Fehlerbehebung bei Smart Licensing auf Catalyst-Plattformen
Inhalt
Einleitung
In diesem Dokument wird die Verwendung von Cisco Smart Licensing (Cloud-basiertes System) zur Verwaltung von Softwarelizenzen für Catalyst Switches beschrieben.
Was ist Cisco Smart Licensing?
Cisco Smart Licensing ist ein Cloud-basiertes, einheitliches Lizenzverwaltungssystem, das alle Softwarelizenzen für Cisco Produkte verwaltet. Kunden können damit Cisco Softwarelizenzen erwerben, bereitstellen, verwalten, nachverfolgen und erneuern. Darüber hinaus werden Informationen zum Lizenzbesitz und zur Nutzung über eine einzige Benutzeroberfläche bereitgestellt.
Die Lösung besteht aus Online-Smart Accounts (im Cisco Smart Licensing Portal), die zur Nachverfolgung von Cisco Software-Ressourcen verwendet werden, und dem Cisco Smart Software Manager (CSSM), der zur Verwaltung der Smart Accounts verwendet wird. Im CSSM können alle Aufgaben im Zusammenhang mit dem Lizenzmanagement ausgeführt werden, z. B. das Registrieren, Entfernen, Verschieben und Übertragen von Lizenzen. Benutzer können dem Smart Account und bestimmten virtuellen Konten hinzugefügt und Zugriff und Berechtigungen gewährt werden.
Weitere Informationen zu Cisco Smart Licensing finden Sie unter:
a) Cisco Smart Licensing - Startseite
b) Cisco Community - On-Demand-Schulungen
Weitere Informationen zur neuen Smart Licensing-Methode mit der Richtlinienmethode in Cisco IOS® XE 17.3.2 und höher finden Sie unter Smart Licensing using Policy on Catalyst Switches.
Neu bei Smart Licensing und/oder Smart Account Administration? Registrieren Sie sich für den neuen Schulungskurs und die Aufzeichnung für Administratoren:
Cisco Community - Smart Smart Accounts/Smart Licensing und My Cisco-Berechtigungen
Smart Accounts können hier erstellt werden: Smart Accounts
Smart Accounts können hier verwaltet werden: Smart Software Licensing
Implementierungsmethoden für Smart Licensing
Cisco Smart Licensing kann auf verschiedene Weise implementiert werden, die je nach Sicherheitsprofil eines Unternehmens genutzt werden können:
Direkter Cloud-Zugriff
Cisco Produkte übermitteln Nutzungsinformationen direkt über das Internet sicher über HTTPS. Es sind keine zusätzlichen Komponenten erforderlich.
Zugriff über einen HTTPS-Proxy
Cisco Produkte senden Nutzungsdaten sicher über HTTPS über einen HTTP-Proxyserver. Ein vorhandener Proxyserver kann verwendet oder über das Cisco Transport Gateway bereitgestellt werden. (Klicken Sie hier, um weitere Informationen zu erhalten.)
Standortbasierter Lizenzserver (auch bekannt als Cisco Smart Software Manager-Satellit)
Cisco Produkte senden Nutzungsdaten an einen Server am Standort statt direkt über das Internet. Einmal im Monat erreicht der Server über das Internet für alle Geräte via HTTPS oder kann manuell übertragen werden, um seine Datenbank zu synchronisieren. CSSM On-Prem (Satellite) ist als virtuelles System (VM) erhältlich und kann hier heruntergeladen werden. Weitere Informationen finden Sie auf der Smart Software Manager Satellite-Seite.
Unterstützte Cisco IOS XE-Plattformen
- Ab der Version 16.9.1 von Cisco IOS XE unterstützen die Catalyst Switches der Serien 3650/3850 und 9000 die Cisco Smart Licensing-Methode als einzige Lizenzierungsmethode.
- Ab Version 16.10.1 von Cisco IOS XE unterstützen Router-Plattformen wie ASR1K, ISR1K, ISR4K und Virtual Router (CSRv/ISRv) als einzige Lizenzierungsmethode die Cisco Smart Licensing-Methode.
Migration von älteren Lizenzen zu Smart Licenses
Für die Konvertierung einer älteren Lizenz gibt es zwei Methoden, z. B. RTU (Right-To-Use) oder PAK (Product Activation Key) in eine Smart License. Einzelheiten zur zu der zu befolgenden Methode finden Sie in den entsprechenden Versionshinweisen und/oder im Konfigurationsleitfaden für das jeweilige Cisco Gerät.
Konvertieren durch Device Led Conversion (DLC)
- Die Device Led Conversion (DLC) ist eine einmalige Methode, bei der das Cisco Produkt mitteilen kann, welche Lizenzen es verwendet, und die Lizenzen automatisch auf ihrem entsprechenden Smart Account im Cisco Smart Software Manager (CSSM) hinterlegt werden. Die DLC-Prozedur wird direkt über die Befehlszeilenschnittstelle (CLI) des jeweiligen Cisco Geräts ausgeführt.
- Der DLC-Prozess wird nur auf Catalyst 3650/3850- und ausgewählten Routerplattformen unterstützt. Informationen zu bestimmten Routermodellen finden Sie im Konfigurationshandbuch der einzelnen Plattformen und in den Versionshinweisen. Beispiel: DLC-Verfahren für Catalyst 3850 mit Fuji 16.9.x-Versionen.
