Licencias inteligentes en la plataforma ASR9000

Introducción

Este documento describe la configuración, el funcionamiento y la resolución de problemas de Smart Licensing Software en Cisco IOS^® XR versión 5.2.0 y posteriores. Smart Licensing se desarrolló para abordar la gestión de los requisitos de licencias para diversas funciones y aplicaciones que se ejecutan en plataformas y sistemas operativos (OS) de Cisco.

La aplicación Smart Licensing se ejecuta no sólo en ASR9000 (ASR9K) para Cisco IOS XR, sino también en varias plataformas que ejecutan los sistemas operativos Cisco IOS y Cisco IOS-XE. Esta sencilla aplicación reduce en gran medida el esfuerzo necesario para gestionar diversos dispositivos, sistemas y plataformas de Cisco, y aporta la simplicidad necesaria a la gestión de licencias, derechos y costes operativos.

El método utilizado por la aplicación Smart Licensing es un método dinámico de extracción; el dispositivo ASR9K inicia la llamada y extrae la información de los servidores backend de Cisco. Los servidores backend de Cisco NO iniciarán ninguna llamada ni conexión con ningún dispositivo, pero siempre responderán cuando las solicitudes de conexión provengan de los dispositivos que deseen registrarse y recibir derechos.

La configuración inicial es segura y sencilla con muy poca intervención manual del operador de los dispositivos y se puede automatizar para entornos más grandes con un lenguaje de comandos de herramientas (TcL) o un guión de Python Expect normal. Las instalaciones de generación de informes que proporcionan los servidores backend de Cisco, a los que se puede acceder a través de un navegador normal, ayudarán a los clientes a llevar a cabo el mantenimiento de sus inventarios de dispositivos, funciones implementadas tanto con licencia como fuera de conformidad (OOC) y a mover dinámicamente sus recursos sin necesidad de reaprovisionar o solicitar soporte.

Vista superior

Smart Licensing utiliza HTTP Secure (HTTPS) estándar como mecanismo de transporte para alcanzar los servidores backend de Cisco. Técnicamente hablando, sólo se necesita una línea de configuración para habilitar la función Smart Licensing en el dispositivo ASR9K:

RP/0/RSP0/CPU0:SAMDD(admin-config)#license smart enable

De forma predeterminada, el dispositivo utiliza el transporte HTTPS y, cuando se realiza una solicitud de registro correcta, consulta inmediatamente a los servidores backend para obtener derechos. Devuelve Authorized (Autorizado), lo que significa que el dispositivo tiene la licencia para la función, o OOC, lo que significa que el derecho no está presente, falta o ha caducado.

Nota: El estado de cumplimiento de la licencia NO afectará la funcionalidad del dispositivo de ninguna manera. La aplicación de licencia inteligente actual se basa en un sistema de honor y notifica al administrador a través de syslog o registros de consola sobre el estado de cumplimiento o OOC. No hay ningún impedimento de funcionalidad en modo alguno debido a la licencia o la falta de ella. Sin embargo, Cisco fomenta el cumplimiento normativo, lo que proporciona una visibilidad mucho mayor a los clientes en lo que respecta a su inventario de dispositivos, el consumo de licencias, las funciones utilizadas por dispositivo y en total/total, etc.

Nota: El soporte HTTP a los servidores backend está siendo obsoleto en el AF2019, sin embargo, HTTP a un servidor satélite seguirá funcionando.

Las licencias inteligentes pueden coexistir con las licencias tradicionales, pero sólo una de ellas puede estar activa en un momento dado. Puede cambiar fácilmente entre ellos con la adición o eliminación de la configuración desde el plano de administración. El sistema ASR9K NO requiere ninguna recarga o reinicio para que este 'switch' tenga lugar. Las licencias tradicionales se sustituirán completamente por las licencias inteligentes en versiones futuras.

Si un dispositivo ASR9K no utiliza una función que requiera licencias, el sistema se encuentra automáticamente en el Estado autorizado y no es necesario tomar ninguna otra medida. Sólo en la 'configuración' de una función que requiera una licencia el sistema intentará adquirir la licencia dinámicamente de los servidores backend de Cisco.

Operaciones de licencias inteligentes frente a las tradicionales

Estas son algunas diferencias entre los modelos de licencias. Tenga en cuenta que sólo uno de ellos está activo en un momento dado.

