はじめに
このドキュメントでは、Cisco Smart Licensing(SL)の導入のタイプと必要な設定について説明します。
前提条件
要件
- Cisco Smart Software Manager(CSSM)ポータルにアクセスできるスマートアカウント
- Cisco IOS®バージョン16.5.1 ~ 17.3.1のデバイス
- Cisco Smart Software Managerオンプレミスサーバ
- デバイスとCSSMまたはオンプレミスサーバ間のHTTPS接続
注:一部の導入では、Cisco Smart Software Manager On-Premは不要です。この機能のオプションコンポーネントです。
注意:スマートライセンスは、16.5.1 ~ 16.9.8のバージョンではオプションです。Cisco IOS® XE 16.10.1aからCisco IOS® XE 17.3.1までの物理デバイスでは、スマートライセンスが必須です。17.3.2以降では、ポリシーを使用したスマートライセンスは必須です。仮想デバイスおよびその他のシスコプラットフォームについては、特定のコードのリリースノートを確認してください。
使用するコンポーネント
このドキュメントは、Cisco IOS XEエンタープライズルーティングプラットフォームに適用されます。
このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。
- Cisco IOS XEバージョン16.9.4を搭載したCisco ASR1001-XおよびCisco IOS XEバージョン16.12.1を搭載したCisco ISR4351
- 8 202108バージョンのSmart Software Managerサーバ。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
導入のタイプ
スマートライセンスの登録と利用には、4つの主要な導入オプションがあります。
- ダイレクトCSSMアクセス
- プロキシを使用した直接CSSMアクセス
- SSMオンプレミスアクセス
- 特定ライセンスの予約(SLR)
ダイレクトCSSMアクセス
この導入オプションを使用すると、インターネット経由でHTTPS経由でシスコに使用状況情報を直接転送できます。
Cisco IOS XE 16.10.1aからは、スマートライセンスはデフォルトで有効になり、使用可能な唯一のライセンスモデルです。この導入では、レイヤ3設定が必要で、適切なインターフェイスからHTTPSポート(443)でtools.cisco.comに到達できる必要があります。DNSの設定が必要です。
接続が確認されたら、デバイスを登録する手順は次のとおりです。
ステップ 1:デバイスでスマートライセンスを有効にします(オプション)。16.10.1aからは、デフォルトでイネーブルになっています。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#license smart enable
注:このコマンドは、必要なservice call-homeを有効にします。
ステップ 2:tools.cisco.comにドメインネームシステム(DNS)サーバまたはスタティックホストエントリを設定します。
Router(config)#ip name-server X.X.X.X
or
Router(config)#ip host tools.cisco.com X.X.X.X
ステップ 3:Cisco Smart Software Managerから新しいトークンを生成します。
- トークンの説明を入力し、トークンをアクティブにする日数を指定します。
- このトークンに登録された製品でエクスポート制御機能を許可します。これにより、登録されたデバイスで高度暗号化ライセンスの要求が許可されます。
- Create Tokenを選択します。トークンの作成後、Copyを選択します。
ステップ 4:Call Homeの設定を変更します(オプション)。
デフォルトのCall Homeプロファイル設定でデバイスを登録できます。現在のcall-homeプロファイル設定を確認するには、次の手順を実行します。
Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
ステップ 5:トークンを使用してCSSMにデバイスを登録します。
Router#license smart register idtoken < token from CSSM portal > force
注:forceキーワードを指定すると、登録が直ちに試行されます。使用しない場合、登録手順にはより多くの時間がかかることがあります。
手順 6:デバイスがCSSMに正しく登録されていることを確認します。
Router#show license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: TAC Cisco Systems, Inc.
