Smart que autoriza en la plataforma ASR9000

Introducción

Este documento describe la configuración del software, la operación, y resolver problemas elegantes de la autorización en la versión 5.2.0 y posterior de^® XR del Cisco IOS. La autorización elegante fue desarrollada para dirigirse a la Administración de los requisitos para obtener la licencia para las diversas características y aplicaciones que se ejecutan en las Plataformas de Cisco y los sistemas operativos (OS).

La aplicación de autorización elegante se ejecuta no sólo en ASR9000 (ASR9K) para el Cisco IOS XR, pero también en las diversas Plataformas que funcionan con el Cisco IOS y el Cisco IOS XE OS. Esta aplicación simple reduce grandemente el esfuerzo necesario para manejar los dispositivos de Cisco, los sistemas, y las Plataformas diversos y trae la simplicidad muy necesaria autorizar la Administración, los derechos, y los costos de funcionamiento.

El método usado por la aplicación de autorización elegante es un método dinámico de la “extracción”; el dispositivo ASR9K inicia la llamada y tira de la información de los servidores de extremo posterior de Cisco. Los servidores de extremo posterior de Cisco no iniciarán ninguna llamada o conexión a ningún dispositivo, sino responden siempre cuando los pedidos de conexión vienen de los dispositivos que quisieran registrar y recibir el derecho.

La configuración inicial es segura y fácil con la intervención manual muy pequeña del operador de los dispositivos y se puede automatizar para los entornos más grandes con un Tool Command Language regular (TcL) o Python cuenta con el script. Los recursos de generación de informes proporcionados por los servidores de extremo posterior de Cisco, accesibles vía un navegador regular, ayudarán a los clientes con la contabilidad de su inventario de dispositivos, las características desplegaron autorizado y fuera de la conformidad (OOC) y mueven dinámicamente sus recursos alrededor sin el reprovision de la necesidad o piden el soporte.

Vista de la parte superior

Smart que autoriza las aplicaciones HTTP estándar /HTTP seguras (HTTPS) como el mecanismo de transporte para alcanzar a los servidores de extremo posterior de Cisco. Técnicamente hablando, hay solamente una línea de configuración que sea necesaria para habilitar la característica elegante de la autorización en el dispositivo ASR9K:

RP/0/RSP0/CPU0:SAMDD(admin-config)#license smart enable

Los valores por defecto del dispositivo al transporte HTTPS y por un requerimiento del registro exitoso, preguntan inmediatamente a los servidores de extremo posterior para el derecho. Vuelve cualquiera autorizada, que significa el dispositivo tiene la licencia para la característica, u OOC, que significa que el derecho no falta presente, o expirado.

Nota: El estado de la conformidad de la licencia no afectará a las funciones del dispositivo de ninguna manera. La aplicación de autorización elegante actual se basa en un sistema de honor y notifica al administrador vía Syslog o consola los registros en cuanto a la conformidad o el estado OOC. No hay impedimento de las funciones de ninguna manera debido a la autorización o a la falta de eso. Sin embargo, Cisco anima la conformidad que da mucho más visibilidad a los clientes en lo que respecta a su inventario de dispositivos, consumo de la licencia, las características usadas por el dispositivo y en el agregado/la suma total, y así sucesivamente.

La autorización de Smart puede coexistir con la autorización tradicional, pero solamente uno de ellos puede ser activo en cualquier momento. Usted puede conmutar entre ellos fácilmente con la adición o la cancelacíon de la configuración del avión de la administración. El sistema ASR9K no requiere ninguna recarga ni recomienza para que estos “switches ocurran. La autorización tradicional será substituida totalmente con Smart que autoriza en las futuras versiones.

Si un dispositivo ASR9K no utiliza una característica que requiera la autorización, después el sistema está automáticamente en el estado autorizado y ningunas otras medidas necesitan ser tomadas. Solamente sobre la “configuración” de una característica que requiera una licencia el intento del sistema adquirirá la licencia dinámicamente de los servidores de extremo posterior de Cisco.

Tradicional contra Smart que autoriza las operaciones

Aquí están algunas diferencias entre los modelos de la autorización. Observe que solamente uno de ellas es activo en cualquier momento.

