Einleitung

Dieses Dokument beschreibt die Konfiguration und Fehlerbehebung von Smart Licensing mithilfe einer Richtlinie (SLUP) auf dem Catalyst 9800 WLC.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Smart Licensing-Nutzungsrichtlinie (SLUP)
• Catalyst 9800 Wireless LAN-Controller (WLC)

• Cisco Netzwerkabonnement

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

1. Direkte Verbindung zu Cisco License Central
2. Verbindung mit Cisco License Central über CSLU (Cisco Smart License Utility Manager)
3. Anbindung über Cisco License Central (am Standort)

Dieser Artikel behandelt nicht alle Smart Licensing-Szenarien für Catalyst 9800. Weitere Informationen finden Sie im Konfigurationsleitfaden für Smart Licensing mit Richtlinien. Dieser Artikel enthält jedoch eine Reihe nützlicher Befehle zur Fehlerbehebung bei Problemen mit Direct Connect, CSLU und On-Prem Smart Licensing Using Policy auf dem Catalyst 9800.

Option 1: Direkte Verbindung zu Cisco License Central:

Option 2. Anbindung über CSLU:

Option 3. Stellen Sie über Cisco License Central (am Standort) eine Verbindung her.

Anmerkung: Alle in diesem Artikel genannten Befehle gelten nur für WLCs, auf denen Version 17.3.2 oder höher ausgeführt wird.

Einheitliche Lizenzierung, Durchsetzung und SLUP

Die in Cisco Networking Subscriptions verfügbare einheitliche Lizenzierung ermöglicht die Durchsetzung von Lizenzen bei Kunden vor Ort.

• Cisco IOS® XE 17.15.2 (Dezember 2024) war die erste unterstützte Version für Unified Licensing und führte ein geräteunabhängiges Lizenzprotokoll sowie einen Compliance-Status ein.
• Künftige Cisco IOS XE-Versionen führen die Durchsetzung von Tag 0 für nicht lizenzierte APs und von Tag N für Geräte mit abgelaufenen Lizenzen ein. auf allen nicht konformen Geräten erfolgt die Durchsetzung, wenn das Software-Image aktualisiert wird.

Das Abschließen der Schritte in diesem Leitfaden ist entscheidend, um sicherzustellen, dass Ihre Geräte mit SLUP richtig konfiguriert sind, damit Ihre Geräte nicht beim Upgrade des Cisco IOS XE Software-Images der Durchsetzung unterliegen.

Überprüfen der AP-Konformität bei Unified Licensing

Abbildung 1: Web UI AP-Konformität (nicht konform)

Informationen zur AP-Konformität sind im Controller (Meraki Dashboard, Catalyst Center 2.3.7.9) und auf dem Gerät (Webbenutzeroberfläche, CLI) verfügbar.

Abbildung 1 zeigt ein Beispiel für AP-Konformitätsinformationen in der Webbenutzeroberfläche. Nicht konforme APs weisen einen nicht konformen Lizenzstatus auf, wobei Argumente vorausgesetzt werden, dass der AP "niemals lizenziert" ist.

Nachdem SLUP korrekt konfiguriert wurde, geben Ihre APs einen aktualisierten Kompatibilitätsstatus wieder.

Abbildung 1: Web UI AP-Konformität (konform)

Traditionelle Lizenzierung im Vergleich zu SLUP

Die Funktion "Smart Licensing Using Policy" wurde in Catalyst 9800 mit der Codeversion 17.3.2 eingeführt. In der ersten Version von 17.3.2 fehlt das SLUP-Konfigurationsmenü in der WLC WebUI, das mit der Version 17.3.3 eingeführt wurde. Das SLUP unterscheidet sich in vielerlei Hinsicht von herkömmlichen Smart Licensing-Lösungen:

• WLC kommuniziert jetzt mit Cisco License Central über die Domäne smartreceiver.cisco.com und nicht über die Domäne tools.cisco.com.
• Anstatt sich zu registrieren, richtet der WLC jetzt eine Vertrauensstellung mit Cisco License Central oder vor Ort ein.
• CLI-Befehle wurden leicht geändert.
• Es gibt keine Smart Licensing Reservation (SLR) mehr. Stattdessen können Sie Ihre Nutzung regelmäßig manuell melden.

Konfiguration

Direct Connect Cisco License Central

Sobald das Token in Cisco License Central erstellt wurde, müssen diese Befehle ausgeführt werden, um eine Vertrauensstellung herzustellen.

