ST3, RD 4, Bangalore
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
[+] Confermata raggiungibilità su tools.cisco.com.
DC-DMZ(config)# ping tools.cisco.com vrf management
PING tools.cisco.com (72.163.4.38): 56 data bytes
64 bytes from 72.163.4.38: icmp_seq=0 ttl=232 time=237.581 ms
64 bytes from 72.163.4.38: icmp_seq=1 ttl=232 time=237.859 ms
64 bytes from 72.163.4.38: icmp_seq=2 ttl=232 time=237.562 ms
64 bytes from 72.163.4.38: icmp_seq=3 ttl=232 time=237.413 ms
64 bytes from 72.163.4.38: icmp_seq=4 ttl=232 time=237.995 ms
DC-DMZ(config)# telnet tools.cisco.com 443 vrf management
Trying 2001:420:1101:5::a...
Trying 72.163.4.38...
Connected to tools.cisco.com.
Escape character is '^]'.
^CConnection closed by foreign host.
+ L'interfaccia di origine HTTP è stata configurata per l'interfaccia vlan 27, ma è stata modificata in mgmt0
2. Errore - Impossibile analizzare i dati di risposta dal server SCH
Il protocollo HTTP ++ non è più supportato per raggiungere il back-end Cisco; HTTPS è supportato solo. Rimossa la configurazione corrente e aggiornato l'indirizzo di destinazione per l'utilizzo di HTTPS.
Previous config
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable
New config added
(config)#callhome
(config-callhome)#enable
(config-callhome)# destination-profile CiscoTAC-1 transport-method http
(config-callhome no destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
(config-callhome destination-profile CiscoTAC-1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
3. Errore - Impossibile inviare il messaggio HTTP Call Home (impossibile stabilire la connessione IPC con Call Home - CA radice Quo Vadis)
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
4. Errore - La mancanza di risposta DNS provoca l'blocco dei messaggi MTS di Callhome
Cisco ID bug CSCv67469