Licencias tradicionales (bloqueadas por nodos)	Licencias inteligentes (dinámicas)
Debe adquirir la licencia e instalarla manualmente en cada dispositivo a través del archivo PAK.	No es necesaria/necesaria la instalación del software. El dispositivo inicia una sesión de inicio de llamada HTTP/HTTPS y solicita las licencias que utiliza y para las que está configurado.
Las licencias vinculadas al chasis, el traslado o el reaprovisionamiento requieren copias de seguridad o reinstalación. Todas son operaciones manuales que consumen tiempo.	Licencias vinculadas a su cuenta. Desconfigure la función que se utiliza en el chasis actual y vuelva a configurarla en un nuevo chasis que necesita utilizar la misma licencia. Una reprovisión se produce dinámicamente cuando el nuevo dispositivo inicia una solicitud HTTP/HTTPS a través del proceso de inicio de llamada.
Licencia bloqueada por nodos: la licencia está asociada a un dispositivo/ranura específico.	Grupos de licencias creados ya en la cuenta del cliente, que son específicos de la empresa y se pueden utilizar con cualquier dispositivo ASR9K de su empresa.
No hay una ubicación común de la base instalada para ver las licencias adquiridas o las tendencias de uso del software. Es necesario mantener manualmente la contabilidad de licencias para cada chasis o sistema.	Las licencias se almacenan de forma segura en los servidores backend de Cisco, accesibles las 24 horas del día, los 7 días de la semana y los 365 días de la semana. El recuento de licencias se realiza por cuenta/conjunto de clientes y muchos dispositivos pueden formar parte del mismo grupo.
La licencia adicional requiere un nuevo archivo PAK y una intervención/interacción manual con el dispositivo.	La licencia adicional se puede transferir a través de un navegador web que señala a la URL de Cisco y a la cuenta creada en los servidores backend. Básicamente, apunte y haga clic en las operaciones.
No es fácil transferir licencias de un dispositivo a otro.	Las licencias se pueden mover entre instancias de productos sin NINGUNA instalación de software. También puede transferir licencias de un grupo a otro fácilmente con una interfaz Web.

Vista operativa

Este diagrama muestra la comparación entre los dos esquemas de licencias.

Los pasos de Smart Licensing son muy sencillos e intuitivos. Cuando adquiera el equipo o dispositivo, puede pedir las licencias que necesita al mismo tiempo o solicitarlas más tarde. Una vez que Cisco haya adquirido y aprovisionado las licencias:

• Cisco le proporciona un nombre de usuario, una contraseña y un localizador uniforme de recursos (URL) para acceder a la información de la licencia a través de un navegador web las 24 horas del día, los 7 días de la semana.

• Esta cuenta gestiona licencias, genera informes, agrupa dispositivos, crea conjuntos de licencias y cualquier otra necesidad organizativa que facilite las necesidades operativas del cliente/organización.

• La cuenta permite al cliente generar un identificador, que identifica de manera única el dispositivo del cliente y el derecho de licencia adquirido. El token puede ser válido de un día a un año. El cliente puede revocar, eliminar y volver a crear el token en cualquier momento. Es un modelo de autoayuda.

• El Cliente utiliza el idtoken generado en la cuenta proporcionada por Cisco para registrar un dispositivo o mil dispositivos, ya que no hay límite en cuántos dispositivos pueden utilizar el mismo token. En este documento se proporcionan más consejos sobre el uso eficiente de esta función.

• El registro de dispositivos es persistente y se mantiene a lo largo de las recargas y actualizaciones del sistema. El dispositivo ASR9K puede verse forzado a volver a registrarse con el antiguo idtoken o uno más nuevo si así lo desea, en caso de pérdida.

• No es necesaria ninguna intervención después del registro. El sistema ASR9K sondea periódicamente la cuenta con la que se ha registrado para cumplir con la normativa. Si el sistema es OOC, se genera un syslog para advertir al usuario.

Portal/interfaz web

A continuación se muestra un rápido recorrido por la interfaz web donde comienza el proceso de registro:

Virtual Account, también conocido como License Pool, se utiliza para alojar y organizar lógicamente licencias por necesidad de una organización. Se trata de un contenedor de licencias, dispositivos registrados para las funciones que requieren una licencia. Puede crear un conjunto por sitio, por departamento, etc.

Las licencias se pueden transferir fácilmente de un grupo a otro.

Idtoken es una clave generada por esta cuenta, que se utiliza para registrar los dispositivos ASR9K. Puede ser válido de un día a un año. El único uso para el token es registrar el dispositivo y después de eso no es necesario. El token es un flujo de texto que se puede copiar en un script TcL o Python para automatizar el registro de dispositivos remotos.

Por ejemplo, puede crear un token durante un día y enviarlo a un sitio remoto para que lo utilicen las manos remotas para el registro del dispositivo. Caduca en un día y las manos remotas no pueden usarlo para registrar cualquier otro dispositivo. Incluso si se utiliza para registrar dispositivos que no pertenecen a su empresa, verá fácilmente el dispositivo en la pestaña Product Instance y podrá tomar medidas para revocar la licencia.

El informe genera dinámicamente varias formas de inventario y se puede exportar a un formato Excel para su uso, contabilidad o análisis sin conexión.

La pestaña Licencia muestra las licencias solicitadas por varios dispositivos ASR9K, que muestra el recuento y el estado de cada licencia. El elemento de enlace Transferir se puede utilizar al hacer clic en él para transferir licencias directamente y fácilmente a cualquier conjunto de la cuenta y desde él.

La pestaña Event Log registra las actividades de los dispositivos en el grupo con un formato de tipo syslog y registra las acciones que toma cada dispositivo o usuario de la cuenta, como el registro, la anulación del registro, etc. La interfaz es fácil e intuitiva para la navegación o la depuración.

