Problemen met Smart Licensing op Catalyst-platforms troubleshooten

Inleiding

In dit document wordt beschreven hoe Cisco Smart Licensing (cloudgebaseerd systeem) kan worden gebruikt om softwarelicenties op Catalyst-switches te beheren.

Wat is Cisco Smart Licensing?

Cisco Smart Licensing is een op de cloud gebaseerd uniform licentiemanagementsysteem dat alle softwarelicenties in alle Cisco-producten beheert. Hiermee kunt u Cisco-softwarelicenties kopen, implementeren, beheren, volgen en verlengen. Daarnaast biedt het systeem via één gebruikersinterface informatie over het eigendom en gebruik van licenties.

De oplossing bestaat uit online slimme accounts (in het Cisco Smart Licensing Portal) die worden gebruikt om Cisco-softwarereleases te volgen en de Cisco Smart Software Manager (CSSM) die wordt gebruikt om de slimme accounts te beheren. CSSM is waar alle met licentiebeheer verband houdende taken, zoals het registreren, de-registreren, verplaatsen en overdragen van licenties, kunnen worden uitgevoerd. Gebruikers kunnen worden toegevoegd en toegang en machtigingen krijgen voor de Smart Account en specifieke virtuele accounts.

Meer informatie over Cisco Smart Licensing vindt u op de volgende pagina’s:

a) Startpagina van Cisco Smart Licensing

b) Cisco Community - on-demand trainingen

Ga voor meer informatie over de nieuwe Smart Licensing met beleidsmethode in Cisco IOS® XE 17.3.2 en hoger naar Smart Licensing met Policy on Catalyst-Switches .

Is Smart Licensing en/of Smart Account Administration nieuw voor u? Meld u aan voor de nieuwe trainingscursus voor beheerders, met opnames:
Cisco Community - Verkrijg slimme functies met Cisco Smart Accounts/Smart Licensing en Mijn Cisco-rechten.

Smart Accounts kunnen hier worden gemaakt: Smart Accounts

Smart Accounts kunnen hier worden beheerd: Smart Software-licentiëring

Implementatiemethoden voor Smart Licensing

Er bestaan verschillende methoden om Cisco Smart Licensing te implementeren, afhankelijk van het security profiel van een bedrijf. Hier volgen enkele voorbeelden:

Directe cloudtoegang

Cisco-producten verzenden gebruiksgegevens rechtstreeks en veilig via internet, op basis van HTTPS. Extra componenten zijn niet nodig.

Toegang via een HTTPS-proxy

Cisco-producten verzenden gebruiksgegevens veilig via een HTTP-proxyserver, op basis van HTTPS. Een bestaande proxyserver kan worden gebruikt of deze kan worden geïmplementeerd via de Cisco Transport Gateway (klik hier voor aanvullende informatie).

Lokale licentieserver (ook wel Cisco Smart Software Manager-satelliet)

Cisco-producten verzenden gebruiksgegevens naar een lokale server in plaats van rechtstreeks via internet. Eén keer per maand maakt de server via HTTPS contact met alle apparaten of de gegevens kunnen handmatig worden overgedragen om de database te synchroniseren. Een lokale CSSM-server (satelliet) is beschikbaar als VM (virtuele machine) en kan hier worden gedownload. Meer informatie vindt u op de pagina voor Smart Software Manager-satelliet.

Ondersteunde Cisco IOS XE-platforms

• Vanaf de release van Cisco IOS XE-versie 16.9.1 ondersteunen de Catalyst 3650/3850 en Catalyst 9000 Series switchplatforms de Cisco Smart Licensing-methode als de enige licentiemethode.
• Vanaf de release van Cisco IOS XE-versie 16.10.1 ondersteunen routerplatforms zoals ASR1K, ISR1K, ISR4K en virtuele routers (CSRv/ISRv) de Cisco Smart Licensing-methode als de enige licentiemethode.

Migratie van oudere licenties naar Smart Licenses

Er zijn twee methoden om een legacy-licentie, zoals Right-To-Use (RTU) of Product Activeringssleutel (PAK), om te zetten naar een Smart License. Raadpleeg de relevante release-opmerkingen en/of configuratiehandleiding voor het specifieke Cisco-apparaat voor informatie over de methode die moet worden gevolgd.

Conversie met apparaat (DLC)

• Device-Led Conversion (DLC) is een eenmalige methode waarbij het Cisco-product kan melden welke licenties worden gebruikt en de licenties automatisch worden gedeponeerd in hun corresponderende Smart Account op Cisco Smart Software Manager (CSSM). De DLC-procedure wordt rechtstreeks uitgevoerd via de opdrachtregelinterface (ook wel CLI genoemd) van het betreffende Cisco-apparaat.

• Het DLC-proces wordt alleen ondersteund op de Catalyst 3650/3850 platforms en bepaalde routerplatforms. Raadpleeg voor specifieke routermodellen de afzonderlijke platformconfiguratiegids en releaseopmerkingen. Voorbeeld: DLC-procedure voor Catalyst 3850 met Fuji 16.9.x-release.

