简介
本文档介绍思科智能许可(SL)部署的类型和所需的配置。
先决条件
要求
- 具有思科智能软件管理器(CSSM)门户访问权限的智能帐户。
- Cisco IOS® XE版本在16.5.1到17.3.1之间的设备。
- 思科智能软件管理器内部服务器。
- 设备与CSSM或内部服务器之间的HTTPS连接。
注意:对于某些部署,无需使用本地思科智能软件管理器。它是功能的可选组件。
注意:智能许可对于版本介于16.5.1和16.9.8之间是可选的。对于使用Cisco IOS® XE 16.10.1a的物理设备,必须使用最多Cisco IOS® XE 17.3.1智能许可。从17.3.2及以后,必须使用智能许可策略。对于虚拟设备和其他思科平台,请查看特定代码的版本说明。
使用的组件
本文档适用于Cisco IOS® XE企业路由平台。
本文档中的信息基于以下硬件和软件版本:
- Cisco ASR1001-X(采用Cisco IOS® XE版本16.9.4)和Cisco ISR4351(采用Cisco IOS® XE版本16.12.1)。
- 智能软件管理器服务器,8202108版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
部署类型
智能许可注册和使用提供四个主要部署选项:
- 直接CSSM访问
- 使用代理进行直接CSSM访问
- SSM内部访问
- 特定许可证保留(SLR)
直接CSSM访问
此部署选项允许您通过HTTPS通过Internet将使用信息直接传输到Cisco。
在Cisco IOS® XE 16.10.1a中,默认情况下启用智能许可,这是唯一可用的许可模式。对于此部署,需要第3层配置,并且可从正确的接口访问HTTPS端口(443)中的tools.cisco.com。需要DNS配置。
确认连接后,注册设备的步骤如下:
步骤1:在设备上启用智能许可证(可选)。默认情况下,从16.10.1a启用此功能。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#license smart enable
注意:此命令可根据需要启用service call-home。
第二步:为tools.cisco.com配置域名系统(DNS)服务器或静态主机条目。
Router(config)#ip name-server X.X.X.X
or
Router(config)#ip host tools.cisco.com X.X.X.X
第三步:从思科智能软件管理器生成新令牌。
- 输入令牌说明,并指定令牌必须处于活动状态的天数。
- 对使用此令牌注册的产品启用允许导出控制功能。这允许在已注册的设备中请求高加密许可证。
- 选择Create Token。创建令牌后,选择Copy。
第四步:更改call-home配置(可选)。
默认call-home配置文件配置足以注册设备。您可以在此处验证当前的Call-Home配置文件配置:
Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
第五步:使用令牌向CSSM注册设备。
Router#license smart register idtoken < token from CSSM portal > force
注意:force关键字会立即强制进行注册尝试。如果未使用,注册过程可能需要较长时间。
第六步:验证设备是否已正确注册到CSSM。
Router#show license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: TAC Cisco Systems, Inc.