Konvertieren durch Cisco Smart Software Manager (CSSM) oder Lizenzregistrierungsportal (LRP)
Cisco Smart Software Manager (CSSM)-Methode:
1. Melden Sie sich bei Cisco Smart Software Manager (CSSM) unter https://software.cisco.com/ an.
2. Navigieren Sie zu Smart Software Licensing > Convert to Smart Licensing.
3. Wählen Sie PAK konvertieren oder Lizenzen umwandeln aus.
4. Suchen Sie die Lizenz in der Tabelle unten, wenn Sie PAK-Lizenzen umwandeln. Beim Konvertieren einer Nicht-PAK-Lizenz verwenden Sie den "Lizenzkonvertierungs-Assistenten" für schrittweise Anweisungen.
Speicherort bekannter PAK-Dateien, die dem Konto zugeordnet sind:
Ort des Links "Lizenzkonvertierungs-Assistent":
5. Suchen Sie die gewünschte Lizenz- und Produktkombination.
6. Klicken Sie auf (unter Aktionen): Umwandlung in Smart Licensing
7. Wählen Sie das gewünschte virtuelle Konto, die Lizenz aus, und klicken Sie auf Weiter
8. Prüfen Sie die Auswahlen, und klicken Sie dann auf Lizenzen umwandeln.
Lizenzregistrierungsportal (LRP)-Methode:
1. Melden Sie sich beim Lizenzregistrierungsportal (LRP) an http://tools.cisco.com/SWIFT/LicensingUI/Home
2. Navigieren Sie zu Geräte > Geräte hinzufügen.
3. Geben Sie die richtige Produkt-ID und Seriennummer für die Produktfamilie und die Unique Device Identifier (UDI) ein, und klicken Sie dann auf OK. UDI-Informationen können über die Befehlszeilenschnittstelle (CLI) des Cisco Geräts aus der "Version anzeigen" oder der "Bestand anzeigen" abgerufen werden.
4. Wählen Sie das hinzugefügte Gerät aus, und konvertieren Sie Lizenzen in Smart Licensing.
5. Dem richtigen Virtual Account zuweisen, Lizenzen zum Konvertieren und Einsenden auswählen
Konvertierung über die Kontaktaufnahme mit der Abteilung Cisco Global Licensing Operations (GLO)
Die Abteilung Global Licensing Operations ist hier in unseren weltweiten Contact Centern erreichbar.
Catalyst 9500 - Leistungsstarkes Verhalten ändert sich von 16.9 auf 16.12.3
Wie andere Catalyst 9000-Modelle wurden die Hochleistungsmodelle der Catalyst Serie 9500 mit Smart Licensing im Zug Cisco IOS XE 16.9 und höher aktiviert. Für die Hochleistungsmodelle des Catalyst 9500 verfügte jedoch jedes Modell über eine eigene spezifische Lizenz-Tag-Nummer. Später entschieden sich die Produkt- und Marketingteams für die Vereinheitlichung der Berechtigungstags für die C9500-Plattformen. Diese Entscheidung änderte das Verhalten der C9500-Hochleistungsmodelle von der Verwendung spezifischer Berechtigungstags zu generischen C9500-Lizenzen.
Diese Verhaltensänderung ist durch folgende Fehler dokumentiert:
Im Folgenden sind die vor und nach den oben genannten Änderungen vorgenommenen Lizenzänderungen für C9500-Hochleistungsmodelle aufgeführt:
Cisco IOS XE Version 16.11.x und frühere Version
Jedes C9600 High Performance-Modell verfügt über eigene Berechtigungstags:
| Modell | Lizenz |
| C9500-32C | C9500 32C NW Essentials C9500 32C NW-Vorteil C9500 32C DNA Essentials C9500 32C DNA-Vorteil |
| C9500-32QC | C9500 32QC NW Essentials C9500 32QC NW-Vorteil C9500 32QC DNA Essentials C9500 32QC DNA-Vorteil |
| C9500-24Y4C | C9500 24Y4C NW Essentials C9500 24Y4C NW-Vorteil C9500 24Y4C DNA Essentials C9500 24Y4C DNA-Vorteile |
| C9500-48Y4C | C9500 48Y4C NW Essentials C9500 48Y4C NW-Vorteil C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage |
Cisco IOS XE Version 16.12.3 und höher
Die Hochleistungsplattformen der Catalyst Serie 9500 verwenden jetzt generische Netzwerklizenz-Tags und separate DNA-Lizenztags. Diese Tabelle zeigt die in Cisco IOS XE, Version 16.12.3 und höher, hervorgehobenen Änderungen an den Berechtigungen:
| Modell | Lizenz |
| C9500-32C | C9500 Network Essentials Netzwerkvorteil des C9500 C9500 32C DNA Essentials C9500 32C DNA-Vorteil |
| C9500-32QC | C9500 Network Essentials Netzwerkvorteil des C9500 C9500 32QC DNA Essentials C9500 32QC DNA-Vorteil |
| C9500-24Y4C | C9500 Network Essentials Netzwerkvorteil des C9500 C9500 24Y4C DNA Essentials C9500 24Y4C DNA-Vorteile |
| C9500-48Y4C | C9500 Network Essentials Netzwerkvorteil des C9500 C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage |
C9500 High Performance Change - Häufig gestellte Fragen
1. Warum unterstützt Cisco die Zuweisung einer generischen Netzwerklizenz, wenn mein Gerät eine gerätespezifische Netzwerklizenz verwendet?
Generische Tags werden bereitgestellt, da sie die richtigen Berechtigungstags für das Netzwerkgerät sind. Dies ermöglicht die Verwendung von Berechtigungstags für die gesamte Cat9500-Plattform, nicht nur für die spezifischen Hochleistungsmodelle des C9500. Bilder, die die Verwendung gerätespezifischer Lizenztags verlangen, entsprechen den allgemeinen Lizenztags, da die spezifischeren Lizenzen in der Lizenzierungshierarchie unter die generischen Lizenzen fallen.