Virtual Account: CORE TAC
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Feb 28 12:54:22 2018 UTC
Registration Expires: Sep 01 12:49:04 2018 UTC
License Authorization:
Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC
Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC
Next Communication Attempt: Oct 01 12:54:28 2017 UTC
Communication Deadline: Nov 30 12:49:12 2017 UTC
Virtual Routing and Forwarding(VRF)による直接CSSMアクセス
デバイスがCSSMに到達するためにVRFを使用する場合、call-homeプロファイル設定で送信元VRFと送信元インターフェイスを設定する必要があります。この導入を設定するには、「ダイレクトCSSMアクセス」セクションのステップ1 ~ 3に従う必要があります。次に、正しいVRFと送信元インターフェイスを使用してCall Home設定を編集し、CSSM URLに到達します。例としてMgmt-intf VRFにある管理インターフェイスGigabitEthernet0を使用します。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
送信元HTTPインターフェイスに、VRFに割り当てられた正しいインターフェイスを設定します。この設定は、HTTPおよびHTTPSトラフィックに影響します。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
特定のVRFに対してDNSを設定します。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X
VRF設定が完了したら、「直接CSSMアクセス」セクションのステップ5と6に進みます。
プロキシを使用した直接CSSMアクセス
CSSMへのHTTPS接続を実現するためにプロキシサーバが必要な場合、「直接CSSMアクセス」セクションの手順に従い、call-home設定の内部にhttp-proxyコマンドを含める必要があります。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080
SSMオンプレミスアクセス
この導入タイプでは、シスコがホストするCSSMに直接接続することなく、オンプレミスで製品とライセンスを管理できます。これを実装するには、SSMオンプレミスがネットワークにインストールされている必要があります。SSMをオンプレミスでインストールする手順は、このドキュメントの対象範囲外です。
SSMオンプレミスサーバをデバイスに接続するための設定手順は次のとおりです。
ステップ 1:デバイスでスマートライセンスを有効にします。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#license smart enable
注:このコマンドは、必要なservice call-homeを有効にします。
ステップ 2:CSSMオンプレミスサーバと通信できることを確認します。
Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms
注:DNSサーバがある場合は、それを使用してオンプレミスサーバのIPアドレスを名前に解決できます。
ステップ 3:SSMオンプレミスから新しいトークンを生成します。
3.1 SSMサーバにログインします。
3.2トークンの作成
- トークンの説明を入力します。トークンをアクティブにする日数を指定します。
- Allow export-controlled functionality on the products registered with this tokenチェックボックスをオンにします。
- Create Tokenを選択します。
- トークンの作成後、Copyを選択して、新しく作成したトークンをコピーします。
ステップ 4:デバイスでcall-homeを設定します。
オンプレミスサーバ(http://X.X.X.X/Transportgateway/services/DeviceRequestHandler)のIPを使用してdestination address httpコマンドを変更し、デフォルトのIPを削除する必要があります。
Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end
ステップ 5:SLA-TrustPointトラストポイントでrevocation-check noneを設定します。
Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none
手順 6:SSMオンプレミスから取得したトークンにデバイスを登録します。
Router#license smart register idtoken < token from SSM On-Prem portal > force
手順 7:デバイスがSSMオンプレミスに正しく登録されたことを確認します。
Router#show license status
Smart Licensing is ENABLED
Utility:
Status: DISABLEDData Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
Registration:
Status: REGISTERED
Smart Account: manudiaz
Virtual Account: Default
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
Registration Expires: Oct 19 04:35:44 2021 UTC
VRF設定でのSSMオンプレミスアクセス
SSMオンプレミスに到達するためにVRFを使用する場合は、デバイスが正しいVRFからの要求を生成するように送信元VRFを設定する必要があります。
「SSMオンプレミスアクセス」セクションの手順をステップ3まで繰り返します。
ステップ 1:正しいVRFと、SSMのオンプレミスに到達できる送信元インターフェイスを使用して、Call Homeの設定を編集します。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
ステップ 2:送信元のhttp-clientインターフェイスに、VRFに割り当てられた正しいインターフェイスを設定します。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
ステップ 3:特定のVRFのDNSを設定します。
オンプレミス環境でDNSサーバーを構成して、SSMオンプレミスサーバーの名前を解決できます。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X
これらの変更後、SSMオンプレミスアクセスから手順5と6を続行できます。
特定ライセンスの予約(SLR)
SLRは、使用状況情報をシスコに直接伝えることなく、ソフトウェアライセンスをデバイスに導入できる機能です。この機能は特に安全性の高いネットワークで役立ち、Smart Licensing Portalを備えたプラットフォームでサポートされます。 この構成ガイドでは、お客様がSLRを要求し、使用する権限を与えられていることを前提としています。
注:SLRはデフォルトでは有効になっていません。この機能を明示的に要求する必要があります。
注:SLRおよびライセンスの適用は、Cisco IOS XE 16.11.1a以降のリリースでサポートされます。
デバイスでSLRを設定するには、ルータ側とCSSMポータルから次の手順を実行する必要があります
ステップ 1:ルータをSLR用に設定します。license smart reservationコマンドを入力し、license smart reservation request localを使用してSLR機能を要求する必要があります。
注:登録がHAプラットフォームで行われる場合は、license smart reservation request allを使用する必要があります。
Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX
注:SLRはデフォルトでは有効になっていません。この機能を明示的に要求する必要があります。
注:ライセンス予約の要求をキャンセルするには、license smart reservation cancelコマンドを実行します。
CSSMでは、必要なライセンスを予約する必要があります。
ステップ 2:https://software.cisco.com/#でCSSMにログインします。シスコのクレデンシャルでポータルにログインする必要があります。
ステップ 3:Inventoryタブを選択します。仮想アカウントのドロップダウンから、スマートアカウントを選択します。
ステップ 4:Licensesタブで、License Reservationを選択します。
ステップ 5:Enter Request Codeページで、ルータから生成した予約要求コードを入力または添付し、Nextを選択します。
手順 6:Reserve a Specific Licenseボックスにチェックマークを入れて、各デバイスに必要なライセンスと予約済みライセンスの量を選択します。
手順 7:Review and Confirmタブで、Generate Authorization Codeを選択します。
注:特定のデバイスの一眼レフコードを生成した後は、コードをインストールするまで認証コードファイルは有効です。インストールが失敗した場合は、Cisco Global License Operations(GLO)に連絡して、新しい認証コードを作成する必要があります。GLOに問い合わせることができます。
ステップ 8:コードをコピーする場合はCopy to Clipboard、ファイルとしてDownloadを選択します。プロセスを続行するには、コードまたはファイルをデバイスにコピーする必要があります。
SLRを設定する場合は、認証コードテキストファイルをダウンロードまたはインストールできます。無期限ライセンス予約(PLR)を設定する場合は、認証コードをコピーして貼り付けることができます。
ステップ 9:デバイスにログインし、インストールコマンドlicense smart reservation install file bootflash:<SLR file>を使用します。
Router#enable
Router#license smart reservation install file bootflash:
必要に応じて、デバイスで予約されているライセンスを返却し、未登録の状態に戻すことができます。製品インスタンスを削除するために、リターンコードが生成され、CSSMに入力する必要があります。
Router#enable
Router#license smart reservation return local
特定のライセンス予約の更新
デバイスを正常に登録した後、必要に応じて、新しい機能またはライセンスで予約を更新できます。
ステップ 1:Cisco Smart Software Manager(https://software.cisco.com/#)にログインします。シスコから提供されたユーザ名とパスワードを使用してポータルにログインする必要があります。
ステップ 2:Inventoryタブに移動し、Virtual Accountドロップダウンからスマートアカウントを選択します。
ステップ 3:Product Instancesタブで、更新する必要があるデバイスのActionsを選択します。
ステップ 4:Update Reserved Licensesを選択します。
ステップ 5:更新するライセンスを選択します。
手順 6:[次へ(Next)] を選択します。
手順 7:Review and Confirmタブで、Generate Authorization Codeを選択します。Authorization Codeタブが表示されます。生成された認証コードが表示されます。
ステップ 8:Copy to Clipboardオプションを選択してコードをコピーするか、ファイルとしてダウンロードします。コードまたはファイルをデバイスにコピーする必要があります。
ステップ 9:更新するデバイスにログインします。
ステップ 10:license smart reservation install fileコマンドを実行します。
Router#enable
Router#license smart reservation install file bootflash:
特定のライセンス予約の登録解除
デバイスの特定のライセンス予約を登録解除するには、CLIでライセンス予約を戻し、CSSMからインスタンスを削除する必要があります。
ステップ 1:登録解除するデバイスにログインします。
ステップ 2:ライセンス予約認証コードを削除するには、license smart reservation returnコマンドを使用します。
Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33
ステップ 3:https://software.cisco.com/#でCSSMにログインします。
ステップ 4:Inventoryタブを選択します。Virtual Accountドロップダウンリストから、スマートアカウントを選択します。
ステップ 5:Product instanceタブで、登録解除するデバイスに対してActionsを選択します。
手順 6:Removeを選択します。
手順 7:プロンプトが表示されたら、リターンコードを入力します。
トラブルシュート
デバイスがtools.cisco.comを解決できない
正しいVRFまたはグローバルルートテーブルに対してDNSサーバが正しく設定されていることを確認します。必要に応じて、静的DNSエントリを作成することもできます。
Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8
注:IPアドレス72.163.4.38および173.37.145.8は、tools.cisco.comに到達するために使用されます。これらはDNSで解決された内容に変更できます。手動設定の前に、ローカルの機器に確認します。
ルータがtools.cisco.comと通信できない
- インターネットへのデフォルトルートが設定されていることを確認します。
- デバイスとCSSMの間にファイアウォールまたはプロキシがないことを確認します。
- ポート443および80がブロックされていないことを確認します。
Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open
Router#telnet tools.cisco.com 443 /vrf Mgmt-intf
Trying tools.cisco.com (72.163.4.38, 443)... Open
ステータスが「不適合(Out of Compliance)」のライセンス
この状態は、デバイスが権限付与を使用し、コンプライアンスに従っていない(負のバランス)場合に発生します。これは、必要なライセンスが、シスコデバイスが登録されている仮想アカウントで使用できない場合に発生します。
Router#show license all
License Authorization:
Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
Next Communication Attempt: Mar 26 03:12:31 2019 CDT
Communication Deadline: Jun 23 15:06:30 2019 CDT
- コンプライアンス/承認済み状態に入るには、正しい数とタイプのライセンスをスマートアカウントに追加する必要があります
- デバイスがこの状態になると、許可更新要求が毎日自動的に送信されます
スマートライセンスのデバッグ
Call HomeおよびSmart Licensingの登録に関する問題のトラブルシューティングに使用できるデバッグには、次のものがあります。
- debug call-homeトレース
- debug call-homeエラー
- debug call-home smart-licensing all(すべてのコールホームスマートライセンスのデバッグ)
- debug ip http client all(IOSのみ)
- debug crypto pki <すべてのオプション>
- debug ssl openssl <すべてのオプション>
追加情報
シスコエンタープライズルーティングプラットフォーム向けCisco Smart Licensingガイド