Slimme licentiëring op Nexus-platforms configureren en problemen oplossen

Inleiding

Dit document beschrijft hoe u kunt werken met Cisco Smart Licensing (cloudgebaseerd systeem) voor het oplossen en beheren van softwarelicenties op Nexus-switches.

Wat is Cisco Smart Licensing?

Een Cisco Smart Account is een beheerde gegevensopslagplaats die volledige zichtbaarheid en toegangscontrole biedt voor Cisco-softwarelicenties, -rechten en -productinstanties in het hele bedrijf

Is Smart Licensing en/of Smart Account Administration nieuw voor u?

Meld u aan voor de nieuwe trainingscursus voor beheerders, met opnames:
Cisco Community – Lees alles over Cisco Smart Accounts/Smart Licensing en My Cisco Entitlements

 Smart Accounts kunnen hier worden gemaakt: Smart Accounts

Smart Accounts kunnen hier worden beheerd: Smart Software-licentiëring

Ondersteunde Cisco Nexus-platforms

Vanaf Cisco NX-OS release 9.3(3) ondersteunen alle Cisco Nexus 3000 en 9000 Series switches (behalve de Cisco Nexus 3016 en 3064 platform switches ) slimme softwarelicenties.

Smart licentiesupport op Cisco Nexus 7000 is geïntroduceerd vanaf 8.0(1) release.

Ondersteunde methoden voor slimme licentiëring op Nexus-switches

Smart Licensing-gebruikerswerkstroom

Smart License-productstatus

Geregistreerd

Licenties

Verzoek tot verlenging

Verlenging

Registratie- en licentiestatussen

Terwijl Smart Licensing is ingesteld, zijn er meerdere mogelijke statussen waarin een Cisco-apparaat kan worden geplaatst. Deze staten kunnen worden weergegeven door "alle licenties te tonen of licentiestatus weer te geven" via de Command Line Interface (CLI) op het Cisco-apparaat.

Hier volgt een lijst van alle staten en hun betekenis:

De status Evaluatie (niet-geïdentificeerd)

• Dit is een standaardstatus van het apparaat wanneer het voor het eerst wordt opgestart.
• Dit is doorgaans de status wanneer een Cisco-apparaat nog niet is geconfigureerd voor Smart Licensing of geregistreerd voor een Smart Account.
• In deze status zijn alle functies beschikbaar en kan het apparaat licentieniveaus onbeperkt wijzigen.
• De evaluatieperiode wordt gebruikt wanneer het apparaat de niet-geïdentificeerde status heeft. Het apparaat probeert in deze status niet met Cisco te communiceren.
• Dit is 90 dagen van gebruik en niet 90 kalenderdagen. Zodra het is verlopen wordt het nooit gereset.
• Er geldt één evaluatieperiode voor het hele apparaat, niet per recht
• Wanneer de evaluatieperiode na 90 dagen verloopt, wordt op het apparaat de EVAL EXPIRY-modus ingeschakeld, maar dit heeft geen enkele impact op de functionaliteit, ook niet na opnieuw laden. Momenteel is er geen handhaving geïmplementeerd.
• De afteltijd wordt bijgehouden bij reboots.
• De evaluatieperiode wordt gebruikt als het apparaat nog niet bij Cisco is geregistreerd en deze twee berichten niet van het Cisco-backend heeft ontvangen:
1. Successful response to a registration request (Geslaagde reactie op een registratieaanvraag)
2. Successful response to an entitlement authorization request (Geslaagde reactie op een aanvraag voor autorisatie van rechten).     

De status Geregistreerd

• Dit is de status die wordt verwacht nadat de registratie is voltooid.
• Het Cisco-apparaat heeft kunnen communiceren met een Cisco Smart Account en zich kunnen registreren.
• Het apparaat ontvangt een voor één jaar geldig identiteitsbewijs dat wordt gebruikt voor toekomstige communicatie
• Het toestel dient een verzoek in bij de CSSM om de rechten voor de op het toestel in gebruik zijnde licenties toe te staan
• Op basis van de CSM-respons voert het apparaat vervolgens een geautoriseerd of niet-conform apparaat in
• Het ID-certificaat verloopt na één jaar. Na 6 maanden probeert de software Agent het certificaat te vernieuwen. Als de Agent niet kan communiceren met Cisco Smart Software Manager, blijft de Agent proberen het ID-certificaat te vernieuwen tot de verloopdatum (1 jaar). Aan het eind van een jaar, gaat de agent terug naar de niet-geïdentificeerde staat en probeert om de evaluatieperiode toe te laten. CSSM verwijdert de productinstantie uit de database.

