تكوين التراخيص الذكية مع NSO

المقدمة

يصف هذا المستند مختلف تراخيص Network Services Orchestrator (NSO) وكيف يمكن تنشيطها باستخدام ®Cisco Smart License.

المتطلبات الأساسية 

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• كيفية إستخدام واجهة سطر الأوامر (CLI) لواجهة سطر الأوامر لواجهة سطر الأوامر (NSO)
• أستكشاف أخطاء NSO وإصلاحها
• معرفة لينوكس الأساسية  

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• NSO 6.x
• NSO 5.x

• NSO 4.5 والإصدارات الأحدث
• NSO 4.4
• NSO 4.1/4.2/4.3

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

تراخيص NSO

ملاحظة: يجب أن يمتلك المستخدم ترخيص NSO صالح.

 وفيما يلي التراخيص التي تستخدمها المنظمة:

ملاحظة: يمكن تضمين هذا في معرف حزمة (PID) (حزمة تتضمن ESC، والمزيد)، لذلك من الممكن ألا تظهر معرفات PID هذه في الأمر.

الحساب الذكي والحساب الظاهري

يطلب كل منتج، بما في ذلك NSO، من خادم Cisco الحصول على ترخيص لتنشيط نفسه. كما يقوم بشكل أساسي بالتحقق مما إذا كنت قد اشتريت العدد الكافي من التراخيص الخاصة بالمنتج وأنها متوفرة للاستخدام.

تم تعيين حساب ذكي واحد إلى مؤسسة. خذ على سبيل المثال الشركة أ:

• يمكن أن يكون لدى الشركة A القسم X و Y و Z، وهم يريدون إدارة تراخيصهم بشكل منفصل.
• يمكن تعيين حساب ظاهري لكل قسم.

يمكن إنشاء رموز مميزة لكل حساب ظاهري. نستخدم الرمز المميز للوصول إلى الحساب الظاهري من المنتج.

من "مدير البرامج الذكية"، تظهر حالة الترخيص في الحسابات الظاهرية بهذا الشكل:

التكوين

يمكن أن تكون هناك طرق مختلفة لكيفية اتصال NSO بخادم الترخيص الذكي وتعتمد على البيئة التي يتم فيها تثبيت NSO. يوضح هذا المستند أيضا عمليات التكامل المختلفة بين NSO وخوادم ترخيص Cisco.

الخطوة 1. إنشاء رمز مميز

1. لإنشاء رمز مميز جديد، قم بتسجيل الدخول إلى مدير البرامج الذكية من Cisco (CSSM) باستخدام معرف المستخدم/أو معرف CCO وحدد الحساب الظاهري المناسب. انقر فوق إدارة التراخيص للمتابعة. العثور على الارتباط في Cisco Software Central.

2. انقر فوق علامة التبويب "المخزون" وحدد حسابا ظاهريا تريد العمل معه.

 3. في CSSM، انقر فوق رمز مميز جديد.

املأ المعلومات المطلوبة. الرجاء ملاحظة أن تاريخ انتهاء الصلاحية يشير إلى مدة صلاحية الرمز المميز، لذلك يحتاج المستخدمون إلى إستخدام الرمز المميز الذي تم إنشاؤه خلال الأيام. يلزم تحقيق التوازن بين الراحة والمخاطر الأمنية على المدى القصير والطويل. كما أن الأمر لا يتعلق بالمدة التي ستكون فيها التراخيص صالحة.

5. الرمز المميز الذي تم إنشاؤه حديثا موجود في الجدول.

6. انقر فوق إرتباط الرمز المميز لإظهار نافذة منبثقة. انسخ الرمز المميز من نافذة الحوار إلى الحافظة الخاصة بك.

الخطوة 2. إعداد تسجيل الرمز المميز

فيما يلي أساليب التسجيل (المباشرة/الوكيل/الساتل).  

