Einleitung
In diesem Dokument werden die Bereitstellungsarten von Cisco Smart Licensing (SL) und die erforderliche Konfiguration beschrieben.
Voraussetzungen
Anforderungen
- Ein Smart Account mit Zugriff auf das Cisco Smart Software Manager (CSSM)-Portal
- Ein Gerät mit Cisco IOS®-Version zwischen 16.5.1 und 17.3.1
- Cisco Smart Software Manager Server vor Ort
- HTTPS-Verbindung zwischen dem Gerät und dem CSSM oder dem lokalen Server
Anmerkung: Bei einigen Bereitstellungen ist der Cisco Smart Software Manager On-Prem nicht erforderlich. Sie ist eine optionale Komponente der Funktion.
Vorsicht: Smart Licensing ist für die Versionen zwischen 16.5.1 und 16.9.8 optional. Für physische Geräte mit Cisco IOS® XE 16.10.1a ist bis zu Cisco IOS® XE 17.3.1 Smart Licensing obligatorisch. Ab Version 17.3.2 ist die Smart Licensing Using Policy obligatorisch. Für virtuelle Geräte und andere Cisco Plattformen lesen Sie die Versionshinweise des jeweiligen Codes.
Verwendete Komponenten
Dieses Dokument gilt für Cisco IOS XE Enterprise Routing-Plattformen.
Die Informationen in diesem Dokument basieren auf den folgenden Hardware- und Softwareversionen:
- Cisco ASR 1001-X mit Cisco IOS XE Version 16.9.4 und Cisco ISR 4351 mit Cisco IOS XE Version 16.12.1.
- Smart Software Manager-Server mit Version 8-202108.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Bereitstellungsarten
Für die Smart Licensing-Registrierung und -Nutzung stehen im Wesentlichen vier Bereitstellungsoptionen zur Verfügung:
- Direkter CSSM-Zugriff
- Direkter CSSM-Zugriff mit Proxy
- SSM-Zugriff am Standort
- Spezifische Lizenzreservierung

Direkter CSSM-Zugriff
Mit dieser Bereitstellungsoption können Sie Nutzungsdaten über das Internet direkt über HTTPS an Cisco übertragen.
Ab Cisco IOS XE 16.10.1a ist Smart Licensing standardmäßig aktiviert und das einzige Lizenzmodell, das verfügbar ist. Für diese Bereitstellung ist eine Layer-3-Konfiguration erforderlich, und die Erreichbarkeit über den HTTPS-Port (443) ist über die entsprechende Schnittstelle auf tools.cisco.com möglich. Die DNS-Konfiguration ist erforderlich.
Wenn die Verbindung bestätigt wurde, gehen Sie wie folgt vor, um die Geräte zu registrieren:
Schritt 1: Aktivieren Sie die Smart-Lizenz auf dem Gerät (optional). Ab Version 16.10.1a ist sie standardmäßig aktiviert.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#license smart enable
Hinweis: Dieser Befehl aktiviert den erforderlichen Service Call-Home.
Schritt 2: Konfigurieren eines DNS-Servers (Domain Name System) oder eines statischen Hosteintrags für tools.cisco.com.
Router(config)#ip name-server X.X.X.X
or
Router(config)#ip host tools.cisco.com X.X.X.X
Schritt 3: Generieren Sie einen neuen Token vom Cisco Smart Software Manager.
- Melden Sie sich unter https://software.cisco.com/# beim Cisco Smart Software Manager an, und navigieren Sie zum Abschnitt Smart Software Manager.
- Wählen Sie die Registerkarte Inventar und dann Virtuelles Konto aus der Dropdown-Liste Virtuelles Konto.
- Wählen Sie die Registerkarte Allgemein und dann Neues Token aus.

- Geben Sie die Tokenbeschreibung ein, und geben Sie die Anzahl der Tage an, die das Token aktiv sein muss.
- Aktivieren Sie die Funktion Exportregelung für die mit diesem Token registrierten Produkte.Dies ermöglicht die Anforderung einer hohen Verschlüsselungslizenz in den registrierten Geräten.
- Wählen Sie Token erstellen aus. Wählen Sie nach dem Erstellen des Tokens Kopieren aus.

