Configuración de Smart Licensing para plataformas de routing empresarial de IOS

Introducción

Este documento describe los tipos de implementación de Cisco Smart Licensing (SL) y la configuración requerida.

Prerequisites

Requirements

• Una cuenta Smart Account con acceso al portal Cisco Smart Software Manager (CSSM)
• Un dispositivo con Cisco IOS® versión entre 16.5.1 y 17.3.1
• Servidor en las instalaciones de Cisco Smart Software Manager
• Conectividad HTTPS entre el dispositivo y el servidor CSSM o en las instalaciones

Nota:  En algunas implementaciones, no es necesario el software Cisco Smart Software Manager On-Prem. Es un componente opcional de la función.

Precaución: La licencia inteligente es opcional para las versiones entre 16.5.1 y 16.9.8. Para los dispositivos físicos con Cisco IOS® XE 16.10.1a hasta Cisco IOS® XE 17.3.1, la licencia inteligente es obligatoria. A partir de la versión 17.3.2, es obligatorio utilizar la política de licencias inteligentes. En el caso de los dispositivos virtuales y otras plataformas de Cisco, consulte las notas de la versión del código específico.

Componentes Utilizados

Este documento se aplica a las plataformas de routing empresarial Cisco IOS XE.
La información de este documento se basa en las siguientes versiones de hardware y software:

• Cisco ASR1001-X con Cisco IOS XE versión 16.9.4 y Cisco ISR4351 con Cisco IOS XE versión 16.12.1. 
• Servidor Smart Software Manager con la versión 8-202108.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Tipos de implementación 

Hay cuatro opciones de implementación principales disponibles para el registro y el consumo de Smart Licensing:

1. Acceso directo a CSSM
2. Acceso CSSM directo con proxy
3. Acceso in situ SSM
4. Reserva de licencia específica (SLR)

Acceso directo a CSSM

Esta opción de implementación permite transferir información de uso a través de Internet directamente a Cisco mediante HTTPS.

En Cisco IOS XE 16.10.1a, las licencias inteligentes están habilitadas de forma predeterminada y es el único modelo de licencias disponible. Para esta implementación, se requiere la configuración de la capa 3 y la posibilidad de acceder a tools.cisco.com en el puerto HTTPS (443) desde la interfaz adecuada. Se requiere la configuración de DNS.

Una vez confirmada la conectividad, los pasos para registrar los dispositivos son:

Paso 1. Habilite la licencia inteligente en el dispositivo (opcional). Desde 16.10.1a está habilitado de forma predeterminada.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

Nota: Este comando habilita el servicio call-home, que es obligatorio.

Paso 2. Configure un servidor de Sistema de nombres de dominio (DNS) o una entrada de host estático para tools.cisco.com.

Router(config)#ip name-server X.X.X.X 
or
Router(config)#ip host tools.cisco.com X.X.X.X

Paso 3. Genere un nuevo token de Cisco Smart Software Manager.

• Inicie sesión en Cisco Smart Software Manager en https://software.cisco.com/# y navegue hasta la sección Smart Software Manager.
• Seleccione la pestaña Inventory y seleccione Virtual Account en la lista desplegable Virtual Account.
• Seleccione la ficha General y, a continuación, seleccione New Token.

• Ingrese la descripción del token y especifique el número de días que el token debe estar activo.
• Habilite Permitir funcionalidad de exportación controlada en los productos registrados con este token.Esto permite la solicitud de una licencia de cifrado alto en los dispositivos registrados.
• Seleccione Create Token. Una vez creado el token, seleccione Copy.

Paso 4. Cambiar la configuración de la llamada a casa (opcional).

La configuración predeterminada del perfil de llamada en casa es suficiente para registrar el dispositivo. Puede verificar la configuración actual del perfil de la llamada en casa aquí:

Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email

Paso 5. Registre el dispositivo con CSSM con el token.

Router#license smart register idtoken < token from CSSM portal > force

Nota: La palabra clave force fuerza el intento de registro inmediatamente. Si no se utiliza, el procedimiento de registro puede tardar más tiempo.

Paso 6. Verifique que el dispositivo se haya registrado correctamente en el CSSM.