2. Warum werden manchmal zwei Netzwerk-Tags im Smart Account angezeigt?
Dieses Verhalten ist auf die Lizenzierungshierarchie zurückzuführen und tritt auf, wenn das Gerät auf einem älteren Image ausgeführt wird, das gerätespezifische Lizenzierungstags verwendet. Ältere Images, die gerätespezifische Lizenztags anfordern, entsprechen den generischen Lizenztags, da die spezifischeren Tags in der Lizenzierungshierarchie unter die generischen Lizenzen fallen.
Konfiguration
Grundlegende Konfiguration
Genaue Anweisungen zur Konfiguration von Smart Licensing finden Sie im Konfigurationsleitfaden für die Systemverwaltung, der für jede Version/Plattform verfügbar ist.
Registrierungs-Token/Geräte-ID-Token
Vor der Registrierung des Geräts muss Token generiert werden. Das Registrierungstoken, auch als Geräte-ID-Token bezeichnet, ist ein einzigartiges Token, das vom Smart Licensing Portal oder vom Cisco Smart Software Manager vor Ort generiert wird, wenn ein Cisco Gerät bei dem entsprechenden Smart Account registriert wird. Je nach den Parametern, die bei der Erstellung verwendet werden, kann ein einzelnes Token zur Registrierung mehrerer Cisco Geräte verwendet werden.
Das Registrierungs-Token ist auch nur bei der Erstregistrierung eines Cisco Geräts erforderlich, da es dem Gerät die Informationen bereitstellt, die es für den Rückruf an das Cisco Backend benötigt und an das richtige Smart Account gebunden ist. Nach der Registrierung des Cisco Geräts ist das Token nicht mehr erforderlich.
Für weitere Informationen zu Registrierungs-Token und deren Generierung klicken Sie bitte hier für einen allgemeinen Leitfaden. Weitere Informationen finden Sie im Konfigurationsleitfaden für das jeweilige Cisco Gerät.
Registrierungs- und Lizenzstaaten
Bei der Bereitstellung und Konfiguration von Smart Licensing gibt es mehrere mögliche Zustände, in denen sich ein Cisco Gerät befinden kann. Diese Zustände können angezeigt werden, indem der Lizenzstatus über die Befehlszeilenschnittstelle (CLI) des Cisco Geräts angezeigt oder der Lizenzstatus angezeigt wird.
Im Folgenden finden Sie eine Liste aller Staaten und deren Bedeutung:
- Evaluierungsstatus (nicht identifiziert)
- Dies ist der Standardzustand des Geräts beim ersten Booten.
- In der Regel ist dieser Status angezeigt, wenn ein Cisco Gerät noch nicht für Smart Licensing konfiguriert oder bei einem Smart Account registriert wurde.
- In diesem Zustand sind alle Funktionen verfügbar, und das Gerät kann die Lizenzstufen frei ändern.
- Der Evaluierungszeitraum wird verwendet, wenn sich das Gerät im nicht identifizierten Zustand befindet. Das Gerät versucht nicht, in diesem Zustand mit Cisco zu kommunizieren.
- Die Nutzung beträgt 90 Tage und nicht 90 Kalendertage. Nach dem Ablaufen wird es nie zurückgesetzt.
- Es gibt einen Evaluierungszeitraum für das gesamte Gerät, der nicht pro Berechtigung gilt.
- Wenn der Evaluierungszeitraum nach 90 Tagen abläuft, wechselt das Gerät in den EVAL EXPIRY-Modus, es treten jedoch auch nach dem Neuladen keine funktionalen Auswirkungen oder Funktionsstörungen auf. Derzeit gibt es keine Durchsetzung.
- Die Countdown-Zeit wird über Neustarts hinweg beibehalten.
- Der Evaluierungszeitraum wird verwendet, wenn das Gerät noch nicht bei Cisco registriert ist und die folgenden beiden Nachrichten vom Cisco Backend nicht erhalten hat:
- Erfolgreiche Beantwortung einer Registrierungsanfrage
- Erfolgreiche Beantwortung einer Anfrage zur Berechtigung.
- Registrierter Staat
- Dies ist der erwartete Zustand nach erfolgreichem Abschluss der Registrierung.
- Das Cisco Gerät konnte erfolgreich mit einem Cisco Smart Account kommunizieren und sich registrieren.
- Das Gerät erhält ein ID-Zertifikat, das 1 Jahr gültig ist und für zukünftige Kommunikation verwendet wird.
- Das Gerät sendet eine Anfrage an CSSM, um die Berechtigungen für die auf dem Gerät verwendeten Lizenzen zu genehmigen.
- Abhängig von der CSSM-Antwort gibt das Gerät dann Authorized (Autorisiert) oder Out-of-Compliance (Nicht konform) ein.
- Das ID-Zertifikat läuft am Ende eines Jahres ab. Nach 6 Monaten versucht der Software-Agent-Prozess, das Zertifikat zu erneuern. Wenn der Agent nicht mit dem Cisco Smart Software Manager kommunizieren kann, versucht er weiterhin, das ID-Zertifikat bis zum Ablaufdatum (1 Jahr) zu verlängern. Nach Ablauf eines Jahres kehrt der Support-Mitarbeiter zum Status "Nicht identifiziert" zurück und versucht, den Evaluierungszeitraum zu aktivieren. Der CSSM entfernt die Produktinstanz aus seiner Datenbank.
- Autorisierter Staat
- Dies ist der erwartete Zustand, wenn das Gerät eine Berechtigung verwendet und die Compliance (kein negativer Saldo) erfüllt.
- Das Virtual Account auf CSSM verfügte über die richtige Art und Anzahl von Lizenzen, um die Nutzung der Gerätelizenzen zu autorisieren.
