المقدمة

يصف هذا وثيقة كيف أن يشكل واستكشاف أخطاء الترخيص الذكي يستعمل سياسة (SLUP) على مادة حفازة 9800 WLC.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• الترخيص الذكي باستخدام السياسة (SLUP)
• وحدة التحكم في شبكة LAN اللاسلكية Catalyst 9800 (WLC)

• الاشتراك في شبكات Cisco

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

تحذير: تحتوي الملاحظات في هذه المقالة على اقتراحات مفيدة أو مراجع للمواد التي لا يغطيها المستند. يوصى بقراءة كل ملاحظة.

1. الاتصال المباشر بسحابة مدير البرامج الذكية من Cisco (CSSM Cloud)
2. متصل ب CSSM عبر CSLU (Cisco Smart License Utility Manager)
3. متصل ب CSSM عبر مدير البرامج الذكية على الكمبيوتر (SSM على الكمبيوتر)

لا تغطي هذه المقالة جميع سيناريوهات الترخيص الذكي على Catalyst 9800، ارجع إلى الترخيص الذكي باستخدام دليل تكوين السياسة للحصول على معلومات إضافية. ومع ذلك، تقدم هذه المقالة سلسلة من الأوامر المفيدة لاستكشاف أخطاء الاتصال المباشر و CSLU والتراخيص الذكي ل SSM داخل الذاكرة باستخدام مشاكل السياسة على Catalyst 9800 وإصلاحها.

الخيار 1. الاتصال المباشر بخوادم سحابة الترخيص الذكي (CSSM) من Cisco

الخيار 2. الاتصال عبر CSLU

الخيار 3. الاتصال عبر مدير البرامج الذكية على الكمبيوتر (SSM على الكمبيوتر)

ملاحظة: تنطبق جميع الأوامر المذكورة في هذه المقالة فقط على قوائم التحكم في الشبكة المحلية اللاسلكية (WLC) التي تشغل الإصدار 17.3.2 أو إصدار أحدث.

الترخيص الموحد، والإنفاذ، والنسخ الاحتياطي

يعمل الترخيص الموحد، المتوفر في اشتراكات شبكات Cisco، على تقديم تنفيذ الترخيص للعملاء المحليين.

• كان IOS XE 17.15.2 (ديسمبر 2024) أول إصدار مدعوم للحصول على ترخيص موحد وعرض حالة الإبلاغ عن التراخيص لكل جهاز والامتثال لها.
• تتيح إصدارات IOS XE المستقبلية فرض اعتبارا من اليوم 0 لنقاط الوصول غير المرخصة وفرض يوم N على الأجهزة ذات التراخيص المنتهية الصلاحية. في أي من الأجهزة غير المتوافقة، يتم التنفيذ عند تحديث صورة البرنامج.

يعد إكمال الخطوات الواردة في هذا الدليل أمرا بالغ الأهمية لضمان تكوين أجهزتك بشكل صحيح باستخدام SLUP، حتى لا تكون أجهزتك خاضعة للإنفاذ عند ترقية صورة برنامج IOS XE.

التحقق من توافق نقاط الوصول (AP) على الترخيص الموحد

شكل 1: التوافق مع نقطة الوصول لواجهة مستخدم الويب (غير متوافق)

تتوفر معلومات التوافق مع نقطة الوصول على وحدة التحكم (لوحة معلومات Meraki، Catalyst Center 2.3.7.9) وعلى الجهاز (واجهة مستخدم الويب، CLI).

الشكل 1 يوضح مثالا لمعلومات التوافق مع نقطة الوصول على واجهة مستخدم الويب. نقاط الوصول (AP) غير المتوافقة لها حالة ترخيص غير متوافقة، مع توفر المنطق بأن نقطة الوصول (AP) "غير مرخصة أبدا."

بعد تكوين SLUP بشكل صحيح، تعكس نقاط الوصول حالة توافق محدثة.

