Smart Licensing-Richtlinie auf ACI-Plattformen konfigurieren und Fehlerbehebung dafür durchführen
Inhalt
Einleitung
Dieses Dokument beschreibt die Verwendung der Cisco Smart Licensing Policy sowie die Konfiguration, Fehlerbehebung und Verwaltung von Softwarelizenzen auf der Cisco Application Centric Infrastructure (ACI)-Plattform.
Was ist die Cisco Smart Licensing Policy (SLP)?
Cisco Smart Licensing ist eine Software-Management-Plattform, die alle Cisco Produktlizenzen verwaltet. Basierend auf Ihrem Feedback wurde Cisco Smart Licensing verbessert und eine neue Plattform namens SLP vorgeschlagen. Der Zweck von SLP ist die Vereinfachung intelligenter Lizenzierungen und die Möglichkeit für Sie, diese zu konfigurieren und zu warten. Sie wird in der ACI-Version 5.2(4) eingeführt.
Sind Sie neu bei Smart Licensing und/oder der Smart Account-Verwaltung?
Registrieren Sie sich für den neuen Schulungskurs und die Aufzeichnung für Administratoren:
Cisco Community – Vertiefen Sie Ihr Wissen mit Cisco Smart Accounts / Smart Licensing und My Cisco Entitlements
Smart Accounts können hier erstellt werden: Smart Accounts
Smart Accounts können hier verwaltet werden: Smart Software Licensing
Was ist ein ID-Token?
Wird verwendet, um Produkte sicher bei einem Smart Account und einem Virtual Account zu registrieren. ID-Token sind "organisatorische IDs", die bei der Registrierung eines Produkts verwendet werden, um die Identität festzustellen. Diese Token in SLP werden mit einer anderen Registrierungsmethode verwendet, die weiter unten in diesem Dokument erläutert wird.
ID-Token aus CSSM generieren
Klicken Sie zum Generieren auf diesen Link, und navigieren Sie zu Manage Licenses > Inventory > General > New Token wie im Bild dargestellt.
Nach der Generierung können Sie in Aktionen kopieren oder herunterladen:
SLP-Lizenz und Produktstatus
Bei ACI SLP entfallen 90 Tage des Evaluierungszeitraums und die Produktregistrierung. Eine Produktregistrierung ist nicht mehr erforderlich. Sie müssen die Lizenznutzung bestmöglich melden. Darüber hinaus wird der Lizenzautorisierungsstatus in der Client-Ansicht eliminiert. Eine Lizenzberechtigung hat jetzt zwei Status: Wird verwendet oder nicht verwendet. Da der APIC-Controller nur die Lizenzen verwaltet, die derzeit verwendet werden, können Sie auf der Benutzeroberfläche/der CLI des APIC nur alle Lizenzrechte sehen, die verwendet werden.
Unterstützte Methoden mit SLP
Es gibt verschiedene Methoden zur Konfiguration von Smart License Policy, die wie folgt unterschieden werden können:
1. Online-Modus
2. Offline-Modus
Im ACI SLP stellen Sie das Konzept des Ressourcenauslastungsmessungsberichts (RUM-Bericht) vor. Ein RUM-Bericht ist eine Datei im XML-Format, die den Bericht über die Lizenznutzung enthält. Die Terminologie license usage report und Rum reportaustauschbar sind; beziehen sich beide auf die Nutzung der Berichtslizenz. Im Online-Modus muss der Benutzer das Netzwerk konfigurieren. Damit der APIC-Controller direkt oder indirekt mit dem CSSM verbunden wird, auch im Online-Modus, kann der APIC automatisch RUM-Berichte senden und eine Bestätigung vom CSSM erhalten.
Da der APIC im Offline-Modus ohne direkte oder indirekte Netzwerkverbindung mit CSSM vollständig isoliert ist, muss der Benutzer den RUM-Bericht regelmäßig vom APIC herunterladen, in CSSM importieren, die Bestätigung vom CSSM herunterladen und in den APIC importieren.
Basierend auf der Konnektivität des APIC mit dem CSSM können Sie entscheiden, ob Sie den Online- oder Offline-Modus verwenden möchten, der somit auch über mehrere Methoden im Online-Modus verfügt. Dies wird im Folgenden erläutert:
Methode 1: Direkte Verbindung zum CSSM
Diese Methode ist der am häufigsten verwendete Netzwerkmodus. Der Cisco APIC muss über eine Internetverbindung verfügen, damit der Cisco APIC RUM-Berichte direkt an den CSSM senden kann. Der DNS muss konfiguriert werden, und der CSSM-Hostname (tools.cisco.com) muss pingfähig sein.