إذا كانت NSO أو أي من منتجات Cisco بحاجة إلى تراخيص ذكية، فتحدث إلى مدير البرامج الذكية من Cisco (أو مجموعة Cisco Cloud) لتسجيل أنفسهم.

هناك أربعة خيارات رئيسية لإعداد البيئة المعتمدة للترخيص الذكي:

الخيار 1 - الوصول المباشر إلى السحابة

باستخدام هذه الطريقة، يحتاج خادم NSO إلى أن يكون قادرا على التحدث إلى Cisco Cloud مباشرة باستخدام HTTPS. إستخدام HTTP مدعوم، ومع ذلك، لا يوصى به لأسباب أمنية.

في هذه الطريقة، يمكن بدء عملية التسجيل دون تكوين خاص.

الخيار 2. الوصول المباشر إلى السحابة من خلال وكيل HTTPS

إذا كنت بحاجة إلى إستخدام خادم وكيل HTTP(s) للاتصال بالويب على الإنترنت، فيجب تكوين العميل الذكي في NSO باستخدام معلومات الخادم الوكيل.

عند إستخدام الخيار 2، يلزم توجيه الوكيل الذكي لإرسال طلب التسجيل الخاص به إلى الخادم الوكيل بدلا من الإرسال مباشرة إلى Cisco.

يعتمد التكوين على الإصدار. 

NSO 4.5 أو إصدار أحدث

من NSO 4.5، من الممكن الآن تكوين تكوين الترخيص الذكي من خلال NCS.conf. إذا كان تكوين الترخيص الذكي موجودا في كل من NCS.conf و NSO CDB، فإن التكوين في NCS.conf يأخذ الأولوية.

وهذا يعني أن الأوامر مثل تجاوز عميل ذكي للترخيص الذكي لعنوان url https://10.1.2.3/  لا تسري إذا كان هناك تكوين مختلف في ncs.conf. عند إجراء تثبيت نظام NSO، يتضمن NCS.conf بشكل افتراضي ما يلي:

<smart-license>
  <smart-agent>
    <java-executable>DEFAULT</java-executable>
    <java-options>DEFAULT</java-options>
    <production-url>DEFAULT</production-url>
    <alpha-url>DEFAULT</alpha-url>
    <override-url>
      <url>DEFAULT</url>
    </override-url>
    <proxy>
      <url>DEFAULT</url>
    </proxy>
  </smart-agent>
</smart-license>

افتراضي يعني أنه يستخدم القيم الافتراضية كما هي معرفة في $install_dir/src/ncs/yang/tailf-ncs-smart-license.yang.

لتكوين المنشورات المدرجة في ncs.conf في NSO CDB بدلا من ذلك، تأكد من إزالة الإدخال ذي الصلة من ncs.conf وأداء /etc/init.d/ncs reload.

NSO 4.4

تكوين URL للوكيل على هذا المسار.

عنوان URL للوكيل الذكي للترخيص الذكي <proxy url>

admin@ncs(config)# smart-license smart-agent proxy url https://10.10.10.10:8080
admin@ncs(config)#

في التكوين الافتراضي، يتصل NSO ب https://tools.cisco.com/its/service/oddce/services/خدمة Ddces، لذا يجب إستخدام وكيل HTTPS.

مجموعة تكوين الوكيل هذه لكل من HTTPS و HTTP تلقائيا، لذلك إذا قمت بتغيير عنوان URL الهدف إلى HTTP لاستخدام القمر الصناعي الذي تم شرحه في الخيار 3. أو 4.، فسيظل تكوين واحد قادرا على معالجة كلا الحالتين.

الخيار 3. الوصول عن طريق وسيط من خلال مجمع محلي متصل

وفي العديد من الحالات، لا تكون شبكة NSO متصلة بالإنترنت مباشرة. بخلاف الخيار 2.، يمكن تقديم ساتل مدير البرنامج الذكي Smart Software Manager؛ حتى لا يحتاج NSO إلى تبادل الرسائل مباشرة إلى Cisco Cloud.