شكل 1: التوافق مع نقطة الوصول لواجهة مستخدم الويب (متوافق)

ملاحظة: إذا قمت بتكوين SLUP بنجاح وما زلت ترى حالة عدم التوافق على نقاط الوصول الخاصة بك، فعليك التأكد من أنك قمت بشراء ترخيص كاف ومن أنه قد تم إيداع هذه التراخيص في "الحساب الذكي" (SA) الصحيح والحساب الظاهري (VA).

الترخيص التقليدي مقابل القيمة المرتفعة

تم تقديم الترخيص الذكي باستخدام سياسة إلى المادة حفازة 9800 مع الرمز صيغة 17.3.2. الإصدار أولي 17.3.2 يفتقد SLUP تشكيل قائمة في ال WLC WebUI، أي كان قدمت مع 17.3.3 إطلاق. ويختلف الترخيص الذكي التقليدي بعدة طرق:

• تتصل WLC الآن ب CSSM من خلال مجال smartreceiver.cisco.com، بدلا من مجال tools.cisco.com.
• بدلا من التسجيل، تؤسس عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الآن الثقة ب CSSM أو SSM الموجود على الخادم.
• تم تغيير أوامر واجهة سطر الأوامر (CLI) قليلا.
• لم يعد هناك حجز ترخيص ذكي (SLR). وبدلا من ذلك يمكنك الإبلاغ عن إستخدامك بشكل دوري يدويا.

تحذير: إذا كنت تستخدم وحدة تحكم لاسلكية Cisco Catalyst 9800-CL، فتأكد من أنك على دراية بمتطلبات ACK الإلزامية التي تبدأ ب Cisco IOS® XE Cuteno 17.7.1. راجع متطلبات إبلاغ RUM وإقرار وحدة التحكم اللاسلكية Cisco Catalyst 9800-CL.

التكوين

برنامج Direct Connect CSSM

بمجرد إنشاء الرمز المميز على CSSM، لإنشاء ثقة، يلزم تنفيذ هذه الأوامر:

ملاحظة: الرمز المميز الحد الأقصى. يجب أن يكون عدد الاستخدامات 2 على الأقل في حالة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في HA SSO.

configure terminal
ip http client source-interface 
ip http client secure-trustpoint 
license smart transport smart
license smart url default
exit
write memory
terminal monitor
license smart trust idtoken  all force

• يحدد الأمر ip http client source-interface الواجهة L3 التي سيتم الحصول على الحزم ذات الصلة بترخيص منها
• يحدد الأمر ip http client secure-trustPoint النقطة الموثوق بها/الشهادة التي يتم إستخدامها لاتصالات CSSM. يمكن العثور على اسم TrustPoint باستخدام الأمر show crypto pki trustPoints. يوصى باستخدام شهادة شهادة TP موقعة ذاتيا-XXXXXXXX أو شهادة الشركة المصنعة المثبتة (المعروفة أيضا باسم MIC، والمتوفرة فقط على 9800-40 و 9800-80 و 9800-L)، والتي تسمى عادة CISCO_IDEVID_SUDI.
• يقوم أمر terminal monitor بطباعة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للسجلات إلى وحدة التحكم، كما يساعد في التأكد من إنشاء هذه الثقة بنجاح. يمكن تعطيله باستخدام جهاز العرض الطرفي no monitor.
• تقول الكلمة الأساسية all في الأمر الأخير لجميع قوائم التحكم في الشبكة المحلية اللاسلكية (WLC) في مجموعة HA SSO لإنشاء الثقة باستخدام CSSM.
• تقول قوة الكلمة الأساسية ل WLC أن يتخطى أي من الصناديق الاستئمانية التي تم إنشاؤها مسبقا ويحاول إنشاء صناديق ائتمان جديدة.

ملاحظة: إذا لم يتم إنشاء الثقة، فسيحاول ال 9800 مرة أخرى بعد دقيقة واحدة من تنفيذ الأمر ثم لا يحاول مرة أخرى لبعض الوقت. أدخل أمر الرمز المميز مرة أخرى لفرض إنشاء ثقة جديد.

متصل ب CSLU

مدير أداة الترخيص الذكي (CSLU) من Cisco هو تطبيق قائم على Windows (متوفر أيضا على Linux) يمكن العملاء من إدارة التراخيص ومثيلاتها من المنتجات المرتبطة من أماكن عملهم بدلا من الاضطرار إلى ربط مثيلات المنتجات التي تم تمكينها بترخيص ذكي مباشرة بمدير البرامج الذكية من Cisco (CSSM).

يغطي هذا القسم تكوين 9800 Wireless فقط. هناك خطوات أخرى لإتمامها لتكوين الترخيص باستخدام CSLU (مثل تثبيت CSLU، وتكوين برنامج CSLU وما إلى ذلك)، والتي يتم تغطيتها في أدلة التكوين .ما إذا كنت تريد تنفيذ طريقة اتصال بدأها مثيل منتج أو بدأها CSLU، أو إكمال تسلسل المهام المطابق.

تم بدء مثيل المنتج 

1. ضمان إمكانية الوصول إلى الشبكة من وحدة التحكم إلى CSLU 
2. تأكد من تعيين نوع النقل على cslu: 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. إذا كنت تريد اكتشاف CSLU بواسطة وحدة التحكم، فأنت بحاجة إلى تنفيذ الإجراء. إذا كنت ترغب في اكتشاف CSLU باستخدام DNS، فلا يتطلب أي إجراء. إذا كنت ترغب في اكتشافه باستخدام عنوان URL، فيرجى إدخال الأمر التالي: 
   

   (config)#license smart url cslu http://:8182/cslu/v1/pi
   (config)#exit
   #copy running-config startup-config

تم البدء في CSLU 

عند تكوين الاتصال الذي بدأته CSLU، يكون الإجراء الوحيد المطلوب هو التحقق من إمكانية الوصول إلى الشبكة إلى CSLU من وحدة التحكم وضمان هذا الوصول. 

متصل ب SSM على-prem

يماثل التكوين مع SSM على ذاكرة التخزين المؤقت إلى حد ما الاتصال المباشر. يجب تشغيل الإصدار 8-202102 أو الأحدث على الإعداد المسبق. بالنسبة لإصدارات SLUP (17.3.2 والإصدارات الأحدث)، يوصى باستخدام عنوان URL الخاص بوحدة التحكم في الوصول عن بعد ونوع النقل. يمكن الحصول على عنوان URL من واجهة WebUI الموجودة مسبقا بموجب الترخيص الذكي > المخزون > <الحساب الظاهري> > قسم عام.

configure terminal
 ip http client source-interface 
 ip http client secure-trustpoint 
 license smart transport cslu
 license smart url cslu http:///cslu/v1/pi/ (see previous paragraph on how to get exact URL)
 crypto pki trustpoint SLA-TrustPoint
  revocation-check none 
 exit
write memory
terminal monitor

لا يتطلب SSM الموجود على الخادم إستخدام رمز الثقة المميز.

ملاحظة: إذا كنت تتلقى الرسالة، ٪PKI-3-CRL_FETCH_FAILED: فشل إحضار CRL ل TrustPoint SLA-TrustPoint، وذلك لأنك لم تقم بتكوين none revocation-check ضمن SLA-TrustPoint. هذه هي نقطة الثقة المستخدمة للترخيص الذكي. في حالة التشغيل المسبق، تكون الشهادة الموجودة على خادم الترخيص في أغلب الأحيان شهادة موقعة ذاتيا لا يمكن التحقق من CRL لها، ومن ثم يكون متطلب تكوين عمليات التحقق من عدم الإبطال.

تكوين النقل الذكي من خلال وكيل HTTPS

ملاحظة: لم يتم بعد دعم الوكلاء المصدق عليهم بدءا من الإصدار 17.9.2. إذا كنت تستخدم الوكلاء المصدق عليهم في البنية الأساسية، فاعتبر إستخدام Cisco Smart License Utility Manager (CSLU)، فإنه يدعم هذا النوع من الخوادم.

لاستخدام خادم وكيل للاتصال ب CSSM عند إستخدام وضع النقل الذكي، أكمل الخطوات التالية:

configure terminal
  ip http client source-interface 
  ip http client secure-trustpoint 
  license smart transport smart
  license smart url default
  license smart proxy address 
  license smart proxy port 
exit
write memory
terminal monitor
license smart trust idtoken  all force

تواتر الاتصال

فترة التقرير أنت يستطيع شكلت في CLI أو GUI يتلقى ما من تأثير.

تتصل وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 ب CSSM أو On-prem Smart Software Manager كل 8 ساعات، بغض النظر عن تكوين الفاصل الزمني لإعداد التقارير عبر واجهة الويب أو واجهة سطر الأوامر (CLI). هذا يعني أن نقاط الوصول المنضمة حديثا يمكن أن تظهر على CSSM حتى 8 ساعات بعد انضمامها في البداية.

يمكنك اكتشاف المرة التالية التي يتم فيها حساب التراخيص والإبلاغ عنها باستخدام الأمر show license air entities summary. لا يعد هذا الأمر جزءا من إخراج show tech أو show license all:

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

ترخيص إعادة الضبط في المصنع

يمكن أن يتلقى Catalyst 9800 WLC كل من ترخيصه تشكيل وثقة المصنع إعادة ضبط ولا يزال يحتفظ بجميع التكوينات الأخرى. يتطلب هذا إعادة تحميل WLC:

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

من المهم ملاحظة أنه بعد إعادة ضبط مصنع الترخيص، تحتاج إلى الانتظار لمدة ساعة قبل ترخيص عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) مرة أخرى في حالة وجوده في وضع AirGap.

في حالة وجود ترخيص المواد المسترجعة (RMA) أو إستبدال الأجهزة

إذا كانت وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 بحاجة إلى إستبدال، فيتعين على الجهاز الجديد التسجيل باستخدام برنامج CSSM/On-Prem Smart Software Manager ويتم تصوره كجهاز جديد. يتطلب إصدار عدد تراخيص الجهاز السابق الحذف اليدوي تحت مثيلات المنتج:

الترقية من تسجيل ترخيص محدد (SLR)

استعملت إصدارات WLC الأقدم، الأقدم من 17.3.2، طريقة ترخيص خاصة دون اتصال تسمى تسجيل ترخيص خاص (SLR). تم إهمال طريقة الترخيص هذه في الإصدارات التي تستخدم SLUP (17.3.2 والإصدارات الأحدث).

إذا قمت بترقية وحدة تحكم 9800 كانت تستخدم SLR إلى نشر الإصدار 17.3.2 أو 17.4.1، فيوصى بالانتقال إلى إعداد تقارير SLUP دون اتصال بدلا من الاعتماد على أوامر SLR. قم بحفظ ملف RUM الخاص باستخدام الترخيص وتسجيل ذلك باستخدام مدخل الترخيص الذكي. ونظرا لأن SLR لم يعد موجودا في الإصدارات الأحدث، فهذا يقدم تقارير عن عدد التراخيص الصحيح ويطلق أي ترخيص غير مستخدم. لم تعد التراخيص محظورة ولكن تم الإبلاغ عن عدد الاستخدام الدقيق.

استكشاف الأخطاء وإصلاحها

الوصول إلى الإنترنت وفحص المنافذ واختيارها

بدلا من tools.cisco.com التي يستخدمها الترخيص الذكي التقليدي، يستخدم SLUP الجديد مجال smartreceiver.cisco.com لإنشاء الثقة. في وقت كتابة هذه المقالة، يتحول هذا المجال إلى عناوين IP مختلفة متعددة. ليست كل هذه العناوين قابلة للتجميع. يجب عدم إستخدام إختبارات الاتصال كإختبار قابلية الوصول إلى الإنترنت من WLC. عدم القدرة على إختبار اتصال هذه الخوادم لا يعني أنها لا تعمل بشكل صحيح.

بدلا من إختبار الاتصال، يجب إستخدام برنامج Telnet عبر المنفذ 443 كإختبار قابلية الوصول. يمكن التحقق من برنامج Telnet إما مقابل مجال smartreceiver.cisco.com أو مباشرة مقابل عناوين IP للخادم. إن لا يكون حركة مرور يكون يمنع، ميناء ينبغي ظهرت كمفتوح في الإنتاج:

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]

Syslog

إذا تم تمكين الأمر terminal monitor أثناء تكوين الرمز المميز، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يطبع السجلات ذات الصلة في واجهة سطر الأوامر (CLI). يمكن أيضا الحصول على هذه الرسائل إذا قمت بتشغيل الأمر show logging. تبدو سجلات الثقة التي تم تأسيسها بنجاح كما يلي:

WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.

سجلات عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بدون خادم DNS معرف أو بدون خادم DNS لا يعمل:

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

في هذه الحالة، تحقق من تكوين خادم DNS صالح. لا تتردد في إستخدام أي IP متوفر لخادم DNS العام :

ip name-server 

سجلات عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) مع خادم DNS يعمل، ولكن بدون الوصول إلى الإنترنت:

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

عمليات التقاط الحِزم

على الرغم من تشفير الاتصال بين WLC و CSSM/On-prem SSM والمرور عبر HTTPS، إلا أن تنفيذ التقاط الحزم يمكن أن يكشف عن الأسباب التي تمنع إنشاء الثقة. تعتبر أسهل طريقة لجمع التقاط الحزم من خلال واجهة ويب الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC).

انتقل إلى أستكشاف الأخطاء وإصلاحها > التقاط الحزمة. إنشاء نقطة التقاط جديدة:

تأكد من تمكين خانة إختيار مستوى تحكم الشاشة. قم بزيادة حجم المخزن المؤقت إلى 100 ميجابايت كحد أقصى. أضفت القارن أي ينبغي كنت التقط. يتم الحصول على حركة مرور الترخيص الذكي من واجهة الإدارة اللاسلكية بشكل افتراضي أو من الواجهة المحددة باستخدام أمر ip http client source-interface:

بدء عمليات الالتقاط وتشغيل الأمر Smart TrustToken <token> all force:

يجب أن تحتوي حزم التقاط مؤسسة ثقة على الخطوات التالية:

1. إنشاء جلسة TCP باستخدام SYN و SYN-ACK & ACK Sequence
2. إنشاء جلسة TLS مع تبادل شهادات الخادم والعميل. تنتهي عملية التأسيس بحزمة تذكرة جلسة عمل جديدة
3. تبادل حزم مشفر (إطارات بيانات التطبيق) حيث تبلغ WLC عن إستخدام الترخيص
4. إنهاء جلسة بروتوكول TCP عبر تسلسل FIN-PSH-ACK و Fin-ACK & ACK

ملاحظة: تحتوي إلتقاطات الحزمة على إطارات أكثر، بما في ذلك مضاعفات تحديث نافذة TCP وإطارات بيانات التطبيق

بما أن CSSM Cloud يستخدم 3 عناوين IP عامة مختلفة، in order to أنقذت كل من الربط التقاط بين WLC و CSSM، استعملت هذا wireshark مرشح:

ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144 

في حالة إستخدام SSM على ذاكرة التخزين المؤقت، قم بتصفية عنوان IP الخاص ب SSM:

ip.addr==

مثال: التقاط الحزم لمؤسسة ثقة ناجحة مع CSSM المتصلة مباشرة مع تصفية جميع عمليات التقاط الحزم الهامة:

إظهار الأوامر

تحتوي أوامر العرض هذه على معلومات مفيدة حول إنشاء الثقة:

show license status
show license summary
show tech-support license
show license tech-support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

يعد الأمر show license history أحد الأوامر الأكثر فائدة لأنه يمكن أن يعرض الرسائل الفعلية التي تم إرسالها من WLC والتي تم استقبالها من CSSM.

أما المؤسسة الاستئمانية الناجحة فيتضمن الطلب: 23 أغسطس 10:18:08 2021 المركزي" و"الاستجابة: 23 أغسطس 10:18:10 2021 رسائل مركزية مطبوعة. إذا لم يكن هناك أي شيء بعد سطر الاستجابة، فهذا يعني أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لم يتلق إستجابة من CSSM.

هذا مثال على إخراج رسالة سجل ترخيص show لإنشاء ثقة ناجح:

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

تصحيح الأخطاء/التتبع

قم بتشغيل هذا الأمر بعد بضع دقائق من محاولة إنشاء ثقة باستخدام أمر License Smart TrustToken all Force. سجلات IOSRP سريعة للغاية. إلحاق | تضمين Smart-agent في الأمر للحصول على سجلات الترخيص الذكية فقط.

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

يمكنك أيضا تشغيل تصحيح الأخطاء هذا ثم إعادة تكوين أوامر الترخيص لفرض اتصال جديد:

debug license events
debug license errors
debug license agent all

المشكلات الشائعة

لا يتضمن WLC أي وصول إلى الإنترنت أو حركة مرور كتل/محولات جدار الحماية

حزم مضمنة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) هي طريقة سهلة لمعرفة ما إذا كانت وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) تستلم أي شيء مرة أخرى من وحدة التحكم في الشبكة المحلية اللاسلكية (CSSM) أو وحدة التحكم في الشبكة المحلية اللاسلكية (SSM) على جهاز الإرسال/الاستقبال. إذا لم تكن هناك إستجابة، فمن المحتمل أن الجدار الناري يعطل شيئا ما.

يطبع الأمر show license history إستجابة فارغة لمدة ثانية بعد إرسال الطلب في حالة عدم تلقي إستجابة من سحابة CSSM أو SSM على ذاكرة التخزين المؤقت.

على سبيل المثال، قد يقودك هذا إلى الاعتقاد بأنه تم تلقي إستجابة فارغة، ولكن في الواقع لم يكن هناك أي إستجابة على الإطلاق:

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

ملاحظة: هناك حاليا طلب تحسين Cisco BUG ID CSCvy84684 الذي يجعل عرض رسالة سجل الترخيص تطبع إستجابة فارغة عندما لا توجد إستجابة. الغرض من هذا هو تحسين إخراج الأمر show license history message

تنبيه CA غير معروف في التقاط الحزم

يتطلب الاتصال ب CSSM أو On-prem SSM شهادة لائقة على الجانب 9800. يمكن أن تكون موقعة ذاتيا، لكن لا يمكن أن تكون غير صالحة أو منتهية الصلاحية. في مثل هذه الحالة، يظهر التقاط حزمة تنبيه TLS ل CA غير معروف يرسل بواسطة CSSM عندما تكون شهادة عميل 9800 HTTP منتهية الصلاحية.

يستخدم الترخيص الذكي تكوين ip http client، والذي يختلف عن خادم ip http الذي تستخدمه واجهة ويب الخاصة بشبكة WLC. هذا يعني أنه يجب تكوين هذه الأوامر بشكل صحيح:

ip http client source-interface 
ip http client secure-trustpoint 

يمكن العثور على اسم TrustPoint باستخدام الأمر show crypto pki trustPoints. يوصى باستخدام شهادة TP ذاتية التوقيع TP-XXXXXXXX أو شهادة الشركة المصنعة المثبتة (MIC) والتي يطلق عليها عادة CISCO_IDEVID_SUDI وتتوفر فقط على 9800-80 و 9800-40 و 9800-L.

من المهم ملاحظة أن الأجهزة التي تقوم باعتراض TLS، مثل جدار الحماية باستخدام ميزة فك تشفير SSL، يمكن أن تمنع C9800 من إنشاء مصافحة ناجحة مع خادم ترخيص Cisco حيث أن شهادة HTTPS المقدمة هي شهادة جدار الحماية بدلا من شهادة خادم ترخيص Cisco.

ملاحظة: تأكد من تكوين كل من أوامر source-interface و secure-trustPoint. يلزم أمر واجهة مصدر حتى إذا كان WLC يحتوي على واجهة L3 واحدة فقط.

معلومات ذات صلة

• ترخيص ذكي مع وضع Air Gap في الطراز 9800
• الدعم الفني والتنزيلات من Cisco