Smart Licensing op het ASR 9000-platform

Downloadopties

  • PDF     (849.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (620.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (412.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:11 maart 2019
Document-id:200011

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft de configuratie, werking en probleemoplossing van Smart Licensing-software op Cisco IOS® XR versie 5.2.0 en hoger. Smart Licensing is ontwikkeld om het beheer van de licentievereisten voor verschillende functies en toepassingen die op Cisco-platforms en -besturingssystemen (OS’s) worden uitgevoerd, aan te pakken.

De Smart Licensing-toepassing wordt niet alleen uitgevoerd op ASR 9000 (ASR9K) voor Cisco IOS XR, maar ook op verschillende platforms waarop Cisco IOS en Cisco IOS-XE OS’s worden uitgevoerd. Deze eenvoudige toepassing vermindert de moeite die nodig is om diverse Cisco-apparaten, -systemen en -platforms te beheren, aanzienlijk en maakt het beheer van licenties, rechten en operationele kosten eenvoudig.

De methode die wordt gebruikt door de Smart Licensing-toepassing is een dynamische 'pull'-methode; het ASR9K-apparaat initieert de oproep en haalt de informatie uit de Cisco-backend servers. Cisco-backend servers zullen GEEN gesprekken of verbindingen met een apparaat initiëren, maar altijd reageren wanneer de verbindingsverzoeken afkomstig zijn van de apparaten die zich willen registreren en die rechten willen ontvangen.

De initiële installatie is veilig en eenvoudig met zeer weinig handmatige tussenkomst van de operator van het apparaat of de apparaten en kan worden geautomatiseerd voor de grotere omgevingen met een reguliere Tool Command Language (TcL) of Python Expect script. De rapportagefaciliteiten die door Cisco-backend servers worden geboden en die toegankelijk zijn via een reguliere browser, helpen de klanten bij het bijhouden van hun inventaris van apparaten, functies die zowel met licentie als out of compliance (OSC) worden geïmplementeerd en dynamisch hun resources verplaatsen zonder dat ze opnieuw hoeven te worden geprovisioneerd of om ondersteuning hoeven te vragen.

Bovenaanzicht

Smart Licensing gebruikt standaard HTTP Secure (HTTPS) als het transportmechanisme om de Cisco-backend servers te bereiken. Technisch gezien is er maar één configuratielijn die nodig is om de Smart Licensing-functie op het ASR9K-apparaat in te schakelen:

RP/0/RSP0/CPU0:SAMDD(admin-config)#license smart enable

Het apparaat is standaard op HTTPS transport en na een succesvolle registratieaanvraag worden de back-end servers onmiddellijk om rechten gevraagd. Het geeft ofwel geautoriseerd terug, wat betekent dat het apparaat de licentie voor de functie heeft, of OCC, wat betekent dat de rechten niet aanwezig zijn, ontbreken of verlopen.

Opmerking: de licentieconformiteitsstatus HEEFT GEEN invloed op de functionaliteit van het apparaat. De huidige Smart Licensing-toepassing is gebaseerd op een ereleasesysteem en stelt de beheerder via syslog- of consolelogboeken in kennis van de naleving of de OCR-status. Er is geen functionaliteitsbelemmering op enige wijze als gevolg van licenties of het ontbreken daarvan. Cisco moedigt echter de naleving aan, die de klanten veel meer zichtbaarheid geeft met betrekking tot hun inventaris van apparaten, licentieconsumptie, functies die per apparaat worden gebruikt en in totaal/totaal, enzovoort.

Opmerking: HTTP-ondersteuning voor de back-end servers wordt in CY2019 afgekeurd, maar HTTP naar een satellietserver zal nog steeds werken.

Smart Licensing kan naast Traditional Licensing bestaan, maar slechts één ervan kan op elk moment actief zijn. U kunt gemakkelijk tussen hen switches met de toevoeging of de schrapping van de configuratie van het beleidsvliegtuig. Het ASR9K-systeem hoeft NIET opnieuw geladen of opnieuw opgestart te worden om deze 'switch' te laten plaatsvinden. Traditionele licentiëring zal in toekomstige releases volledig worden vervangen door slimme licenties.

Als een ASR9K-apparaat geen functie gebruikt waarvoor licenties nodig zijn, dan bevindt het systeem zich automatisch in de geautoriseerde staat en hoeft er geen verdere actie te worden ondernomen. Alleen bij 'configuratie' van een functie waarvoor een licentie is vereist, zal het systeem proberen de licentie dynamisch te verkrijgen van de Cisco-backend servers.

Traditionele versus slimme licentiebewerkingen

Hier zijn een paar verschillen tussen de licentiemodellen. Merk op dat slechts een van hen op een gegeven moment actief is.

Traditionele (knooppunt vergrendelde) licentiëring

Smart (Dynamic)-licentiëring

U moet de licentie verkrijgen en deze handmatig op elk apparaat installeren via het PAK-bestand.

Er is geen software-installatie nodig. Het apparaat initieert een HTTP/HTTPS call-home sessie en vraagt de licenties die het gebruikt en is geconfigureerd voor.

Licenties die zijn gekoppeld aan het chassis, verplaatsen of opnieuw provisioneren, vereisen een back-up of herinstallatie. Dit zijn allemaal handmatige handelingen die veel tijd kosten.