- Nach Ablauf von 30 Tagen sendet das Gerät eine neue Anfrage an das CSSM, um die Autorisierung zu verlängern.
- Verfügt über einen Zeitraum von 90 Tagen, nach dem (wenn nicht erfolgreich verlängert) der Status "Autorisierung abgelaufen" aktiviert wird.
- Status "Out of Compliance"
- Dies ist der Zustand, in dem das Gerät eine Berechtigung verwendet und die Compliance (negativer Saldo) nicht erfüllt.
- Dieser Status wird angezeigt, wenn das Gerät nicht über eine verfügbare Lizenz im entsprechenden Virtual Account verfügt, für den das Cisco Gerät im Cisco Smart Account registriert ist.
- Um Compliance/Autorisierter Status zu erreichen, muss der Kunde dem Smart Account die richtige Anzahl und den richtigen Lizenztyp hinzufügen.
- In diesem Zustand sendet das Gerät automatisch jeden Tag eine Anfrage zur Erneuerung der Autorisierung.
- Die Lizenzen und Funktionen funktionieren weiterhin, ohne dass die Funktionen beeinträchtigt werden.
- Autorisierung abgelaufen Status
- Dies ist der Zustand, in dem das Gerät eine Berechtigung verwendet, seit mehr als 90 Tagen nicht mehr mit dem Cisco Smart Account kommunizieren kann.
- Dies ist in der Regel der Fall, wenn das Cisco Gerät nach der ersten Registrierung den Internetzugriff verliert oder keine Verbindung zu tools.cisco.com herstellen kann.
- Die Online-Methoden der intelligenten Lizenzierung erfordern, dass Cisco Geräte mindestens alle 90 Tage kommunizieren, um diesen Status zu verhindern.
- CSSM sendet alle für dieses Gerät verwendeten Lizenzen zurück an den Pool, da seit 90 Tagen keine Kommunikation mehr besteht.
- Während dieses Zustands versucht das Gerät weiterhin stündlich, Cisco zu kontaktieren, um die Berechtigung zu verlängern, bis der Registrierungszeitraum (ID-Zertifikat) abläuft
- Stellt der Software-Agent wieder Mitteilungen an Cisco her und erhält eine Autorisierungsanfrage, verarbeitet er diese normal und gibt einen der etablierten Staaten ein.
Überlegungen und Argumente
- Ab 16.9.1 für Switches und ab 16.10.1 für Router wird ein Standard-Call-Home-Profil mit dem Namen "CiscoTAC-1" erstellt, um die Migration zu Smart Licensing zu unterstützen. Dieses Profil ist standardmäßig für die Direct Cloud Access-Methode eingerichtet.
#show call-home profile CiscoTAC-1 Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default <snip>
- Wenn Sie einen Cisco Smart Software Manager-Server vor Ort verwenden, muss die Zieladresse unter der aktiven Call-Home-Konfiguration darauf verweisen (Groß- und Kleinschreibung beachten!):
(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler
- DNS ist erforderlich, um tools.cisco.com aufzulösen. Wenn sich die DNS-Serververbindung in einer VRF-Instanz befindet, stellen Sie sicher, dass die richtige Quell- und VRF-Schnittstelle wie folgt definiert ist:
Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>
VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>] <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>
Wenn kein DNS verfügbar ist, können Sie auch die lokale DNS-IP-Zuordnung (basierend auf der lokalen DNS-Auflösung auf Ihrem Endgerät) statisch konfigurieren oder den DNS-Namen in der Call-Home-Konfiguration durch die IP-Adresse ersetzen. Nachfolgend finden Sie ein Beispiel für direkten Cloud-Zugriff (für Cisco Smart Software Manager vor Ort statt tools.cisco.com einen eigenen DNS-Namen verwenden):
(config)#ip host tools.cisco.com <x.x.x.x>
- Wenn die Kommunikation mit tools.cisco.com von der Schnittstelle in einem bestimmten VRF (z. B. Mgmt-vrf) ausgehen muss, muss die folgende CLI konfiguriert werden:
(config)#ip http client source-interface <VRF_INTERFACE>
- Je nach Konfiguration des Cisco Geräts kann eine andere Anzahl von Lizenzen genutzt werden, z. B. für Catalyst Switches, die in StackWise oder StackWise Virtual ausgeführt werden:
Herkömmliche Stack-weise unterstützte Switches (z. B. Catalyst Switches der Serie 9300):
Netzwerklizenz: Pro Switch im Stack wird eine Lizenz genutzt
DNA-Lizenz: Pro Switch im Stack wird eine Lizenz genutzt
Modulares Chassis (z. B. Catalyst Serie 9400):
Netzwerklizenz: 1 Lizenz pro Supervisor im Chassis genutzt
DNA-Lizenz: 1 Lizenz pro Chassis genutzt
Fixed Stack-weise Virtual Supported Switches (z. B. Catalyst Serie 9500):
Netzwerklizenz: Pro Switch im Stack wird eine Lizenz genutzt
DNA-Lizenz: Pro Switch im Stack wird eine Lizenz genutzt
- Für Smart Licensing kann nur ein Call-Home-Profil aktiviert werden.
- Lizenzen werden nur genutzt, wenn eine entsprechende Funktion konfiguriert ist.
- Für Smart Licensing konfigurierte Cisco Geräte müssen mit der richtigen Systemzeit und dem richtigen Systemdatum konfiguriert werden, um eine ordnungsgemäße Synchronisierung mit dem entsprechenden Cisco Smart Account zu gewährleisten. Wenn der Zeitversatz des Cisco Geräts zu weit davon entfernt ist, kann die Registrierung des Geräts scheitern. Die Uhr muss manuell über ein Zeitprotokoll wie Network Time Protocol (NTP) oder Precision Time Protocol (PTP) eingestellt oder konfiguriert werden. Die genauen Schritte zur Implementierung dieser Änderungen finden Sie im Konfigurationsleitfaden für das jeweilige Cisco Gerät.