Configuración

En este ejemplo se muestra cómo actualizar de la licencia tradicional a la licencia inteligente. Tenga en cuenta que, en algunos casos, Smart Licensing puede ser el valor predeterminado.

Licencias tradicionales

Para verificar la licencia tradicional, se pueden ejecutar algunos comandos desde el plano de administración. Estos son algunos de los productos que tienen resultados diferentes en comparación con Smart Licensing.

Nota: La licencia tradicional es el modo de licencia predeterminado en las versiones 5.3.0 y anteriores de Cisco IOS XR.

RP/0/RSP1/CPU0:ROA(admin)#show license pools

Pool: Owner
Feature: A9K-24X10-OPT-LIC A9K-24X10-VID-LIC A9K-24X10G-AIP-SE A9K-24X10G-AIP-TR
 A9K-2X100-OPT-LIC A9K-2X100-VID-LIC A9K-2X100G-AIP-SE A9K-2X100G-AIP-TR
 A9K-36X10-OPT-LIC A9K-36X10-VID-LIC A9K-36X10G-AIP-SE A9K-36X10G-AIP-TR
 A9K-400G-AIP-SE A9K-400G-AIP-TR A9K-400G-OPT-LIC A9K-400G-VID-LIC
 A9K-800G-AIP-SE A9K-800G-AIP-TR A9K-800G-OPT-LIC A9K-800G-VID-LIC
 A9K-ADV-OPTIC-LIC A9K-ADV-VIDEO-LIC A9K-AIP-LIC-B A9K-AIP-LIC-E

RP/0/RSP1/CPU0:ROA(admin)#show license allocated

FeatureID: A9K-800G-AIP-SE (Slot based, Permanent)
Total licenses 1
Status: Allocated   1
   Pool: Owner
     Total licenses in pool: 1
     Status: Operational:   1
     Locations with licenses: (Active/Allocated) [SDR]
             0/0/CPU0       (0/1) [Owner]

También se puede ejecutar un subconjunto de comandos de licencias tradicionales desde el plano exec, pero es una buena idea ejecutarlos desde el plano admin, que tiene la lista completa.

RP/0/RSP1/CPU0:ROA#show license ?    
WORD       Feature ID
active     Currently checked-out/being used by applications.
allocated  Allocated to a slot but not used.
available  Not currently active.
evaluation Display the evaluation licenses.
expired    Display evaluation licenses already expired.
location   Show information for a specific location
log        The operational or administrative logs.
|          Output Modifiers
<cr>

Licencias inteligentes

La licencia inteligente todavía no se ha habilitado, pero esto es lo que muestra el sistema.

Aunque no se aplica ninguna configuración, el perfil integrado predeterminado de call_home utiliza HTTPS, que apunta a los servidores backend de Cisco a través de los puertos de administración de sistemas. Más adelante en call_home en este documento.

RP/0/RSP1/CPU0:ROA#show run call-home  
% No such configuration item(s)

RP/0/RSP1/CPU0:ROA#show call-home detail | i https
   http proxy: Not yet set up
   HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService

Para una configuración mínima simple, sólo necesita los pasos 1 y 4. El resto de los pasos son para la información, la verificación y la notificación.

1. En el modo admin, ingrese estos comandos:

   RP/0/RSP1/CPU0:ROA(admin-config)#license smart enable
   RP/0/RSP1/CPU0:ROA(admin-config)#commit

2. En el modo exec, configure más botones, como la dirección de correo electrónico, o utilice este perfil predeterminado que se genera automáticamente cuando se confirma la configuración del administrador.

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   contact-email-addr sch-smart-licensing@cisco.com
   profile CiscoTAC-1
   active
   destination transport-method http

3. En el modo admin, verifique la versión de Smart Licensing:

   RP/0/RSP1/CPU0:ROA(admin)#show license version
   Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

4. En el modo admin, ingrese este comando:

   RP/0/RSP1/CPU0:ROA(admin)#license smart register idtoken
    NjgyMWM2NDItMzI5My00YzQ2LThmMDItMzhhNWI2Mzk2YWUwLTE0MzUzMzM3%
   0aMDQwNDB8SWRzSGkvR0d2MWZTZEhzK2RWUmJWMmh0U1ZIa2tBVzBLZKl1ZHhs%0AZGRPbz0%3D%0A ?
   force Force Registration
   <cr>  
   
   license smart register: Registration process is in progress. Please check
    the syslog for the registration status and result

   La palabra clave Force sobrescribe y elimina toda la información con respecto al dispositivo registrado anteriormente. La palabra clave force debe utilizarse con moderación y en casos especiales. Alternativamente, la interfaz de usuario web se puede utilizar para quitar el dispositivo de la cuenta.