Licenties gekoppeld aan uw account. Schakel de optie uit die in het huidige chassis wordt gebruikt en configureer de optie opnieuw op een nieuw chassis dat dezelfde licentie moet gebruiken. Een herprovisioning gebeurt dynamisch wanneer het nieuwe apparaat een HTTP/HTTPS-verzoek initieert via het call-home proces.

Licentie voor vergrendeld knooppunt - de licentie is gekoppeld aan een specifiek apparaat/specifieke sleuf.

Licentiepool(en) die al in de klantaccount zijn gemaakt, die bedrijfsspecifiek zijn en kunnen worden gebruikt met elk ASR9K-apparaat in uw bedrijf.

Geen gemeenschappelijke installatielocatie om de aangeschafte licenties of trends in het softwaregebruik te bekijken.

Voor individuele chassis/systemen moet de administratie van de licentie handmatig worden bijgehouden.

Licenties worden veilig opgeslagen op Cisco-backend-servers, toegankelijk 24x7x365. Het aantal licenties is per klantaccount/pool en veel apparaten kunnen deel uitmaken van dezelfde pool.

Extra licentie vereist een nieuw PAK-bestand en handmatige interventie/interactie met het apparaat.

Extra licentie kan worden overgedragen via een webbrowser die verwijst naar de Cisco URL en de account die in Backend Servers is gemaakt. In principe punt en klik operaties.

Geen eenvoudige manier om licenties van het ene apparaat naar het andere over te dragen.

Licenties kunnen zonder installatie van de software tussen productexemplaren worden verplaatst. U kunt ook eenvoudig licenties van de ene pool naar de andere overdragen met een webinterface.

Operationele weergave

Dit schema toont de vergelijking tussen de twee licentieregelingen.

Smart Licensing stappen zijn zeer eenvoudig en intuïtief. Wanneer u de uitrusting/het apparaat koopt, kunt u de licenties die u nodig hebt tegelijkertijd bestellen of later bestellen. Na voltooiing van de aankoop en levering van de licenties door Cisco:

  • Cisco biedt u een gebruikersnaam, wachtwoord en Uniform Resource Locator (URL) voor toegang tot licentieinformatie via een webbrowser 24x7.
  • Deze account beheert licenties, genereert rapporten, groepeert apparaten, maakt pools van licenties en eventuele andere organisatorische behoeften die de operationele behoeften van de klant/organisatie vergemakkelijken.
  • Met de account kan de klant een idtoken genereren, waarmee het apparaat van de klant en het aangeschafte licentierecht op unieke wijze worden geïdentificeerd. Het token kan geldig zijn van een dag tot een jaar. Het token kan op elk moment worden ingetrokken, verwijderd en opnieuw gecreëerd door de klant. Het is een zelfhulpmodel.
  • De klant gebruikt de token die in de meegeleverde Cisco-account zijn gegenereerd om één apparaat of duizend apparaten te registreren, omdat er geen limiet is aan het aantal apparaten dat hetzelfde token kan gebruiken. Dit document bevat meer tips voor een efficiënt gebruik van deze functie.
  • Apparaatregistratie is blijvend en overleeft bij herladen en upgrades van het systeem. Het ASR9K-apparaat kan worden gedwongen om in geval van verlies opnieuw te registreren met de oude idtoken of een nieuwere als men dat wenst.
  • Geen tussenkomst is nodig na registratie, het ASR9K systeem periodiek peilt de rekening die het heeft geregistreerd voor naleving. Als het systeem OCR is, wordt er een syslog gegenereerd om de gebruiker te waarschuwen.

Web interface/portal

Hier volgt een snelle rondleiding door de web interface waar het registratieproces begint:

Virtual Account aka Licentiepool wordt gebruikt om licenties logisch te huisvesten en te organiseren naar behoefte van een organisatie. Het is een container van licenties, geregistreerde apparaten voor de kenmerken waarvoor een licentie vereist is. U kunt één pool per site, per afdeling, enzovoort maken.

Licenties kunnen gemakkelijk van de ene pool naar de andere worden overgedragen.

Idtoken is een sleutel die gegenereerd wordt door deze account, die gebruikt wordt om de ASR9K-apparaten te registreren. Het kan van één dag tot één jaar geldig zijn. Het enige gebruik voor het token is om het apparaat te registreren en daarna is het niet nodig. Het token is een tekststroom die gekopieerd kan worden naar een TcL of Python script om registratie op afstand te automatiseren.

U kunt bijvoorbeeld een token voor één dag maken en deze naar een externe site sturen, die door externe handen gebruikt kan worden voor apparaatregistratie. Het verloopt in één dag en de verre handen kunnen het niet gebruiken om een ander apparaat te registreren. Zelfs als het wordt gebruikt om apparaten te registreren die niet tot uw bedrijf behoren, ziet u het apparaat gemakkelijk in het tabblad Product Instance en kunt u actie ondernemen om de licentie in te trekken.

Het rapport genereert dynamisch verschillende vormen van inventaris en kan worden geëxporteerd naar een Excel-indeling voor offline gebruik, boekhouding of analyse.

Het tabblad Licentie toont de licenties die zijn aangevraagd door verschillende ASR9K-apparaten, die het aantal en de status van elke licentie weergeven. Het item Transfer link kan worden gebruikt als u er direct op klikt en eenvoudig licenties overdraagt van en naar elke pool in de account.