- Der bei der Cisco Geräteregistrierung generierte PKI-Schlüssel (Public Key Infrastructure) muss gespeichert werden, wenn er nach der Registrierung nicht automatisch gespeichert wird. Wenn das Gerät den PKI-Schlüssel nicht speichert, wird ein Syslog generiert, in dem die Konfiguration mittels "copy running-config startup-config" oder "write memory" gespeichert wird.
- Wenn der PKI-Schlüssel des Cisco Geräts nicht ordnungsgemäß gespeichert wird, kann der Lizenzstatus bei Failover- oder Reload-Fehlern verloren gehen.
- Die Smart Licensing-Funktion unterstützt standardmäßig kein HTTPS-Proxy-SSL-Zertifikatabfangen, wenn Proxys von Drittanbietern für die HTTPS-Proxy-Methode verwendet werden. Um diese Funktion zu unterstützen, können Sie entweder die SSL-Überwachung auf dem Proxy deaktivieren oder die vom Proxy gesendete Zertifizierung manuell importieren.
How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint.
The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.
Device#conf t
Device(config)#crypto pki trustpoint LicRoot
Device(ca-trustpoint)#enrollment terminal
Device(ca-trustpoint)#revocation-check none
Device(ca-trustpoint)#exit
Device(config)#crypto pki authenticate LicRoot
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: XXXXXXXX
Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
- Wenn Sie den HTTP-Proxy des Transport Gateway verwenden, muss die IP-Adresse wie folgt von tools.cisco.com in den Proxy geändert werden:
Zieladresse: https:// tools.cisco.com/its/service/oddce/services/DCEService
ZU
Zieladresse http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler - Die IP-Adresse des Transport Gateways finden Sie, indem Sie zu den HTTP-Einstellungen navigieren und unter den HTTP-Service-URLs in der GUI des Cisco Transport Gateway suchen.
- Weitere Informationen finden Sie im folgenden Konfigurationsleitfaden für das Cisco Transport Gateway hier.
Fehlerbehebung
Bei der Migration eines Cisco Geräts zu einer Smart Licensing-fähigen Softwareversion kann das folgende Ablaufdiagramm als allgemeine Anleitung für alle drei Methoden (Direct Cloud Access, HTTPS Proxy und Cisco Smart Software Manager On-Prem) verwendet werden.
Gerät aktualisiert oder mit Softwareversion ausgeliefert, die Smart Licensing unterstützt (eine Liste der unterstützten Cisco IOS XE-Versionen finden Sie in Abschnitt 1.3).
Im Folgenden werden die Fehlerbehebungsschritte hauptsächlich auf ein Szenario konzentriert, in dem das Gerät nicht registriert werden kann.
Gerät lässt sich nicht registrieren
Nach der Erstkonfiguration muss Token, das auf dem CSSM/Cisco Smart Software Manager vor Ort generiert wird, um Smart Licensing zu aktivieren, über die CLI auf dem Gerät registriert werden:
license smart register idtoken <TOKEN>
Dies sollte die folgenden Ereignisse generieren:
! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result !
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine %PKI-4-NOCONFIGAUTOSAVE: Configuration was modified. Issue "write memory" to save new IOS PKI configuration !
! Call-home start registration process
! %CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. !
! Smart Licensing process connects with CSSM and check entitlement.
! %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed %SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> %SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved %SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized %SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>
Führen Sie zum Überprüfen der Call Home-Konfiguration die folgende CLI aus:
#show call-home profile all
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
Periodic configuration info message is scheduled every 1 day of the month at 09:15
Periodic inventory info message is scheduled every 1 day of the month at 09:00
Alert-group Severity
------------------------ ------------
crash debug
diagnostic minor
environment warning
inventory normal
Syslog-Pattern Severity
------------------------ ------------
APF-.-WLC_.* warning
.* major
Führen Sie die folgende CLI aus, um den Smart Licensing-Status zu überprüfen:
#show license summary Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: Krakow LAN-SW Export-Controlled Functionality: ALLOWED Last Renewal Attempt: None Next Renewal Attempt: Nov 22 21:24:32 2019 UTC License Authorization: Status: AUTHORIZED Last Communication Attempt: SUCCEEDED Next Communication Attempt: Jun 25 21:24:37 2019 UTC License Usage: License Entitlement tag Count Status ----------------------------------------------------------------------------- C9500 Network Advantage (C9500 Network Advantage) 1 AUTHORIZED C9500-DNA-40X-A (C9500-40X DNA Advantage) 1 AUTHORIZED
Wenn das Gerät nicht registriert werden kann (und wenn sich der Status von REGISTERED unterscheidet), weist Out-of-Compliance auf ein Problem im CSSM hin, z. B. fehlende Lizenz im Smart Virtual Account, falsche Zuordnung (z. B. ein Token eines anderen virtuellen Kontos, wenn keine Lizenzen verfügbar sind) usw. Überprüfen Sie die folgenden Punkte:
1. Überprüfen der Konfigurationseinstellungen und gängiger Fehlerszenarien
In Abschnitt 2.1 finden Sie grundlegende Konfigurationsschritte. In Abschnitt 5 finden Sie auch allgemeine Fehlerszenarien, die im Feld beobachtet wurden.