5. Consulta del estado de la operación:

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Completed
          Registration Start Time: Wed Dec 17 2014 13:07:23 PST
          Next ID Cert Renew Time: Mon Jun 15 2015 14:07:45 PST
          Next ID Cert Expiration Time: Thu Dec 17 2015 13:01:41 PST
          Last Response Time: Wed Dec 17 2014 13:07:45 PST
          Last Response Message: OK: OK

   Si el estado no está 'Completado', verá mensajes en la consola o syslog. Este es el mensaje de syslog exitoso:

   RP/0/RSP1/CPU0:Dec 17 13:07:45.285 : licmgr[310]: SMART_LIC-6-AGENT_REG_SUCCESS:
   Smart Agent for Licensing Registration with Cisco licensing cloud successful
   RP/0/RSP1/CPU0:Dec 17 13:08:18.357 : licmgr[310]: SMART_LIC-3-OUT_OF_COMPLIANCE:
   One or more entitlements are out of compliance':

6. En este sistema hay pocas funciones configuradas que requieren licencias y este resultado indica el estado de 'Sin cumplimiento':

   RP/0/RSP1/CPU0:ROA(admin)#show license entitlement | i Tag | e Not | u sort
      Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,
   1.0_66d3ccf7-a374-4409-a3f9-6bc56d645f1c, Version: 1.0, Enforce Mode:
    Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10-VID-LIC,1.0_9f03b94f-3c76-4a39-82f2
   -1b53cdf5cb15, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10G-AIP-TR,1.0_e5d7cec3-e8e3-43c6-88c9
   -a113b76679f8, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-OPT-LIC,1.0_0f74bb00-42af-4c4d-b162
   -bcb346c7510a, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-VID-LIC,1.0_a482b964-6371-4aad-8e82
   -2083c5749205, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100G-AIP-SE,1.0_ce447831-e4af-4def-a98b
   -3297fab65561, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-36X10-OPT-LIC,1.0_92a8597a-f591-4afc-adeb
   -9b212cee11be, Version: 1.0, Enforce Mode: Out of compliance

7. Observe los comandos que utilizó en la licencia tradicional, que tienen resultados diferentes.

   La licencia inteligente O la CLI de licencias tradicionales están disponibles en cualquier momento, no en ambos.

   El nombre del conjunto se utiliza para organizar/categorizar dispositivos. Puede utilizar un conjunto por región/geografía, departamento o área funcional, o agrupaciones financieras, etc. Cada empresa puede decidir cómo desea seleccionar licencias. Tenga en cuenta también que es muy fácil utilizar su navegador normal para ver, cambiar o mover licencias entre conjuntos, agregar o cambiar los recuentos de licencias, y hacerlo fácilmente sin ninguna ayuda de Cisco, independientemente, las 24 horas del día.

   RP/0/RSP1/CPU0:ROA(admin)#show license pool
   Assigned Pool Info: PATRICK_NO_LIC

8. A partir de aquí, el sistema comprueba cada día el cumplimiento de las normativas automáticamente. Si se produce una falla, el sistema lo intenta cada 20 minutos durante cuatro horas y después de eso una vez al día durante 30 días. Los mensajes de Syslog se imprimen, lo que indica la conectividad, disponibilidad, comunicación, etc., por los motivos de las fallas. La depuración se analiza más adelante en este documento.
9. Para anular el registro del dispositivo, ingrese estos comandos:

   RP/0/RSP1/CPU0:ROA(admin)#license smart deregister
   
   license smart deregister: Success
   
   
   License command "license smart deregister " completed successfully. 

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Not Registered

10. Para averiguar qué licencias están disponibles en un chasis dado, ingrese este comando:

    RP/0/RSP1/CPU0:ROA(admin)#show license features
    
    Platform Feature ID:
    A9K-ADV-OPTIC-LIC
    A9K-ADV-VIDEO-LIC
    A9K-iVRF-LIC
    A9K-AIP-LIC-B
    A9K-AIP-LIC-E
    A9K-MOD80-AIP-TR
    A9K-MOD80-AIP-SE
    A9K-MOD160-AIP-TR
    A9K-MOD160-AIP-SE
    A9K-2X100G-AIP-TR
    . . . output snipped . . .

Anatomía y flujo de la aplicación

Para entender la mecánica de la aplicación, necesita tener una comprensión básica de sus componentes. Sin embargo, para el funcionamiento o la implementación del software, no es necesario contar con conocimientos previos que no sean los de seguir las directrices publicadas. Esta sección está destinada más al personal técnico y a los ingenieros que deseen conocer los detalles.

Implementación, configuración y opciones

Smart Licensing se puede implementar en varios escenarios en función de los requisitos con respecto a la seguridad, la capacidad de gestión y el modo operativo del cliente.

Por ejemplo:

• Puede optar por NO permitir que ASR9K se conecte 'directamente' con los servidores de nube/back-end de Cisco. En este caso, puede utilizar un servidor "proxy" en sus instalaciones y gestionar el firewall, el flujo de tráfico y la forma en que la aplicación de licencias inteligentes se ajusta a las necesidades de seguridad de la organización. Esto se puede configurar fácilmente a través del software Apache de código abierto que se ejecuta en sistemas operativos Windows o Linux.
• O puede que desee que todos sus dispositivos ASR9K estén conectados a un host de agregador que pueda recibir todas las solicitudes locales de todos los dispositivos ASR9K antes de reenviarlos a los servidores backend de Cisco. Este es un trabajo para el software Transport Gateway, que se ejecuta en Linux y Windows y está disponible para descargar en Cisco Transport Gateway.
• O puede que desee funcionar totalmente sin conexión con el software en las instalaciones que se ejecuta en Linux y Windows y que le permita tener solamente 'este host en las instalaciones' para hablar sobre el intercambio de información de licencias con la nube de Cisco y, a su vez, proporcionar información a los dispositivos finales sobre su estado de cumplimiento. Este software estará disponible en la versión 5.3.1 o posterior.