(Nodo bloqueado) autorización tradicional	Autorización (dinámica) elegante
Usted debe procurar la licencia y instalarla manualmente en cada dispositivo vía el archivo del PAK.	No hay instalación del software necesaria/necesaria. El dispositivo inicia una sesión de llamada casera HTTP/HTTPS y pide las licencias que utiliza y se configura para.
Las licencias atadas al chasis, moviéndose, o reprovisioning requieren el respaldo o la reinstalación. Todas son las operaciones manuales que consumen el tiempo.	Licencias atadas a su cuenta. Unconfigure la característica que se utiliza en el chasis actual y configura de nuevo la característica en un nuevo chasis que necesite utilizar la misma licencia. Un reprovision sucede dinámicamente cuando el nuevo dispositivo inicia una petición HTTP/HTTPS vía el proceso de la llamada casera.
licencia Nodo-bloqueada - la licencia se asocia a un dispositivo/a un slot específicos.	Autorice los pool creados ya en la Cuenta del cliente, que son compañía cuenta-específica y se pueden utilizar con cualquier dispositivo ASR9K en su compañía.
No común instale Ubicación base para ver las licencias compradas o las tendencias del uso del software. Autorice la contabilidad necesita ser mantenido para el chasis/los sistemas individuales manualmente.	Las licencias se salvan con seguridad en los servidores de extremo posterior de Cisco, 24x7x365 accesible. La cuenta de la licencia está por la Cuenta del cliente/el pool y muchos dispositivos pueden ser parte del mismo pool.
La licencia adicional requiere un nuevos archivo y intervención manual/interacción del PAK con el dispositivo.	La licencia adicional se puede transferir vía un buscador Web que las puntas a Cisco URL y la cuenta crearon en los servidores de extremo posterior. Operaciones básicamente de la punta y del tecleo.
Ningunos medios fáciles de transferir las licencias a partir de un dispositivo a otro.	Las licencias se pueden mover entre los casos del producto sin NINGUNA instalación del software. Usted puede también transferir las licencias a partir de un pool al otro fácilmente con una interfaz Web.

Visión operativa

Este diagrama muestra la comparación entre los dos esquemas de autorización.

Smart que autoriza los pasos es muy fácil e intuitivo. Cuando usted compra el engranaje/el dispositivo, usted puede pedir las licencias que usted necesita al mismo tiempo o las pide más adelante. Sobre el cumplimiento de la compra y del aprovisionamiento de las licencias por Cisco:

• Cisco le proporciona un nombre de usuario, una contraseña, y un Uniform Resource Locator (URL) para acceder la información sobre la licencia vía un buscador Web 24x7.

• Esta cuenta maneja las licencias, genera los informes, los dispositivos de los grupos, hace a los pools de las licencias y de cualquier otra necesidad de organización que facilite las necesidades operativas del cliente/de la organización.

• La cuenta permite que el cliente genere un idtoken, que identifica únicamente el dispositivo del cliente y el derecho de la autorización comprados. El token puede ser válido a partir de un día a un año. El idtoken se puede revocar, borrar, y reconstruir por el cliente en cualquier momento. Es un modelo del esfuerzo personal.

• El cliente utiliza el idtoken generado en la cuenta proporcionada Cisco para registrar un dispositivo o mil dispositivos, pues no hay límite en cuántos dispositivos pueden utilizar el mismo token. Más extremidades en el uso eficiente de esta característica se proporcionan en este documento.

• El registro del dispositivo es persistente y sobrevive a través de las recargas y de las actualizaciones del sistema. El dispositivo ASR9K se puede forzar para reregistrar con el viejo idtoken o más nuevo si uno desea, en caso de cualquier pérdida.

• No hay intervención necesaria después del registro, el sistema ASR9K sondea periódicamente la cuenta que se ha registrado con para la conformidad. Si el sistema es OOC un Syslog se genera para advertir al usuario.

Interfaz Web/portal

Aquí está un viaje rápido de la interfaz Web donde el proceso de inscripción comienza:

El pool virtual de la licencia de la cuenta aka se utiliza para contener y para ordenar lógicamente las licencias por la necesidad de una organización. Es un envase de licencias, los dispositivos registrados para las características que requieren una licencia. Usted puede crear un pool por el sitio, por el departamento, y así sucesivamente.

Las licencias se pueden transferir fácilmente a partir de un pool a otro.

Idtoken es una clave generada por esta cuenta, que se utiliza para registrar los dispositivos ASR9K. Puede ser válido a partir de un día a un año. El único uso para el token es registrar el dispositivo y eso no es después necesario. El token es una secuencia del texto que se puede copiar en el script TcL o de Python para automatizar el registro del dispositivo remoto.

Por ejemplo, usted puede crear un token para un día y enviarlo a un sitio remoto que se utilizará por las manos remotas para el registro del dispositivo. Expira en un día y las manos del telecontrol no pueden utilizarlo para registrar ningún otro dispositivo. Incluso si se utiliza para registrar los dispositivos que no pertenecen a su compañía, usted verá fácilmente el dispositivo en el producto citar como ejemplo la lengueta y puede tomar medidas para revocar la licencia.

El informe genera dinámicamente las diversas formas de inventario y se puede exportar en un formato de Excel para la usarla sin conexión, la contabilidad, o el análisis.

La lengueta de la licencia visualiza las licencias pedidas por los diversos dispositivos ASR9K, que muestra la cuenta y el estado de cada licencia. El elemento del link de la transferencia puede ser utilizado cuando usted lo hace clic en directamente y transfiere fácilmente las licencias a y desde cualquier pool en la cuenta.

Las actividades de los expedientes de la lengueta del registro de acontecimientos de los dispositivos contra el pool con un Syslog teclean el formato y registran las acciones cada dispositivo o el usuario de la cuenta toma, por ejemplo el registro, el deregistration, y así sucesivamente. La interfaz es fácil e intuitiva para la navegación o el debugging.

Configuración

Este ejemplo hecha una ojeada cómo actualizar de tradicional autorizando a Smart la autorización. Observe que la autorización en algunos casos elegante pudo ser el valor por defecto.