يمكن العثور على تفاصيل المنتج الخاصة بالقمر الصناعي لمدير البرنامج الذكي هنا.

لمعرفة كيفية التثبيت، ابحث عن دليل التثبيت في الارتباط.

عندما تستخدم هذه الطريقة، يتحدث NSOl إلى القمر الصناعي بدلا من سحابة Cisco. 

لتغيير الهدف، يمكنك تعديل عنوان url التجاوز:

admin@ncs(config)# smart-license smart-agent override-url url https://10.1.2.3/
admin@ncs(config)#

يمكن العثور على عنوان URL هذا في الويب الإداري الخاص بالقمر الصناعي لمدير البرنامج الذكي.

الخيار 4: الوصول عن طريق وسيط من خلال مجمع محلي - غير متصل

وهذه الطريقة هي نفسها تماما مع الطريقة (3) من وجهة نظر NSO. الفرق هو فقط كيفية المزامنة مع Cisco Cloud من القمر الصناعي لمدير البرنامج الذكي.

الخطوة 3. تسجيل الرمز المميز

بعد إستخدام الرمز المميز، قم بتنشيط NSO باستخدام الرمز المميز الذي تم إنشاؤه إلى خادم Cisco. يتم إستخدام الرمز المميز على واجهة سطر الأوامر (CLI) ل NSO للتسجيل في CSSM. عند إدخال الأمر، يتم بدء عملية التسجيل بشكل غير متزامن.

admin@ncs# smart-license register idtoken YWVlMmQ3ZjEtYT....
result Registration process in progress. Use the 'show license status' command to check the progress and result.
admin@ncs#

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

قبل التسجيل

يتم تمكين الترخيص الذكي دائما. يشير الإخراج إلى أن NSO غير مسجل، وفي وضع EVAL الذي ينتهي في 23 ساعة بعد 89 يوما.

admin@ncs# show license status

Smart Licensing is ENABLED

Registration:
  Status: UNREGISTERED
  Export-Controlled Functionality: Allowed

License Authorization:
  Status: EVAL MODE
  Evaluation Period Remaining: 89 days, 23 hr, 17 min, 36 sec
  Last Communication Attempt: NONE
  Next Communication Attempt: NONE
Development mode: enabled
admin@ncs#

يمكن التحقق من حالة التسجيل باستخدام الأمر show license status. إذا كان التسجيل لا يزال قيد التشغيل، فسيقوم الأمر بعرض هذا الإخراج ويقول؛ "التسجيل معلق".

<لا يزال يتم التسجيل...>

admin@ncs# show license status

Smart Licensing is ENABLED

Registration:
  Status: UNREGISTERED - REGISTRATION PENDING
  Initial Registration: First Attempt Pending
  Export-Controlled Functionality: Allowed

License Authorization:
  Status: EVAL MODE
  Evaluation Period Remaining: 89 days, 23 hr, 16 min, 36 sec
  Last Communication Attempt: SUCCEEDED on Aug 3 09:41:56 2016 UTC
  Next Communication Attempt: NONE
Development mode: enabled
admin@ncs#

بعد فترة، يتم إكمال التسجيل. عند رؤية الحالة المسجلة، يتم تسجيل النظام في CSSM.

<مسجل!!>

admin@ncs# show license status

Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: BU Production Test
  Virtual Account: TAC-Japan-Cloudorch
  Export-Controlled Functionality: Allowed
  Initial Registration: SUCCEEDED on Aug 4 05:29:52 2016 UTC
  Last Renewal Attempt: SUCCEEDED on Aug 4 05:30:03 2016 UTC
  Next Renewal Attempt: Jan 31 05:30:03 2017 UTC
  Registration Expires: Aug 4 05:24:56 2017 UTC
  Export-Controlled Functionality: Allowed

License Authorization:

License Authorization:
  Status: AUTHORIZED on Aug 4 05:30:05 2016 UTC
  Last Communication Attempt: SUCCEEDED on Aug 4 05:25:02 2016 UTC
  Next Communication Attempt: Sep 3 05:30:07 2016 UTC
  Communication Deadline: Aug 4 05:24:56 2017 UTC
Development mode: enabled
admin@ncs#

الاستخدام (الحالة المعتمدة)

ويمكن ملاحظة أي ترخيص يتم إستخدامه باستخدام الأمر show license summary. في هذا المثال، يتم إستخدام إنتاج منصة عمل NSO و NSO-network-element و Cisco-IOS-NED في النظام. إخطار بأن حالة تخويل الترخيص هي مخولة". هذا يعني أن جميع المكونات التي تتطلب تراخيص تعمل بشكل صحيح في حالة قانونية.

admin@ncs# show license summary
Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: COMPANY A
  Virtual Account: Network Department
  Last Renewal Attempt: None
  Next Renewal Attempt: Jan 31 05:33:02 2017 UTC

License Authorization:
  Status: AUTHORIZED
  Last Communication Attempt: SUCCEEDED
  Next Communication Attempt: Sep 3 05:33:06 2016 UTC

License Usage:
  License                     Entitlement Tag                                                                                Count        Status
  ----------------------------------------------------------------------------------------------------------------------------------------------
  348fbb21-7edf-42bb-baa7-198903058a54regid.2016-04.com.cisco.NSO-platform-production,4.2_348fbb21-7edf-42bb-baa7-198903058a54       1            InCompliance
  5d641fa0-757d-43b0-a926-166cb6e3cfddregid.2015-10.com.cisco.NSO-network-element,1.0_5d641fa0-757d-43b0-a926-166cb6e3cfdd           3            InCompliance
  d9eca34d-1f6a-4595-ad74-9c0c57e03c27regid.2015-10.com.cisco.cisco-ios-NED,1.0_d9eca34d-1f6a-4595-ad74-9c0c57e03c27                 1            InCompliance

Development mode: disabled
admin@ncs#

هذا مخرج من الأمر show license use في مثال مختلف. في هذا المثال، تتم أيضا إضافة Cisco-iosxr-NED، والحالة خارج التوافق. وهذا يشير إلى أن التسجيل إلى CSSM جيد، ومع ذلك، فإن ترخيص Cisco-iosxr-NED غير كاف في الحساب الظاهري. نظرا لحالة عدم التوافق التي تتسم بها معيار Cisco-IOSXR-NED، تكون الحالة العامة هي خارج_OF_COMPLIANCE.

admin@ncs # show license usage  

License Authorization Status : OUT_OF_COMPLIANCE  as of Oc  24 06:14:11 2016 UTC 

NSO-platform-production (regid.2016-04.com.cisco.NSO-platform-production, 1.0_d1445dab-9d96-4593-99f2-6f633b8a759c) 
 Description : API unavailable 
 Count : 1 
 Version : 1.0 
 Status : InCompliance 

NSO-network-element (regid.2015-10.com.cisco.NSO-network-element, 1.0_5d641fa0-757d-43b0-a926-166cb6e3cfdd) 
 Description : API unavailable 
 Count : 3 
 Version : 1.0 
 Status : InCompliance 

cisco-ios-NED (regid.2015-10.com.cisco.cisco-ios-NED, 1.0_d9eca34d-1f6a-4595-ad74-9c0c57e03c27) 
 Description : API unavailable 
 Count : 1 
 Version : 1.0 
 Status : InCompliance 

cisco-iosxr-NED (regid.2015-10.com.cisco.cisco.cisco-iosxr-NED, 1.0_9956fc34-cbed-4d13-a1ea-6a36f4e40a99) 
 Description : API unavailable 
 Count : 1 
 Version : 1.0 
 Status : OutOfCompliance 

استكشاف الأخطاء وإصلاحها

حاول تمكين تصحيح الأخطاء في ميزة الترخيص الذكي. عند تمكين تصحيح الأخطاء، يتم إنشاء سجل تصحيح الأخطاء في الملف المحدد في /smart-license/smart-agent/stdout-capture/file. يقوم تصحيح أخطاء الترخيص الذكي بإنشاء الكثير من السجلات، ومن المستحسن تعطيل تصحيح الأخطاء بعد تجميع البيانات.