Omzetten via CSSM (Cisco Smart Software Manager) of LRP (License Registration Portal)

Methode met Cisco Smart Software Manager (CSSM):

1. Log in bij Cisco Smart Software Manager (CSSM) op https://software.cisco.com/.

2. Navigeren naar Smart Software Licensing > Converteren naar Smart Licensing.

3. Kies PAK-conversie of converteer licenties.

4. Om een PAK-licentie te converteren, zoekt u de licentie in deze tabel. Als u een niet-PAK-licentie wilt converteren, gebruikt u de Wizard Licentieconversie voor de stapsgewijze instructies.

Locatie van bekende PAK-bestanden gekoppeld aan account:

  

Locatie van link voor Wizard License Conversion (Licentie converteren):

5. Zoek de gewenste licentie en productcombinatie.

6. Klik (onder Acties): Converteren naar slimme licenties.

7. Kies virtuele account, licentie en klik op Volgende.

8. Selecties bekijken en klik vervolgens op Licenties converteren.

LRP-methode (License Registration Portal):

1. Log in op het Licentieregistratieportal (LRP) https://slexui.cloudapps.cisco.com/SWIFT/LicensingUI/Home/a>

2. Navigeer naar Apparaten > Apparaten toevoegen.

3. Voer de juiste product familie en unieke apparaat-ID (UDI) en het juiste serienummer in en klik vervolgens op OK. UDI-informatie kan worden verkregen uit showversie of toont inventaris die is genomen uit de opdrachtregelinterface (CLI) van het Cisco-apparaat.

4. Kies het toegevoegde apparaat en converteer licenties naar slimme licenties.

5. Wijs de juiste virtuele account toe, kies de te converteren licenties en klik op Indienen.

Tip: LRP-tool kan ook worden gebruikt door de licentie/productfamilie op te zoeken op het tabblad PAK's of Tokens. Klik op de cirkelvervolgkeuzelijst naast het PAK/Token en kies Converteren naar slimme licentiëring:

Converteren en contact opnemen met Cisco’s GLO-afdeling (Global Licensing Operations)

De GLO-afdeling kan hier worden bereikt in onze wereldwijde contactcenters.

Verandering in het gedrag tussen versies 16.9 en 16.12.3 van Catalyst 9500 High Performance

Net als andere Catalyst 9000 modellen bieden de Catalyst 9500 High Performance-modellen vanaf Cisco IOS XE-versie 16.9 ondersteuning voor Smart Licensing. Voor de Catalyst 9500 High Performance-modellen gold echter dat voor elk model een eigen en specifieke tag voor licentierechten werd gebruikt. Later besloten de product- en marketingteams om de C9500 platformrechten tags te verenigen. Deze beslissing heeft ertoe geleid dat voor C9500 High Performance-modellen niet meer wordt gebruikgemaakt van specifieke rechtentags, maar van generieke C9500 licenties.

Deze gedragsverandering wordt gedocumenteerd in de volgende defecten:

a) Cisco bug-ID CSCvp30661

b) Cisco bug-ID CSCvt01955

Hier vindt u de voor- en na van de bovengenoemde wijzigingen en wijzigingen in de licentie voor C9500 hoogwaardige modellen:

Cisco IOS XE-versie 16.11.x en lager

Elk C9600 High Performance-model heeft eigen rechtentags.

Model	Licentie
C9500-32C	C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

Opmerking: Cisco IOS XE-versies 16.12.1 en 16.12.2 hebben defecten aan Cisco bug-id CSCvp30661 en Cisco bug-id CSCvt01955. Deze gebreken worden behandeld in 16.12.3a en later.

Cisco IOS XE-versie 16.12.3 en hoger

Catalyst 9500 hoogwaardige platforms maken nu gebruik van generieke netwerklicentietags en afzonderlijke DNA-licentietags. Deze tabel toont de wijzigingen in rechten die worden gemarkeerd in Cisco IOS XE versie 16.12.3 en hoger:

Model	Licentie
C9500-32C	C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 Network Essentials C9500 Network Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

Opmerking: upgrades van Cisco IOS XE-versies 16.12.1 en 16.12.2 geven dit licentiegedrag weer. Upgrades van Cisco IOS XE-versies 16.9.x, 16.10.x, 16.11.x tot 16.12.3 herkennen oude licentieconfiguraties.

Veelgestelde vragen over de wijziging voor C9500 High Performance

1. Waarom ondersteunt Cisco het toewijzen van een generieke netwerklicentie als mijn apparaat een apparaatspecifieke netwerklicentie gebruikt?

Er worden generieke tags gebruikt omdat dit de juiste rechtentags voor het netwerkapparaat zijn. Hierdoor kunnen de rechtentags worden gebruikt voor het hele Catalyst 9500 platform, niet alleen de specifieke C9500 High Performance-modellen. Oudere images dan versie 16.12.3 die om apparaatspecifieke licentietags vragen, zijn compliant met generieke licentietags aangezien de specifiekere licenties in de licentiehiërarchie onder de generieke licenties vallen.

2. Waarom verschijnen er soms twee netwerktags in de Smart Account?

Dit gedrag wordt veroorzaakt door de licentiehiërarchie en treedt op wanneer het apparaat wordt uitgevoerd op een oudere image die gebruikmaakt van apparaatspecifieke licentietags. Oudere images die om apparaatspecifieke licentietags vragen, zijn compliant met generieke licentietags aangezien de specifiekere tags in de licentiehiërarchie onder de generieke licenties vallen.