Anmerkung: Token Max. Die Anzahl der Verwendungen muss bei WLC in HA SSO mindestens 2 betragen.

configure terminal
ip http client source-interface 
ip http client secure-trustpoint 
license smart transport smart
license smart url default
exit
write memory
terminal monitor
license smart trust idtoken  all force

• Der Befehl ip http client source-interface gibt die L3-Schnittstelle an, von der lizenzbezogene Pakete bezogen werden.
• Der Befehl ip http client secure-trustpoint gibt an, welcher Vertrauenspunkt/welches Zertifikat für die Kommunikation mit Cisco License Central verwendet wird. Der Name des Vertrauenspunkts kann mit dem Befehl show crypto pki trustpoints gefunden werden. Es wird empfohlen, ein selbstsigniertes Zertifikat (TP-self-signed-xxxxxxxxxx) oder ein vom Hersteller installiertes Zertifikat (auch als MIC bezeichnet, nur verfügbar auf den Geräten 9800-40, 9800-80 und 9800-L) mit der Bezeichnung CISCO_IDEVID_SUDI zu verwenden.
• Der Befehl Terminal Monitor veranlasst den WLC, die Protokolle auf der Konsole auszudrucken und zu überprüfen, ob die Vertrauenswürdigkeit erfolgreich eingerichtet wurde. Es kann mit Terminal auf Monitor deaktiviert werden.
• Das Schlüsselwort all im letzten Befehl weist alle WLCs im HA SSO-Cluster an, die Vertrauensstellung mit Cisco License Central herzustellen.
• Keyword Force weist den WLC an, einen der zuvor eingerichteten Trusts zu überschreiben und einen neuen zu versuchen.

Anmerkung: Wenn die Vertrauensstellung nicht hergestellt wird, versucht der 9800 es 1 Minute später nach der Ausführung des Befehls erneut und versucht es dann einige Zeit lang nicht mehr. Geben Sie den Token-Befehl erneut ein, um eine neue Vertrauensstellung zu erzwingen.

Mit CSLU verbunden

Cisco Smart License Utility Manager (CSLU) ist eine Windows-basierte Anwendung (auch unter Linux verfügbar), mit der Kunden Lizenzen und zugehörige Produktinstanzen von ihrem Standort aus verwalten können, anstatt ihre Smart Licensed-fähigen Produktinstanzen direkt mit Cisco License Central zu verbinden.

In diesem Abschnitt wird nur die Wireless-Konfiguration des 9800 behandelt. Es gibt noch weitere Schritte, um die Lizenzierung mit CSLU zu konfigurieren (z. B. Installation von CSLU, Konfiguration der CSLU-Software usw.). Diese Schritte werden in den Konfigurationsanleitungen behandelt. Ob Sie eine von einer Produktinstanz initiierte oder von einer CSLU initiierte Kommunikationsmethode implementieren oder die entsprechende Abfolge von Aufgaben durchführen möchten.

Durch Produktinstanz initiiert 

1. Stellen Sie sicher, dass der Controller über das Netzwerk mit CSLU verbunden ist.
2. Stellen Sie sicher, dass der Transporttyp auf cslu eingestellt ist: 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. Wenn die CSLU vom Controller erkannt werden soll, müssen Sie die Aktion ausführen. Wenn CSLU mithilfe von DNS erkannt werden soll, ist keine Aktion erforderlich. Wenn Sie eine URL zur Erkennung verwenden möchten, geben Sie den folgenden Befehl ein: 
   

   (config)#license smart url cslu http://:8182/cslu/v1/pi
   (config)#exit
   #copy running-config startup-config

von CSLU initiiert 

Wenn Sie eine CSLU-initiierte Kommunikation konfigurieren, müssen Sie lediglich überprüfen, ob der Controller das Netzwerk über CSLU erreichbar ist. 

Verbindung mit Cisco License Central am Standort

Die Konfiguration mit Cisco License Central vor Ort ähnelt der Direktverbindung. Vor Ort muss Version 8-202102 oder höher ausgeführt werden. Für SLUP-Versionen (17.3.2 und höher) wird empfohlen, die CSLU-URL und den Transporttyp zu verwenden. Die URL steht im Abschnitt Smart Licensing > Inventory > <Virtual Account> > General (Smart Lizenzierung > Bestand > <Virtuelles Konto> > Allgemein) über die WebUI-Oberfläche vor Ort zur Verfügung.

configure terminal
 ip http client source-interface 
 ip http client secure-trustpoint 
 license smart transport cslu
 license smart url cslu http:///cslu/v1/pi/ (see previous paragraph on how to get exact URL)
 crypto pki trustpoint SLA-TrustPoint
  revocation-check none 
 exit
write memory
terminal monitor

Cisco License Central erfordert vor Ort keine Verwendung eines Trust-Tokens.