Het tabblad Event Log registreert activiteiten van de apparaten tegen de pool met een syslog-type formaat en registreert acties die elk apparaat of gebruiker van de account uitvoert, zoals registratie, uitschrijving, enzovoort. De interface is eenvoudig en intuïtief voor navigatie of debuggen.

Configuratie

In dit voorbeeld wordt gekeken hoe u kunt upgraden van Traditionele licentiëring naar Slimme licentiëring. Merk op dat in sommige gevallen Smart Licensing de standaard kan zijn.

Traditionele licentiëring

Om traditionele licenties te controleren, kunt u enkele opdrachten uitvoeren vanuit het beheervlak. Hier zijn er een paar die een andere output hebben dan Smart Licensing.

N.B.: Traditionele licentiëring is de standaardlicentiemodus in Cisco IOS XR-releases 5.3.0 en hoger.

RP/0/RSP1/CPU0:ROA(admin)#show license pools

Pool: Owner
Feature: A9K-24X10-OPT-LIC A9K-24X10-VID-LIC A9K-24X10G-AIP-SE A9K-24X10G-AIP-TR
 A9K-2X100-OPT-LIC A9K-2X100-VID-LIC A9K-2X100G-AIP-SE A9K-2X100G-AIP-TR
 A9K-36X10-OPT-LIC A9K-36X10-VID-LIC A9K-36X10G-AIP-SE A9K-36X10G-AIP-TR
 A9K-400G-AIP-SE A9K-400G-AIP-TR A9K-400G-OPT-LIC A9K-400G-VID-LIC
 A9K-800G-AIP-SE A9K-800G-AIP-TR A9K-800G-OPT-LIC A9K-800G-VID-LIC
 A9K-ADV-OPTIC-LIC A9K-ADV-VIDEO-LIC A9K-AIP-LIC-B A9K-AIP-LIC-E
RP/0/RSP1/CPU0:ROA(admin)#show license allocated

FeatureID: A9K-800G-AIP-SE (Slot based, Permanent)
Total licenses 1
Status: Allocated   1
   Pool: Owner
     Total licenses in pool: 1
     Status: Operational:   1
     Locations with licenses: (Active/Allocated) [SDR]
             0/0/CPU0       (0/1) [Owner]

Een subset van Traditional Licensing commando's kan ook uitgevoerd worden vanuit exec vlak, maar het is een goed idee om ze uit te voeren vanuit het admin vlak, dat de volledige lijst heeft.

RP/0/RSP1/CPU0:ROA#show license ?    
WORD       Feature ID
active     Currently checked-out/being used by applications.
allocated  Allocated to a slot but not used.
available  Not currently active.
evaluation Display the evaluation licenses.
expired    Display evaluation licenses already expired.
location   Show information for a specific location
log        The operational or administrative logs.
|          Output Modifiers
<cr>

Smart Licensing

Smart Licensing is nog niet ingeschakeld, maar dit is wat het systeem toont.

Zelfs als er geen configuratie wordt toegepast, gebruikt het standaard ingebouwde profiel van call_home HTTPS, die via de poorten voor systeembeheer naar de Cisco backend-servers verwijst. Zie meer op call_home later in dit document.

RP/0/RSP1/CPU0:ROA#show run call-home  
% No such configuration item(s)

RP/0/RSP1/CPU0:ROA#show call-home detail | i https
   http proxy: Not yet set up
   HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService

Voor een minimale configuratie heb je alleen stap 1 en 4 nodig. De rest van de stappen is voor informatie, verificatie en rapportage.

  1. Voer in de beheermodus de volgende opdrachten in: 
    RP/0/RSP1/CPU0:ROA(admin-config)#license smart enable
    RP/0/RSP1/CPU0:ROA(admin-config)#commit
  2. In de exec modus configureer meer knoppen, zoals e-mailadres, of gebruik dit standaardprofiel dat automatisch wordt gegenereerd wanneer de beheerdersconfiguratie is vastgelegd. 
    RP/0/RSP1/CPU0:ROA#show run call-home
    call-home
    service active
    contact-email-addr sch-smart-licensing@cisco.com
    profile CiscoTAC-1
    active
    destination transport-method http
  3. Controleer in de beheermodus de versie van Smart Licensing: 
    RP/0/RSP1/CPU0:ROA(admin)#show license version
    Cisco Smart Licensing Agent, Version 1.1.4_throttle/16
  4. Voer in de beheermodus deze opdracht in: 
    RP/0/RSP1/CPU0:ROA(admin)#license smart register idtoken
     NjgyMWM2NDItMzI5My00YzQ2LThmMDItMzhhNWI2Mzk2YWUwLTE0MzUzMzM3%
    0aMDQwNDB8SWRzSGkvR0d2MWZTZEhzK2RWUmJWMmh0U1ZIa2tBVzBLZKl1ZHhs%0AZGRPbz0%3D%0A ?
    force Force Registration
    <cr>  

    license smart register: Registration process is in progress. Please check
     the syslog for the registration status and result

    Het sleutelwoord Force overschrijft en vernietigt alle informatie met betrekking tot het apparaat dat eerder was geregistreerd. De trefwoordkracht moet spaarzaam en in speciale gevallen worden gebruikt. U kunt ook de webgebruikersinterface gebruiken om het apparaat uit de account te verwijderen.