Virtual Account: CORE TAC
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Feb 28 12:54:22 2018 UTC
Registration Expires: Sep 01 12:49:04 2018 UTC
License Authorization:
Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC
Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC
Next Communication Attempt: Oct 01 12:54:28 2017 UTC
Communication Deadline: Nov 30 12:49:12 2017 UTC
使用虚拟路由和转发(VRF)进行直接CSSM访问
如果设备使用VRF到达CSSM,则需要在call-home配置文件配置下配置源VRF和源接口。要配置此部署,您必须执行直接CSSM访问部分中的步骤1-3。然后,使用正确的VRF和源接口编辑call-home配置以访问CSSM URL。这里使用管理接口GigabitEthernet0,以Mgmt-intf VRF为例。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
使用分配给VRF的正确接口配置源HTTP接口。此配置会影响HTTP和HTTPS流量。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
为特定VRF配置DNS:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X
完成VRF配置后,可以继续执行直接CSSM访问部分中的步骤5和6。
使用代理进行直接CSSM访问
如果需要代理服务器实现与CSSM的HTTPS连接,则需要按照直接CSSM访问部分中的步骤进行操作,并在call-home配置中包含http-proxy命令。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080
SSM内部访问
此部署类型允许您在本地管理产品和许可证,而无需直接连接到思科托管的CSSM。要实施此功能,您的网络中必须已安装SSM本地M。本地安装SSM的步骤不在本文档的讨论范围之内。
将SSM内部服务器与设备连接的配置步骤如下:
步骤1:在设备上启用智能许可。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#license smart enable
注意:此命令可启用所需的服务call-home。
第二步:确保您能够与您的CSSM内部服务器通信。
Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms
注:如果您有DNS服务器,可以使用它来将内部服务器IP地址解析为名称。
第三步:从本地SSM生成新令牌。
3.1登录到SSM服务器。
3.2令牌创建
- 输入令牌说明。指定令牌必须处于活动状态的天数。
- 启用允许使用此令牌注册的产品上的导出控制功能复选框。
- 选择Create Token。
- 创建令牌后,选择Copy以复制新创建的令牌。
第四步:在设备上配置call-home。
需要使用本地服务器(http://X.X.X.X/Transportgateway/services/DeviceRequestHandler)的IP更改destination address http命令并删除默认命令。
Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end
第五步:在SLA-TrustPoint信任点上配置revocation-check none。
Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none
第六步:使用从本地SSM检索到的令牌注册设备。
Router#license smart register idtoken < token from SSM On-Prem portal > force
步骤 7.验证设备是否已正确注册到SSM本地。
Router#show license status
Smart Licensing is ENABLED
Utility:
Status: DISABLEDData Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
Registration:
Status: REGISTERED
Smart Account: manudiaz
Virtual Account: Default
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
Registration Expires: Oct 19 04:35:44 2021 UTC
使用VRF配置的SSM内部访问
如果使用VRF访问SSM本地,则必须配置源VRF,以便设备从正确的VRF生成请求。
执行SSM内部访问部分中的步骤,直到步骤3。
步骤1:使用正确的VRF和源接口编辑Call-home配置,您可以在源接口上访问SSM On-Prem:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
第二步:使用分配给VRF的正确接口配置源http-client接口:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
第三步:为特定VRF配置DNS。
您可以在本地环境中配置DNS服务器以解析SSM本地服务器的名称:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X
在这些更改后,您可以继续执行SSM内部访问中的步骤5和6。
特定许可证保留(SLR)
SLR功能使您能够在设备上部署软件许可证,而无需直接将使用信息传达给思科。此功能在高度安全的网络中特别有用,并且在具有智能许可门户的平台上受支持。 本配置指南假设您已请求并已授权使用SLR。
注:默认情况下未启用SLR。您必须专门请求此功能。
注意:Cisco IOS® XE 16.11.1a及更高版本支持SLR和许可证实施。
要在设备中配置SLR,需要从路由器端和CSSM门户执行这些步骤
步骤1:为SLR配置路由器。您必须输入license smart reservation命令并请求具有本地许可证智能预留请求的SLR功能。
注意:如果在HA平台中完成注册,则必须使用license smart reservation request all。
Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX
注:默认情况下未启用SLR。您必须专门请求此功能。
注意:要取消许可证预留请求,请运行license smart reservation cancel命令。
在CSSM上,需要保留所需的许可证。
第二步:通过https://software.cisco.com/#登录到CSSM。您必须使用思科凭证登录门户。
第三步:选择“资产”选项卡。从虚拟帐户(Virtual Account)下拉列表中,选择您的智能帐户。
第四步:从Licenses选项卡中选择License Reservation。
第五步:在Enter Request Code页上,输入或附加从路由器生成的预留请求代码,然后选择Next。
第六步:选中Reserve a Specific License框,然后选择每台设备所需的许可证和预留许可证的数量。
步骤 7.在Review and Confirm选项卡中,选择Generate Authorization Code。
注:在为特定设备生成SLR代码后,授权代码文件将一直有效,直到您安装该代码。如果安装失败,您必须联系思科全球许可证运营(GLO)以创建新的授权码。您可以在此联系GLO
步骤 8选择Copy to Clipboard复制代码,或选择Download作为文件下载。您需要将代码或文件复制到您的设备才能继续此过程。
如果配置SLR,可以下载或安装授权码文本文件。如果配置永久许可证保留(PLR),则可以复制并粘贴授权码。
步骤 9登录到设备并使用安装命令license smart reservation install file bootflash:<SLR file>。
Router#enable
Router#license smart reservation install file bootflash:
如果需要,您可以返回在设备中保留的许可证,然后返回到未注册状态。系统会生成一个返回代码,必须在CSSM中输入该代码才能删除该产品实例。
Router#enable
Router#license smart reservation return local
更新特定许可证预留
成功注册设备后,如果需要,可以使用新功能或许可证更新预留,如下所示:
步骤1:登录Cisco Smart Software Manager,网址为https://software.cisco.com/#。您必须使用思科提供的用户名和密码登录门户。
第二步:导航到Inventory选项卡,然后从Virtual Account下拉列表中选择您的智能帐户。
第三步:在产品实例选项卡中,为需要更新的设备选择操作。
第四步:选择更新保留的许可证。
第五步:选择要更新的许可证。
第六步:选择 Next(下一步)。
步骤 7.在Review and Confirm选项卡中,选择Generate Authorization Code。系统将显示Authorization Code选项卡。系统显示生成的授权码。
步骤 8选择Copy to Clipboard选项以复制代码,或将其作为文件下载。您需要将代码或文件复制到您的设备。
步骤 9登录要更新的设备。
步骤 10运行license smart reservation install file命令。
Router#enable
Router#license smart reservation install file bootflash:
取消注册特定许可证保留
要取消注册设备的特定许可证保留,您必须在CLI中返回许可证保留并从CSSM中删除实例。
步骤1:登录到要取消注册的设备。
第二步:要删除许可证预留授权码,请使用license smart reservation return命令。
Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33
第三步:通过https://software.cisco.com/#登录到CSSM。
第四步:选择Inventory选项卡。从“虚拟帐户”下拉列表中,选择您的智能帐户。
第五步:在Product instance选项卡中,对于要取消注册的设备,选择Actions。
第六步:选择Remove。
步骤 7.出现提示时,输入返回代码。
故障排除
设备无法解析tools.cisco.com
验证您已为正确的VRF或全局路由表正确配置了DNS服务器。如果需要,您还可以创建静态DNS条目:
Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8
注意:用于访问tools.cisco.com的ip地址为72.163.4.38和173.37.145.8。这些是可以改变的。DNS解析的IP地址可以相同,也可以更改。在手动配置之前与本地设备确认。
路由器无法与tools.cisco.com通信
- 确保配置了到Internet的默认路由。
- 确保设备和CSSM之间没有防火墙或代理。
- 确保端口443和80未被阻塞。
Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open
Router#telnet tools.cisco.com 443 /vrf Mgmt-intf
Trying tools.cisco.com (72.163.4.38, 443)... Open
处于“不合规”状态的许可证
当设备使用授权且不合规时(负平衡),会发生此状态。当思科设备注册到的虚拟帐户中没有所需的许可证时,就会发生这种情况。
Router#show license all
License Authorization:
Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
Next Communication Attempt: Mar 26 03:12:31 2019 CDT
Communication Deadline: Jun 23 15:06:30 2019 CDT
- 要进入合规性/授权状态,您必须将正确的许可证数量和类型添加到智能帐户
- 当设备处于此状态时,它每天自动发送授权续订请求
智能许可调试
可用于解决Call-Home和智能许可注册问题的某些调试包括:
- debug call-home trace
- debug call-home error
- debug call-home smart-licensing all
- debug ip http client all
- debug crypto pki <all options>
- debug ssl openssl <all options>
其他信息
适用于思科企业路由平台的思科智能许可指南