Schritt 4: Ändern der Call-Home-Konfiguration (optional)
Die Standardkonfiguration des Call-Home-Profils reicht aus, um das Gerät zu registrieren. Sie können die aktuelle Konfiguration des Call-Home-Profils hier überprüfen:
Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
Schritt 5: Registrieren Sie das Gerät beim CSSM mit dem Token.
Router#license smart register idtoken < token from CSSM portal > force
Anmerkung: Das force-Schlüsselwort erzwingt den Registrierungsversuch sofort. Wird diese Option nicht verwendet, kann der Registrierungsvorgang länger dauern.
Schritt 6: Überprüfen der Registrierung des Geräts beim CSSM
Router#show license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: TAC Cisco Systems, Inc.
Virtual Account: CORE TAC
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Feb 28 12:54:22 2018 UTC
Registration Expires: Sep 01 12:49:04 2018 UTC
License Authorization:
Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC
Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC
Next Communication Attempt: Oct 01 12:54:28 2017 UTC
Communication Deadline: Nov 30 12:49:12 2017 UTC
Direkter CSSM-Zugriff mit Virtual Routing and Forwarding (VRF)
Wenn das Gerät eine VRF-Instanz verwendet, um das CSSM zu erreichen, müssen die Quell-VRF-Instanz und die Quellschnittstelle in der Call-Home-Profilkonfiguration konfiguriert werden. Um diese Bereitstellung zu konfigurieren, müssen Sie die Schritte 1-3 im Abschnitt "Direkter CSSM-Zugriff" ausführen. Bearbeiten Sie anschließend die Call-Home-Konfiguration mit der richtigen VRF-Instanz und der Quellschnittstelle, um die CSSM-URL zu erreichen. Hier wird die Management-Schnittstelle GigabitEthernet0 verwendet, die als Beispiel in der Mgmt-intf-VRF-Instanz verwendet wird.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
Konfigurieren Sie die Quell-HTTP-Schnittstelle so, dass sie der VRF-Instanz richtig zugeordnet ist. Diese Konfiguration hat Einfluss auf den HTTP- und HTTPS-Datenverkehr.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
Konfigurieren Sie den DNS für die spezifische VRF-Instanz:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X
Nachdem die VRF-Konfiguration abgeschlossen ist, kann sie im Abschnitt "Direct CSSM Access" mit den Schritten 5 und 6 fortgesetzt werden.
Direkter CSSM-Zugriff mit Proxy
Wenn ein Proxyserver erforderlich ist, um eine HTTPS-Verbindung mit dem CSSM herzustellen, müssen die Schritte im Abschnitt "Direct CSSM Access" ausgeführt und der Befehl http-proxy in die Call-Home-Konfiguration eingefügt werden.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080
SSM-Zugriff am Standort
Mit diesem Bereitstellungstyp können Sie Produkte und Lizenzen in Ihrem Unternehmen ohne eine direkte Verbindung zu einem von Cisco gehosteten CSSM verwalten. Um dies zu implementieren, muss in Ihrem Netzwerk bereits ein SSM On-Prem installiert sein. Die Schritte zur Installation von SSM On-Prem werden in diesem Dokument nicht behandelt.
Die folgenden Konfigurationsschritte führen Sie aus, um den SSM-Server vor Ort mit einem Gerät zu verbinden:
Schritt 1: Aktivieren Sie Smart Licensing auf dem Gerät.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#license smart enable
Anmerkung: Mit diesem Befehl wird Service Call Home aktiviert, was erforderlich ist.
Schritt 2: Stellen Sie sicher, dass Sie mit dem CSSM-Server vor Ort kommunizieren können.
Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms
Anmerkung: Wenn Sie über einen DNS-Server verfügen, können Sie ihn verwenden, um Ihre IP-Adresse des lokalen Servers in einen Namen aufzulösen.
Schritt 3: Generieren Sie ein neues Token von SSM On-Prem.
3.1 Melden Sie sich beim SSM-Server an.