Configuratie

Basisconfiguratie

De exacte procedure voor het configureren van slimme licenties kan worden gevonden in de System Management Configuration Guide die beschikbaar is voor elke release/platform.

Voorbeeld: Configuratiehandleiding voor systeembeheer, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 switches)

Registratietoken/apparaat-ID-token

Voordat u een apparaat registreert, moet er een token worden gegenereerd. Het registratietoken, ook bekend als het apparaat-id-token, is een uniek token dat wordt gegenereerd via het slimme licentieportal of Cisco Smart Software Manager on-prem wanneer u een Cisco-apparaat aanvankelijk registreert bij de bijbehorende slimme account. Met een afzonderlijk token kunnen meerdere Cisco-apparaten worden geregistreerd, afhankelijk van de parameters die bij het maken zijn gebruikt.

Het registratietoken is ook alleen vereist tijdens de eerste registratie van een Cisco-apparaat, aangezien het apparaat hiermee de benodigde informatie krijgt om via een call-home contact te maken met de Cisco-back-end en aan de juiste Smart Account kan worden gekoppeld. Nadat het Cisco-apparaat is geregistreerd, is de token niet meer nodig.

Klik hier voor een algemene gids voor meer informatie over registratietokens en hoe deze worden gegenereerd. Raadpleeg de configuratiehandleiding voor het specifieke Cisco-apparaat voor meer gedetailleerde informatie.

Registratie- en licentiestatussen

Tijdens het implementeren en configureren van slimme licenties zijn er meerdere mogelijke statussen waarin een Cisco-apparaat kan worden geplaatst. U kunt de status weergeven met de opdracht show license all of show license status in de opdrachtregelinterface van het Cisco-apparaat.

Hier is een lijst van alle staten en hun beschrijving:

De status Evaluatie (niet-geïdentificeerd)

• De evaluatie is de standaardstaat van het apparaat wanneer het eerst wordt opgestart.
• Deze status wordt meestal weergegeven wanneer een Cisco-apparaat nog niet is geconfigureerd voor slimme licentiëring of geregistreerd in een Smart Account.
• In deze staat, zijn alle eigenschappen beschikbaar, en het apparaat kan vrij licentieniveaus veranderen.
• De evaluatieperiode wordt gebruikt wanneer het apparaat de niet-geïdentificeerde status heeft. Het apparaat probeert in deze status niet met Cisco te communiceren.
• Deze evaluatieperiode is 90 dagen in gebruik en niet 90 kalenderdagen. Als de evaluatieperiode is verlopen, wordt deze nooit opnieuw ingesteld.
• Er is één evaluatieperiode voor het hele hulpmiddel; het is niet één evaluatieperiode per recht.
• Als de evaluatieperiode na 90 dagen afloopt, gaat het apparaat over naar de EVAL-expIRATIEmodus. Er is echter geen functioneel effect of verstoring van de functionaliteit, zelfs niet na herladen. Op dit moment is er geen sprake van handhaving.
• De afteltijd wordt bijgehouden bij reboots.
• De evaluatieperiode wordt gebruikt als het apparaat nog niet bij Cisco is geregistreerd en deze twee berichten niet van het Cisco-backend heeft ontvangen:
  1. Geslaagde reactie op een registratieaanvraag.
  2. Successful response to an entitlement authorization request (Geslaagde reactie op een aanvraag voor autorisatie van rechten).

De status Geregistreerd

• Ingeschreven is de toestand die wordt verwacht nadat de registratie met succes is voltooid.
• Deze status geeft aan dat het Cisco-apparaat met succes heeft kunnen communiceren met een Cisco Smart Account en register.
• Het apparaat ontvangt een ID-certificaat, geldig voor een jaar, dat wordt gebruikt voor toekomstige communicatie.
• Het apparaat stuurt een verzoek naar CSSM om de rechten voor de licenties die in gebruik zijn op het apparaat te machtigen.
• Afhankelijk van de CSM-respons, voert het apparaat vervolgens de status Geautoriseerd of Buiten naleving in.
• Het ID-certificaat verloopt na één jaar. Na zes maanden probeert de software Agent het certificaat te vernieuwen. Als de Agent niet kan communiceren met de CSM, blijft het proberen en vernieuwt het ID-certificaat tot de verloopdatum (één jaar). Aan het eind van een jaar, gaat de agent terug naar de niet-geïdentificeerde staat en probeert om de evaluatieperiode toe te laten. CSSM verwijdert de productinstantie uit de database.

De status Geautoriseerd

• Toegestaan is de verwachte toestand wanneer het hulpmiddel gebruikmaakt van een recht en in overeenstemming is (geen negatief saldo).
  
• Deze staat geeft aan dat de virtuele account op CSSM het juiste type en aantal licenties had om het gebruik van de licenties voor dit apparaat toe te staan.
• Na 30 dagen stuurt het apparaat een nieuw verzoek naar CSSM om de autorisatie te verlengen.
• Deze staat heeft een tijdspanne van 90 dagen. Na 90 dagen (indien niet met succes verlengd) wordt het apparaat verplaatst naar de status Verlopen autorisatie.

De status Niet compliant

• Out of Compliance is de toestand waarin het apparaat een recht gebruikt en niet in Compliance is (negatieve balans).
  