تمكين التصحيح

admin@ncs# debug smart_lic all
ok
admin@ncs#

تعطيل التصحيح

admin@ncs# no debug smart_lic all
ok
admin@ncs#

تكوين سجل الترخيص Smart

admin@ncs# show running-config smart-license
smart-license smart-agent stdout-capture disabled
smart-license smart-agent stdout-capture file ./logs/ncs-smart-licensing.log
admin@ncs#

تمكين سجل الترخيص الذكي

admin@ncs(config)# smart-license smart-agent stdout-capture enabled
admin@ncs(config)# commit
Commit complete.
admin@ncs(config)#

تجديد شهادة SSL ل CSSM On-prem

بالنسبة للعملاء الذين لديهم CSSM على الخادم، قد يفشل NSO في الاتصال بالخادم إذا انتهت صلاحية شهادة SSL.

فيما يلي الخطوات اللازمة لإصلاح المشكلة عن طريق إنشاء ملف onprem.crt:

1. تجميع الشهادة الجديدة من خادم CSSM باستخدام OpenSSL (المنفذ المستخدم عادة هو 443):

openssl s_client -showcerts -connect <>:443 | openssl x509 -out onprem.crt

2. ابحث عن الدليل لاستيراد الشهادة. الدليل الافتراضي هو /etc/pki/ca-trust/extract/java/cacerts. للعثور عليه، فيما يلي أمر للبحث عن أدلة المؤشرات في النظام، ومثال على المخرجات:

[root@localhost /]# find / -name cacerts 2>/dev/null | xargs -I {} ls -l {}
-r--r--r--. 1 root root 156478 Jun 26 08:02 /etc/pki/ca-trust/extracted/java/cacerts
lrwxrwxrwx. 1 root root 40 Aug 25  2022 /etc/pki/java/cacerts -> /etc/pki/ca-trust/extracted/java/cacerts
lrwxrwxrwx. 1 root root 21 Jun 15 04:52 /etc/java/java-17-openjdk/java-17-openjdk-17.0.15.0.6-3.el9.x86_64/lib/security/cacerts -> /etc/pki/java/cacerts
[root@localhost /]# 

3. تحميل الشهادة. كلمة المرور الافتراضية لمخزن المفاتيح هي changeit:

sudo keytool -import -alias ssm_onprem -file onprem.crt -keystore /etc/pki/ca-trust/extracted/java/cacerts

3.1 (إختياري) لتأكيد تحميل الشهادة بشكل صحيح، قم بتنفيذ هذا الأمر:

root@Ubuntu-24-9:/home/nso# keytool -list -keystore /etc/ssl/certs/java/cacerts -storepass changeit -alias ssm_onprem
Warning: use -cacerts option to access cacerts keystore
ssm_onprem, Aug 4, 2025, trustedCertEntry, 
Certificate fingerprint (SHA-256): F7:00:C9:74:34:57:5E:BE:70:A7:0E:D2:9B:A8:2D:44:F1:CE:14:55:C3:D9:06:3F:83:68:95:A1:C6:B5:7F:26
root@Ubuntu-24-9:/home/nso# 

4. إعادة تشغيل الوكيل الذكي (في وضع التكوين):

admin@ncs(config)# smart-license smart-agent restart 
result Started

5. إعادة تسجيل الشهادة:

admin@ncs# license smart deregister 
ok
admin@ncs# license smart register idtoken TOKEN
Registration process in progress. Use the 'show license status' command to check the progress and result.
admin@ncs# 

6. لتأكيد نجاح التسجيل باستخدام الأمر show license summary الذي يظهر مخرجه في هذه المادة.