Autorización tradicional

Para marcar la autorización tradicional, algunos comandos se pueden funcionar con del avión admin. Aquí están algunos que tienen diversas salidas cuando están comparada a Smart la autorización.

Nota: La autorización tradicional es el Modo de otorgamiento de licencia predeterminado en las versiones 5.3.0 del Cisco IOS XR y anterior.

RP/0/RSP1/CPU0:ROA(admin)#show license pools

Pool: Owner
Feature: A9K-24X10-OPT-LIC A9K-24X10-VID-LIC A9K-24X10G-AIP-SE A9K-24X10G-AIP-TR
 A9K-2X100-OPT-LIC A9K-2X100-VID-LIC A9K-2X100G-AIP-SE A9K-2X100G-AIP-TR
 A9K-36X10-OPT-LIC A9K-36X10-VID-LIC A9K-36X10G-AIP-SE A9K-36X10G-AIP-TR
 A9K-400G-AIP-SE A9K-400G-AIP-TR A9K-400G-OPT-LIC A9K-400G-VID-LIC
 A9K-800G-AIP-SE A9K-800G-AIP-TR A9K-800G-OPT-LIC A9K-800G-VID-LIC
 A9K-ADV-OPTIC-LIC A9K-ADV-VIDEO-LIC A9K-AIP-LIC-B A9K-AIP-LIC-E

RP/0/RSP1/CPU0:ROA(admin)#show license allocated

FeatureID: A9K-800G-AIP-SE (Slot based, Permanent)
Total licenses 1
Status: Allocated   1
   Pool: Owner
     Total licenses in pool: 1
     Status: Operational:   1
     Locations with licenses: (Active/Allocated) [SDR]
             0/0/CPU0       (0/1) [Owner]

Un subconjunto de comandos tradicionales de la autorización se puede también funcionar con del avión del ejecutivo, pero es una buena idea ejecutarlos del avión admin, que tiene la lista completa.

RP/0/RSP1/CPU0:ROA#show license ?    
WORD       Feature ID
active     Currently checked-out/being used by applications.
allocated  Allocated to a slot but not used.
available  Not currently active.
evaluation Display the evaluation licenses.
expired    Display evaluation licenses already expired.
location   Show information for a specific location
log        The operational or administrative logs.
|          Output Modifiers
<cr>

Autorización elegante

La autorización de Smart no se ha habilitado todavía, pero esto es lo que visualiza el sistema.

Aunque no hay configuración aplicada, el perfil incorporado predeterminado del call_home utiliza el HTTPS, que señala a los servidores de extremo posterior de Cisco vía los puertos de administración de los sistemas. Vea más en el call_home más adelante en este documento.

RP/0/RSP1/CPU0:ROA#show run call-home  
% No such configuration item(s)

RP/0/RSP1/CPU0:ROA#show call-home detail | i https
   http proxy: Not yet set up
   HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService

Para un mínimo indispensable de configuración, usted necesita solamente los pasos 1 y 4. El resto de los pasos está para la información, la verificación, y la información.

1. En el modo admin, ingrese estos comandos:

   RP/0/RSP1/CPU0:ROA(admin-config)#license smart enable
   RP/0/RSP1/CPU0:ROA(admin-config)#commit

2. En el modo EXEC configure más botones, tales como dirección de correo electrónico, o utilice este perfil predeterminado que se genere automáticamente cuando la configuración admin está confiada.

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   contact-email-addr sch-smart-licensing@cisco.com
   profile CiscoTAC-1
   active
   destination transport-method http

3. En el modo admin, marque la versión elegante de la autorización:

   RP/0/RSP1/CPU0:ROA(admin)#show license version
   Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

4. En el modo admin, ingrese este comando:

   RP/0/RSP1/CPU0:ROA(admin)#license smart register idtoken
    NjgyMWM2NDItMzI5My00YzQ2LThmMDItMzhhNWI2Mzk2YWUwLTE0MzUzMzM3%
   0aMDQwNDB8SWRzSGkvR0d2MWZTZEhzK2RWUmJWMmh0U1ZIa2tBVzBLZKl1ZHhs%0AZGRPbz0%3D%0A ?
   force Force Registration
   <cr>  
   
   license smart register: Registration process is in progress. Please check
    the syslog for the registration status and result

   La fuerza de la palabra clave sobregraba y limpia hacia fuera cualquiera y toda la información con respecto al dispositivo que fue registrado previamente. La fuerza de la palabra clave se debe utilizar escasamente y en los casos especiales. Alternativamente, la interfaz del Web User se puede utilizar para quitar el dispositivo de la cuenta.