Además de la compatibilidad con HTTPS, el software también se puede configurar para que se ejecute en una configuración de reenvío de routing virtual (VRF) que permite un mayor nivel de control sobre cómo se transporta la información de licencias.

Además, IPv6 es compatible de forma nativa y sólo requiere una dirección IP6 válida en el sistema para comunicarse con los servidores backend de Cisco a través de Internet.

Estas configuraciones asumen que ASR9K se configura con el host de dominio DNS o IPv4/IPv6 para que pueda resolver los nombres de host para alcanzar la red externa.

La configuración del protocolo de tiempo de la red (NTP) es necesaria para mantener el sistema sincronizado con los servidores de certificados backend.

RP/0/RSP0/CPU0:ROA#show run domain
domain name cisco.com
domain list cisco.com
domain name-server 171.70.168.183
domain name-server 2001:420:68d:4001::a

RP/0/RSP0/CPU0:ROA#show run | i ipv6 host
Building configuration...
domain ipv6 host tools.cisco.com 2001:420:1101:5::a

Configuración del proxy HTTP

La configuración de Apache está fuera del alcance de este documento, pero hay muchos documentos buenos en Internet que pueden guiarle por los pasos. Para demostrar la funcionalidad, Apache se configura para un proxy simple en el puerto 80. Vea la salida de depuración de mod_proxy de Apache que se muestra aquí.

Sin embargo, para Smart Licensing, la configuración es muy sencilla, basta con mencionar el nombre del servidor proxy y el puerto. La configuración simplemente reenviará la solicitud al servidor proxy en lugar de contactar directamente con los servidores backend de Cisco. El servidor proxy se pondrá en contacto con los servidores en cualquier transporte configurado para reenviar las solicitudes; Se recomienda HTTPS. Aparte de http-proxy mybastion.cisco.com port 80, no se requiere ninguna otra configuración.

RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
http-proxy mybastion.cisco.com port 80
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http

Ingrese el comando de registro admin license smart register idtoken <idtoken> y observe que el resultado muestra la solicitud/respuesta hecha por ASR9K. Observe los contadores de columnas de marcas de tiempo y de éxito.

RP/0/RSP0/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT        1       0       0       0       2015-01-12 21:06:56
DEREGISTRATION     0       0       0       0             n/a
REGISTRATION       1       0       0       0       2015-01-12 21:06:21
ACKNOWLEDGEMENT    1       0       0       0       2015-01-12 21:06:38

Aquí hay un fragmento de los registros de acceso de Apache que muestra que la solicitud se ejecuta en el puerto 443, protocolo HTTPS.

root@mybastion:/var/log/httpd #tail -f proxy-*

==> proxy-error.log <==
[Mon Jan 12 21:06:10 2015] [debug] mod_proxy_connect.c(70): proxy: CONNECT:
 canonicalising URL tools.cisco.com:443
[Mon Jan 12 21:06:10 2015] [debug] proxy_util.c(1515): [client 172.27.130.65] proxy:
 *: found forward proxy worker for tools.cisco.com:443
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(109): [client 172.27.130.65]
 (70014)End of file found: proxy: CONNECT: error on client - ap_get_brigade
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(425): proxy: CONNECT:
 finished with poll() - cleaning up

==> proxy-access.log <==
172.27.130.65 - - [12/Jan/2015:21:06:10 -0800] "CONNECT tools.cisco.com:443 HTTP/1.1" 200 -

Configurar gateway de transporte

En esta situación, la aplicación Transport Gateway se instala en un host Linux o Windows y se configura para recibir las solicitudes de licencia de los dispositivos ASR9K en las instalaciones del cliente y retransmitirlas a los servidores backend de Cisco. Consulte la guía de implementación de gateway de transporte y la guía del usuario para obtener más información.

La configuración en ASR9K es sólo una línea. A continuación se muestra un ejemplo; consulte la documentación para conocer las configuraciones exactas necesarias para su entorno.

call-home
profile CiscoTAC-1
destination address http
https://TG-IP-or-FQDN/Transportgateway/services/DeviceRequestHandler

Configuración de VRF

Los VRF permiten un mayor control sobre el tráfico de gestión y son casi transparentes para las licencias inteligentes. Sin embargo, se necesita una configuración de línea para hacer que el software subyacente consulte la tabla VRF en lugar de la tabla global cuando el software Smart Licensing intenta alcanzar los servidores backend de Cisco.

La cadena que se muestra aquí es el nombre VRF configurado en el sistema.