  5. Query voor de status van de bewerking: 
    RP/0/RSP1/CPU0:ROA(admin)#show license register-status
       Registration Status: Completed
           Registration Start Time: Wed Dec 17 2014 13:07:23 PST
           Next ID Cert Renew Time: Mon Jun 15 2015 14:07:45 PST
           Next ID Cert Expiration Time: Thu Dec 17 2015 13:01:41 PST
           Last Response Time: Wed Dec 17 2014 13:07:45 PST
           Last Response Message: OK: OK

    Als de Status niet 'Voltooid' is, ziet u berichten op de console of syslog. Hier is het succesvolle syslog bericht:

    RP/0/RSP1/CPU0:Dec 17 13:07:45.285 : licmgr[310]: SMART_LIC-6-AGENT_REG_SUCCESS:
    Smart Agent for Licensing Registration with Cisco licensing cloud successful
    RP/0/RSP1/CPU0:Dec 17 13:08:18.357 : licmgr[310]: SMART_LIC-3-OUT_OF_COMPLIANCE:
    One or more entitlements are out of compliance':
  6. Op dit systeem zijn maar weinig functies geconfigureerd waarvoor licenties nodig zijn en deze uitvoer geeft de status aan van 'Out of compliance': 
    RP/0/RSP1/CPU0:ROA(admin)#show license entitlement | i Tag | e Not | u sort
       Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,
    1.0_66d3ccf7-a374-4409-a3f9-6bc56d645f1c, Version: 1.0, Enforce Mode:
     Out of compliance
       Tag: regid.2014-04.com.cisco.A9K-24X10-VID-LIC,1.0_9f03b94f-3c76-4a39-82f2
    -1b53cdf5cb15, Version: 1.0, Enforce Mode: Out of compliance
       Tag: regid.2014-04.com.cisco.A9K-24X10G-AIP-TR,1.0_e5d7cec3-e8e3-43c6-88c9
    -a113b76679f8, Version: 1.0, Enforce Mode: Out of compliance
       Tag: regid.2014-06.com.cisco.A9K-2X100-OPT-LIC,1.0_0f74bb00-42af-4c4d-b162
    -bcb346c7510a, Version: 1.0, Enforce Mode: Out of compliance
       Tag: regid.2014-06.com.cisco.A9K-2X100-VID-LIC,1.0_a482b964-6371-4aad-8e82
    -2083c5749205, Version: 1.0, Enforce Mode: Out of compliance
       Tag: regid.2014-06.com.cisco.A9K-2X100G-AIP-SE,1.0_ce447831-e4af-4def-a98b
    -3297fab65561, Version: 1.0, Enforce Mode: Out of compliance
       Tag: regid.2014-06.com.cisco.A9K-36X10-OPT-LIC,1.0_92a8597a-f591-4afc-adeb
    -9b212cee11be, Version: 1.0, Enforce Mode: Out of compliance
  7. Bekijk de opdrachten die u in Traditionele licentiëring hebt gebruikt en die een andere uitvoer hebben.

    Of de Smart Licensing of de Traditional Licensing CLI is op elk moment beschikbaar, niet beide.

    De poolnaam wordt gebruikt om apparaten te organiseren/categoriseren. U kunt één pool per regio/geografie, afdeling of functioneel gebied, of financiële groepen gebruiken, enzovoort. Elk bedrijf kan zelf beslissen hoe ze de licenties voor een pigeonhole willen regelen. Houd er ook rekening mee dat het heel eenvoudig is om uw normale browser te gebruiken om licenties tussen pools te bekijken, te wijzigen of te verplaatsen, de licentietellingen toe te voegen of te wijzigen, en dat eenvoudig te doen zonder hulp van Cisco, onafhankelijk, 24 uur per dag.

    RP/0/RSP1/CPU0:ROA(admin)#show license pool
    Assigned Pool Info: PATRICK_NO_LIC
  8. Vanaf hier controleert het systeem elke dag automatisch of aan de eisen wordt voldaan. Als er een storing is, probeert het systeem elke 20 minuten gedurende vier uur en daarna eenmaal per dag gedurende 30 dagen. Syslog-berichten worden afgedrukt, die de connectiviteit, bereikbaarheid, communicatie, enzovoort aangeven als gevolg van storingen. Het zuiveren wordt besproken meer later in dit document.
  9. Typ de volgende opdrachten om het apparaat te deregistreren: 
    RP/0/RSP1/CPU0:ROA(admin)#license smart deregister

    license smart deregister: Success


    License command "license smart deregister " completed successfully. 
    RP/0/RSP1/CPU0:ROA(admin)#show license register-status
       Registration Status: Not Registered
  10. Om te weten te komen welke licenties op een bepaald chassis beschikbaar zijn, voert u deze opdracht in: 
    RP/0/RSP1/CPU0:ROA(admin)#show license features

    Platform Feature ID:
    A9K-ADV-OPTIC-LIC
    A9K-ADV-VIDEO-LIC
    A9K-iVRF-LIC
    A9K-AIP-LIC-B
    A9K-AIP-LIC-E
    A9K-MOD80-AIP-TR
    A9K-MOD80-AIP-SE
    A9K-MOD160-AIP-TR
    A9K-MOD160-AIP-SE
    A9K-2X100G-AIP-TR
    . . . output snipped . . .

Anatomie en doorstroming van de toepassing

Om de mechanica van de toepassing te begrijpen, moet u een basisbegrip van zijn componenten hebben. Voor het gebruik of de inzet van de software is echter geen voorafgaande kennis nodig, behalve om de gepubliceerde richtlijnen te volgen. Dit deel is vooral bedoeld voor technisch personeel en ingenieurs die graag op de hoogte willen zijn van de details.