• Deze status is van toepassing als voor de licentie geen licentie beschikbaar is in de bijbehorende Virtual Account waarvoor het Cisco-apparaat is geregistreerd in de Cisco Smart Account.  
• Om in te voeren in de Compliance / Autorised status, moet u het juiste aantal en type licenties toevoegen aan de Smart Account.
• Wanneer een apparaat zich in de ‘Out of Compliance’-status bevindt, wordt er elke dag automatisch een verzoek om verlenging van de autorisatie verzonden.
• Licenties en functies blijven functioneren en er is geen sprake van functionele gevolgen.

De status Autorisatie verlopen

• De autorisatie die is verlopen, is de status waarop het apparaat een recht gebruikt en meer dan 90 dagen niet heeft kunnen communiceren met de bijbehorende Cisco Smart Account.
• Deze status wordt meestal weergegeven als het Cisco-apparaat geen internettoegang meer heeft of geen verbinding met tools.cisco.com meer kan maken na de eerste registratie.
• Voor online Smart Licensing-methoden moeten Cisco-apparaten minstens elke 90 dagen communiceren om deze status te voorkomen.
• CSSM retourneert alle in-use licenties voor dit apparaat terug naar de pool omdat het gedurende 90 dagen geen communicatie heeft gehad met het apparaat.
• Terwijl in deze staat, blijft het apparaat proberen om elk uur contact op te nemen met Cisco om de machtigingsvergunning te verlengen, tot de registratieperiode (ID-certificaat) verloopt.
• Als de software Agent de communicatie met Cisco opnieuw instelt en zijn autorisatieverzoek ontvangt, verwerkt hij dat antwoord normaal en gaat hij over in een van de ingestelde statussen.

Afwegingen en voorbehouden

Vanaf 16.9.1 voor switches en 16.10.1 voor routers wordt een standaard Call-home-profiel met de naam Cisco TAC-1 gegenereerd om te helpen bij de migratie naar slimme licentiëring.  Dit profiel is standaard ingesteld voor de Direct Cloud Access methode.               

#show call-home profile CiscoTAC-1 

Profile Name: CiscoTAC-1 

Profile status: ACTIVE 

Profile mode: Full Reporting 

Reporting Data: Smart Call Home, Smart Licensing 

Preferred Message Format: xml 

Message Size Limit: 3145728 Bytes 

Transport Method: http 

HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

Other address(es): default 

<snip>

Wanneer u een lokale Cisco Smart Software Manager-server gebruikt, moet het bestemmingsadres onder de actieve call-home configuratie hiernaar verwijzen (hoofdlettergevoelig):

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https://<IP/FQDN>/Transportgateway/services/DeviceRequestHandler

DNS is vereist voor het omzetten van tools.cisco.com. Als DNS-serverconnectiviteit in een VRF is opgenomen, moet u ervoor zorgen dat de juiste broninterface en VRF zijn gedefinieerd:

Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>

VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]     <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>

Als DNS niet beschikbaar is, moet u ook lokale DNS-naar-IP-toewijzing statisch configureren (op basis van lokale DNS-resolutie op uw eindapparaat) of de DNS-naam in de configuratie van de call-home vervangen door IP-adres. Zie het voorbeeld voor directe cloudtoegang (gebruik voor een lokale Cisco Smart Software Manager-server de eigen DNS-naam in plaats van tools.cisco.com):    

(config)#ip host tools.cisco.com <x.x.x.x>

Als de communicatie met tools.cisco.com moet worden gestart vanuit de interface in een specifieke VRF (bijvoorbeeld Mgmt-vrf), moet deze CLI worden geconfigureerd: 

(config)#ip http client source-interface <VRF_INTERFACE>

Er kan een ander aantal licenties worden verbruikt op basis van de configuratie van het Cisco-apparaat, zoals bij Catalyst switches die worden uitgevoerd in StackWise of StackWise Virtual:

Traditionele stapelbare ondersteunde Switches (bijvoorbeeld Catalyst 9300 Series):

Netwerklicentie: er wordt 1 licentie gebruikt per switch in de stack

DNA-licentie: 1 licentie wordt gebruikt per switch in de stapel

Modulair chassis (bijvoorbeeld Catalyst 9400 Series):

Netwerklicentie: 1 licentie wordt gebruikt per supervisor in het chassis

DNA-licentie: 1 licentie wordt gebruikt per chassis

Vaste stapelbare virtuele ondersteunde Switches (bijvoorbeeld Catalyst 9500 Series):