5. Interrogación para el estatus de la operación:

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Completed
          Registration Start Time: Wed Dec 17 2014 13:07:23 PST
          Next ID Cert Renew Time: Mon Jun 15 2015 14:07:45 PST
          Next ID Cert Expiration Time: Thu Dec 17 2015 13:01:41 PST
          Last Response Time: Wed Dec 17 2014 13:07:45 PST
          Last Response Message: OK: OK

   Si el estatus “no se completa”, usted verá los mensajes en la consola o el Syslog. Aquí está el mensaje de Syslog acertado:

   RP/0/RSP1/CPU0:Dec 17 13:07:45.285 : licmgr[310]: SMART_LIC-6-AGENT_REG_SUCCESS:
   Smart Agent for Licensing Registration with Cisco licensing cloud successful
   RP/0/RSP1/CPU0:Dec 17 13:08:18.357 : licmgr[310]: SMART_LIC-3-OUT_OF_COMPLIANCE:
   One or more entitlements are out of compliance':

6. En este sistema hay pocas características configuradas que requieren las licencias y esta salida indica el estatus de “fuera de la conformidad”:

   RP/0/RSP1/CPU0:ROA(admin)#show license entitlement | i Tag | e Not | u sort
      Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,
   1.0_66d3ccf7-a374-4409-a3f9-6bc56d645f1c, Version: 1.0, Enforce Mode:
    Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10-VID-LIC,1.0_9f03b94f-3c76-4a39-82f2
   -1b53cdf5cb15, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10G-AIP-TR,1.0_e5d7cec3-e8e3-43c6-88c9
   -a113b76679f8, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-OPT-LIC,1.0_0f74bb00-42af-4c4d-b162
   -bcb346c7510a, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-VID-LIC,1.0_a482b964-6371-4aad-8e82
   -2083c5749205, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100G-AIP-SE,1.0_ce447831-e4af-4def-a98b
   -3297fab65561, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-36X10-OPT-LIC,1.0_92a8597a-f591-4afc-adeb
   -9b212cee11be, Version: 1.0, Enforce Mode: Out of compliance

7. Mire los comandos que usted utilizó en la autorización tradicional, que tienen diversa salida.

   Smart que autoriza O la autorización tradicional CLI está disponible en cualquier momento, no ambos.

   El nombre del pool se utiliza para ordenar/categoriza los dispositivos. Usted puede utilizar un pool por la región/geografía, o departamento o área funcional, o las agrupaciones financieras, y así sucesivamente. Cada compañía puede decidir cómo ella quisiera encasillar las licencias. También observe que está muy fácil de utilizar su navegador normal para ver, cambiar, o mover las licencias entre los pools, agregar o cambiar las cuentas de la licencia, y hacer tan fácilmente sin ninguna ayuda de Cisco, independientemente, las veinticuatro horas del día.

   RP/0/RSP1/CPU0:ROA(admin)#show license pool
   Assigned Pool Info: PATRICK_NO_LIC

8. De aquí encendido, las revisiones del sistema cada día para la conformidad automáticamente. Si hay un error, el sistema intenta cada 20 minutos por cuatro horas y después ése una vez al día por 30 días. Se imprimen los mensajes de Syslog, que indican la Conectividad, accesibilidad, comunicación, y así sucesivamente razonan para los errores. El debugging se discute más adelante en este documento.
9. Para desregistrar el dispositivo, ingrese estos comandos:

   RP/0/RSP1/CPU0:ROA(admin)#license smart deregister
   
   license smart deregister: Success
   
   
   License command "license smart deregister " completed successfully. 

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Not Registered

10. Para descubrir qué licencias están disponibles en un chasis dado, ingrese este comando:

    RP/0/RSP1/CPU0:ROA(admin)#show license features
    
    Platform Feature ID:
    A9K-ADV-OPTIC-LIC
    A9K-ADV-VIDEO-LIC
    A9K-iVRF-LIC
    A9K-AIP-LIC-B
    A9K-AIP-LIC-E
    A9K-MOD80-AIP-TR
    A9K-MOD80-AIP-SE
    A9K-MOD160-AIP-TR
    A9K-MOD160-AIP-SE
    A9K-2X100G-AIP-TR
    . . . output snipped . . .

La anatomía y el flujo de la aplicación

Para entender a los mecánicos de la aplicación, usted necesita tener una comprensión básica de sus componentes. Para la operación o el despliegue del software, sin embargo, no hay conocimiento anterior necesario con excepción de seguir las guías de consulta publicadas. Esta sección se piensa más para el Personal técnico y los ingenieros que quisieran conocer los detalles.

Despliegue, configuración, y opciones

La autorización de Smart se puede desplegar en varios escenarios dependientes sobre los requisitos en cuanto a la Seguridad, a la manejabilidad, y al modo de operación del cliente.

Por ejemplo:

• Usted puede ser que elija no permitir que el ASR9K conecte “directamente” con la nube/los servidores de extremo posterior de Cisco. En este caso usted puede utilizar un servidor del “proxy” en sus premisas y manejar el Firewall, flujo de tráfico, y cómo los ajustes elegantes de la aplicación de autorización en la Seguridad de la organización necesitan. Esto se puede configurar fácilmente vía el software de Apache del código abierto que se ejecuta en Windows o Linux OS.
• O usted puede ser que quiera tener todos sus dispositivos ASR9K conectados con un host del aggregator que puede recibir todas las peticiones locales de todos los dispositivos ASR9K antes de que usted les transmita los servidores de extremo posterior de Cisco. Esto es un trabajo para el software de gateway del transporte que los funcionamientos en Linux y Windows y están disponibles para la descarga en la descarga del Transporte-gateway de Cisco.
• O usted puede ser que quiera actuar totalmente off-liné con en-Prem el software que los funcionamientos en Linux y Windows y permiten que usted tenga solamente “esto en-Prem el host” para hacer hablar para el intercambio de información de la autorización con la nube de Cisco y a su vez para proporcionar los dispositivos de la información al final en cuanto a su estado de la conformidad. Este software estará disponible en la versión 5.3.1 o más adelante.