Implementatie, configuratie en opties

Smart Licensing kan worden ingezet in verschillende scenario's, afhankelijk van de vereisten met betrekking tot beveiliging, beheerbaarheid en operationele modus van de klant.

Voorbeeld:

  • U kunt ervoor kiezen de ASR9K NIET toe te staan 'direct' verbinding te maken met Cisco Cloud/Backend-servers. In dit geval kunt u een 'proxy'-server op uw locatie gebruiken en de firewall, de verkeersstroom beheren, en hoe de Smart Licensing-toepassing past in de beveiligingsbehoeften van de organisatie. Dit kan eenvoudig worden ingesteld via Open Source Apache software die draait op Windows of Linux OS's.
  • Of u zou al uw ASR9K-apparaten kunnen aansluiten op een aggregatorhost die alle lokale verzoeken van alle ASR9K-apparaten kan ontvangen voordat u ze doorstuurt naar Cisco Backend Servers. Dit is een taak voor Transport Gateway software die draait op Linux en Windows en beschikbaar is voor download bij Cisco Transport-Gateway download.
  • Of u zou volledig offline met software kunnen willen werken On-Prem die op Linux en Windows loopt en u toestaat om slechts "deze gastheer op-Prem"te hebben om het spreken voor verlenen van vergunningen informatie uitwisseling met Cisco Cloud te doen en beurtelings informatie aan de eindapparaten over hun staat van naleving te verstrekken. Deze software is beschikbaar in release 5.3.1 of hoger.

Naast ondersteuning voor HTTPS kan de software ook worden geconfigureerd om te worden uitgevoerd in een Virtual Routing Forwarding (VRF)-instelling die een hoger niveau van controle mogelijk maakt over de manier waarop licentieinformatie wordt getransporteerd.

Bovendien wordt IPv6 alleen ondersteund en is er alleen een geldig IP6-adres op het systeem nodig om via internet te kunnen communiceren met Cisco-backend servers.

Deze configuraties gaan ervan uit dat de ASR9K is geconfigureerd met Domain Name System (DNS) of IPv4/IPv6 domeinhost, zodat het hostnamen kan oplossen om het buitennetwerk te bereiken.

Configuratie van Network Time Protocol (NTP) is nodig om het systeem asynchrone te houden met de back-end certificaatservers.

RP/0/RSP0/CPU0:ROA#show run domain
domain name cisco.com
domain list cisco.com
domain name-server 171.70.168.183
domain name-server 2001:420:68d:4001::a
RP/0/RSP0/CPU0:ROA#show run | i ipv6 host
Building configuration...
domain ipv6 host tools.cisco.com 2001:420:1101:5::a

HTTP-proxy configureren

Apache-configuratie valt buiten het bereik van dit artikel, maar er zijn veel goede documenten op het internet die je door de stappen kunnen leiden. Om de functionaliteit aan te tonen, is Apache geconfigureerd voor een eenvoudige proxy op poort 80. Zie debug output van Apache's mod_proxy hier getoond.

Voor Smart Licensing is de configuratie echter zeer eenvoudig, noem alleen de naam van de proxyserver en de poort. De configuratie stuurt de aanvraag eenvoudig door naar de proxyserver in plaats van rechtstreeks contact op te nemen met de Cisco backend-servers. De proxyserver zal contact opnemen met de servers via elk transport dat is geconfigureerd om de aanvragen door te sturen; HTTPS wordt aanbevolen. Naast http-proxy mybastion.cisco.com poort 80, is geen andere configuratie vereist.

RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
http-proxy mybastion.cisco.com port 80
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http

Voer de registratieopdracht admin-licentie smart register idtoken <idtoken>in en merk op dat de uitvoer de aanvraag/reactie van de ASR9K weergeeft. Noteer de tellers van de tijdstempels en de succeskolom.

RP/0/RSP0/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT        1       0       0       0       2015-01-12 21:06:56
DEREGISTRATION     0       0       0       0             n/a
REGISTRATION       1       0       0       0       2015-01-12 21:06:21
ACKNOWLEDGEMENT    1       0       0       0       2015-01-12 21:06:38

Hier is een fragment van de Apache-toegangslogboeken waaruit blijkt dat het verzoek wordt verzonden via poort 443, HTTPS-protocol.

root@mybastion:/var/log/httpd #tail -f proxy-*

==> proxy-error.log <==
[Mon Jan 12 21:06:10 2015] [debug] mod_proxy_connect.c(70): proxy: CONNECT:
 canonicalising URL tools.cisco.com:443
[Mon Jan 12 21:06:10 2015] [debug] proxy_util.c(1515): [client 172.27.130.65] proxy:
 *: found forward proxy worker for tools.cisco.com:443
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(109): [client 172.27.130.65]
 (70014)End of file found: proxy: CONNECT: error on client - ap_get_brigade
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(425): proxy: CONNECT:
 finished with poll() - cleaning up

==> proxy-access.log <==
172.27.130.65 - - [12/Jan/2015:21:06:10 -0800] "CONNECT tools.cisco.com:443 HTTP/1.1" 200 -

Configureren van transportgateway

In dit scenario is de Transport Gateway-toepassing geïnstalleerd op een Linux- of Windows-host en geconfigureerd om de licentieverzoeken van ASR9K-apparaten op de locatie van de klant te ontvangen en deze te relay naar de Cisco-backend servers. Zie de Implementatie- en gebruikershandleiding voor transportgateway voor meer informatie.