Netwerklicentie: er wordt 1 licentie gebruikt per switch in de stack

DNA-licentie: 1 licentie wordt gebruikt per switch in de stapel

• Er kan slechts één call-home profiel actief zijn voor Smart Licensing.
• Licenties worden alleen gebruikt als een bijbehorende functie wordt geconfigureerd.
• Cisco-apparaten die zijn geconfigureerd voor slimme licentiëring moeten met de juiste systeemtijd en -datum worden geconfigureerd om te garanderen dat ze correct worden gesynchroniseerd met de corresponderende Cisco Smart Account. Als het tijdsverschil te groot is, kan de registratie van het Cisco-apparaat mislukken. De kloktijd moet handmatig worden ingesteld of geconfigureerd via een tijdprotocol zoals Network Time Protocol (NTP) of Precision Time Protocol (PTP). Raadpleeg de configuratiehandleiding voor het specifieke Cisco-apparaat voor de exacte stappen die vereist zijn om deze wijzigingen te implementeren.
• De Public Key Infrastructure (PKI)-toets die tijdens de registratie van het Cisco-apparaat wordt gegenereerd, moet worden opgeslagen als deze na registratie niet automatisch wordt opgeslagen. Als het apparaat er niet in slaagt om de PKI-sleutel op te slaan, wordt een syslog gegenereerd die u ertoe aanzet om de configuratie op te slaan via de opdracht kopie in werking stelt -in werking stellen-stellen opstarten -opstarten - of schrijf geheugen.
• Als de PKI-sleutel van het Cisco-apparaat niet correct wordt opgeslagen, kan de licentiestatus verloren gaan bij failovers of als opnieuw wordt geladen.    
• Smart Licensing ondersteunt standaard geen interceptie van SSL-certificaten met HTTPS Proxy wanneer externe proxy’s worden gebruikt voor de methode met HTTPS Proxy. Om deze functie te ondersteunen, kunt u SSL-interceptie op de proxy uitschakelen of handmatig de certificering importeren die door de proxy wordt verzonden.

How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

Wanneer u de Transport Gateway HTTP Proxy gebruikt, moet het IP-adres van tools.cisco.com naar de Proxy worden gewijzigd, zoals in dit voorbeeld:

VAN
       doeladres: httphttps:// tools.cisco.com/its/service/oddce/services/DCEService
in
       bestemmingsadres http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DevicerequestHandler 

U vindt het IP-adres van Transport Gateway door naar de HTTP-instellingen te gaan en onder de URL’s voor HTTP-services te kijken in de grafische gebruikersinterface van Cisco Transport Gateway.

Raadpleeg de configuratiehandleiding voor de Cisco Transport Gateway hier voor meer informatie.

Problemen oplossen

Wanneer u een Cisco-apparaat migreert naar een softwareversie die geschikt is voor Smart Licensing, kunt u dit stroomschema gebruiken als algemene handleiding voor alle drie de methoden (Direct Cloud Access, HTTPS Proxy en Cisco Smart Software Manager On-Prem).

                  Apparaat geüpgraded of geleverd met een softwarerelease die Smart Licensing ondersteunt (zie sectie 1.3 voor een lijst met ondersteunde Cisco IOS XE-releases).  

Deze stappen om problemen op te lossen concentreren zich hoofdzakelijk op een scenario waarin het apparaat er niet in slaagt te registreren. 

Apparaat wordt niet geregistreerd  

Na de eerste configuratie moet een token, dat wordt gegenereerd in CSSM of een lokale Cisco Smart Software Manager-server, via de opdrachtregelinterface worden geregistreerd op het apparaat om Smart Licensing in te schakelen:

license smart register idtoken <TOKEN>

Deze actie genereert deze gebeurtenissen:

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result 

!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) 

%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine 

%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration 

!
! Call-home start registration process
! 

%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. 

!
! Smart Licensing process connects with CSSM and check entitlement.
! 

%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed 

%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> 

%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved 

%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized 

%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>

Om call-home configuratie te controleren, voer deze CLI uit:

#show call-home profile all 

  

Profile Name: CiscoTAC-1 

    Profile status: ACTIVE 

    Profile mode: Full Reporting 

    Reporting Data: Smart Call Home, Smart Licensing 

    Preferred Message Format: xml 

    Message Size Limit: 3145728 Bytes 

    Transport Method: http 

    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

    Other address(es): default 

  

    Periodic configuration info message is scheduled every 1 day of the month at 09:15 

  

    Periodic inventory info message is scheduled every 1 day of the month at 09:00 

  

    Alert-group               Severity 

    ------------------------  ------------ 

    crash                     debug 

    diagnostic                minor 

    environment               warning 

    inventory                 normal 

  

    Syslog-Pattern            Severity 

    ------------------------  ------------ 

    APF-.-WLC_.*              warning 

    .*                        major

Om de status van Smart Licensing te controleren, voert u deze CLI uit:

#show license summary 

Smart Licensing is ENABLED 

  

Registration: 

  Status: REGISTERED 

  Smart Account: TAC Cisco Systems, Inc. 

  Virtual Account: Krakow LAN-SW 

  Export-Controlled Functionality: ALLOWED 

  Last Renewal Attempt: None 

  Next Renewal Attempt: Nov 22 21:24:32 2019 UTC 

  

License Authorization: 

  Status: AUTHORIZED 

  Last Communication Attempt: SUCCEEDED 

 Next Communication Attempt: Jun 25 21:24:37 2019 UTC 

  

License Usage: 

  License                 Entitlement tag               Count Status 

  ----------------------------------------------------------------------------- 

  C9500 Network Advantage (C9500 Network Advantage)         1 AUTHORIZED 

  C9500-DNA-40X-A         (C9500-40X DNA Advantage)         1 AUTHORIZED

Als het apparaat niet wordt geregistreerd (en als de status anders dan GEREGISTREERD is), duidt Niet compliant op een probleem in CSSM, zoals een ontbrekende licentie in Smart Virtual Account, onjuiste toewijzing (bijvoorbeeld als een token uit een andere virtuele account is gebruikt waar geen licenties beschikbaar zijn), enzovoort.  