3.2 Tokenerstellung
- Geben Sie die Tokenbeschreibung ein. Geben Sie die Anzahl der Tage an, die das Token aktiv sein muss.
- Aktivieren Sie das Kontrollkästchen Ausfuhrkontrollierte Funktionen für die mit diesem Token registrierten Produkte zulassen.
- Wählen Sie Token erstellen aus.
- Nachdem das Token erstellt wurde, wählen Sie Kopieren, um das neu erstellte Token zu kopieren.

Schritt 4: Konfigurieren Sie Call-Home auf dem Gerät.
Es ist erforderlich, den Befehl destination address http mit der IP-Adresse des lokalen Servers (http://X.X.X.X/Transportgateway/services/DeviceRequestHandler) zu ändern und den Standardbefehl zu entfernen.
Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end
Schritt 5: Konfigurieren Sie "revocation-check none" auf dem SLA-TrustPoint-Vertrauenspunkt.
Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none
Schritt 6: Registrieren Sie das Gerät mit dem Token, der von SSM On-Prem abgerufen wurde.
Router#license smart register idtoken < token from SSM On-Prem portal > force
Schritt 7: Überprüfen der korrekten Registrierung des Geräts beim SSM vor Ort
Router#show license status
Smart Licensing is ENABLED
Utility:
Status: DISABLEDData Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
Registration:
Status: REGISTERED
Smart Account: manudiaz
Virtual Account: Default
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
Registration Expires: Oct 19 04:35:44 2021 UTC
SSM-Zugriff am Standort mit VRF-Konfiguration
Wenn Sie eine VRF-Instanz verwenden, um SSM vor Ort zu erreichen, müssen Sie die Quell-VRF-Instanz so konfigurieren, dass das Gerät die Anforderung von der richtigen VRF-Instanz generiert.
Führen Sie bis zu Schritt 3 die Schritte im Abschnitt "SSM-Zugriff am Standort" aus.
Schritt 1: Bearbeiten Sie die Call-Home-Konfiguration mit der richtigen VRF-Instanz und der Quellschnittstelle, über die Sie SSM vor Ort erreichen können:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
Schritt 2: Konfigurieren Sie die HTTP-Client-Quellschnittstelle so, dass die richtige Schnittstelle der VRF-Instanz zugewiesen ist:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
Schritt 3: Konfigurieren des DNS für die spezifische VRF-Instanz
Sie können einen DNS-Server in Ihrer lokalen Umgebung konfigurieren, um den Namen Ihres lokalen SSM-Servers aufzulösen:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X
Sie können mit den Schritten 5 und 6 von SSM On-Prem Access fortfahren, nachdem Sie diese Änderungen vorgenommen haben.
Spezifische Lizenzreservierung
SLR ist eine Funktion, mit der Sie eine Softwarelizenz auf einem Gerät bereitstellen können, ohne Cisco direkt Nutzungsinformationen zu übermitteln. Diese Funktion ist besonders in hochsicheren Netzwerken nützlich und wird auf Plattformen mit dem Smart Licensing-Portal unterstützt. In diesem Konfigurationsleitfaden wird davon ausgegangen, dass Sie SLR angefordert haben und dazu autorisiert wurden.
Anmerkung: SLR ist nicht standardmäßig aktiviert. Sie müssen diese Funktion ausdrücklich anfordern.
Anmerkung: SLR und die Lizenzdurchsetzung werden von Cisco IOS XE 16.11.1a und späteren Versionen unterstützt.
Um SLR im Gerät zu konfigurieren, müssen diese Schritte auf der Routerseite und über das CSSM-Portal ausgeführt werden
Schritt 1: Konfigurieren Sie den Router für SLR. Sie müssen den Befehl license smart reservation eingeben und die SLR-Funktion mit license smart reservation request local anfordern.
Anmerkung: Wenn die Registrierung in einer HA-Plattform erfolgt, müssen Sie Lizenz Smart Reservierung alle verwenden.
Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX
Anmerkung: SLR ist nicht standardmäßig aktiviert. Sie müssen diese Funktion ausdrücklich anfordern.
Anmerkung: Um die Lizenzreservierungsanfrage zu stornieren, führen Sie den Befehl smart reservation cancel aus.
Auf dem CSSM müssen die erforderlichen Lizenzen reserviert werden.
Schritt 2: Melden Sie sich bei CSSM unter https://software.cisco.com/#. Sie müssen sich mit Ihren Cisco Anmeldeinformationen beim Portal anmelden.
Schritt 3: Wählen Sie die Registerkarte "Bestand". Wählen Sie im Dropdown-Menü Virtual Account (Virtuelles Konto) Ihr Smart Account aus.
Schritt 4: Wählen Sie auf der Registerkarte "Lizenzen" die Option "Lizenzreservierung".

