المقدمة

يصف هذا المستند كيفية تكوين الترخيص الذكي واستكشاف أخطاء هذا الترخيص وإصلاحها باستخدام السياسة (SLUP) على وحدة التحكم في الشبكة المحلية اللاسلكية (LAN) من Catalyst 9800 (WLC) .

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• الترخيص الذكي باستخدام السياسة (SLUP)
• وحدة التحكم في شبكة LAN اللاسلكية Catalyst 9800 (WLC)

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

1. الاتصال المباشر بسحابة مدير البرامج الذكية من Cisco (CSSM Cloud)
2. متصل ب CSSM عبر CSLU (Cisco Smart License Utility Manager)
3. متصل ب CSSM عبر مدير البرامج الذكية على الكمبيوتر (SSM على الكمبيوتر)

لا تغطي هذه المقالة جميع سيناريوهات الترخيص الذكي على Catalyst 9800، ارجع إلى الترخيص الذكي باستخدام دليل تكوين السياسة للحصول على معلومات إضافية. ومع ذلك، تقدم هذه المقالة سلسلة من الأوامر المفيدة لاستكشاف أخطاء الاتصال المباشر و CSLU والتراخيص الذكي ل SSM داخل الذاكرة باستخدام مشاكل السياسة على Catalyst 9800 وإصلاحها.

الخيار 1. الاتصال المباشر بخوادم سحابة الترخيص الذكي (CSSM) من Cisco

الخيار 2. الاتصال عبر CSLU

الخيار 3. الاتصال عبر مدير البرامج الذكية على الكمبيوتر (SSM على الكمبيوتر)

ملاحظة: تنطبق جميع الأوامر المذكورة في هذه المقالة فقط على وحدات التحكم في الشبكة المحلية اللاسلكية (WLC) التي تشغل الإصدار 17.3.2 أو إصدار أحدث.

الترخيص التقليدي مقابل القيمة المرتفعة

تم تقديم الترخيص الذكي باستخدام سياسة سمة إلى المادة حفازة 9800 مع الرمز صيغة 17.3.2. يفتقد الإصدار الأولي 17.3.2 قائمة تكوين SLUP في واجهة مستخدم الويب (WLC)، والتي تم تقديمها مع الإصدار 17.3.3. ويختلف الترخيص الذكي التقليدي بعدة طرق:

• تتصل WLC الآن ب CSSM من خلال مجال smartreceiver.cisco.com، بدلا من مجال tools.cisco.com.
• بدلا من التسجيل، تؤسس عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الآن الثقة ب CSSM أو SSM الموجود على الخادم.
• تم تغيير أوامر واجهة سطر الأوامر (CLI) قليلا.
• لم يعد هناك حجز ترخيص ذكي (SLR). وبدلا من ذلك يمكنك الإبلاغ عن إستخدامك بشكل دوري يدويا.
• لا يوجد وضع تقييم بعد الآن. وتواصل اللجنة العمل بكامل طاقتها حتى بدون ترخيص. يعد النظام قائما على الشرف، ومن المفترض أن تقوم بالإبلاغ عن إستخدام الترخيص الخاص بك بشكل دوري (تلقائيا أو يدويا في حالة الشبكات التي يتم إيقافها بالهواء).

التكوين

برنامج Direct Connect CSSM

بمجرد إنشاء الرمز المميز على CSSM، لإنشاء ثقة، يلزم تنفيذ هذه الأوامر:

ملاحظة: الحد الأقصى للرمز المميز. يجب أن يكون عدد الاستخدامات 2 على الأقل في حالة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في HA SSO.

configure terminal
ip http client source-interface 
    
    
      ip http client secure-trustpoint 
     
       license smart transport smart license smart url default exit write memory terminal monitor license smart trust idtoken 
      
        all force 
       
      
    

• يحدد الأمر ip http client source-interface الواجهة L3 التي سيتم الحصول على الحزم ذات الصلة بترخيص منها
• يحدد الأمر ip http client secure-trustPoint النقطة الموثوق بها/الشهادة التي يتم إستخدامها لاتصالات CSSM. يمكن العثور على اسم TrustPoint باستخدام الأمر show crypto pki trustPoints. يوصى باستخدام شهادة شهادة TP موقعة ذاتيا-XXXXXXXX أو شهادة الشركة المصنعة المثبتة (المعروفة أيضا باسم MIC، والمتوفرة فقط على 9800-40 و 9800-80 و 9800-L)، والتي تسمى عادة CISCO_IDEVID_SUDI.
• يقوم أمر terminal monitor بطباعة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للسجلات إلى وحدة التحكم، كما يساعد في التأكد من إنشاء هذه الثقة بنجاح. يمكن تعطيله باستخدام جهاز العرض الطرفي no monitor.
• تقول الكلمة الأساسية all في الأمر الأخير لجميع قوائم التحكم في الشبكة المحلية اللاسلكية (WLC) في مجموعة HA SSO لإنشاء الثقة باستخدام CSSM.
• تقول قوة الكلمة الأساسية ل WLC أن يتخطى أي من الصناديق الاستئمانية التي تم إنشاؤها مسبقا ويحاول إنشاء صناديق ائتمان جديدة.

ملاحظة: إذا لم يتم إنشاء الثقة، فسيحاول ال 9800 مرة أخرى بعد دقيقة واحدة من تنفيذ الأمر ثم لا يحاول مرة أخرى لبعض الوقت. أدخل أمر الرمز المميز مرة أخرى لفرض إنشاء ثقة جديد.

متصل ب CSLU

مدير أداة الترخيص الذكي (CSLU) من Cisco هو تطبيق قائم على Windows (متوفر أيضا على Linux) يمكن العملاء من إدارة التراخيص ومثيلاتها من المنتجات المرتبطة من أماكن عملهم بدلا من الاضطرار إلى ربط مثيلات المنتجات التي تم تمكينها بترخيص ذكي مباشرة بمدير البرامج الذكية من Cisco (CSSM).

يغطي هذا القسم تكوين 9800 Wireless فقط. هناك خطوات أخرى لإتمامها لتكوين الترخيص باستخدام CSLU (مثل تثبيت CSLU، وتكوين برنامج CSLU وما إلى ذلك)، والتي يتم تغطيتها في أدلة التكوين .ما إذا كنت تريد تنفيذ طريقة اتصال بدأها مثيل منتج أو بدأها CSLU، أو إكمال تسلسل المهام المطابق.

تم بدء مثيل المنتج 

1. ضمان إمكانية الوصول إلى الشبكة من وحدة التحكم إلى CSLU 
2. تأكد من تعيين نوع النقل على cslu: 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. إذا كنت تريد اكتشاف CSLU بواسطة وحدة التحكم، فأنت بحاجة إلى تنفيذ الإجراء. إذا كنت ترغب في اكتشاف CSLU باستخدام DNS، فلا يتطلب أي إجراء. إذا كنت ترغب في اكتشافه باستخدام عنوان URL، فيرجى إدخال الأمر التالي: 
   

   (config)#license smart url cslu http://
         
         
           :8182/cslu/v1/pi (config)#exit #copy running-config startup-config 
         

تم البدء في CSLU 

عند تكوين الاتصال الذي بدأته CSLU، يكون الإجراء الوحيد المطلوب هو التحقق من إمكانية الوصول إلى الشبكة إلى CSLU من وحدة التحكم وضمان هذا الوصول. 

متصل ب SSM على-prem

يماثل التكوين مع SSM على ذاكرة التخزين المؤقت إلى حد ما الاتصال المباشر. يجب تشغيل الإصدار 8-202102 أو الأحدث على الإعداد المسبق. بالنسبة لإصدارات SLUP (17.3.2 والإصدارات الأحدث)، يوصى باستخدام عنوان URL الخاص بوحدة التحكم في الوصول عن بعد ونوع النقل. يمكن الحصول على عنوان URL من واجهة WebUI الموجودة مسبقا بموجب الترخيص الذكي > المخزون > <الحساب الظاهري> > قسم عام.

configure terminal
 ip http client source-interface 
    
    
      ip http client secure-trustpoint 
     
       license smart transport cslu license smart url https:// 
      
        /SmartTransport crypto pki trustpoint SLA-TrustPoint revocation-check none exit write memory terminal monitor 
       
      
    

لا يتطلب SSM الموجود على الخادم إستخدام رمز الثقة المميز.

تكوين النقل الذكي من خلال وكيل HTTPS

لاستخدام خادم وكيل للاتصال ب CSSM عند إستخدام وضع النقل الذكي، أكمل الخطوات التالية:

configure terminal
  ip http client source-interface 
    
    
      ip http client secure-trustpoint 
     
       license smart transport smart license smart url default license smart proxy address 
      
        license smart proxy port 
       
         exit write memory terminal monitor license smart trust idtoken 
        
          all force 
         
        
       
      
    

تواتر الاتصال

فترة التقرير أنت يستطيع شكلت في CLI أو GUI يتلقى ما من تأثير.

تتصل وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 ب CSSM أو On-prem Smart Software Manager كل 8 ساعات، بغض النظر عن تكوين الفاصل الزمني لإعداد التقارير عبر واجهة الويب أو واجهة سطر الأوامر (CLI). هذا يعني أن نقاط الوصول المنضمة حديثا يمكن أن تظهر على CSSM حتى 8 ساعات بعد انضمامها في البداية.

يمكنك اكتشاف المرة التالية التي يتم فيها حساب التراخيص والإبلاغ عنها باستخدام الأمر show license air entities summary. لا يعد هذا الأمر جزءا من إخراج show tech أو show license all:

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

ترخيص إعادة الضبط في المصنع

يمكن أن يتلقى Catalyst 9800 WLC كل من ترخيصه تشكيل وثقة المصنع إعادة ضبط ولا يزال يحتفظ بجميع التكوينات الأخرى. يتطلب هذا إعادة تحميل WLC:

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

في حالة وجود ترخيص المواد المسترجعة (RMA) أو إستبدال الأجهزة

إذا كانت وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 بحاجة إلى إستبدال، فيتعين على الجهاز الجديد التسجيل باستخدام برنامج CSSM/On-Prem Smart Software Manager ويتم تصوره كجهاز جديد. يتطلب إصدار عدد تراخيص الجهاز السابق الحذف اليدوي تحت مثيلات المنتج:

الترقية من تسجيل ترخيص محدد (SLR)

استعملت إصدارات WLC الأقدم، الأقدم من 17.3.2، طريقة ترخيص خاصة دون اتصال تسمى تسجيل ترخيص خاص (SLR). تم إهمال طريقة الترخيص هذه في الإصدارات التي تستخدم SLUP (17.3.2 والإصدارات الأحدث).

إذا قمت بترقية وحدة تحكم 9800 كانت تستخدم SLR إلى نشر الإصدار 17.3.2 أو 17.4.1، فيوصى بالانتقال إلى إعداد تقارير SLUP دون اتصال بدلا من الاعتماد على أوامر SLR. قم بحفظ ملف RUM الخاص باستخدام الترخيص وتسجيل ذلك باستخدام مدخل الترخيص الذكي. ونظرا لأن SLR لم يعد موجودا في الإصدارات الأحدث، فهذا يقدم تقارير عن عدد التراخيص الصحيح ويطلق أي ترخيص غير مستخدم. لم تعد التراخيص محظورة ولكن تم الإبلاغ عن عدد الاستخدام الدقيق.

استكشاف الأخطاء وإصلاحها

الوصول إلى الإنترنت وفحص المنافذ واختيارها

بدلا من tools.cisco.com التي يستخدمها الترخيص الذكي التقليدي، يستخدم SLUP الجديد مجال smartreceiver.cisco.com لإنشاء الثقة. في وقت كتابة هذه المقالة، يتحول هذا المجال إلى عناوين IP مختلفة متعددة. ليست كل هذه العناوين قابلة للتجميع. يجب عدم إستخدام إختبارات الاتصال كإختبار قابلية الوصول إلى الإنترنت من WLC. عدم القدرة على إختبار اتصال هذه الخوادم لا يعني أنها لا تعمل بشكل صحيح.

بدلا من إختبار الاتصال، يجب إستخدام برنامج Telnet عبر المنفذ 443 كإختبار قابلية الوصول. يمكن التحقق من برنامج Telnet إما مقابل مجال smartreceiver.cisco.com أو مباشرة مقابل عناوين IP للخادم. إن لا يكون حركة مرور يكون يمنع، ميناء ينبغي ظهرت كمفتوح في الإنتاج:

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]

Syslog

إذا تم تمكين الأمر terminal monitor أثناء تكوين الرمز المميز، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يطبع السجلات ذات الصلة في واجهة سطر الأوامر (CLI). يمكن أيضا الحصول على هذه الرسائل إذا قمت بتشغيل الأمر show logging. تبدو سجلات الثقة التي تم تأسيسها بنجاح كما يلي:

WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.

سجلات عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بدون خادم DNS معرف أو بدون خادم DNS لا يعمل:

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

سجلات عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) مع خادم DNS يعمل، ولكن بدون الوصول إلى الإنترنت:

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

عمليات التقاط الحِزم

على الرغم من تشفير الاتصال بين WLC و CSSM/On-prem SSM والمرور عبر HTTPS، إلا أن تنفيذ التقاط الحزم يمكن أن يكشف عن الأسباب التي تمنع إنشاء الثقة. تعتبر أسهل طريقة لجمع التقاط الحزم من خلال واجهة ويب الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC).

انتقل إلى أستكشاف الأخطاء وإصلاحها > التقاط الحزمة. إنشاء نقطة التقاط جديدة:

تأكد من تمكين خانة إختيار مستوى تحكم الشاشة. قم بزيادة حجم المخزن المؤقت إلى 100 ميجابايت كحد أقصى. أضفت القارن أي ينبغي كنت التقط. يتم الحصول على حركة مرور الترخيص الذكي من واجهة الإدارة اللاسلكية بشكل افتراضي أو من الواجهة المحددة باستخدام أمر ip http client source-interface:

بدء عمليات الالتقاط وتشغيل الأمر Smart TrustToken <token> all force:

يجب أن تحتوي حزم التقاط مؤسسة ثقة على الخطوات التالية:

1. إنشاء جلسة TCP باستخدام SYN و SYN-ACK & ACK Sequence
2. إنشاء جلسة TLS مع تبادل شهادات الخادم والعميل. تنتهي عملية التأسيس بحزمة تذكرة جلسة عمل جديدة
3. تبادل حزم مشفر (إطارات بيانات التطبيق) حيث تبلغ WLC عن إستخدام الترخيص
4. إنهاء جلسة بروتوكول TCP عبر تسلسل FIN-PSH-ACK و Fin-ACK & ACK

ملاحظة: تحتوي لقطات الحزمة على إطارات أكثر، بما في ذلك مضاعفات تحديث نافذة TCP وإطارات بيانات التطبيق

بما أن CSSM Cloud يستخدم 3 عناوين IP عامة مختلفة، in order to أنقذت كل من الربط التقاط بين WLC و CSSM، استعملت هذا wireshark مرشح:

ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144 

في حالة إستخدام SSM على ذاكرة التخزين المؤقت، قم بتصفية عنوان IP الخاص ب SSM:

ip.addr==
    
    

مثال: حزم تلتقط مؤسسة ثقة ناجحة مع CSSM متصل مباشرة مع تصفية جميع حزم الالتقاط الهامة:

إظهار الأوامر

تحتوي أوامر العرض هذه على معلومات مفيدة حول إنشاء الثقة:

show license status
show license summary
show tech-support license
show license tech-support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

يعد الأمر show license history أحد الأوامر الأكثر فائدة لأنه يمكن أن يعرض الرسائل الفعلية التي تم إرسالها من WLC والتي تم استقبالها من CSSM.

تم طبع رسالتين " طلب: 10:18:08 2021 - وسط " و " إستجابة: 10:18:10 2021 - وسط " في 23 أغسطس 2021. إذا لم يكن هناك أي شيء بعد سطر الاستجابة، فهذا يعني أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لم يتلق إستجابة من CSSM.

هذا مثال على إخراج رسالة سجل ترخيص show لإنشاء ثقة ناجح:

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

تصحيح الأخطاء/التتبع

قم بتشغيل هذا الأمر بعد بضع دقائق من محاولة إنشاء ثقة باستخدام أمر License Smart TrustToken all Force. سجلات IOSRP سريعة للغاية. إلحاق | قم بتضمين Smart-agent إلى الأمر للحصول على سجلات الترخيص الذكية فقط.

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

يمكنك أيضا تشغيل تصحيح الأخطاء هذا ثم إعادة تكوين أوامر الترخيص لفرض اتصال جديد:

debug license events
debug license errors
debug license agent all

المشكلات الشائعة

لا يتضمن WLC أي وصول إلى الإنترنت أو حركة مرور كتل/محولات جدار الحماية

حزم مضمنة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) هي طريقة سهلة لمعرفة ما إذا كانت وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) تستلم أي شيء مرة أخرى من وحدة التحكم في الشبكة المحلية اللاسلكية (CSSM) أو وحدة التحكم في الشبكة المحلية اللاسلكية (SSM) على جهاز الإرسال/الاستقبال. إذا لم تكن هناك إستجابة، فمن المحتمل أن الجدار الناري يعطل شيئا ما.

يطبع الأمر show license history إستجابة فارغة لمدة ثانية بعد إرسال الطلب في حالة عدم تلقي إستجابة من سحابة CSSM أو SSM على ذاكرة التخزين المؤقت.

على سبيل المثال، قد يقودك هذا إلى الاعتقاد بأنه تم تلقي إستجابة فارغة، ولكن في الواقع لم يكن هناك أي إستجابة على الإطلاق:

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

ملاحظة: هناك حاليا طلب تحسين معرف تصحيح الأخطاء من Cisco CSCvy84684 الذي يجعل رسالة سجل ترخيص العرض تطبع إستجابة فارغة عندما لا توجد إستجابة. الغرض من هذا هو تحسين إخراج الأمر show license history message

تنبيه CA غير معروف في التقاط الحزم

يتطلب الاتصال ب CSSM أو On-prem SSM شهادة لائقة على الجانب 9800. يمكن أن تكون موقعة ذاتيا، لكن لا يمكن أن تكون غير صالحة أو منتهية الصلاحية. في مثل هذه الحالة، يظهر التقاط حزمة تنبيه TLS ل CA غير معروف يرسل بواسطة CSSM عندما تكون شهادة عميل 9800 HTTP منتهية الصلاحية.

يستخدم الترخيص الذكي تكوين ip http client، والذي يختلف عن خادم ip http الذي تستخدمه واجهة ويب الخاصة بشبكة WLC. هذا يعني أنه يجب تكوين هذه الأوامر بشكل صحيح:

ip http client source-interface 
    
    
      ip http client secure-trustpoint 
      
    

يمكن العثور على اسم TrustPoint باستخدام الأمر show crypto pki trustPoints. يوصى باستخدام شهادة TP ذاتية التوقيع TP-XXXXXXXX أو شهادة الشركة المصنعة المثبتة (MIC) والتي يطلق عليها عادة CISCO_IDEVID_SUDI وتتوفر فقط على 9800-80 و 9800-40 و 9800-L.

من المهم ملاحظة أن الأجهزة التي تقوم باعتراض TLS، مثل جدار الحماية باستخدام ميزة فك تشفير SSL، يمكن أن تمنع C9800 من إنشاء مصافحة ناجحة مع خادم ترخيص Cisco حيث أن شهادة HTTPS المقدمة هي شهادة جدار الحماية بدلا من شهادة خادم ترخيص Cisco.

ملاحظة: تأكد من تكوين كل من أوامر source-interface و secure-trustPoint. يلزم أمر واجهة مصدر حتى إذا كان WLC يحتوي على واجهة L3 واحدة فقط.

معلومات ذات صلة

• ترخيص ذكي مع وضع Air Gap في الطراز 9800
• الدعم الفني والتنزيلات من Cisco