De configuratie op de ASR9K is slechts één regel. Hier is een voorbeeld; raadpleeg de documentatie voor de exacte configuraties die nodig zijn voor uw omgeving.

call-home
profile CiscoTAC-1
destination address http
https://TG-IP-or-FQDN/Transportgateway/services/DeviceRequestHandler

VRF configureren

VRF maakt meer controle over beheerverkeer mogelijk en is bijna transparant voor slimme licentiëring. Er is echter één lijnconfiguratie nodig om ervoor te zorgen dat de onderliggende software de VRF-tabel raadpleegt in plaats van de globale tabel wanneer Smart Licensing-software de Cisco-backend-servers probeert te bereiken.

De hier getoonde string is de VRF naam die in het systeem geconfigureerd is.

RP/0/RSP0/CPU0:ROA(config)#http client vrf MGMT

Gedetailleerde uitvoer van Call Home

Een voorbeelduitvoer om te controleren of Call Home correct werkt, wordt hier weergegeven.

RP/0/RSP0/CPU0:ROA#show call-home detail

Current call home settings:
   call home feature : enable
   call home message's from address: mylab-roa@cisco.com ; optional, any address
   call home message's reply-to address: pasoltan@cisco.com ; optional,
 recipient address

   vrf for call-home messages: Not yet set up ; Not supported natively yet

   contact person's email address: sch-smart-licensing@cisco.com ; default

   contact person's phone number: +1-408-526-8438 ; optional
   street address: 1550 Soltani Lane, Cisco System Drive, North Pole, NP 99709
   customer ID: Not yet set up
   contract ID: Not yet set up
   site ID: BUILDING20-125 ; optional

   source interface: Not yet set up ; can be configured to use a specific interface.
   Mail-server[1]: Address: bastion.cisco.com Priority: 1 ; optional
   Mail-server[2]: Address: 171.68.58.10 Priority: 10     ; optional
   Mail-server[3]: Address: 173.37.183.72 Priority: 20   ; optional
   http proxy: Not yet set up ; when configured will change.

   Smart licensing messages: enabled
   Profile: CiscoTAC-1 (status: ACTIVE) ; default profile supported.
Can not be renamed, deleted, but can be modified, activated, deactivated.

   aaa-authorization: disable      ; optional
   aaa-authorization username: callhome (default) ; default
   data-privacy: normal     ; can be configured to use the hostname or not.
   syslog throttling: enable

   Rate-limit: 5 message(s) per minute

   Snapshot command: Not yet set up
; Non-smart licensing configuration for alerts, data collection, defaults.
Available alert groups:
   Keyword                State   Description
   ---------------------- ------- -------------------------------
   configuration         Enable configuration info
   environment           Enable environmental info
   inventory             Enable inventory info
   snapshot              Enable snapshot info
   syslog                Enable syslog info

Profiles:

Profile Name: CiscoTAC-1
   Profile status: ACTIVE
   Profile mode: Full Reporting
   Reporting Data&colon; Smart Call Home, Smart Licensing
   Preferred Message Format: xml
   Message Size Limit: 3145728 Bytes
   Transport Method: http
   Email address(es): callhome@cisco.com
   HTTP address(es): ; Only configuration needed if default is not desired.
http://tools.cisco.com/its/service/oddce/services/DDCEService
                       https://tools.cisco.com/its/service/oddce/services/DDCEService

   Periodic inventory info message is scheduled every 23 day of the month at 11:2

   Alert-group              Severity
   ------------------------ ------------
   environment               minor      
   inventory                 normal    

   Syslog-Pattern           Severity
   ------------------------ ------------
   .*                        critical

Configuratie-opties voor niet-slimme licentiëring van Call Home

U kunt Call Home configureren om syslog- en diagnostische gegevensverzameling te doen en kerndumps te laten uitvoeren, of het e-mailmeldingen te laten versturen voor evenementen en zo verder, samen met de slimme licentieklusjes die het voltooit.

U kunt uw verzamelde Call Home-informatie met uw gebruikersnaam en wachtwoord voor Smart Licensing bekijken op https://tools.cisco.com/sch/reports/deviceReport.do.

Zie de documenten in het gedeelte 'Verwante informatie' voor meer informatie over hoe u deze functie kunt gebruiken om uw omgeving te bevoordelen. Een voorbeeld van een e-mailbericht is te vinden in de sectie "Odds and Ends".

Debuggen

Er zijn geen harde en snelle regels om Smart Licensing software te debuggen vanwege de vele componenten die het pakket bevatten. Een paar gemeenschappelijke benaderingsmethoden beperken de kwesties echter gewoonlijk. Hier zijn een paar suggesties.

Syslogs

Kijk eerst in de syslog. U krijgt enkele aanwijzingen over welke component het eerst moet worden gecontroleerd. In deze berichten ziet u enkele certificaatproblemen en een verzuim om Call Home HTTP-berichten te verzenden; eindelijk wordt de communicatie hersteld.