Schritt 5: Geben Sie auf der Seite Anforderungscode eingeben den vom Router generierten Reservierungsanforderungscode ein, oder fügen Sie ihn an, und wählen Sie Weiter aus.

Schritt 6: Aktivieren Sie das Kontrollkästchen Spezifische Lizenz reservieren, und wählen Sie die Lizenz und den Betrag der für jedes Gerät erforderlichen reservierten Lizenz aus.

Schritt 7: Wählen Sie auf der Registerkarte "Prüfen und bestätigen" die Option "Autorisierungscode generieren".

Anmerkung: Nachdem Sie den SLR-Code für ein bestimmtes Gerät generiert haben, ist die Autorisierungscodedatei gültig, bis Sie den Code installieren. Wenn die Installation fehlschlägt, müssen Sie sich an Cisco Global License Operations (GLO) wenden, um einen neuen Autorisierungscode zu erstellen. Sie können GLO kontaktieren.
Schritt 8: Wählen Sie In Zwischenablage kopieren, um den Code zu kopieren, oder laden Sie ihn als Datei herunter. Sie müssen den Code oder die Datei auf Ihr Gerät kopieren, um den Vorgang fortzusetzen.

Wenn Sie SLR konfigurieren, können Sie die Autorisierungscode-Textdatei herunterladen oder installieren. Wenn Sie Permanent License Reservation (PLR) konfigurieren, können Sie den Autorisierungscode kopieren und einfügen.
Schritt 9: Melden Sie sich bei Ihrem Gerät an, und verwenden Sie den Installationsbefehl license smart reservation install file bootflash:<SLR-Datei>.
Router#enable
Router#license smart reservation install file bootflash:
Bei Bedarf können Sie die auf dem Gerät reservierten Lizenzen zurückgeben und in den nicht registrierten Status zurückkehren. Ein Rückgabecode wird generiert und muss in CSSM eingegeben werden, um die Produktinstanz zu entfernen.
Router#enable
Router#license smart reservation return local
Aktualisieren einer bestimmten Lizenzreservierung
Nachdem Sie ein Gerät erfolgreich registriert haben, können Sie bei Bedarf die Reservierung mit einer neuen Funktion oder Lizenz aktualisieren:
Schritt 1: Melden Sie sich bei Cisco Smart Software Manager unter https://software.cisco.com/# an. Sie müssen sich mit dem von Cisco bereitgestellten Benutzernamen und Kennwort beim Portal anmelden.
Schritt 2: Navigieren Sie zur Registerkarte "Bestand", und wählen Sie Ihren Smart Account aus dem Dropdown-Menü "Virtueller Account" aus.
Schritt 3: Wählen Sie auf der Registerkarte Produktinstanzen die Option Aktionen für das zu aktualisierende Gerät.
Schritt 4: Wählen Sie Reservierte Lizenzen aktualisieren.
Schritt 5: Wählen Sie die Lizenz aus, die Sie aktualisieren möchten.
Schritt 6: Wählen Sie Weiter.
Schritt 7: Wählen Sie auf der Registerkarte "Prüfen und bestätigen" die Option "Autorisierungscode generieren". Die Registerkarte Autorisierungscode wird angezeigt. Das System zeigt den generierten Autorisierungscode an.
Schritt 8: Wählen Sie die Option In Zwischenablage kopieren, um den Code zu kopieren oder als Datei herunterzuladen. Sie müssen den Code oder die Datei auf Ihr Gerät kopieren.
Schritt 9: Melden Sie sich bei dem Gerät an, das Sie aktualisieren möchten.
Schritt 10: Führen Sie den Befehl license smart reservation install file aus.
Router#enable
Router#license smart reservation install file bootflash:
Registrierung einer bestimmten Lizenzreservierung aufheben
Um die Registrierung einer spezifischen Lizenzreservierung für ein Gerät aufzuheben, müssen Sie die Lizenzreservierung in der CLI zurückgeben und die Instanz aus CSSM entfernen.
Schritt 1: Melden Sie sich bei dem Gerät an, dessen Registrierung Sie aufheben möchten.
Schritt 2: Um den Autorisierungscode für die Lizenzreservierung zu entfernen, verwenden Sie den Befehl license smart reservation return.
Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33
Schritt 3: Melden Sie sich bei CSSM unter https://software.cisco.com/#.
Schritt 4: Wählen Sie die Registerkarte "Bestand". Wählen Sie in der Dropdown-Liste "Virtual Account" Ihr Smart Account aus.
Schritt 5: Wählen Sie auf der Registerkarte Produktinstanz für das Gerät, dessen Registrierung Sie aufheben möchten, die Option Aktionen.
Schritt 6: Wählen Sie Entfernen.
Schritt 7: Geben Sie bei Aufforderung den Rückgabecode ein.
Fehlerbehebung
Gerät kann nicht auflösen: tools.cisco.com
Überprüfen Sie, ob Sie einen DNS-Server für die richtige VRF- oder globale Routing-Tabelle richtig konfiguriert haben. Bei Bedarf können Sie auch einen statischen DNS-Eintrag erstellen:
Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8
Anmerkung: Die IP-Adressen 72.163.4.38 und 173.37.145.8 werden verwendet, um tools.cisco.com zu erreichen. Diese können sich ändern, wenn sie durch DNS aufgelöst werden. Vor der manuellen Konfiguration mit lokalen Geräten bestätigen.
Router kann nicht mit tools.cisco.com kommunizieren
- Stellen Sie sicher, dass eine Standardroute zum Internet konfiguriert ist.
- Stellen Sie sicher, dass zwischen dem Gerät und dem CSSM keine Firewall oder kein Proxy vorhanden ist.
- Stellen Sie sicher, dass die Ports 443 und 80 nicht blockiert sind.
Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open
Router#telnet tools.cisco.com 443 /vrf Mgmt-intf
Trying tools.cisco.com (72.163.4.38, 443)... Open
Lizenz im Status „OUT OF COMPLIANCE“
Dieser Status tritt auf, wenn das Gerät eine Berechtigung verwendet und nicht konform ist (negativer Saldo). Dies ist der Fall, wenn eine erforderliche Lizenz im Virtual Account, bei dem das Cisco Gerät registriert ist, nicht verfügbar ist.
Router#show license all
License Authorization:
Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
Next Communication Attempt: Mar 26 03:12:31 2019 CDT
Communication Deadline: Jun 23 15:06:30 2019 CDT
- Um den Compliance-/Autorisierungsstatus zu aktivieren, müssen Sie dem Smart Account die richtige Anzahl und den richtigen Lizenztyp hinzufügen.
- Wenn sich das Gerät in diesem Zustand befindet, sendet es automatisch jeden Tag eine Anfrage zur Erneuerung der Autorisierung
Smart Licensing-Fehlerbehebung
Einige Fehlerbehebungen für Call-Home- und Smart Licensing-Registrierungsprobleme sind:
- Debuggen Call-Home-Ablaufverfolgung
- Fehler beim Debuggen von Call-Home
- debuggen Call-Home Smart-Licensing alle
- debug ip http client all
- debuggen crypto pki <Alle Optionen>
- debug ssl openssl <Alle Optionen>
Zusätzliche Informationen
Cisco Smart Licensing - Leitfaden für Cisco Enterprise Routing-Plattformen