Controleer de volgende items:  

1. Controleer de configuratie-instellingen en veelvoorkomende storingsscenario's.

Zie sectie 2.1 voor basisconfiguratiestappen. Zie ook rubriek 5 voor algemene faalscenario's in het veld.

2. Controleer de basisconnectiviteit.

Controleer dat het apparaat de TCP-poort kan bereiken (en openen) naar tools.cisco.com (in het geval van directe toegang) of naar Cisco Smart Software Manager-on-premise server: 

#show run all | in destination address http 

  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 

! 

! check connectivity 

! 

#telnet tools.cisco.com 443 /source-interface gi0/0 

Trying tools.cisco.com (x.x.x.x, 443)... Open 

[Connection to tools.cisco.com closed by foreign host]

Als deze opdrachten niet werken, controleert u de routerregels, de broninterface en de firewallinstellingen dubbel.

Zie paragraaf: 3. Overwegingen en voorbehouden in dit document voor verdere richtlijnen hoe DNS- en HTTP-gegevens moeten worden geconfigureerd. 

3. Controleer de instellingen van de slimme licentie.

Verzamel de output van:

#show tech-support license

en valideer de verzamelde configuratie/logboeken (voeg deze output toe als u besluit een Cisco TAC-case te openen voor nader onderzoek).  

4. debugs inschakelen.

Schakel deze debugs in om aanvullende informatie te verzamelen over het Smart Licensing-proces.

#debug call-home smart-licensing [all | trace | error] 

#debug ip http client [all | api | cache | error | main | msg | socket]

Voor interne debug-informatie schakelt u binaire traces in en leest u deze:

! enable debug 

#set platform software trace ios [switch] active R0 infra-sl debug 

! 

! read binary traces infra-sl process logs 

#show platform software trace message ios [switch] active R0

Scenario’s met veelvoorkomende fouten

In deze sectie worden enkele veelvoorkomende storingsscenario's beschreven die tijdens of na een Cisco-apparaatregistratie zouden kunnen optreden:

Scenario #1: Switch registratie "reden van falen: product al geregistreerd"

Fragment van "show license all":

Registratie:

  Status: NIET GEREGISTREERD - REGISTRATIE MISLUKT

  Door export gecontroleerde functionaliteit: niet toegestaan

  Eerste registratie: mislukt op 22 oktober 14:25:31 2018 EST

   Oorzaak van storing: product al geregistreerd

  Volgende registratiepoging: okt 22 14:45:34 2018 EST

Volgende stappen:

- Het Cisco-apparaat moet opnieuw worden geregistreerd.

- Als het Cisco-apparaat in de CSSM wordt weergegeven, moet de force parameter worden gebruikt (dwz: licentiecode smart register idtoken <TOKEN>-kracht).

Opmerking: de reden van de fout kan ook worden weergegeven als:
   - Oorzaak van fout: het product <X> en Saudi-Arabië met het serienummer<SerialNumber>,udiPid:<Product> is al geregistreerd.
   - reden van falen: bestaande productinstantie heeft verbruik en de vlag van de kracht is onjuist

Scenario #2: Switch registratie "Mislukte reden: Uw aanvraag kon niet nu worden verwerkt. Please try again"

Fragment van "show license all":

Registratie:

  Status: REGISTREREN - REGISTRATIE WORDT UITGEVOERD

  Door export gecontroleerde functionaliteit: niet toegestaan

  Eerste registratie: mislukt op 24 oktober 15:55:26 2018 EST

    Reden voor fout: Uw aanvraag kon nu niet worden verwerkt. Probeer het opnieuw

  Volgende registratiepoging: okt 24 16:12:15 2018 EST

Volgende stappen:

- Debugs inschakelen zoals vermeld in sectie 4 om meer inzicht te krijgen over het probleem.

- Genereer een nieuw token in CSSM in Smart Licensing en probeer het nog een keer.  

Scenario #3: Uitval Reden "De 1526135268653 van het apparaat wordt gecompenseerd voorbij de toegestane tolerantiegrens

Fragment van "show license all":

Registratie:

  Status: REGISTREREN - REGISTRATIE WORDT UITGEVOERD

  Door export gecontroleerde functionaliteit: niet toegestaan

  Eerste registratie: mislukt op nov 1117:55:46 2018 EST

        Reden voor fout: {"timestamp":["The device date '1526135268653' is offset beyond the allowed tolerance limit."]}

  Volgende registratiepoging: nov 11 18:12:17 2018 EST

Mogelijke logboekregistraties:

%PKI-3-CERTIFICAAT_INInvalid_NOT_YET_GELDIG: validatie van de certificaatketen is mislukt.  Het certificaat (SN: XXXXXX) is nog niet geldig. Validity period starts on 2018-12-12:43Z

Volgende stappen:

- Controleer dat de Cisco-apparaatklok de juiste tijd toont (klok weergeven).

- Configureer indien mogelijk het Network Time Protocol (NTP) om er zeker van te zijn dat de kloktijd correct is ingesteld.

- Als NTP niet mogelijk is, controleer of de handmatig ingestelde kloktijd (klokset) correct is (kloktijd weergeven) en als een vertrouwde tijdbron is geconfigureerd door te controleren of de klokkalender geldig is geconfigureerd

Opmerking: de systeemklok wordt standaard niet vertrouwd. Er is een geldige klokkalender vereist.