Router#show license status 
Smart Licensing is ENABLED 

Registration: 
 Status: REGISTERED 
 Smart Account: TAC Cisco Systems, Inc. 
 Virtual Account: CORE TAC 
 Export-Controlled Functionality: Allowed 
 Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC 
 Last Renewal Attempt: None 
 Next Renewal Attempt: Feb 28 12:54:22 2018 UTC 
 Registration Expires: Sep 01 12:49:04 2018 UTC 

License Authorization: 
 Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC 
 Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC 
 Next Communication Attempt: Oct 01 12:54:28 2017 UTC 
 Communication Deadline: Nov 30 12:49:12 2017 UTC

Acceso CSSM directo con routing y reenvío virtuales (VRF)

Si el dispositivo utiliza un VRF para alcanzar el CSSM, es necesario configurar el VRF de origen y la interfaz de origen en la configuración del perfil de call-home. Para configurar esta implementación, debe seguir los pasos 1-3 de la sección Acceso directo a CSSM. A continuación, edite la configuración del call-home con el VRF correcto y la interfaz de origen para alcanzar la URL CSSM. Aquí se utiliza la interfaz de administración GigabitEthernet0 que está en el VRF de Mgmt-intf como ejemplo.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

Configure la interfaz HTTP de origen con la interfaz correcta asignada al VRF. Esta configuración influye en el tráfico HTTP y HTTPS.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

Configuración de DNS para el VRF específico:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X

Una vez finalizada la configuración de VRF, se puede continuar con los pasos 5 y 6 de la sección Acceso CSSM directo.

Acceso CSSM directo con proxy 

Si se requiere un servidor proxy para lograr la conectividad HTTPS con el CSSM, se requiere que siga los pasos de la sección Acceso directo al CSSM e incluya el comando http-proxy dentro de la configuración de call-home.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080 

Acceso in situ SSM

Este tipo de implementación le permite administrar productos y licencias en sus instalaciones sin una conexión directa a CSSM alojado por Cisco. Para implementar esto, ya debe tener un SSM On-Prem instalado en su red. Los pasos para instalar SSM en las instalaciones están fuera del alcance de este documento.

Los pasos de configuración para conectar el servidor SSM en las instalaciones con un dispositivo son:

Paso 1. Habilite Smart Licensing en el dispositivo.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

Nota: Este comando habilita el servicio call-home, que es obligatorio.

Paso 2. Asegúrese de que puede comunicarse con su servidor CSSM en las instalaciones.

Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

Nota: Si dispone de un servidor DNS, puede utilizarlo para convertir la dirección IP del servidor local en un nombre.

Paso 3. Genere un nuevo token desde SSM en las instalaciones.

3.1 Inicie sesión en el servidor SSM.

3.2 Creación de token

• Introduzca la descripción del token. Especifique el número de días que el token debe estar activo.
• Active la casilla de verificación Permitir funcionalidad controlada por exportación en los productos registrados con este token.
• Seleccione Create Token.
• Una vez creado el token, seleccione Copy para copiar el token recién creado.

Paso 4. Configure la llamada a casa en el dispositivo.

Es necesario cambiar el comando destination address http con la dirección IP del servidor en las instalaciones (http://X.X.X.X/Transportgateway/services/DeviceRequestHandler) y quitar el predeterminado.

Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end

Paso 5. Configure revocation-check none en el trustpoint SLA-TrustPoint.

Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none

Paso 6. Registre el dispositivo con el token recuperado de SSM en las instalaciones.

Router#license smart register idtoken < token from SSM On-Prem portal > force

Paso 7. Verifique que el dispositivo se haya registrado correctamente con el SSM en las instalaciones.

Router#show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLEDData Privacy:
 Sending Hostname: yes
 Callhome hostname privacy: DISABLED
 Smart Licensing hostname privacy: DISABLED
 Version privacy: DISABLED

Transport:
 Type: Callhome

Registration:
 Status: REGISTERED
 Smart Account: manudiaz
 Virtual Account: Default
 Export-Controlled Functionality: ALLOWED
 Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
 Last Renewal Attempt: None
 Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
 Registration Expires: Oct 19 04:35:44 2021 UTC

Acceso in situ SSM con configuración VRF

Si utiliza un VRF para alcanzar SSM en las instalaciones, debe configurar el VRF de origen para que el dispositivo genere la solicitud del VRF correcto.