Además del soporte para el HTTPS, el software se puede también configurar para ejecutarse en una configuración de la expedición del ruteo virtual (VRF) que permita el mayor nivel de control sobre cómo se transporta la información de autorización.

Además, el IPv6 se soporta nativo y requiere solamente un direccionamiento válido IP6 en el communciate del sistema para con los servidores de extremo posterior de Cisco sobre Internet.

Estas configuraciones asumen que el ASR9K está configurado con el Domain Name System (DNS) o el host del dominio IPv4/IPv6 de modo que pueda resolver los nombres del host para alcanzar la red externa.

La configuración del Network Time Protocol (NTP) es necesaria para guardar el sistema en sincronización con los servidores de certificados backend.

RP/0/RSP0/CPU0:ROA#show run domain
domain name cisco.com
domain list cisco.com
domain name-server 171.70.168.183
domain name-server 2001:420:68d:4001::a

RP/0/RSP0/CPU0:ROA#show run | i ipv6 host
Building configuration...
domain ipv6 host tools.cisco.com 2001:420:1101:5::a

Proxy de HTTP de la configuración

La configuración de Apache está fuera del ámbito de este papel, pero hay muchos buenos documentos en Internet que puede recorrer usted con los pasos. Para demostrar las funciones, Apache se configura para un proxy simple en el puerto 80. Vea la salida de los debugs del mod_proxy del ™ s del €  de Apacheâ mostrado aquí.

Para Smart la autorización, sin embargo, de la configuración es muy simple, apenas menciona el nombre del ™ s del €  del serverâ del proxy y el puerto. La configuración transmitirá simplemente a la petición el servidor proxy en vez de entrar en contacto a los servidores de extremo posterior de Cisco directamente. El servidor proxy entrará en contacto los servidores sobre cualquier transporte se configura para remitir las peticiones; Se recomienda el HTTPS. Aparte del puerto 80 de mybastion.cisco.com del HTTP-proxy, se requiere no cualquier otra configuración.

RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
http-proxy mybastion.cisco.com port 80
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http

Ingrese la licencia del comando admin del registro que el registro elegante idtoken el <idtoken> y observe que la salida muestra la petición/la respuesta hechas por el ASR9K. Observe los contadores de los grupos fecha/hora y de la columna del éxito.

RP/0/RSP0/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT        1       0       0       0       2015-01-12 21:06:56
DEREGISTRATION     0       0       0       0             n/a
REGISTRATION       1       0       0       0       2015-01-12 21:06:21
ACKNOWLEDGEMENT    1       0       0       0       2015-01-12 21:06:38

Aquí está un snippet de los registros del acceso de Apache que muestra que la petición sale en el puerto 443, protocolo HTTP.

root@mybastion:/var/log/httpd #tail -f proxy-*

==> proxy-error.log <==
[Mon Jan 12 21:06:10 2015] [debug] mod_proxy_connect.c(70): proxy: CONNECT:
 canonicalising URL tools.cisco.com:443
[Mon Jan 12 21:06:10 2015] [debug] proxy_util.c(1515): [client 172.27.130.65] proxy:
 *: found forward proxy worker for tools.cisco.com:443
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(109): [client 172.27.130.65]
 (70014)End of file found: proxy: CONNECT: error on client - ap_get_brigade
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(425): proxy: CONNECT:
 finished with poll() - cleaning up

==> proxy-access.log <==
172.27.130.65 - - [12/Jan/2015:21:06:10 -0800] "CONNECT tools.cisco.com:443 HTTP/1.1" 200 -

Gateway del transporte de la configuración

En este escenario la aplicación del gateway del transporte está instalada en Linux o el host de Windows y configurado para recibir la autorización pregunta los dispositivos ASR9K en las instalaciones del cliente y las retransmite a los servidores de extremo posterior de Cisco. Vea el despliegue y el guía del usuario del gateway del transporte para más información.

La configuración en el ASR9K es apenas una línea. Aquí está una muestra; consulte la documentación para las configuraciones exactas necesarias para su entorno.

call-home
profile CiscoTAC-1
destination address http
https://TG-IP-or-FQDN/Transportgateway/services/DeviceRequestHandler

Configure el VRF

Los VRF permiten más control sobre el tráfico de administración y son casi transparentes a la autorización de Smart. Sin embargo, una configuración de línea es necesaria para hacer que el software subyacente consulta la tabla VRF bastante que la tabla global cuando Smart que autoriza el software intenta alcanzar a los servidores de extremo posterior de Cisco.

La cadena mostrada aquí es el nombre VRF configurado en el sistema.