Scenario #4: Switch registratie "Mislukte reden: Communicatietransport niet beschikbaar."

Fragment van "show license all":

Registratie: Status: NIET GEREGISTREERD - REGISTRATIE MISLUKT

Door export gecontroleerde functionaliteit: niet toegestaan

Eerste registratie: mislukt op mrt 09 21:42:02 2019 CST

   Mislukte reden: Communicatietransport niet beschikbaar.

Mogelijke logboekregistraties:

%CALL_HOME-3-CALL_HOME_MISLUKT_TO_ENABLE: Call-home van Smart Agent for Licensing is niet ingeschakeld: de opdracht heeft geen smart call home ingeschakeld vanwege een bestaand actief gebruikersprofiel. Als u een ander gebruikersprofiel dan Cisco TAC-1-profiel gebruikt om gegevens naar een SCH-server in Cisco te verzenden, voert u rapportage van slimme licentiegegevens in onder de profielmodus om dat profiel voor slimme licentiëring te configureren. Zie voor meer informatie over SCH http://www.cisco.com/go/
%SMART_LIC-3-AGENT_REG_MISLUKT: Smart Agent voor licentiëring en registratie met Cisco Smart Software Manager of satelliet is mislukt: communicatieservice niet beschikbaar.
%SMART_LIC-3-COMM_MISLUKT: communicatiestoringen met Cisco Smart Software Manager of satelliet: geen communicatietransport beschikbaar.

Volgende stappen:

- Controleer dat call-home is ingeschakeld met service call-home in de show in werking stelt-configuratie-uitvoer van het Cisco-apparaat.

- Zorg ervoor dat het juiste call-home profiel actief is.

- Controleer of rapportage van smart-licentiedata is geconfigureerd onder het actieve call-home-profiel.

Scenario #5: Switch Licentie autorisatie "Mislukte reden: faalt om Call Home HTTP bericht te versturen."

Fragment van "show license all":

Autorisatie van licentie:

  Status: OUT OF Compliance op jul 26 09:24:09 2018 UTC

  Laatste communicatie poging: MISLUKT op aug 02 14:26:23 2018 UTC

    Mislukte reden: verzuim om Call Home HTTP-bericht te verzenden.

  Volgende Communicatiepoging: aug 02 14:26:53 2018 UTC

  Uiterste datum voor de mededeling: 25 okt. 09:21:38 2018 UTC

Mogelijke logboekregistraties:

%CALL_HOME-5-SL_MESSAGE_MISLUKT: Slimme licentiëringsbericht kan niet worden verstuurd naar: https://<ip>/its/service/oddce/services/DCEService (ERR 205: Verzoek afgebroken)

%SMART_LIC-3-COMM_MISLUKT:Communicatiefout met Cisco Smart Software Manager of satelliet: kan het HTTP-bericht van Call Home niet verzenden.

%SMART_LIC-3-AUTH_RENEWW_MISLUKT:Autorisatieverlenging met Cisco Smart Software Manager of satelliet: Communicatiebericht verzenden fout voor UDI PID:XXX, SN: XXX

Volgende stappen:

- Controleer dat het Cisco-apparaat tools.cisco.com kan pingen.

- Als DNS niet is geconfigureerd, configureer dan een DNS-server of een IP-hostverklaring voor de lokale nslookup IP voor tools.cisco.com.

- Poging tot telnet van het Cisco-apparaat naar tools.cisco.com op TCP-poort 443 (poort gebruikt door HTTPS).

- Controleer dat de HTTP-clientbroninterface is gedefinieerd en juist is.

- Controleer of de URL/IP in het call home-profiel op het Cisco-apparaat correct is ingesteld via het call home-profiel alles tonen.

- Controleer of de IP-route naar de juiste volgende hop wijst.

- Zorg ervoor dat TCP-poort 443 niet wordt geblokkeerd op het Cisco-apparaat, het pad naar Smart Call Home Server of de Cisco Smart Software Manager op locatie (satelliet).

- Zorg ervoor dat de juiste Virtual Routing and Forwarding (VRF)-instantie is geconfigureerd onder call-home, indien van toepassing.

Scenario #6: Missing Reden "Missing ID Cert Serial Number Field; Missing Signing Cert Serial Number Field; Signed Data and Certificate niet matchen" Log

Dit gedrag wordt gezien bij het werken met een CSSM-on-premise server waarvan het cryptocertificaat verloopt zoals gedocumenteerd in Cisco bug-id CSCvr41393. Dit is het verwachte gedrag, aangezien de CSSM on-prem zijn certificaat moet kunnen synchroniseren en verlengen om een certificatie-synchronisatiekwestie met registratieapparaten te voorkomen.