2. Grundlegende Verbindungen überprüfen
Überprüfen Sie, ob das Gerät den Server von Cisco Smart Software Manager vor Ort auf tools.cisco.com (und öffnen Sie den TCP-Port) oder auf diesen Server zugreifen kann:
#show run all | in destination address http destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService ! ! check connectivity ! #telnet tools.cisco.com 443 /source-interface gi0/0 Trying tools.cisco.com (x.x.x.x, 443)... Open [Connection to tools.cisco.com closed by foreign host]
Falls oben nicht funktioniert, überprüfen Sie Ihre Routing-Regeln, die Quellschnittstelle und die Firewall-Einstellungen.
Beachten Sie, dass HTTP (TCP/80) veraltet ist und das empfohlene Protokoll HTTPS (TCP/443) lautet.
Siehe Abschnitt: "3. Hinweise und Hinweise" in diesem Dokument finden Sie für weitere Richtlinien zur Konfiguration von DNS- und HTTP-Details.
3. Smart-Lizenzeinstellungen überprüfen
Erfassen Sie die Ausgabe von:
#show tech-support license
und die gesammelten Konfigurationen/Protokolle validieren (dieses Ergebnis anhängen, falls Sie sich dazu entschließen, ein Cisco TAC-Ticket für weitere Untersuchungen zu erstellen).
4. Debuggen aktivieren
Aktivieren Sie die folgenden Debugger, um zusätzliche Informationen über den Smart Licensing-Prozess zu sammeln (beachten Sie, dass Sie nach dem Aktivieren von Debuggen versuchen müssen, die Lizenz erneut über die in Abschnitt 4.1 genannte CLi zu registrieren):
#debug call-home smart-licensing [all | trace | error] #debug ip http client [all | api | cache | error | main | msg | socket]
Aktivieren und lesen Sie bei internen Debuggen binäre Ablaufverfolgungen:
! enable debug #set platform software trace ios [switch] active R0 infra-sl debug ! ! read binary traces infra-sl process logs #show platform software trace message ios [switch] active R0
Häufige Fehlerszenarien
Die folgenden Fehlerszenarien können während oder nach der Registrierung von Cisco Geräten auftreten:
Szenario Nr. 1: Switch-Registrierung "Fehlerursache: Produkt bereits registriert"
Snip "show license all":
Registrierung:
Status: NICHT REGISTRIERT - REGISTRIERUNG FEHLGESCHLAGEN
Exportgesteuerte Funktionen: Nicht zulässig
Erstregistrierung: FEHLER AM 22. Oktober, 14:25:31 EST
Fehlerursache: Produkt bereits registriert
Nächster Registrierungsversuch: 22. Oktober 2018, 14:45:34 Uhr EST
Nächste Schritte:
- Das Cisco Gerät muss erneut registriert werden.
- Wenn das Cisco Gerät im Cisco Smart Software Manager (CSSM) angezeigt wird, muss der "force"-Parameter verwendet werden (d.h. "license smart register idtoken <TOKEN> force"
Szenario Nr. 2: Switch-Registrierung "Fehlerursache: Ihre Anfrage konnte derzeit nicht bearbeitet werden. Bitte versuchen Sie es erneut"
Snip "show license all":
Registrierung:
Status: REGISTRIERUNG - LAUFENDE REGISTRIERUNG
Exportgesteuerte Funktionen: Nicht zulässig
Erstregistrierung: FEHLER AM 24. Oktober, 15:55:26 EST
Fehlerursache: Ihre Anfrage konnte derzeit nicht bearbeitet werden. Bitte versuchen Sie es erneut
Nächster Registrierungsversuch: 24. Oktober 2018, 16:12:15 Uhr EST
Nächste Schritte:
- Aktivieren Sie das Debuggen, wie in Abschnitt 4 erwähnt, um mehr Einblicke in das Problem zu erhalten.
- Generieren Sie neues Token in CSSM in Ihrem Smart Licensing und versuchen Sie es erneut.
Szenario Nr. 3: Fehlerursache "Das Gerätedatum 1526135268653 wird über die zulässige Toleranzgrenze hinaus verrechnet
Snip "show license all":
Registrierung:
Status: REGISTRIERUNG - LAUFENDE REGISTRIERUNG
Exportgesteuerte Funktionen: Nicht zulässig
Erstregistrierung: FEHLGESCHLAGEN am 17. November 2018 EST: 55:46
Fehlerursache: {"timestamp":["Das Gerätedatum '1526135268653' wird über die zulässige Toleranzgrenze hinaus verrechnet."]}
Nächster Registrierungsversuch: 11. November 18:12:17 EST
Mögliche Protokolle werden angezeigt:
%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: Validierung der Zertifikatskette ist fehlgeschlagen. Das Zertifikat (SN: XXXXXX) ist noch nicht gültig. Die Gültigkeit beginnt am 12.12.2018 um 12:43Z
Nächste Schritte:
- Überprüfen Sie, ob die Cisco Geräte-Uhr die richtige Uhrzeit anzeigt (Uhr anzeigen).
- Konfigurieren Sie, wenn möglich, das Network Time Protocol (NTP), um sicherzustellen, dass die Uhr korrekt eingestellt ist.
- Wenn NTP nicht möglich ist, überprüfen Sie, ob die manuell eingestellte Uhr (Taktsatz) korrekt ist (Uhr anzeigen) und als vertrauenswürdige Zeitquelle konfiguriert wurde, indem Sie überprüfen, ob "clock kalender-gültig" konfiguriert ist.
Szenario Nr. 4: Switch-Registrierung "Fehlerursache: Kommunikationsübertragung ist nicht verfügbar."
Snip "show license all":
Registrierung: Status: NICHT REGISTRIERT - REGISTRIERUNG FEHLGESCHLAGEN
Exportgesteuerte Funktionen: Nicht zulässig
Erstregistrierung: FEHLGESCHLAGEN am 09.03.2019, 21:42:02
Fehlerursache: Kommunikationstransport nicht verfügbar.