Konfigurieren von intelligentem Transport über einen HTTPS-Proxy

Gehen Sie wie folgt vor, um bei der Verwendung des Smart Transport-Modus einen Proxyserver für die Kommunikation mit Cisco License Central zu verwenden:

configure terminal
  ip http client source-interface 
  ip http client secure-trustpoint 
  license smart transport smart
  license smart url default
  license smart proxy address 
  license smart proxy port 
exit
write memory
terminal monitor
license smart trust idtoken  all force

Kommunikationsfrequenz

Das Berichtsintervall, das Sie in CLI oder GUI konfigurieren können, hat keine Auswirkungen.

Der 9800 WLC kommuniziert alle 8 Stunden mit Cisco License Central oder standortbasiert, unabhängig davon, welches Berichtsintervall über die Webschnittstelle oder CLI konfiguriert wird. Das bedeutet, dass neu verknüpfte Access Points bis zu 8 Stunden nach dem ersten Beitritt auf Cisco License Central angezeigt werden können.

Mit dem Befehl show license air entity summary können Sie bestimmen, wann Lizenzen das nächste Mal berechnet und gemeldet werden. Dieser Befehl ist nicht Teil der typischen show tech oder show license all-Ausgabe:

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

Lizenz-Zurücksetzen auf Factory

Der Catalyst 9800 WLC kann seine gesamte Lizenzkonfiguration beibehalten, auf die Werkseinstellungen vertrauen und alle anderen Konfigurationen beibehalten. Dies erfordert ein erneutes Laden des WLC:

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

Beachten Sie, dass Sie nach dem Zurücksetzen der Lizenz auf die Werkseinstellungen eine Stunde warten müssen, bevor Sie den WLC erneut lizenzieren, falls er sich im AirGap-Modus befindet.

Bei RMA oder Hardware-Ersatz

Wenn der 9800 WLC ersetzt werden muss, muss sich das neue Gerät bei Cisco License Central/On-Prem registrieren, und es wird als neues Gerät wahrgenommen. Um die Lizenzanzahl des vorherigen Geräts freizugeben, müssen Sie die Lizenz unter Produktinstanzen manuell löschen:

Upgrade von spezifischer Lizenzregistrierung (SLR)

Ältere WLC-Versionen vor 17.3.2 verwendeten eine spezielle Offline-Lizenzierungsmethode namens Specific License Registration (SLR). Diese Lizenzierungsmethode wurde in den Versionen mit SLUP (17.3.2 und höher) als veraltet eingestuft.

Wenn Sie einen 9800-Controller, der SLR verwendet hat, auf eine Version nach 17.3.2 oder 17.4.1 aktualisieren, sollten Sie auf die Offline-SLUP-Berichterstellung umstellen, anstatt sich auf die SLR-Befehle zu verlassen. Speichern Sie die RUM-Datei für die Lizenznutzung, und registrieren Sie diese im Smart Licensing-Portal. Da SLR in neueren Versionen nicht mehr vorhanden ist, wird die korrekte Lizenzanzahl ausgegeben und nicht verwendete Lizenzen werden freigegeben. Die Lizenzen werden nicht mehr blockiert, aber die genaue Anzahl der genutzten Lizenzen wird gemeldet.

Fehlerbehebung

Internetzugriff, Portprüfungen und Pings

Anstelle der tools.cisco.com, die bei der herkömmlichen Smart Licensing-Methode verwendet wurde, verwendet das neue SLUP die Domäne smartreceiver.cisco.com, um eine Vertrauensstellung herzustellen. Zum Zeitpunkt der Erstellung dieses Artikels wird diese Domäne in mehrere verschiedene IP-Adressen aufgelöst. Nicht alle diese Adressen sind pingbar. Pings dürfen nicht als Test der Interneterreichbarkeit vom WLC verwendet werden. Wenn diese Server nicht gepingt werden können, bedeutet dies nicht, dass sie nicht ordnungsgemäß funktionieren.

Anstelle von Pings muss Telnet über Port 443 als Erreichbarkeitstest verwendet werden. Telnet kann entweder mit der Domäne smartreceiver.cisco.com oder direkt mit den IP-Adressen des Servers abgeglichen werden. Wenn der Datenverkehr nicht blockiert wird, muss der Port in der Ausgabe als offen angezeigt werden:

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]

Syslog

Wenn der Befehl terminal monitor während der Tokenkonfiguration aktiviert ist, druckt der WLC die relevanten Protokolle in der CLI aus. Diese Meldungen können auch abgerufen werden, wenn Sie den Befehl show logging ausführen. Protokolle einer erfolgreich eingerichteten Vertrauensstellung sehen wie folgt aus:

WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.