Fragment van "show license all":

Registratie:
  Status: NIET GEREGISTREERD
  Smart Account: Voorbeeld account
  Door export gecontroleerde functionaliteit: TOEGESTAAN

Autorisatie van licentie:
 Status: EVAL MODE
 Resterende evaluatieperiode: 65 dagen, 18 uur, 43 minuten, 0 seconden

Mogelijke logboekregistraties:

Deze fout wordt gezien onder toon het registreren of toon van de vergunningsgebeurtenis:
SAEVT_DEREGISTER_STATUS msgStatus="LS_INInvalid_DATA" error="Ontbrekende ID cert serienummer veld; Ontbrekende handtekening cert serienummer veld; Ondertekende gegevens en certificaat komen niet overeen"

Volgende stappen:

- Controleer dat het Cisco-apparaat IP-verbinding heeft met een CSM-on-premise server.
- Als u HTTPS gebruikt, bevestig dan dat de C-naam van de certificering wordt gebruikt in de configuratie van de call-home-apparaten.
- Als er geen DNS-server beschikbaar is om de certificatie C-Name op te lossen, configureer dan een statische IP host statement om de domeinnaam en het IP-adres in kaart te brengen.

- Controleer of de status van het CSSM-certificaat op locatie nog steeds geldig is.
- Als het CSM-certificaat op locatie is verlopen, gebruikt u een van de tijdelijke beperkingen die zijn gedocumenteerd in Cisco bug-id, CSCvr41393

Opmerking: standaard voert HTTPS tijdens de SSL-handdruk een serveridentiteitscontrole uit om te controleren of de URL of IP hetzelfde is als het door de server verstrekte certificaat. Dit kan problemen veroorzaken wanneer er IP-adressen worden gebruikt in plaats van een DNS-vermelding als de hostnaam en IP niet overeenkomen. Als DNS niet mogelijk is, of een statische ip host statement, kan er geen http beveiligde server-identiteits-check worden geconfigureerd om deze certificatie-controle uit te schakelen.

Scenario #7: Switch Licentie autorisatie "Mislukte reden: Wachten op antwoord" 

Fragment van "show license all":

Autorisatie van licentie:
 Status: OUT OF Compliance op jul 26 09:24:09 2018 UTC
 Laatste Communicatie poging: Hangende op aug 02 14:34:51 2018 UTC
  Reden van falen: wachten op antwoord
 Volgende Communicatiepoging: aug 02 14:53:58 2018 UTC
 Uiterste datum voor de mededeling: 25 okt. 09:21:39 2018 UTC

Mogelijke logboekregistraties:

%PKI-3-CRL_FETCH_FAIL: CRL fetch voor trustpoint SLA-TrustPoint mislukt Reden: kan socket niet selecteren. Time-out: 5 (Time-out verbinding)
%PKI-3-CRL_FETCH_FAIL: CRL fetch voor trustpoint SLA-TrustPoint mislukt Reden: kan socket niet selecteren. Time-out: 5 (Time-out verbinding)

Volgende stappen:

- Om deze kwestie te corrigeren, moet SLA-TrustPoint als geen geconfigureerd worden onder de actieve configuratie

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revocation-check none

Wat is een CRL?

Een CRL (Certificate Revocation List) is een lijst met ingetrokken certificaten. De CRL wordt gemaakt en digitaal ondertekend door de certificeringsinstantie (CA) die de certificaten oorspronkelijk heeft uitgegeven. De CRL bevat ook informatie over de uitgiftedatum en verloopdatum van elk certificaat. Meer informatie over CRL’s vindt u hier.

Scenario #8: licentie in "OUT OF COMPLIMENT"-status

Fragment van "show license all":

Autorisatie van licentie:
 Status: OUT OF Compliance op jul 26 09:24:09 2018 UTC
 Laatste Communicatie poging: Hangende op aug 02 14:34:51 2018 UTC
  Reden van falen: wachten op antwoord
 Volgende Communicatiepoging: aug 02 14:53:58 2018 UTC
 Uiterste datum voor de mededeling: 25 okt. 09:21:39 2018 UTC

Mogelijke logboekregistraties:

%SMART_LIC-3-OUT_OF_COMPLIA: Een of meer rechten zijn niet conform.

Volgende stappen:

- Controleer of Token van de juiste Smart Virtual-account is gebruikt.

- Verifieer hier het aantal beschikbare licenties.

Scenario #9: Switch Licentie "Mislukte reden: gegevens en handtekeningen komen niet overeen "

Fragment van "show license all":

Autorisatie van licentie:

 Status: TOEGESTAAN op Mar 12 09:17:45 2020 EDT

 Laatste Communicatiepoging: MISLUKT op 12 mrt 09:17:45 2020 EDT

  reden van falen: gegevens en handtekening komen niet overeen

 Volgende Communicatiepoging: mrt 12 09:18:15 2020 EDT

 Mededeling Termijn: mei 09 21:22:43 2020 EDT

Mogelijke logboekregistraties:

%SMART_LIC-3-AUTH_RENEWW_MISLUKT: autorisatieverlenging met Cisco Smart Software Manager (CSSM): fout ontvangen van Smart Software Manager: gegevens en handtekening komen niet overeen met Auto PID:C9000,SN:XXXXXXXXX

Volgende stappen:

- Registreer de switch met Licentie smart deregister.

- Registreer de switch vervolgens met een nieuwe token en druk vervolgens op <TOKEN> om de licentie smart register-token te hebben.

Referenties

1) Startpagina van Cisco Smart Licensing

2) Cisco Community: on-demand trainingen

3) Smart Account – beheerportal: Smart Software-licentiëring

4) Smart Account – nieuwe accounts maken: Smart Accounts

5) Configuratiehandleiding (voorbeeld) - Configuratiehandleiding voor systeembeheer, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 switches)