RP/0/RSP0/CPU0:ROA(config)#http client vrf MGMT

Salida detallada de llamada a casa

Aquí se muestra un ejemplo de resultado para verificar si Call Home funciona correctamente.

RP/0/RSP0/CPU0:ROA#show call-home detail

Current call home settings:
   call home feature : enable
   call home message's from address: mylab-roa@cisco.com ; optional, any address
   call home message's reply-to address: pasoltan@cisco.com ; optional,
 recipient address

   vrf for call-home messages: Not yet set up ; Not supported natively yet

   contact person's email address: sch-smart-licensing@cisco.com ; default

   contact person's phone number: +1-408-526-8438 ; optional
   street address: 1550 Soltani Lane, Cisco System Drive, North Pole, NP 99709
   customer ID: Not yet set up
   contract ID: Not yet set up
   site ID: BUILDING20-125 ; optional

   source interface: Not yet set up ; can be configured to use a specific interface.
   Mail-server[1]: Address: bastion.cisco.com Priority: 1 ; optional
   Mail-server[2]: Address: 171.68.58.10 Priority: 10     ; optional
   Mail-server[3]: Address: 173.37.183.72 Priority: 20   ; optional
   http proxy: Not yet set up ; when configured will change.

   Smart licensing messages: enabled
   Profile: CiscoTAC-1 (status: ACTIVE) ; default profile supported.
Can not be renamed, deleted, but can be modified, activated, deactivated.

   aaa-authorization: disable      ; optional
   aaa-authorization username: callhome (default) ; default
   data-privacy: normal     ; can be configured to use the hostname or not.
   syslog throttling: enable

   Rate-limit: 5 message(s) per minute

   Snapshot command: Not yet set up
; Non-smart licensing configuration for alerts, data collection, defaults.
Available alert groups:
   Keyword                State   Description
   ---------------------- ------- -------------------------------
   configuration         Enable configuration info
   environment           Enable environmental info
   inventory             Enable inventory info
   snapshot              Enable snapshot info
   syslog                Enable syslog info

Profiles:

Profile Name: CiscoTAC-1
   Profile status: ACTIVE
   Profile mode: Full Reporting
   Reporting Data: Smart Call Home, Smart Licensing
   Preferred Message Format: xml
   Message Size Limit: 3145728 Bytes
   Transport Method: http
   Email address(es): callhome@cisco.com
   HTTP address(es): ; Only configuration needed if default is not desired.
http://tools.cisco.com/its/service/oddce/services/DDCEService
                       https://tools.cisco.com/its/service/oddce/services/DDCEService

   Periodic inventory info message is scheduled every 23 day of the month at 11:2

   Alert-group              Severity
   ------------------------ ------------
   environment               minor      
   inventory                 normal    

   Syslog-Pattern           Severity
   ------------------------ ------------
   .*                        critical

Opciones de configuración de licencias no inteligentes de Call Home

Puede configurar Call Home para realizar la recopilación de datos de diagnóstico y syslog, así como vaciados de memoria, o hacer que envíe notificaciones por correo electrónico para eventos, etc., junto con las tareas de licencias inteligentes que completa.

Puede ver la información recopilada de Call Home con su nombre de usuario y contraseña de Smart Licensing en https://tools.cisco.com/sch/reports/deviceReport.do.

Consulte los documentos vinculados en la sección "Información Relacionada" para obtener más información sobre cómo utilizar esta función para beneficiar su entorno. También hay un ejemplo de notificación por correo electrónico en la sección "Odds and Ends" .

Depurar

No hay reglas difíciles y rápidas para depurar el software Smart Licensing debido a muchos componentes que componen el paquete. Sin embargo, algunos métodos comunes suelen limitar las cuestiones. Aquí hay algunas sugerencias.

Registros del sistema

Primero, busque en el syslog. En primer lugar, obtendrá algunas pistas sobre qué componente se debe comprobar. En estos mensajes verá algunos problemas de certificado y una falla en el envío de mensajes HTTP de Call Home; finalmente se restablece la comunicación.

RP/0/RSP0/CPU0:ROA#sh log | i SMART

RP/0/RSP1/CPU0:Dec 17 20:01:28.522 : licmgr[308]: SMART_LIC-3-ID_CERT_RENEW_FAILED:
ID certificate renewal failed: Response error: {"product_instance_identifier":
["ProductInstance '8baecfb5-2688-429b-8519-10a3f0dec6b5' is not valid"]}

RP/0/RSP1/CPU0:Dec 17 20:01:34.273 : licmgr[308]: SMART_LIC-3-AUTH_RENEW_FAILED:
Authorization renewal with Cisco licensing cloud failed: Response error:
 LS_UNMATCH_SIGNED_DATA: Signed data and certificate does not match

RP/0/RSP0/CPU0: Dec 17 18:26:24.009 : licmgr[314]: SMART_LIC-3-COMM_FAILED:
Communications failure with Cisco licensing cloud: Fail to send out Call Home
 HTTP message

RP/0/RSP0/CPU0:Dec 17 18:28:03.057 : licmgr[314]: SMART_LIC-3-AGENT_REG_FAILED:
Smart Agent for Licensing Registration with Cisco licensing cloud failed:
 Communication message send error

RP/0/RSP0/CPU0:Dec 17 18:30:09.247 : licmgr[314]: SMART_LIC-5-COMM_RESTORED:
Communications with Cisco licensing cloud restored

RP/0/RSP0/CPU0:Dec 17 18:30:21.923 : licmgr[314]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful

Verifique el resultado del comando show para obtener un identificador sobre el estado en el que está la caja/componente. Aquí puede ver las licencias ópticas, de seguridad de protocolo de Internet (IPsec) y de movilidad.