RP/0/RSP0/CPU0:ROA(config)#http client vrf MGMT

Configuración HTTP

El sistema también proporciona el HTTP transporte estándar también. La configuración es tan simple como quitando el “s” del HTTPS con el sintaxis idéntico.

RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
profile CiscoTAC-1
active
destination address http http://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http

Salida detallada del Call Home

Una salida de muestra a verificar si los trabajos del Call Home se muestran correctamente aquí.

RP/0/RSP0/CPU0:ROA#show call-home detail

Current call home settings:
   call home feature : enable
   call home message's from address: mylab-roa@cisco.com ; optional, any address
   call home message's reply-to address: pasoltan@cisco.com ; optional,
 recipient address

   vrf for call-home messages: Not yet set up ; Not supported natively yet

   contact person's email address: sch-smart-licensing@cisco.com ; default

   contact person's phone number: +1-408-526-8438 ; optional
   street address: 1550 Soltani Lane, Cisco System Drive, North Pole, NP 99709
   customer ID: Not yet set up
   contract ID: Not yet set up
   site ID: BUILDING20-125 ; optional

   source interface: Not yet set up ; can be configured to use a specific interface.
   Mail-server[1]: Address: bastion.cisco.com Priority: 1 ; optional
   Mail-server[2]: Address: 171.68.58.10 Priority: 10     ; optional
   Mail-server[3]: Address: 173.37.183.72 Priority: 20   ; optional
   http proxy: Not yet set up ; when configured will change.

   Smart licensing messages: enabled
   Profile: CiscoTAC-1 (status: ACTIVE) ; default profile supported.
Can not be renamed, deleted, but can be modified, activated, deactivated.

   aaa-authorization: disable      ; optional
   aaa-authorization username: callhome (default) ; default
   data-privacy: normal     ; can be configured to use the hostname or not.
   syslog throttling: enable

   Rate-limit: 5 message(s) per minute

   Snapshot command: Not yet set up
; Non-smart licensing configuration for alerts, data collection, defaults.
Available alert groups:
   Keyword                State   Description
   ---------------------- ------- -------------------------------
   configuration         Enable configuration info
   environment           Enable environmental info
   inventory             Enable inventory info
   snapshot              Enable snapshot info
   syslog                Enable syslog info

Profiles:

Profile Name: CiscoTAC-1
   Profile status: ACTIVE
   Profile mode: Full Reporting
   Reporting Data: Smart Call Home, Smart Licensing
   Preferred Message Format: xml
   Message Size Limit: 3145728 Bytes
   Transport Method: http
   Email address(es): callhome@cisco.com
   HTTP address(es): ; Only configuration needed if default is not desired.
http://tools.cisco.com/its/service/oddce/services/DDCEService
                       https://tools.cisco.com/its/service/oddce/services/DDCEService

   Periodic inventory info message is scheduled every 23 day of the month at 11:2

   Alert-group              Severity
   ------------------------ ------------
   environment               minor      
   inventory                 normal    

   Syslog-Pattern           Severity
   ------------------------ ------------
   .*                        critical

Call Home NON-Smart que autoriza las opciones de configuración

Usted puede configurar el Call Home para hacer el Syslog y colección así como los vaciados de memoria de datos diagnósticos, o hace que envíe las notificaciones por correo electrónico para los eventos y así sucesivamente junto con el tareas elegantes de la autorización que completa.

Usted puede ver su información recogida Call Home con su nombre de usuario y contraseña elegante de la autorización en https://tools.cisco.com/sch/reports/deviceReport.do.

Vea los documentos enlazados en la sección de la “información relacionada” para más información sobre cómo utilizar esta característica para beneficiar a su entorno. También una muestra de notificación por correo electrónico está en la sección de las “probabilidades y de los extremos”.

Depurar

Hay reglas no duras y rápidas hacer el debug de Smart que autoriza el software debido a muchos componentes que comprendan el paquete. Sin embargo, algunos métodos comunes del acercamiento estrechan generalmente abajo los problemas. Aquí están algunas sugerencias.

Registros del sistema

Mire en el Syslog primero. Usted conseguirá algunas pistas en cuanto a qué componente se debe marcar primero. En estos mensajes usted ve algunos problemas del certificado y un error de enviar los mensajes del Call Home HTTP; finalmente la comunicación se restablece.

RP/0/RSP0/CPU0:ROA#sh log | i SMART

RP/0/RSP1/CPU0:Dec 17 20:01:28.522 : licmgr[308]: SMART_LIC-3-ID_CERT_RENEW_FAILED:
ID certificate renewal failed: Response error: {"product_instance_identifier":
["ProductInstance '8baecfb5-2688-429b-8519-10a3f0dec6b5' is not valid"]}

RP/0/RSP1/CPU0:Dec 17 20:01:34.273 : licmgr[308]: SMART_LIC-3-AUTH_RENEW_FAILED:
Authorization renewal with Cisco licensing cloud failed: Response error:
 LS_UNMATCH_SIGNED_DATA: Signed data and certificate does not match

RP/0/RSP0/CPU0: Dec 17 18:26:24.009 : licmgr[314]: SMART_LIC-3-COMM_FAILED:
Communications failure with Cisco licensing cloud: Fail to send out Call Home
 HTTP message