Siga los pasos de la sección SSM On-Prem Access (Acceso in situ SSM) hasta el paso 3.

Paso 1. Edite la configuración del directorio de inicio de llamada con el VRF correcto y la interfaz de origen donde puede alcanzar SSM en las instalaciones:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

Paso 2. Configure la interfaz http-client de origen con la interfaz correcta asignada al VRF:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

Paso 3. Configure DNS para el VRF específico.

Puede configurar un servidor DNS en su entorno local para resolver el nombre de su servidor local SSM:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X

Puede continuar con los pasos 5 y 6 desde SSM On-Prem Access después de estos cambios.

Reserva de licencia específica (SLR)

SLR es una función que le permite implementar una licencia de software en un dispositivo sin comunicar directamente la información de uso a Cisco. Esta funcionalidad es especialmente útil en redes muy seguras y es compatible con plataformas que tienen Smart Licensing Portal.  Esta guía de configuración asume que usted ha solicitado y ha sido autorizado para utilizar SLR.

Nota: SLR no está activado de forma predeterminada. Debe solicitar específicamente esta funcionalidad. 

Nota: SLR y las aplicaciones de licencias son compatibles con Cisco IOS XE 16.11.1a y versiones posteriores.

Para configurar el SLR en el dispositivo, es necesario realizar estos pasos desde el router y desde el portal CSSM

Paso 1. Configure el router para SLR. Debe ingresar el comando license smart reservation y solicitar la función SLR con license smart reservation local.

Nota: Si el registro se realiza en una plataforma HA, debe utilizar license smart reservation request all.

Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
  Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX

Nota: SLR no está activado de forma predeterminada. Debe solicitar específicamente esta funcionalidad.

Nota: Para cancelar la solicitud de reserva de licencia, ejecute el comando license smart reservation cancel.

En el CSSM, es necesario reservar las licencias necesarias.

Paso 2. Inicie sesión en CSSM en https://software.cisco.com/#. Debe iniciar sesión en el portal con sus credenciales de Cisco.

Paso 3. Seleccione la pestaña Inventario. En el menú desplegable Virtual Account (Cuenta virtual), seleccione su Smart Account (Cuenta inteligente).

Paso 4. En la pestaña Licenses, seleccione License Reservation.

Paso 5. En la página Introducir Código de Solicitud, introduzca o adjunte el código de solicitud de reserva que ha generado del router y seleccione Siguiente.

Paso 6. Marque la casilla Reserve a Specific License y seleccione la licencia y la cantidad de licencia reservada necesaria para cada dispositivo.

Paso 7. En la pestaña Revisar y Confirmar, seleccione Generar Código de Autorización.

Nota: Después de generar el código SLR para un dispositivo específico, el archivo de código de autorización es válido hasta que instale el código. Si la instalación falla, debe ponerse en contacto con Cisco Global License Operations (GLO) para crear un nuevo código de autorización. Puede ponerse en contacto con GLO.

Paso 8. Seleccione Copiar al Portapapeles para copiar el código o Descargar como archivo. Debe copiar el código o el archivo en el dispositivo para continuar el proceso.

Si configura SLR, puede descargar o instalar el archivo de texto del código de autorización. Si configura la Reserva de licencia permanente (PLR), puede copiar y pegar el código de autorización.

Paso 9. Inicie sesión en su dispositivo y utilice el comando de instalación license smart reservation install file bootflash:<SLR file>.

Router#enable
Router#license smart reservation install file bootflash:

 Si es necesario, puede devolver las licencias reservadas en el dispositivo y volver a un estado no registrado. Se genera un código de retorno que se debe introducir en CSSM para eliminar la instancia del producto.

Router#enable
Router#license smart reservation return local

Actualizar una reserva de licencia específica

Después de registrar un dispositivo correctamente, si es necesario, puede actualizar la reserva con una nueva función o licencia:

Paso 1. Inicie sesión en Cisco Smart Software Manager en https://software.cisco.com/#. Debe iniciar sesión en el portal con el nombre de usuario y la contraseña proporcionados por Cisco.