Protokolle eines WLC ohne definierten DNS-Server oder mit einem nicht funktionierenden DNS-Server:

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

Überprüfen Sie in diesem Fall, ob ein gültiger DNS-Server konfiguriert ist. Sie können alle verfügbaren IP-Adressen für öffentliche DNS-Server verwenden:

ip name-server 

Protokolle eines WLC mit einem funktionierenden DNS-Server, jedoch ohne Internetzugang:

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Paketerfassung

Obwohl die Kommunikation zwischen WLC und Cisco License Central/On-Prem verschlüsselt ist und über HTTPS läuft, können Paketerfassungen Aufschluss darüber geben, weshalb das Vertrauen nicht hergestellt wird. Die einfachste Methode zum Sammeln von Paketerfassungen ist die WLC-Webschnittstelle.

Navigieren Sie zu Fehlerbehebung > Paketerfassung. Erstellen Sie einen neuen Erfassungspunkt:

Stellen Sie sicher, dass das Kontrollkästchen Kontrollebene überwachen aktiviert ist. Erhöhen Sie die Puffergröße auf die maximale Größe von 100 MB. Fügen Sie die Schnittstelle hinzu, die erfasst werden muss. Der Smart Licensing-Datenverkehr stammt standardmäßig von der Wireless-Verwaltungsschnittstelle oder von der Schnittstelle, die mit dem Befehl ip http client source-interface definiert wurde:

Starten Sie die Erfassungen, und führen Sie den Befehl license smart trust idtoken <token> all force aus:

Die Paketerfassung einer Vertrauensstellung muss folgende Schritte enthalten:

1. TCP-Sitzungsaufbau mit SYN-, SYN-ACK- und ACK-Sequenz
2. TLS-Sitzungsaufbau mit Austausch von Server- und Clientzertifikaten. Einrichtung endet mit dem neuen Sitzungsticket-Paket
3. Verschlüsselter Paketaustausch (Anwendungsdaten-Frames), bei dem WLC die Lizenznutzung meldet
4. TCP-Session-Terminierung über FIN-PSH-ACK-, FIN-ACK- & ACK-Sequenz

Anmerkung: Die Paketerfassungen enthalten viel mehr Frames, einschließlich mehrerer TCP-Fensteraktualisierungen und Anwendungsdaten-Frames.

Da die Cisco License Central Cloud drei verschiedene öffentliche IP-Adressen verwendet, um alle Paketerfassungen zwischen WLC und Cisco License Central herauszufiltern, verwenden Sie die folgenden Wireshark-Filter:

ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144 

Wenn Sie Cisco License Central vor Ort verwenden, filtern Sie nach der IP-Adresse von Cisco License Central:

ip.addr==

Beispiel: Paketerfassungen einer erfolgreichen Vertrauensstellung mit direkt verbundener Cisco License Central, wobei alle signifikanten Paketerfassungen gefiltert werden:

show-Befehle

Diese show-Befehle enthalten nützliche Informationen zur Einrichtung der Vertrauensstellung:

show license status
show license summary
show license tech support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

Der Befehl show license history message ist einer der nützlicheren Befehle, da er die tatsächlichen Nachrichten anzeigen kann, die vom WLC gesendet und von Cisco License Central empfangen wurden.

Eine erfolgreiche Vertrauensstellung verfügt über beide "ANFORDERUNG: Aug 23 10:18:08 2021 Central" und "REAKTION: Aug 23 10:18:10 2021 Central" Nachrichten ausgegeben. Wenn nach der RESPONSE-Zeile nichts mehr steht, bedeutet dies, dass der WLC keine Antwort von Cisco License Central erhalten hat.

Dies ist ein Beispiel für eine Ausgabe einer Lizenzverlaufsmeldung für eine erfolgreiche Vertrauensstellung:

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

Debugger/btrace

Führen Sie diesen Befehl einige Minuten nach dem Versuch, eine Vertrauensstellung herzustellen, mit dem Befehl license smart trust idtoken all force aus. IOSRP-Protokolle sind äußerst ausführlich. Anfügen | include smart-agent" auf den Befehl ein, um nur Smart Licensing-Protokolle abzurufen.