RP/0/RSP0/CPU0:Dec 17 18:28:03.057 : licmgr[314]: SMART_LIC-3-AGENT_REG_FAILED:
Smart Agent for Licensing Registration with Cisco licensing cloud failed:
 Communication message send error

RP/0/RSP0/CPU0:Dec 17 18:30:09.247 : licmgr[314]: SMART_LIC-5-COMM_RESTORED:
Communications with Cisco licensing cloud restored

RP/0/RSP0/CPU0:Dec 17 18:30:21.923 : licmgr[314]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful

Marque la salida del comando show para conseguir una manija en qué estado está el cuadro/el componente. Aquí usted ve la movilidad, la seguridad de protocolos en Internet (IPSec), y las licencias Ópticas.

RP/0/RSP0/CPU0:ROA#admin show license entitlement
Entitlement:
  Tag: regid.2014-06.com.cisco.A9K-MOBILE-LIC,1.0_e447924c-0a6f-41be-9202-8ae60fcc2972,
 Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-09.com.cisco.A9K-IPSEC-20G-LIC,1.0_a165db99-eb3f-474b-bdf0-
ce4b140d9b45, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

 Tag: INSTALLMGR, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,1.0_66d3ccf7-a374-4409-a3f9-
6bc56d645f1c, Version: 1.0, Enforce Mode: Out of compliance
  Requested Time : Mon Jan 12 2015 20:47:07 PST, Requested Count: 1
  Vendor String:
... output snipped ...

Marque la conformidad de la licencia.

RP/0/RSP0/CPU0:ROA#admin show license status
Compliance Status: Out of compliance

Marque que el pool es activo.

RP/0/RSP0/CPU0:ROA#admin show licence pool
Assigned Pool Info: PATRICK_NO_LIC

Chcek el certificado de la autorización.

RP/0/RSP0/CPU0:ROA#admin show license cert
 Licensing Certificates:
   ID Cert Info:
    Start Date: Mon Jan 12 2015 21:00:13 PST. Expiry Date: Tue Jan 12 2016 21:00:13 PST
    Serial Number: 24724
    Version: 3
    Subject/SN: 60fe47f8-aaaa-40fc-ae3e-fae9c7b6d0ac
    Common Name: 138091632beb1f2e38069e9eec8f9c626de471ac::1,2
   Signing Cert Info:
    Start Date: Wed Sep 11 2013 12:05:34 PST. Expiry Date: Sun May 30 2038 12:48:46 PST
    Serial Number: 3
    Version: 3

Marque la versión de la autorización.

RP/0/RSP0/CPU0:ROA#admin show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

Este comando muestra las estadísticas sobre las tentativas de la llamada casera, que tuvieron éxito y/o fallaron.

RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
REGISTRATION    1       0       0       0       2014-12-17 21:07:53
ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
RENEW           1       0       0       0       2014-12-17 21:08:57 

Proceso del Call Home

Marque los archivos de traza para el proceso del call_home después, puesto que el transporte entre el ASR9K y la nube de Cisco es manejado por él.

RP/0/RSP0/CPU0:ROA#show call-home trace error last 2

81 wrapping entries (576 possible, 320 allocated, 0 filtered, 81 total)!
Jan 28 10:10:29.729 call_home/error 0/RSP0/CPU0 t10 call_home_http_resp_data(),
 httpc response error, Host name resolution failed

Jan 28 10:10:39.730 call_home/error 0/RSP0/CPU0 t19 call_home_events_handler() failure status 67

Control de Smartlic (agente de software)

Marque las trazas smartlic. Estas trazas revelan la interacción de la licencia con los servidores de la nube de Cisco.

RP/0/RSP0/CPU0:ROA#admin show license trace smartlic last 2
987 wrapping entries (1088 possible, 0 filtered, 987 total)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 Failed to bind to SysDB - 'Subsystem(2091)' detected the 'success' condition
 'Code(45)': Unknown Error(292)

Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 SMART ERROR - SASACKExpirationJob: expirySeconds=3842

Prueba del proceso de Licmgr

Este proceso es la interfaz principal a la autorización elegante en el ASR9K y consideraba el pegamento entre los diversos componentes.

RP/0/RSP1/CPU0:ROA#admin show license trace
557 wrapping entries (576 possible, 0 filtered, 5403 total)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 Client search success pkg/bin/rsi_agent (No error)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 A9K-MOD160-AIP-SE regid.2014-06.com.cisco.A9K-MOD160-AIP-SE,
1.0_7f1b3d9c-a183-41d1-8d0b-d98dcc2751a8 (No error)

Trazas de la dependiente de la plataforma

Aunque la parte de la dependiente de la plataforma (paladio) el código sea apenas una biblioteca con link dinámico, tiene un papel importante en accionar los pedidos el derecho de la licencia. Por lo tanto resuelve los problemas en lo que respecta a los tipos de licencia, las cuentas, y así sucesivamente.