RP/0/RSP0/CPU0:ROA#admin show license entitlement
Entitlement:
  Tag: regid.2014-06.com.cisco.A9K-MOBILE-LIC,1.0_e447924c-0a6f-41be-9202-8ae60fcc2972,
 Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-09.com.cisco.A9K-IPSEC-20G-LIC,1.0_a165db99-eb3f-474b-bdf0-
ce4b140d9b45, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

 Tag: INSTALLMGR, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,1.0_66d3ccf7-a374-4409-a3f9-
6bc56d645f1c, Version: 1.0, Enforce Mode: Out of compliance
  Requested Time : Mon Jan 12 2015 20:47:07 PST, Requested Count: 1
  Vendor String:
... output snipped ...

Verifique el cumplimiento de la licencia.

RP/0/RSP0/CPU0:ROA#admin show license status
Compliance Status: Out of compliance

Verifique qué conjunto está activo.

RP/0/RSP0/CPU0:ROA#admin show licence pool
Assigned Pool Info: PATRICK_NO_LIC

Verifique el certificado de licencia.

RP/0/RSP0/CPU0:ROA#admin show license cert
 Licensing Certificates:
   ID Cert Info:
    Start Date: Mon Jan 12 2015 21:00:13 PST. Expiry Date: Tue Jan 12 2016 21:00:13 PST
    Serial Number: 24724
    Version: 3
    Subject/SN: 60fe47f8-aaaa-40fc-ae3e-fae9c7b6d0ac
    Common Name: 138091632beb1f2e38069e9eec8f9c626de471ac::1,2
   Signing Cert Info:
    Start Date: Wed Sep 11 2013 12:05:34 PST. Expiry Date: Sun May 30 2038 12:48:46 PST
    Serial Number: 3
    Version: 3

Verifique la versión de licencia.

RP/0/RSP0/CPU0:ROA#admin show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

Este comando muestra las estadísticas sobre los intentos de llamada a casa, que se han realizado correctamente o han fallado.

RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
REGISTRATION    1       0       0       0       2014-12-17 21:07:53
ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
RENEW           1       0       0       0       2014-12-17 21:08:57 

Proceso de inicio de llamada

Verifique los archivos de seguimiento para el proceso call_home a continuación, ya que el transporte entre ASR9K y Cisco Cloud es administrado por él.

RP/0/RSP0/CPU0:ROA#show call-home trace error last 2

81 wrapping entries (576 possible, 320 allocated, 0 filtered, 81 total)!
Jan 28 10:10:29.729 call_home/error 0/RSP0/CPU0 t10 call_home_http_resp_data(),
 httpc response error, Host name resolution failed

Jan 28 10:10:39.730 call_home/error 0/RSP0/CPU0 t19 call_home_events_handler() failure status 67

Smartlic Check (agente de software)

Compruebe los rastros inteligentes. Estos seguimientos revelan la interacción de las licencias con los servidores en la nube de Cisco.

RP/0/RSP0/CPU0:ROA#admin show license trace smartlic last 2
987 wrapping entries (1088 possible, 0 filtered, 987 total)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 Failed to bind to SysDB - 'Subsystem(2091)' detected the 'success' condition
 'Code(45)': Unknown Error(292)

Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 SMART ERROR - SASACKExpirationJob: expirySeconds=3842

Comprobación del proceso de Licmgr

Este proceso es la interfaz principal para las licencias inteligentes en el ASR9K y considera la conexión entre varios componentes.

RP/0/RSP1/CPU0:ROA#admin show license trace
557 wrapping entries (576 possible, 0 filtered, 5403 total)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 Client search success pkg/bin/rsi_agent (No error)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 A9K-MOD160-AIP-SE regid.2014-06.com.cisco.A9K-MOD160-AIP-SE,
1.0_7f1b3d9c-a183-41d1-8d0b-d98dcc2751a8 (No error)

Seguimientos dependientes de la plataforma

Aunque la parte dependiente de la plataforma (PD) del código es sólo una biblioteca de vínculos dinámicos, tiene un papel importante en el desencadenamiento de solicitudes de derechos de licencia. Por lo tanto, resuelve los problemas con respecto a los tipos de licencia, los recuentos, etc.