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

Sie können auch diese Debugs ausführen und dann die Lizenzierungsbefehle neu konfigurieren, um eine neue Verbindung zu erzwingen:

debug license events
debug license errors
debug license agent all

Häufige Probleme

WLC hat keinen Internetzugang und Firewall blockiert/ändert Datenverkehr nicht

Die integrierte Paketerfassung auf dem WLC ist eine einfache Möglichkeit, festzustellen, ob WLC irgendetwas von Cisco License Central oder von Cisco vor Ort zurückerhält. Wenn es keine Antwort gab, blockiert die Firewall wahrscheinlich etwas.

Der Befehl show license history message gibt eine leere Antwort 1 Sekunde nach dem Senden der Anforderung aus, wenn keine Antwort von der Cisco License Central Cloud oder am Standort empfangen wurde.

Dies kann zum Beispiel dazu führen, dass Sie glauben, dass eine leere Antwort eingegangen ist, aber in Wirklichkeit gab es überhaupt keine Antwort:

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

Anmerkung: Derzeit gibt es eine Erweiterungsanforderung mit der Cisco Bug-ID CSCvy84684, die den Ausdruck der Show License History-Nachricht als leere Antwort angibt, wenn keine Antwort erfolgt. Hierdurch wird die Ausgabe des Befehls show license history message verbessert.

Unbekannte CA-Warnung bei Paketerfassung

Die Kommunikation mit Cisco License Central oder On-Prem erfordert ein anständiges Zertifikat auf der 9800-Seite. Es kann selbstsigniert sein, es kann jedoch weder ungültig noch abgelaufen sein. In diesem Fall zeigt eine Paketerfassung eine TLS-Warnung für eine unbekannte Zertifizierungsstelle an, die von Cisco License Central gesendet wird, wenn das HTTP-Client-Zertifikat 9800 abgelaufen ist.

Bei der Smart Licensing-Lizenzierung wird die IP http-Client-Konfiguration verwendet, die sich vom IP http-Server unterscheidet, den die WLC-Webschnittstelle verwendet. Dies bedeutet, dass diese Befehle ordnungsgemäß konfiguriert werden müssen:

ip http client source-interface 
ip http client secure-trustpoint 

Den Namen des Vertrauenspunkts finden Sie mit dem Befehl show crypto pki trustpoints. Es wird empfohlen, ein selbstsigniertes Zertifikat TP-self-signed-xxxxxxxxxx oder ein vom Hersteller installiertes Zertifikat (Manufacturer Installed Certificate, MIC) zu verwenden. Dieses Zertifikat heißt in der Regel CISCO_IDEVID_SUDI und ist nur auf 9800-80, 9800-40 und 98000-L verfügbar.

Geräte, die TLS abfangen, z. B. eine Firewall mit der SSL-Entschlüsselungsfunktion, können verhindern, dass der C9800 einen erfolgreichen Handshake mit dem Cisco Lizenzierungsserver herstellt, da das angegebene HTTPS-Zertifikat das Firewall-Zertifikat und nicht das Cisco Lizenzierungsserverzertifikat ist.

Anmerkung: Stellen Sie sicher, dass Sie sowohl Quellschnittstellen- als auch Secure TrustPoint-Befehle konfigurieren. Ein Source-Interface-Befehl ist auch dann erforderlich, wenn WLC nur über eine L3-Schnittstelle verfügt.

Zugehörige Informationen

• Smart Licensing mit Air Gap-Modus auf 9800
• Technischer Support und Downloads von Cisco

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
15.0	05-Jun-2026	Alternativer Text, Ersetzung der Verweise auf "Cisco Smart Software Manager (SSM)" durch "Cisco License Central".
14.0	04-Nov-2025	Beheben des Befehls show im Abschnitt zur Fehlerbehebung
13.0	28-Jul-2025	Hinweis zur Airgap-Lizenz nach Zurücksetzen auf die Werkseinstellungen hinzugefügt
12.0	22-Jul-2025	Konfigurationsbefehl für DNS-Server hinzugefügt
11.0	20-Aug-2024	Feste URL
10.0	01-Mar-2024	Rezertifizierung
9.0	12-Jan-2023	Zusätzliche Details zur Unterstützung authentifizierter Proxys
8.0	15-Dec-2022	CSLU- und 17.7-Details hinzugefügt
7.0	20-May-2022	Hinzugefügte Debugbefehle
6.0	26-Apr-2022	Abschnitt über Proxy hinzugefügt
5.0	14-Jan-2022	Zusätzliche standortgebundene Versionsanforderung
4.0	12-Jan-2022	Hinweis zu standortbasiertem CSSM hinzugefügt
3.0	05-Oct-2021	fügte einen kleinen Kommentar zu standortbasiertem SSM hinzu.
2.0	02-Sep-2021	geringfügige Änderungen der Formatierung
1.0	02-Sep-2021	Erstveröffentlichung