RP/0/RSP1/CPU0:ROA#admin show license trace platform all last 5
1849 wrapping entries (5440 possible, 3136 allocated, 0 filtered, 183450 total)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start: ver:1,
 node:0x00000041 cmd:Audit(5) req:Mobile(9) feature:A9K-MOBILE-LIC(13) grant:
 Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start #2:
 client restarted:False up for a day:True
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License Start:
 request:Mobile(9) slot:4 grant:Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License End:
 request:Mobile(9) slot:4 grant:Not Pending(0) rc: 0x00000000 No error
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Cmd End:Audit(5),
 slot:4 rc:0x00000000 No error

Gire el debug

Si todo falla, después gire el debug y ingrese un pedido a pedido la renovación de los Certificados o de los derechos. Este debug debe recoger todas las transacciones entre el ASR9K y los servicios de la nube de Cisco.

RP/0/RSP0/CPU0:ROA#debug smartlic
RP/0/RSP1/CPU0:ROA#show debug

#### debug flags set from tty 'aux0_RSP1_CPU0' ####
smartlic debug flag is ON with value 0

No hay debugging directo del servidor de la nube UI/Cisco disponible. Envíe un correo electrónico a asr9k-smart-lic@cisco.com con cualquier problema.

Probabilidades y extremos

1. Cuando los cuadros múltiples se configuran para adquirir el derecho del mismo POOL de la LICENCIA, incluso si solamente UN dispositivo es corto por UNA licencia, después TODOS sus dispositivos son OOC. Esto es principalmente debido al diseño que tiene la vista del pool como el envase. El modelo nuevo, la organización jerárquica de pools que está en los trabajos, dirige el comportamiento en las futuras versiones.
2. Envíese por correo electrónico cualquier salida del comando show directamente de la consola. Observe las comillas dobles y el uso del punto y coma después de cada comando. El Call Home hace muchas operaciones que no sean autorización elegante relacionada. Éste es un ejemplo para de qué Call Home podría ser utilizado. Es una configuración corriente que se puede modificar para cualquier entorno.

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   site-id BUILDING20-125
   sender reply-to pasoltan@cisco.com
   sender from roa@cisco.com
   alert-group syslog
   alert-group snapshot
   alert-group inventory
   mail-server 171.68.58.10 priority 10
   mail-server 173.37.183.72 priority 20
   mail-server 2001:420:303:2008::24 priority 2
   mail-server mybastion.cisco.com priority 1
   phone-number +1-408-526-8438
   contact-email-addr sch-smart-licensing@cisco.com
   street-address 1550 E.Tasman Drive, San Jose, CA 9513
   profile CiscoTAC-1
   active
   destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
   reporting smart-call-home-data
   reporting smart-licensing-data
   destination transport-method http
   
   RP/0/RP1/CPU0:ROA#call-home send "show run call; admin show platform"
    email pasoltan@cisco.com msg-format long-text
   
   Sending ondemand CLI output call-home message ...
   Please wait. This may take some time ...

3. El comando status smartlic de la llamada casera de la demostración utiliza la palabra “éxito” que significa simplemente de una perspectiva del proceso de la llamada casera que el transporte de los mensajes del ASR9K a los servidores de la nube de Cisco era acertado. Sin embargo, esto no significa que la operación de la autorización de punta a punta con los servidores de la nube de Cisco era acertada. Por ejemplo, si hay un problema con la cuenta, certificado, o tan prendido con el portal, la llamada casera transporta el mensaje y muestra el éxito, pero la operación total de revisar las licencias de los servidores de extremo posterior pudo fallar.

   RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
   Success: Successfully sent and response received.
   Failed : Failed to send or response indicated error occurred.
   Inqueue: In queue waiting to be sent.
   Dropped: Dropped due to incorrect call-home configuration.
   
   Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
   ----------------------------------------------------------------------
   ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
   DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
   REGISTRATION    1       0       0       0       2014-12-17 21:07:53
   ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
   RENEW           1       0       0       0       2014-12-17 21:08:57

4. Cuando usted configura las interfaces de administración con el IPv4 y el IPv6, la orden de la resolución de los nombres a la dirección IP o a la resolución de DNS es IPv6 primero.

   RP/0/RSP1/CPU0:ROA#show run int M*
   interface MgmtEth0/RSP0/CPU0/0
   cdp
   ipv4 address 172.27.130.64 255.255.255.128
   ipv6 address fe80::172:27:130:64 link-local
   ipv6 address 2001:420:303:2008:0:28:1:64/80
   ... snipped output ...

   RP/0/RSP1/CPU0:ROA#ping tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 2001:420:1201:5::a, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 44/45/49 ms

   RP/0/RSP1/CPU0:ROA#ping ipv4 tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 173.37.145.8, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 43/44/45 ms

Información Relacionada

• Guía del usuario elegante del Call Home - HTML
• Guía del usuario elegante del Call Home - PDF
• Seguridad de Call Home elegante
• Comunidad del soporte de Cisco
• Vídeo: Call Home de la configuración
• Smart que autoriza los comandos - HTML
• Smart que autoriza los comandos - PDF
• Información general: Autorización elegante
• Autorización elegante FAQ
• Guía del gateway del transporte
• Gateway FAQ del transporte
• Soporte Técnico y Documentación - Cisco Systems