Mögliche Protokolle werden angezeigt:
%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: Call-Home konnte von Smart Agent für Lizenzierung nicht aktiviert werden: Der Befehl konnte Smart Call Home aufgrund eines vorhandenen aktiven Benutzerprofils nicht aktivieren. Wenn Sie ein anderes Benutzerprofil als das CiscoTAC-1-Profil verwenden, um Daten an den SCH-Server von Cisco zu senden, geben Sie im Profilmodus "reporting smart-licensing-data" ein, um dieses Profil für Smart Licensing zu konfigurieren. Weitere Informationen zu SCH finden Sie unter http://www.cisco.com/go/smartcallhome
%SMART_LIC-3-AGENT_REG_FAILED: Smart Agent für Lizenzregistrierung beim Cisco Smart Software Manager oder Satelliten ist fehlgeschlagen: Kommunikationstransport nicht verfügbar.
%SMART_LIC-3-COMM_FAILED: Kommunikationsfehler mit Cisco Smart Software Manager oder Satellit: Kommunikationstransport nicht verfügbar.
Nächste Schritte:
- Überprüfen Sie, ob Call-Home in der Ausgabe "show running-config" des Cisco Geräts mit "service call-home" aktiviert ist.
- Stellen Sie sicher, dass das richtige Call Home-Profil aktiv ist.
- Überprüfen, ob "reporting smart-licensing-data" unter dem aktiven Call Home-Profil konfiguriert ist
Szenario Nr. 5: Switch-Lizenzautorisierung "Fehlerursache: Versenden der HTTP-Nachricht Call Home nicht möglich."
Snip "show license all":
Lizenzautorisierung:
Status: COMPLIANCE-AUSSCHLUSS am 26. Juli 2018, 09:24:09 UC
Letzter Kommunikationsversuch: FEHLGESCHLAGEN am 2. Aug., 14:26:23 UC 2018
Fehlerursache: Versenden der HTTP-Nachricht Call Home nicht möglich.
Nächster Kommunikationsversuch: 2. Aug. 14:26:53 UTC 2018
Termin für die Kommunikation: 25. Oktober 2018, 09:21:38 Uhr (UTC)
Mögliche Protokolle werden angezeigt:
%CALL_HOME-5-SL_MESSAGE_FEHLER: Versenden Sie keine Smart Licensing-Nachricht an: https://<ip>/its/service/oddce/services/DCEService (ERR 205: Anfrage abgebrochen)
%SMART_LIC-3-COMM_FAILED:Kommunikationsfehler mit Cisco Smart Software Manager oder Satelliten: Versenden der HTTP-Nachricht Call Home nicht möglich.
%SMART_LIC-3-AUTH_RENEW_FAILED:Autorisierungsverlängerung mit dem Cisco Smart Software Manager oder dem Satelliten: Kommunikationsmeldung Sendefehler für udi PID:XXX, SN: XXX
Nächste Schritte:
- Stellen Sie sicher, dass das Cisco Gerät einen Ping an tools.cisco.com senden kann.
- Wenn DNS nicht konfiguriert ist, konfigurieren Sie einen DNS-Server oder eine "ip host"-Anweisung für die lokale nslookup IP für tools.cisco.com.
- Versuchen Sie, über TCP-Port 443 (von HTTPS verwendet) Telnet vom Cisco Gerät an tools.cisco.com zu senden.
- Überprüfen, ob die HTTP-Client-Quellschnittstelle definiert und korrekt ist
- Vergewissern Sie sich, dass die URL/IP im Call Home-Profil auf dem Cisco Gerät korrekt eingestellt ist. Verwenden Sie "show call home profile all" (Call Home-Profil anzeigen).
- Überprüfen Sie, ob die IP-Route auf den richtigen nächsten Hop verweist.
- Stellen Sie sicher, dass der TCP-Port 443 nicht auf dem Cisco Gerät, dem Pfad zum Smart Call Home-Server oder dem Cisco Smart Software Manager vor Ort (Satellit) blockiert wird.
- Stellen Sie sicher, dass ggf. die richtige VRF-Instanz (Virtual Routing and Forwarding) unter Call Home konfiguriert ist.
Szenario Nr. 6: Fehlerursache "Fehlendes Feld für die Seriennummer eines Ausweises für die ID; Fehlendes Feld für die Seriennummer der Signaturbestätigung; Signierte Daten und Zertifikat stimmen nicht überein" Protokoll
Dieses Verhalten wird bei der Arbeit mit einem CSSM-Server vor Ort beobachtet, dessen Krypto-Zertifikat abgelaufen ist, wie in der Cisco Bug-ID CSCvr41393 dokumentiert. Dieses Verhalten wird erwartet, da das CSSM vor Ort synchronisiert und sein Zertifikat erneuert werden darf, um ein Synchronisierungsproblem bei der Zertifizierung mit registrierenden Geräten zu verhindern.
Snip "show license all":
Registrierung:
Status: NICHT REGISTRIERT
Smart Account: Beispielkonto
Exportgesteuerte Funktionen: ZUGELASSEN
Lizenzautorisierung:
Status: EVAL-MODUS
Verbleibender Evaluierungszeitraum: 65 Tage, 18 Stunden, 43 Minuten, 0 Sekunden
Mögliche Protokolle werden angezeigt:
Unter "show logging" oder "show license eventlog" wird folgender Fehler angezeigt:
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Fehlendes ID-Zertifikatseriennummer-Feld; Fehlendes Feld für die Seriennummer der Signaturbestätigung; Signierte Daten und Zertifikat stimmen nicht überein."
Nächste Schritte:
- Überprüfen, ob das Cisco Gerät über IP-Verbindungen zum CSSM-Server vor Ort verfügt
- Wenn Sie HTTPS verwenden, vergewissern Sie sich, dass der C-Name für die Zertifizierung in der Call Home-Konfiguration des Geräts verwendet wird.
- Wenn ein DNS-Server nicht verfügbar ist, um die Zertifizierung "C-Name" aufzulösen, konfigurieren Sie eine statische "IP-Host"-Anweisung, um den Domänennamen und die IP-Adresse zuzuordnen.
- Überprüfen Sie, ob der Status des Zertifikats am Standort des CSSM noch gültig ist.
- Wenn das CSSM-Zertifikat vor Ort abgelaufen ist, befolgen Sie eine der in der Cisco Bug-ID CSCvr41393 dokumentierten Problemumgehungen.
Szenario Nr. 7: Switch-Lizenzautorisierung "Fehlerursache: Warten auf Antwort"
Snip "show license all":
Lizenzautorisierung:
Status: COMPLIANCE-AUSSCHLUSS am 26. Juli 2018, 09:24:09 UC
Letzter Kommunikationsversuch: AUSSTEHEND AM 2. Aug. 14:34:51 UTC 2018
Fehlerursache: Warten auf Antwort
Nächster Kommunikationsversuch: 2. Aug. 14:53:58 UTC 2018
Termin für die Kommunikation: 25. Oktober 2018, 09:21:39 UC
Mögliche Protokolle werden angezeigt:
%PKI-3-CRL_FETCH_FAIL: CRL-Abruf für TrustPoint SLA-TrustPoint fehlgeschlagen Grund: Socket konnte nicht ausgewählt werden. Timeout: 5 (Zeitüberschreitung bei Verbindung)
%PKI-3-CRL_FETCH_FAIL: CRL-Abruf für TrustPoint SLA-TrustPoint fehlgeschlagen Grund: Socket konnte nicht ausgewählt werden. Timeout: 5 (Zeitüberschreitung bei Verbindung)
Nächste Schritte:
- Um dieses Problem zu beheben, sollte SLA-TrustPoint in der aktuellen Konfiguration als none konfiguriert werden.
show running-config
<ausgelassen>
crypto pki trustpoint SLA-TrustPoint
Widerrufskontrolle keine
Was ist ein CRL?
Eine CRL (Certificate Revocation List) ist eine Liste widerrufener Zertifikate. Das CRL wird von der Zertifizierungsstelle (Certificate Authority, CA) erstellt und digital signiert, die die Zertifikate ursprünglich ausgestellt hat. Die CRL enthält Daten für den Zeitpunkt, zu dem jedes Zertifikat ausgestellt wurde und dessen Ablauf abläuft. Weitere Informationen zu CRL finden Sie hier.
Szenario Nr. 8: Lizenz im Status "OUT OF COMPLIANCE"
Snip "show license all":
Lizenzautorisierung:
Status: COMPLIANCE-AUSSCHLUSS am 26. Juli 2018, 09:24:09 UC
Letzter Kommunikationsversuch: AUSSTEHEND AM 2. Aug. 14:34:51 UTC 2018
Fehlerursache: Warten auf Antwort
Nächster Kommunikationsversuch: 2. Aug. 14:53:58 UTC 2018
Termin für die Kommunikation: 25. Oktober 2018, 09:21:39 UC
Mögliche Protokolle werden angezeigt:
%SMART_LIC-3-OUT_OF_COMPLIANCE: Mindestens eine Berechtigung ist nicht konform
Nächste Schritte:
- Überprüfen, ob Token vom richtigen Smart Virtual Account verwendet wurde
- Überprüfen Sie hier die Anzahl der verfügbaren Lizenzen.
Szenario Nr. 9: Switch-Lizenzautorisierung "Fehlerursache: Daten und Signatur stimmen nicht überein "
Snip "show license all":
Lizenzautorisierung:
Status: GENEHMIGT am 12.03.2020, 09:17:45 Uhr EDT
Letzter Kommunikationsversuch: FEHLER am 12. März 2020, 09:17:45 Uhr EDT
Fehlerursache: Daten und Signatur stimmen nicht überein
Nächster Kommunikationsversuch: 12. März 2020, 09:18:15 Uhr (EDT)
Termin für die Kommunikation: 09. Mai 2021:22:43 EDT
Mögliche Protokolle werden angezeigt:
%SMART_LIC-3-AUTH_RENEW_FAILED: Autorisierungsverlängerung mit dem Cisco Smart Software Manager (CSSM): Fehler, der vom Smart Software Manager empfangen wurde: Daten und Signatur stimmen nicht mit udi PID:C9000,SN:XXXXXXXXX überein.
Nächste Schritte:
- Die Switch-Registrierung mit "License smart deregister" aufheben
- Registrieren Sie dann den Switch mithilfe eines neuen Tokens mit "license smart register idtoken <TOKEN> force".
Referenzen
1) Cisco Smart Licensing - Startseite
2) Cisco Community - On-Demand-Schulungen.
3) Smart Account - Management-Portal: Smart Software Licensing
4) Smart Account - Neue Konten erstellen: Smart Accounts
5) Konfigurationsleitfaden (Beispiel) - Systemverwaltungskonfigurationsleitfaden, Cisco IOS XE Fuji 16.9.x (Catalyst 9300-Switches)
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
2.0 |
11-May-2022 |
Titel bearbeitet. Abschnittsnummern entfernt. Einige IP-Adressen geändert, um Platzhaltertext ("x.x.x") zu verwenden. |
1.0 |
31-May-2019 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)