RP/0/RSP1/CPU0:ROA#admin show license trace platform all last 5
1849 wrapping entries (5440 possible, 3136 allocated, 0 filtered, 183450 total)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start: ver:1,
 node:0x00000041 cmd:Audit(5) req:Mobile(9) feature:A9K-MOBILE-LIC(13) grant:
 Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start #2:
 client restarted:False up for a day:True
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License Start:
 request:Mobile(9) slot:4 grant:Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License End:
 request:Mobile(9) slot:4 grant:Not Pending(0) rc: 0x00000000 No error
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Cmd End:Audit(5),
 slot:4 rc:0x00000000 No error

Activar la depuración

Si todo lo demás falla, active la depuración e introduzca una solicitud a demanda para la renovación de los certificados o derechos. Esta depuración debe recopilar todas las transacciones entre ASR9K y los servicios en la nube de Cisco.

RP/0/RSP0/CPU0:ROA#debug smartlic
RP/0/RSP1/CPU0:ROA#show debug

#### debug flags set from tty 'aux0_RSP1_CPU0' ####
smartlic debug flag is ON with value 0

No hay disponible depuración directa de la interfaz de usuario/servidor en la nube de Cisco. Envíe un correo electrónico a asr9k-smart-lic@cisco.com con cualquier problema.

Odds y End

1. Cuando se configuran varios cuadros para adquirir derechos del mismo conjunto de LICENCIAS, aunque solo UN dispositivo tenga una licencia ONE, TODOS los dispositivos serán OOC. Esto se debe principalmente al diseño que tiene la vista de la piscina como el contenedor. El nuevo modelo, la organización jerárquica de grupos que está en funcionamiento, aborda el comportamiento en futuras versiones.
2. Envíe por correo electrónico cualquier resultado del comando show directamente desde la consola. Observe las comillas dobles y el uso de punto y coma después de cada comando. Call Home realiza muchas operaciones que no están relacionadas con la licencia inteligente. Este es un ejemplo de para qué se puede utilizar Call Home. Se trata de una configuración en ejecución que se puede modificar para cualquier entorno.

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   site-id BUILDING20-125
   sender reply-to pasoltan@cisco.com
   sender from roa@cisco.com
   alert-group syslog
   alert-group snapshot
   alert-group inventory
   mail-server 171.68.58.10 priority 10
   mail-server 173.37.183.72 priority 20
   mail-server 2001:420:303:2008::24 priority 2
   mail-server mybastion.cisco.com priority 1
   phone-number +1-408-526-8438
   contact-email-addr sch-smart-licensing@cisco.com
   street-address 1550 E.Tasman Drive, San Jose, CA 9513
   profile CiscoTAC-1
   active
   destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
   reporting smart-call-home-data
   reporting smart-licensing-data
   destination transport-method http
   
   RP/0/RP1/CPU0:ROA#call-home send "show run call; admin show platform"
    email pasoltan@cisco.com msg-format long-text
   
   Sending ondemand CLI output call-home message ...
   Please wait. This may take some time ...

3. El comando show call-home smartlic status utiliza la palabra 'éxito', que simplemente significa desde la perspectiva del proceso de llamada a casa el transporte de los mensajes desde ASR9K a los servidores en la nube de Cisco fue exitoso. Sin embargo, esto NO significa que la operación de licencia de extremo a extremo con los servidores en la nube de Cisco haya sido exitosa. Por ejemplo, si hay un problema con la cuenta, el certificado, etc. con el portal, call-home transporta el mensaje y muestra el éxito, pero la operación total de revisar las licencias por los servidores backend podría fallar.

   RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
   Success: Successfully sent and response received.
   Failed : Failed to send or response indicated error occurred.
   Inqueue: In queue waiting to be sent.
   Dropped: Dropped due to incorrect call-home configuration.
   
   Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
   ----------------------------------------------------------------------
   ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
   DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
   REGISTRATION    1       0       0       0       2014-12-17 21:07:53
   ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
   RENEW           1       0       0       0       2014-12-17 21:08:57

4. Cuando configura las interfaces de administración con IPv4 e IPv6, el orden de resolución de los nombres a la dirección IP o la resolución de DNS es IPv6 primero.

   RP/0/RSP1/CPU0:ROA#show run int M*
   interface MgmtEth0/RSP0/CPU0/0
   cdp
   ipv4 address 172.27.130.64 255.255.255.128
   ipv6 address fe80::172:27:130:64 link-local
   ipv6 address 2001:420:303:2008:0:28:1:64/80
   ... snipped output ...

   RP/0/RSP1/CPU0:ROA#ping tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 2001:420:1201:5::a, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 44/45/49 ms

   RP/0/RSP1/CPU0:ROA#ping ipv4 tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 173.37.145.8, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 43/44/45 ms

Información Relacionada

• Guía del usuario de Smart Call Home - HTML
• Guía del usuario de Smart Call Home - PDF
• Seguridad Smart Call Home
• Comunidad de soporte de Cisco
• VIDEO: Configuración de Call Home
• Comandos de licencia inteligente - HTML
• Comandos de licencia inteligente - PDF
• Información general: Licencias inteligentes
• Preguntas frecuentes sobre licencias inteligentes
• Guía de gateway de transporte
• Preguntas frecuentes sobre Transport Gateway
• Soporte Técnico y Documentación - Cisco Systems