Paso 2. Navegue hasta la pestaña Inventario y seleccione su Cuenta Inteligente en el menú desplegable Cuenta Virtual.

Paso 3. En la pestaña Instancias de producto, seleccione Acciones para el dispositivo que necesita actualizar.

Paso 4. Seleccione Actualizar licencias reservadas.

Paso 5. Seleccione la licencia que desea actualizar.

Paso 6. Seleccione Siguiente.

Paso 7. En la pestaña Revisar y Confirmar, seleccione Generar Código de Autorización. Se muestra la pestaña Authorization Code. El sistema muestra el código de autorización generado.

Paso 8. Seleccione la opción Copiar al Portapapeles para copiar el código o descargarlo como un archivo. Debe copiar el código o el archivo en el dispositivo.

Paso 9. Inicie sesión en el dispositivo que desea actualizar.

Paso 10. Ejecute el comando license smart reservation install file.

Router#enable
Router#license smart reservation install file bootflash:

Anulación del registro de una reserva de licencia específica

Para anular el registro de una reserva de licencia específica para un dispositivo, debe devolver la reserva de licencia en la CLI y quitar la instancia de CSSM.

Paso 1. Inicie sesión en el dispositivo que desea anular el registro.

Paso 2. Para eliminar el código de autorización de reserva de licencia, utilice el comando license smart reservation return.

Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
    CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33

Paso 3. Inicie sesión en CSSM en https://software.cisco.com/#.

Paso 4. Seleccione la pestaña Inventario. En la lista desplegable Cuenta virtual, seleccione su cuenta inteligente.

Paso 5. En la pestaña Instancia de producto, para el dispositivo que desea anular el registro, seleccione Acciones.

Paso 6. Seleccione Quitar.

Paso 7. Cuando se le solicite, ingrese el código devuelto.

Troubleshoot

El dispositivo no se puede resolver tools.cisco.com

 Compruebe que ha configurado correctamente un servidor DNS para el VRF o la tabla de rutas globales correctos. Si lo prefiere, también puede crear una entrada DNS estática:

Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8 

Nota:  Las direcciones IP 72.163.4.38 y 173.37.145.8 se utilizan para llegar a tools.cisco.com. Éstos pueden cambiar según lo resuelto por DNS. Confirme con el equipo local antes de la configuración manual.

El router no puede comunicarse con tools.cisco.com

• Asegúrese de que se ha configurado una ruta predeterminada a Internet.
• Asegúrese de que no haya un firewall o proxy entre el dispositivo y CSSM.
• Asegúrese de que los puertos 443 y 80 no estén bloqueados.

Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open

• Telnet con VRF.

Router#telnet tools.cisco.com 443 /vrf Mgmt-intf 
Trying tools.cisco.com (72.163.4.38, 443)... Open

Licencia con el estado "EN INCUMPLIMIENTO".

Este estado se produce cuando el dispositivo utiliza un derecho y no cumple los requisitos (saldo negativo). Esto ocurre cuando una licencia requerida no está disponible en la cuenta virtual con la que se ha registrado el dispositivo Cisco.

Router#show license all

License Authorization:
  Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
  Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
  Next Communication Attempt: Mar 26 03:12:31 2019 CDT
  Communication Deadline: Jun 23 15:06:30 2019 CDT

• Para entrar en el estado de cumplimiento/autorizado, debe agregar el número y el tipo de licencias correctos a la cuenta inteligente
• Cuando el dispositivo se encuentra en este estado, envía automáticamente una solicitud de renovación de autorización todos los días

Depuraciones de Smart Licensing

Algunas depuraciones que se pueden utilizar para solucionar problemas de registro de licencias inteligentes y de llamadas a casa son:

• debug call-home trace
• debug call-home error
• debug call-home smart-licensing all
• debug ip http client all
• debug crypto pki <all options>
• debug ssl openssl <all options>

Additional Information

Guía de Cisco Smart Licensing para plataformas de routing empresariales de Cisco