So konfigurieren Sie:
Schritt 1: Melden Sie sich bei der Cisco APIC-GUI an.
Schritt 2: Navigieren Sie in der Menüleiste zu System > Smart Licensing > Actions > Configure Network Settings.
Schritt 3: Wählen Direct connect to CSSM.
Schritt 4: URL und Portnummer können hier nicht geändert werden.
Schritt 5: Fügen Sie ein Produktinstanz-ID-Token ein, das bereits von Ihrem virtuellen CSSM-Konto abgerufen wurde.
Schritt 6: Klicken Sie auf OK.
Nach der erfolgreichen Synchronisierung mit CSSM werden die Smart Account- und Virtual Account-Namen auf der Smart Licensing-Seite wie im Bild dargestellt aktualisiert.
Methode 2: Cisco Transport Gateway
Bei dieser Methode ist keine Internetverbindung für den Cisco APIC erforderlich. Der Cisco APIC sendet RUM-Berichte mithilfe des Transport-Gateways an den CSSM. Die Cisco Transport Gateway-Middleware muss bereits im Rechenzentrum installiert sein und mit dem APIC erreichbar sein. Für den Transport-Gateway-Modus lautet das URL-Format: http://
, wobei IP oder Hostname die IP oder der Hostname des Transport Gateway ist. Die Portnummer muss eingegeben werden, wenn es sich nicht um den HTTP-Standardport 80 oder den HTTPS-Port 443 handelt. Darüber hinaus ist ein Produktinstanz-ID-Token erforderlich, das vom virtuellen CSSM-Konto abgerufen werden kann.
Zur Installation und Konfiguration des Transport-Gateways kann der Benutzer die Dokumentation zu Cisco Transport Gateway aufrufen:
https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf
So konfigurieren Sie:
Schritt 1: Melden Sie sich bei der Cisco APIC-GUI an.
Schritt 2: Navigieren Sie in der Menüleiste zu System > Smart Licensing > Actions > Configure Network Settings.
Schritt 3: Wählen Sie Cisco Transport Gateway aus.
Schritt 4: Bearbeiten Sie die URL mit der richtigen IP (IP des Cisco Transport Gateway) und dem richtigen Port.http://
.
Schritt 5: Fügen Sie ein Produktinstanz-ID-Token ein, das bereits von Ihrem virtuellen CSSM-Konto abgerufen wurde.
Schritt 6: Klicken Sie auf OK.
Methode 3: HTTP/HTTPS-Proxy
Bei dieser Methode ist keine Internetverbindung für den Cisco APIC erforderlich. Der Cisco APIC sendet RUM-Berichte vom Webproxy an den CSSM. Stellen Sie sicher, dass der Webproxyserver so konfiguriert ist, dass er die Smart Licensing-Nachrichten zulässt. Außerdem muss die Firewall Regeln für die Weiterleitung der Kommunikation zum Ziel (https://tools.cisco.com/its/service/oddce/services/DDCEService).
Im Proxy-Modus muss ein Benutzer die Proxy-IP und den -Port konfigurieren. Darüber hinaus ist ein Produktinstanz-ID-Token erforderlich, das aus dem virtuellen CSSM-Konto des Benutzers abgerufen werden kann.
So konfigurieren Sie:
Schritt 1: Melden Sie sich bei der Cisco APIC-GUI an.
Schritt 2: Navigieren Sie in der Menüleiste zuSystem > Smart Licensing >
Schritt 3: WählenCisco HTTP/HTTPS Proxy.
Schritt 4: Geben Sie die IP-Adresse und die Portnummer des Proxys an.
Schritt 5: Fügen Sie ein Produktinstanz-ID-Token ein, das Sie von Ihrem virtuellen CSSM-Konto erhalten können.
Schritt 6: Klicken Sie aufOK.
Methode 4. Am Standort
Bei dieser Methode ist für den Cisco APIC keine Internetverbindung erforderlich, während für den lokalen APIC eine Internetverbindung erforderlich ist. Der Cisco APIC sendet RUM-Berichte über den Standort an den CSSM. Die standortbasierte Middleware muss bereits im Rechenzentrum installiert sein. Dieser Modus war zuvor in Cisco ACI Smart Licensing (SL) als Cisco Smart Software Manager Satellite (Manager Satellite) bekannt.
So konfigurieren Sie:
Schritt 1: Melden Sie sich bei der Cisco APIC-GUI an.
Schritt 2: Navigieren Sie in der Menüleiste zuSystem > Smart Licensing > Actions > Configure Network Settings
Schritt 3: Wählen Cisco Smart Software Manager On-Prem.