RP/0/RSP0/CPU0:ROA#sh log | i SMART

RP/0/RSP1/CPU0:Dec 17 20:01:28.522 : licmgr[308]: SMART_LIC-3-ID_CERT_RENEW_FAILED:
ID certificate renewal failed: Response error: {"product_instance_identifier":
["ProductInstance '8baecfb5-2688-429b-8519-10a3f0dec6b5' is not valid"]}

RP/0/RSP1/CPU0:Dec 17 20:01:34.273 : licmgr[308]: SMART_LIC-3-AUTH_RENEW_FAILED:
Authorization renewal with Cisco licensing cloud failed: Response error:
 LS_UNMATCH_SIGNED_DATA&colon; Signed data and certificate does not match

RP/0/RSP0/CPU0: Dec 17 18:26:24.009 : licmgr[314]: SMART_LIC-3-COMM_FAILED:
Communications failure with Cisco licensing cloud: Fail to send out Call Home
 HTTP message

RP/0/RSP0/CPU0:Dec 17 18:28:03.057 : licmgr[314]: SMART_LIC-3-AGENT_REG_FAILED:
Smart Agent for Licensing Registration with Cisco licensing cloud failed:
 Communication message send error

RP/0/RSP0/CPU0:Dec 17 18:30:09.247 : licmgr[314]: SMART_LIC-5-COMM_RESTORED:
Communications with Cisco licensing cloud restored

RP/0/RSP0/CPU0:Dec 17 18:30:21.923 : licmgr[314]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful

Controleer de uitvoer van het showbevel om een handvat te krijgen op welke staat de doos/de component in is. Hier ziet u mobiliteit, Internet Protocol Security (IPsec) en optische licenties.

RP/0/RSP0/CPU0:ROA#admin show license entitlement
Entitlement:
  Tag: regid.2014-06.com.cisco.A9K-MOBILE-LIC,1.0_e447924c-0a6f-41be-9202-8ae60fcc2972,
 Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-09.com.cisco.A9K-IPSEC-20G-LIC,1.0_a165db99-eb3f-474b-bdf0-
ce4b140d9b45, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

 Tag: INSTALLMGR, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,1.0_66d3ccf7-a374-4409-a3f9-
6bc56d645f1c, Version: 1.0, Enforce Mode: Out of compliance
  Requested Time : Mon Jan 12 2015 20:47:07 PST, Requested Count: 1
  Vendor String:
... output snipped ...

Controleer of de licentie aan de voorschriften voldoet.

RP/0/RSP0/CPU0:ROA#admin show license status
Compliance Status: Out of compliance

Controleer welke pool actief is.

RP/0/RSP0/CPU0:ROA#admin show licence pool
Assigned Pool Info: PATRICK_NO_LIC

Controleer het certificaat van licentie.

RP/0/RSP0/CPU0:ROA#admin show license cert
 Licensing Certificates:
   ID Cert Info:
    Start Date: Mon Jan 12 2015 21:00:13 PST. Expiry Date: Tue Jan 12 2016 21:00:13 PST
    Serial Number: 24724
    Version: 3
    Subject/SN: 60fe47f8-aaaa-40fc-ae3e-fae9c7b6d0ac
    Common Name: 138091632beb1f2e38069e9eec8f9c626de471ac::1,2
   Signing Cert Info:
    Start Date: Wed Sep 11 2013 12:05:34 PST. Expiry Date: Sun May 30 2038 12:48:46 PST
    Serial Number: 3
    Version: 3

Controleer de licentieversie.

RP/0/RSP0/CPU0:ROA#admin show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

Deze opdracht toont de statistieken over call-home-pogingen, die geslaagd en/of mislukt zijn.

RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
REGISTRATION    1       0       0       0       2014-12-17 21:07:53
ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
RENEW           1       0       0       0       2014-12-17 21:08:57

Call Home-proces

Controleer de traceerbestanden voor het call_home proces, aangezien transport tussen de ASR9K en Cisco Cloud door het proces wordt beheerd.

RP/0/RSP0/CPU0:ROA#show call-home trace error last 2

81 wrapping entries (576 possible, 320 allocated, 0 filtered, 81 total)!
Jan 28 10:10:29.729 call_home/error 0/RSP0/CPU0 t10 call_home_http_resp_data(),
 httpc response error, Host name resolution failed

Jan 28 10:10:39.730 call_home/error 0/RSP0/CPU0 t19 call_home_events_handler() failure status 67

Smart Check (Software Agent)

Controleer de sporen. Deze sporen tonen de interactie van de licentie met Cisco Cloud-servers.

RP/0/RSP0/CPU0:ROA#admin show license trace smartlic last 2
987 wrapping entries (1088 possible, 0 filtered, 987 total)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 Failed to bind to SysDB - 'Subsystem(2091)' detected the 'success' condition
 'Code(45)': Unknown Error(292)

Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 SMART ERROR - SASACKExpirationJob: expirySeconds=3842

Licentiebeheer controleren

Dit proces is de belangrijkste interface voor slimme licenties op de ASR9K en wordt beschouwd als de lijm tussen verschillende componenten.

RP/0/RSP1/CPU0:ROA#admin show license trace
557 wrapping entries (576 possible, 0 filtered, 5403 total)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 Client search success pkg/bin/rsi_agent (No error)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 A9K-MOD160-AIP-SE regid.2014-06.com.cisco.A9K-MOD160-AIP-SE,
1.0_7f1b3d9c-a183-41d1-8d0b-d98dcc2751a8 (No error)

Platform-afhankelijke sporen

Hoewel het Platform Dependent (PD) deel van de code slechts een Dynamic Link Library is, speelt het een belangrijke rol in het initiëren van verzoeken om licentierechten. Het lost daarom problemen op met betrekking tot licentietypen, tellingen, enzovoort.