De status Geautoriseerd

• Dit is de verwachte toestand wanneer het apparaat een recht gebruikt en voldoet aan de voorschriften (geen negatief saldo); 
• De Virtual Account voor CSSM bevatte het juiste type en aantal licenties om het gebruik van de licenties van het apparaat te autoriseren.
• Na 30 dagen stuurt het apparaat een nieuw verzoek naar CSSM om de autorisatie te verlengen.
• Deze status heeft een tijdspanne van 90 dagen waarna (indien niet verlengd) wordt overgegaan naar de status Autorisatie verlopen. 

De status Niet compliant

• Dit is de toestand wanneer het hulpmiddel een recht gebruikt en niet in overeenstemming is met de voorschriften (negatief saldo); 
• Deze status is van toepassing als voor de licentie geen licentie beschikbaar is in de bijbehorende Virtual Account waarvoor het Cisco-apparaat is geregistreerd in de Cisco Smart Account.  
• Om de status Compliance / Authorised in te voeren, moet u het juiste aantal en type licenties toevoegen aan de Smart Account
• Wanneer in deze staat het apparaat automatisch een verzoek om verlenging van de autorisatie elke dag verstuurt
• Licenties en functies blijven functioneren en er is geen sprake van functionele gevolgen

De status Autorisatie verlopen

• Dit is de status wanneer een apparaat een recht gebruikt en niet meer kan communiceren met de Cisco Smart Account die meer dan 90 dagen is gekoppeld.
• Dit gebeurt doorgaans als het Cisco-apparaat geen toegang meer heeft tot internet of geen verbinding meer kan maken met tools.cisco.com na de eerste registratie.
• Voor online Smart Licensing-methoden moeten Cisco-apparaten minstens elke 90 dagen communiceren om deze status te voorkomen.
• CSSM retourneert alle gebruikslicenties voor dit apparaat terug naar de pool omdat het 90 dagen geen communicatie heeft gehad
• Terwijl in deze staat het apparaat blijft proberen om contact op te nemen met Cisco, elk uur, om de machtiging voor rechten te verlengen, tot de registratieperiode (ID-certificaat) verloopt.
• Licenties en functies blijven in werking en er is geen functionele impact.
• Als de software Agent de communicatie met Cisco opnieuw tot stand brengt en naar zijn autorisatieverzoek ontvangt, verwerkt hij dat antwoord normaal en treedt hij in een van de ingestelde statussen.

Ondersteunde methoden voor Nexus en configuratie

Methode-1 (Directe cloudtoegang )

Basisconfiguratie:

switch# show run callhome



!Command: show running-config callhome

!Running configuration last done at: Wed Jun 22 16:14:37 2022

!Time: Wed Jun 22 16:16:28 2022



version 9.3(4) Bios:version 07.67

callhome

  email-contact sch-smart-licensing@cisco.com

  destination-profile CiscoTAC-1 transport-method http

  destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService

transport http use-vrf management

 enable



Switch# license smart register idtoken XXXX (force)

Initiated device registration with backend. run show license status, for registration status



switch# show license status

Smart Licensing is ENABLED



Registration:

  Status: REGISTERED

  Smart Account: ldap_user_test

  Virtual Account: Default

  Export-Controlled Functionality: Allowed

  Initial Registration: SUCCEEDED on Jun 22 16:15:41 2022 UTC

  Last Renewal Attempt: None

  Next Renewal Attempt: Dec 19 16:15:41 2022 UTC

  Registration Expires: Jun 22 16:13:53 2023 UTC



License Authorization:

  Status: AUTHORIZED on Jun 22 16:15:44 2022 UTC



  Last Communication Attempt: SUCCEEDED on Jun 22 16:15:44 2022 UTC

  Next Communication Attempt: Jul 22 16:15:43 2022 UTC

  Communication Deadline: Sep 20 16:12:55 2022 UTC



Smart License Conversion:

  Automatic Conversion Enabled: False

 Status: Not started

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/nx-os/licensing/guide/b_Cisco_NX-OS_Licensing_Guide/m-smart-licensing-for-cisco-nexus-3000-and-9000-series-switches.html

Methode-2 (toegang via een HTTP-proxy)

switch# show run callhome



version 9.3(4) Bios:version 07.67

 

call home

email-contact sch-smart-licensing@cisco.com
    
    
      destination-profile CiscoTAC-1 transport-method http destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService transport http proxy server X.X.X.X port 80 transport http use-vrf management transport http proxy enable Switch# license smart register idtoken XXXX (force) Initiated device registration with backend. run show license status, for registration status 
    

Methode 3 (on-prem - online)

switch# show run callhome



version 9.3(4) Bios:version 07.67

callhome

  email-contact sch-smart-licensing@cisco.com

  destination-profile CiscoTAC-1 transport-method http

  destination-profile CiscoTAC-1 index 1 http https://10.106.41.xx/Transportgateway/services/DeviceRequestHandlerend

  transport http use-vrf management

  enable



Switch# license smart register idtoken XXXX (force)

Initiated device registration with backend. run show license status, for registration status

Methode-4 (Op kantoor - offline )

Wat is een ID-token?

Gebruikt om producten veilig te registreren op een slimme account en virtuele account

ID Tokens zijn "organisatieaanduiding" die wordt gebruikt om de "identiteit" vast te stellen wanneer een product wordt geregistreerd.

Hoe kan ik een ID-token genereren uit CSSM?

https://software.cisco.com/software/csws/ws/platform/home?locale=en_US#

Licenties beheren -> Inventaris -> Algemeen -> Nieuwe token -> Een token maken

Problemen oplossen

Wanneer een Cisco-apparaat is gemigreerd naar een softwareversie die voor Smart Licensing is ingeschakeld, kan dit stroomschema worden gebruikt als algemene gids voor alle drie de methoden (Direct Cloud Access, HTTPS Proxy en Cisco Smart Software Manager On-Prem).

WorkFlow

Bekende problemen

•  Het probleem om N9K-C9348GC-FXP te registreren voor slimme licenties.

1. Fout - Niet in staat om Call Home HTTP te verzenden

[+] Call home-configuraties

Switch# show running-config callhome

version 9.3(5) Bios:version 07.68
callhome
email-contact abc@example.com
phone-contact +919XXXXXXXXX
streetaddress ST3, RD 4, Bangalore
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management

[+] Bevestigd bereikbaar via tools.cisco.com.

DC-DMZ(config)# ping tools.cisco.com vrf management
PING tools.cisco.com (72.163.4.38): 56 data bytes
64 bytes from 72.163.4.38: icmp_seq=0 ttl=232 time=237.581 ms
64 bytes from 72.163.4.38: icmp_seq=1 ttl=232 time=237.859 ms
64 bytes from 72.163.4.38: icmp_seq=2 ttl=232 time=237.562 ms
64 bytes from 72.163.4.38: icmp_seq=3 ttl=232 time=237.413 ms
64 bytes from 72.163.4.38: icmp_seq=4 ttl=232 time=237.995 ms

DC-DMZ(config)# telnet tools.cisco.com 443 vrf management
Trying 2001:420:1101:5::a...
Trying 72.163.4.38...
Connected to tools.cisco.com.
Escape character is '^]'.
^CConnection closed by foreign host.

+ HTTP-broninterface is geconfigureerd voor interface VLAN 27; gewijzigd in mgmt0

2. Fout - De antwoordgegevens van de SCH-server kunnen niet worden geparseerd

++ HTTP wordt niet langer ondersteund om backend van Cisco te bereiken; HTTPS wordt alleen ondersteund. Huidige configuratie verwijderd en het doeladres bijgewerkt om HTTPS te gebruiken.

Previous config

destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable

New config added

(config)#callhome
(config-callhome)#enable
(config-callhome)# destination-profile CiscoTAC-1 transport-method http
(config-callhome no destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
(config-callhome destination-profile CiscoTAC-1 http https://tools.cisco.com/its/service/oddce/services/DDCEService

3. Fout - Verzend Call Home HTTP bericht niet (kan geen IPC maken met call-home - Quo Vadis Root CA)

https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html

4. Fout - Gebrek aan DNS-respons veroorzaakt callhome MTS-berichten vastgeplakt 

Cisco Bug-id CSCv67469