Sie müssen die URL für den Cisco Smart Software Manager vor Ort angeben. Um die URL abzurufen, melden Sie sich bei der lokalen Benutzeroberfläche von Cisco Smart Software Manager an. Navigieren Sie zu Inventory > General und klicken Sie auf CSLU TransportURL-Link.
Schritt 4: Kopieren Sie die CSLU-URL, und fügen Sie sie in das URL-Feld in der Cisco APIC-GUI ein.
Sie müssen das Produktinstanz-ID-Token nicht angeben. Der Cisco APIC verwendet ein integriertes Zertifikat für die Kommunikation mit dem Cisco Smart Software Manager am Standort.
Nach der erfolgreichen Synchronisierung wird der interne Smart-Software-Manager-Bestand mit den verwendeten Lizenzen aktualisiert.
Methode 5: Cisco Smart Licensing-Dienstprogramm
Bei dieser Methode ist keine Internetverbindung für den Cisco APIC erforderlich. Der Cisco APIC sendet RUM-Berichte über das CSLU an CSSM. Die CSLU, die Microsoft Windows-Version der Middleware, muss bereits im Rechenzentrum installiert sein. Die URL für die CSLU kann im APIC wie folgt konfiguriert werden:http://ip_or_hostname:port/cslu/v1/pi
Hierbei ist "IP" oder "Hostname" die CSLU-IP-Adresse oder der Hostname. HTTPS wird nicht unterstützt.
So konfigurieren Sie:
Schritt 1: Melden Sie sich bei der Cisco APIC-GUI an.
Schritt 2: Navigieren Sie in der Menüleiste zu Inventory System > Smart Licensing >
Schritt 3: Wählen Cisco Smart Licensing Utility (CSLU).
In der vorherigen URL wird der Port unter den Einstellungen der CSLU-GUI als Produktinstanz-Service-Port übernommen.
Sobald die Synchronisierungslizenzierungsseite erfolgreich ist, wird sie mit dem Smart Account-Namen und dem Virtual Account-Namen aktualisiert, wie im Bild dargestellt.
Methode 6. Offline-Methode
Im Offline-Modus wird der Cisco APIC direkt oder indirekt ohne Netzwerkverbindung mit dem CSSM isoliert. Da der Cisco APIC den CSSM nicht über eine Netzwerkverbindung erreichen kann, müssen Sie alle 12 Monate einen RUM-Bericht vom Cisco APIC herunterladen und in den CSSM importieren. Anschließend müssen Sie eine Bestätigung vom CSSM herunterladen und in den Cisco APIC importieren.
So konfigurieren Sie:
Schritt 1: Melden Sie sich bei der Cisco APIC-GUI an.
Schritt 2: Navigieren Sie in der Menüleiste zu System > Smart Licensing.
Schritt 3: Navigieren Sie im Arbeitsbereich zu Actions > Download Rum Report.
Die RUM-Berichtsdatei wird automatisch in den Standardordner Ihres Browsers heruntergeladen.
Nachdem der Bericht heruntergeladen wurde (LicenseUsageRumReport.xml), können Sie ihn in CSSM importieren.
Schritt 4: Melden Sie sich bei Software.cisco.com an, und navigieren Sie zu Manage License (Lizenz verwalten).
Schritt 5: Klicken Sie im Menü auf Reportsund wählen Sie Usage Data Files-Option, wie im Bild dargestellt.
Schritt 6: Klicken Sie auf Upload Usage Dataund Datei auswählenLicenseUsageRumReport.xmlwie im Bild dargestellt.
Schritt 7: Wählen Sie die Virtual Accounts mit den Lizenzen aus.
Nach der Übermittlung müssen Sie warten, bis der Berichtsstatus No Errorsund das Bestätigungsfeld hat die Möglichkeit herunterzuladen.
Schritt 8: Klicken Sie auf Download undAcknowledgement wird als Dateiname heruntergeladenACK_LicenseUsageRumReport.xmlwie im Bild dargestellt.
Sie müssen die Bestätigung in den APIC importieren:
Schritt 9: Melden Sie sich bei der Cisco APIC-GUI an.
Schritt 10. Navigieren Sie in der Menüleiste zuSystem > Smart Licensing.
Schritt 11: Navigieren Sie im Arbeitsbereich zuActions > Import Acknowledgement.
Schritt 12. Klicken Sie aufChoose File, navigieren Sie zu dem Ort, an den Sie die Bestätigungsdatei heruntergeladen haben, wählen Sie die Datei aus, und klicken Sie auf Open.
Schritt 13. Klicken Sie auf OK.
Sobald die Synchronisierungslizenzierungsseite erfolgreich ist, wird sie mit dem Smart Account-Namen und dem Virtual Account-Namen aktualisiert, wie im Bild dargestellt.
Fehlerbehebung: Cisco ACI Smart Licensing-Richtlinie
Fehler
In der ACI wird ein Fehler ausgelöst, wenn eine bestimmte Problembedingung oder Warnung auftritt, bevor Sie mit der Fehlerbehebung beginnen. Es ist immer gut zu überprüfen, ob irgendein Fehler vorhanden ist, der uns in die richtige Richtung umleitet, die Tabelle listet die Smart Licensing-Fehler auf:
| F3057 |
Dies ist ein Warnfehler, der darauf hinweist, dass Sie noch keine Netzwerkeinstellung konfiguriert haben. Selbst wenn Sie den Offline-Modus auswählen möchten, konfigurieren Sie die Offline-Netzwerkeinstellung. Konfigurieren Sie eine Netzwerkeinstellung, die diesen Fehler löscht. |
| F4290 |
Dieser Fehler zeigt an, dass das von Ihnen eingegebene Produktinstanz-ID-Token entweder ungültig oder abgelaufen ist. Melden Sie sich beim CSSM an, und erstellen Sie ein neues Produktinstanz-Registrierungstoken. Melden Sie sich bei der GUI des Cisco Application Policy Infrastructure Controller (APIC) an, um das neue ID-Token einzugeben und die Netzwerkeinstellungen neu zu konfigurieren. Diese Aktion löscht den Fehler. |
| F4291 |
Dieser Fehler zeigt an, dass die Netzwerkverbindung zwischen Cisco APIC und CSSM oder zwischen den Beim Cisco APIC und dem Transportserver (Gateway, Proxy, On-Prem oder CSLU) ist ein Problem aufgetreten. Die Fehlermeldung Der Cisco APIC kann nicht mit dem CSSM oder dem Transportserver kommunizieren. Melden Sie sich nach der Behebung des Netzwerkverbindungsproblems beim Cisco APIC-GUI, navigieren Sie zu |
| F4222 |
Dieser Fehler weist darauf hin, dass der Cisco APIC lange Zeit keine Bestätigung eines RUM-Berichts erhalten hat und die Bestätigung abgelaufen ist. Laden Sie im Offline-Modus manuell einen RUM-Bericht herunter, und importieren Sie die Bestätigung. Beim Importieren der Bestätigungsdatei in den Cisco APIC wird der Fehler behoben. Im Online-Modus zeigt dieser Fehler an, dass aufgrund eines Netzwerkproblems Der Cisco APIC ist seit langem nicht mit dem CSSM synchronisiert. Beheben Sie das Problem der Netzwerkverbindung zwischen Cisco APIC und CSSM oder zwischen den Cisco APIC und Transportserver sowie zwischen dem Transportserver und dem CSSM. Melden Sie sich nach der Behebung des Netzwerkverbindungsproblems beim Cisco APIC-GUI, navigieren Sie zu |
| F4310 |
Dieser Fehler zeigt an, dass Sie die falsche Bestätigung eines RUM-Berichts importiert haben. Eine Bestätigung wird eindeutig einem RUM-Bericht zugeordnet. Die importierte Bestätigung muss mit dem heruntergeladenen RUM-Bericht übereinstimmen. Laden Sie den RUM-Bericht manuell erneut herunter, und importieren Sie die richtige Bestätigung in den Cisco APIC, der den Fehler behebt. |
Befehle anzeigen
Es gibt zwei CLI show Befehle, die zur Fehlerbehebung nützlich sind. Melden Sie sich zur Verwendung dieser Befehle als Administrator beim Cisco Application Policy Infrastructure Controller (APIC)-Knoten 1 im Cluster an.
# show license all
Mit diesem Befehl show werden Smart Licensing-Informationen aus dem Smart Agent (SA) Trust Store angezeigt. Im Abschnitt "Usage Reporting" (Nutzungsberichte) wird der Zeitstempel des zuletzt gesendeten RUM-Berichts und der zuletzt empfangenen Bestätigung angezeigt. Außerdem wird angezeigt, wann der nächste RUM-Bericht gesendet und wann die nächste Bestätigung abgerufen werden soll. Wenn der Zeitstempel der zuletzt empfangenen Bestätigung neuer als der Zeitstempel des zuletzt gesendeten RUM-Berichts ist, bedeutet dies, dass der Cisco APIC den RUM-Bericht erfolgreich gesendet und die Bestätigung empfangen hat.
# show license tech support
Dieser Befehl show zeigt weitaus detailliertere Informationen an als show license all. Die Konsole kann das vollständige Ergebnis aufgrund seiner Länge nicht anzeigen, aber Sie können die Datei /tmp/SA_Show_Tech_Support.txt öffnen, um die gesamte Ausgabe anzuzeigen.
Protokolle
Wenn ein Problem mit Smart Licensing auftritt, sammeln Sie die folgenden Protokolle:
/var/log/dme/log/svc_ifc_licensemgr.bin.log
/var/log/dme/log/ch_dbg.log
Technischer Support vom APIC.
Bekanntes Problem
1. Fehler bei der Registrierung aufgrund eines Kommunikationsproblems (DNS nicht konfiguriert)
Wenn Sie im Direktverbindungsmodus zum CSSM vergessen haben, DNS auf dem Cisco Application Policy Infrastructure Controller (APIC) zu konfigurieren, schlägt die Kommunikation mit tools.cisco.com fehl.
Vergewissern Sie sich, dass der DNS im APIC konfiguriert ist, und senden Sie einen Ping an tools.cisco.com.
Um zu überprüfen, ob DNS konfiguriert ist, führen Siecat /etc/resolv.confauf der APIC-CLI:
apic1# cat /etc/resolv.conf
# Generated by IFC
search apic.local
nameserver 10.0.0.1
nameserver XX.163.128.140Um zu überprüfen, ob Ping funktioniert, führen Sie Ping in der Kommandozeile des APIC-Controllers aus. Ping muss für tools.cisco.com funktionieren.
apic1# ping tools.cisco.com
PING tools.cisco.com (XX.163.4.38) 56(84) bytes of data.
64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=1 ttl=235 time=250 ms
64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=2 ttl=235 time=249 ms
64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=3 ttl=235 time=249 ms2. Upgrade-Überlegungen für Cisco ACI Smart License Policy
Wenn Sie ein Upgrade auf den Cisco Application Policy Infrastructure Controller (APIC) 5.2(4) oder höher planen und der Cisco APIC bereits registriert ist und der Netzwerk- oder Transportmodus Direct Connect to CSSM, Transport Gateway oder HTTP/HTTPS Proxy ist, können Sie den Cisco APIC über Cisco Application Centric Infrastructure (ACI) Smart Licensing (SL) direkt aktualisieren. auf das SLP. Es ist nicht erforderlich, besondere Verfahren durchzuführen. Nach dem Upgrade ist der Cisco APIC weiterhin mit dem CSSM verbunden und kann RUM-Berichte problemlos an den CSSM senden.
Wenn der Cisco APIC stattdessen bereits registriert ist und der Netzwerk- oder Transportmodus Manager Satellite ist, können Sie den Cisco APIC nicht direkt von SL auf SLP aktualisieren. Dies liegt daran, dass sich sowohl der Transporttyp als auch die URL für den Cisco Smart Software Manager On-Prem-Netzwerkmodus ändern, der Manager Satellite ersetzt. Sie müssen folgende Aktionen ausführen:
-
Aktualisieren Sie Manager Satellite auf die neueste Version von Cisco Smart Software Manager On-Prem, die SLP unterstützt. Stellen Sie nach dem Upgrade sicher, dass der standortbasierte Zugriff über eine Netzwerkverbindung mit dem CSSM verfügt und die Synchronisierung zwischen dem standortbasierten und dem CSSM weiterhin funktioniert.
-
Aktualisieren Sie den Cisco APIC auf Version 5.2(4) oder höher. Nach dem Upgrade zeigt die Cisco APIC-GUI an, dass der Netzwerkmodus Transport Gateway und nicht Manager Satellite ist. Sie müssen den Netzwerkmodus auf "Cisco Smart Software Manager On-Prem" umkonfigurieren und die richtige URL aus der lokalen GUI kopieren.
3. Fehler - Fehler beim Senden der HTTP-Nachricht für Call Home (Quo Vadis Root CA).
Die QuoVadis Root CA 2 wurde deaktiviert und kann die SSL-Kommunikation vom APIC beeinträchtigen. Daher wird der Fehler "Call Home HTTP nicht senden" ausgegeben. Um dies zu überprüfen, können Sie Anrufstandardprotokolle analysieren unter/var/log/dme/log/ch_dbg.log. Wenn diese Zeilen gedruckt werden, folgen Sie den angegebenen BUG- und Problemhinweisen:
CH-TRANS-ERROR: ch_pf_curl_send_msg[539], failed to perform, err code 60, err string "Peer certificate cannot be authenticated with given CA certificates" *
CH-TRANS-DETAIL: ch_pf_http_long_buf_dump[264], dump:"SSL certificate problem: self signed certificate in certificate chain"
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
26-Sep-2022 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)