RP/0/RSP1/CPU0:ROA#admin show license trace platform all last 5
1849 wrapping entries (5440 possible, 3136 allocated, 0 filtered, 183450 total)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start: ver:1,
 node:0x00000041 cmd:Audit(5) req:Mobile(9) feature:A9K-MOBILE-LIC(13) grant:
 Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start #2:
 client restarted:False up for a day:True
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License Start:
 request:Mobile(9) slot:4 grant:Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License End:
 request:Mobile(9) slot:4 grant:Not Pending(0) rc: 0x00000000 No error
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Cmd End:Audit(5),
 slot:4 rc:0x00000000 No error

Debug inschakelen

Als al het andere mislukt, schakel dan de debug in en voer een aanvraag op aanvraag in voor verlenging van de certificaten of rechten. Met deze debug worden alle transacties tussen de ASR9K en Cisco Cloud Services verzameld.

RP/0/RSP0/CPU0:ROA#debug smartlic
RP/0/RSP1/CPU0:ROA#show debug

#### debug flags set from tty 'aux0_RSP1_CPU0' ####
smartlic debug flag is ON with value 0

Er is geen directe foutherkenning van de gebruikersinterface of Cisco Cloud Server beschikbaar. Stuur een e-mail naar asr9k-smart-lic@cisco.com met alle problemen.

Odds and Ends

  1. Als meerdere vakjes zijn ingesteld om rechten te verkrijgen uit dezelfde LICENTIEPOOL, zelfs als slechts één apparaat door ONE-licentie wordt ingekort, dan zijn AL uw apparaten OCR. Dit komt vooral door het ontwerp dat het uitzicht op zwembad als de container heeft. Het nieuwe model, de hiërarchische organisatie van zwembaden die in het werk is, richt zich op het gedrag in toekomstige releases.
  2. E-mail jezelf elke show opdrachtoutput rechtstreeks van de console. Noteer de dubbele aanhalingstekens en het gebruik van een puntkomma na elk commando. Call Home doet veel bewerkingen die geen betrekking hebben op slimme licenties. Dit is een voorbeeld van waarvoor Call Home kan worden gebruikt. Het is een lopende configuratie die voor om het even welk milieu kan worden gewijzigd. 
    RP/0/RSP1/CPU0:ROA#show run call-home
    call-home
    service active
    site-id BUILDING20-125
    sender reply-to pasoltan@cisco.com
    sender from roa@cisco.com
    alert-group syslog
    alert-group snapshot
    alert-group inventory
    mail-server 171.68.58.10 priority 10
    mail-server 173.37.183.72 priority 20
    mail-server 2001:420:303:2008::24 priority 2
    mail-server mybastion.cisco.com priority 1
    phone-number +1-408-526-8438
    contact-email-addr sch-smart-licensing@cisco.com
    street-address 1550 E.Tasman Drive, San Jose, CA 9513
    profile CiscoTAC-1
    active
    destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
    reporting smart-call-home-data
    reporting smart-licensing-data
    destination transport-method http

    RP/0/RP1/CPU0:ROA#call-home send "show run call; admin show platform"
     email pasoltan@cisco.com msg-format long-text

    Sending ondemand CLI output call-home message ...
    Please wait. This may take some time ...
  3. De show call-home smartlic status commando gebruikt het woord 'succes' wat simpelweg betekent vanuit een call-home proces perspectief dat het transport van de berichten van de ASR9K naar Cisco Cloud Servers succesvol was. Dit betekent echter NIET dat de licentiëring van end-to-end servers met Cisco Cloud Servers succesvol was. Als er bijvoorbeeld een probleem is met de account, het certificaat, of zo verder met de portal, wordt het bericht getransporteerd en wordt succes getoond, maar de totale werking van het doorlichten van de licenties door backend servers kan mislukken. 
    RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
    Success: Successfully sent and response received.
    Failed : Failed to send or response indicated error occurred.
    Inqueue: In queue waiting to be sent.
    Dropped: Dropped due to incorrect call-home configuration.

    Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
    ----------------------------------------------------------------------
    ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
    DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
    REGISTRATION    1       0       0       0       2014-12-17 21:07:53
    ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
    RENEW           1       0       0       0       2014-12-17 21:08:57
  4. Wanneer u de beheerinterfaces met zowel IPv4 als IPv6 configureert, is de volgorde van de resoluties van namen naar IP-adres of DNS-resolutie eerst IPv6. 
    RP/0/RSP1/CPU0:ROA#show run int M*
    interface MgmtEth0/RSP0/CPU0/0
    cdp
    ipv4 address 172.27.130.64 255.255.255.128
    ipv6 address fe80::172:27:130:64 link-local
    ipv6 address 2001:420:303:2008:0:28:1:64/80
    ... snipped output ...
    RP/0/RSP1/CPU0:ROA#ping tools.cisco.com
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 2001:420:1201:5::a, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 44/45/49 ms
    RP/0/RSP1/CPU0:ROA#ping ipv4 tools.cisco.com
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 173.37.145.8, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 43/44/45 ms

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
10-Jul-2015
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Sam Milstead and Patrick Soltani
    Cisco TAC Engineers.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten