Configuration des licences Smart avec NSO

Introduction

Ce document décrit les différentes licences Network Services Orchestrator (NSO) et comment elles peuvent être activées à l'aide de Cisco License Central.

Conditions préalables 

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Comment utiliser l'interface de ligne de commande NSO
• Dépannage de NSO
• Connaissances de base de Linux  

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• NSO 6.x
• NSO 5.x

• NSO 4.5 et versions ultérieures
• NSO 4.4
• NSO 4.1/4.2/4.3

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Licences NSO

Remarque : L'utilisateur doit posséder une licence NSO valide.

 Les licences utilisées par NSO sont les suivantes :

PID	Afficher sur Cisco License Central	type	Description
R-NSO-K 9		Niveau supérieur	Requis pour chaque instance de NSO
NSO-P-PAK	NSO-platform-production	serveur	Requis pour le noeud Actif
NSO-HA-LIC-P	NSO-platform-production-standby	serveur	Requis pour le noeud Veille
NSO-DEV-P-PAK	NSO-platform-development-test	serveur	Nécessaire pour l'environnement de développement
NSO-PNF-()	élément de réseau NSO	Élément de réseau	En direction du sud Si le périphérique connecté est un périphérique physique
NSO-VNF-()	élément de réseau NSO	Élément de réseau	En direction du sud Le périphérique connecté est un périphérique virtuel
NED-()	Différent pour chaque NED Exemple : Cisco-ios-NED Cisco-iosxr-NED	EXTRÉMITÉ	Pour NED. Il est nécessaire pour chaque type de périphériques différents. Exemple : NED-IOS-P : Pour IOS NED NED-IOSX-P : Pour IOS-XR NED

Remarque : Cela peut être inclus dans un PID de package (bundle qui inclut ESC, et plus), il est donc possible que ces PID n'apparaissent pas dans l'ordre.

Compte Smart et compte virtuel

Chaque produit, y compris NSO, demande au serveur Cisco d'acquérir une licence pour s'activer. Essentiellement, il vérifie si vous avez acheté le nombre suffisant de licences pour le produit et qu'elles sont disponibles à l'utilisation.

Un compte Smart est attribué à une organisation. Prenez l'entreprise A, par exemple :

• L'entreprise A peut avoir les départements X, Y et Z, et elle souhaite gérer ses licences séparément.
• Un compte virtuel peut être attribué à chaque service.

Des jetons peuvent être générés pour chaque compte virtuel. Nous utilisons le jeton pour accéder au compte virtuel à partir du produit.

Dans Cisco License Central, l'état des licences dans les comptes virtuels est le suivant :

Configurer

Il peut y avoir différentes méthodes de connexion du NSO au serveur de licences Smart et cela dépend de l'environnement dans lequel le NSO est installé. Ce document décrit également les différentes intégrations entre le NSO et les serveurs de licences Cisco.

Étape 1. Génération d’un jeton

1. Pour créer un nouveau jeton, connectez-vous à Cisco License Central) avec l'ID utilisateur/ou l'ID CCO et sélectionnez le compte virtuel approprié. Cliquez sur Manage licenses pour continuer.

 

2. Cliquez sur l'onglet Inventaire et sélectionnez un compte virtuel avec lequel vous souhaitez travailler.

 

 3. Dans Cisco License Central, cliquez sur Nouveau jeton.

Renseignez les informations requises. Veuillez noter que la date d'expiration indique la durée de validité du jeton. Les utilisateurs doivent donc utiliser le jeton créé dans les jours. Le court et le long doivent être équilibrés entre la commodité et le risque de sécurité. En outre, il ne s'agit PAS de la durée de validité des licences.

5. Le jeton nouvellement créé se trouve dans la table.

 

6. Cliquez sur le lien de jeton pour afficher une fenêtre contextuelle. Copiez le jeton de la fenêtre de dialogue dans le Presse-papiers.

Étape 2. Préparation de l’enregistrement des jetons

Voici les méthodes d'enregistrement (direct/proxy/satellite).  

Si NSO ou un produit Cisco nécessite des licences Smart, consultez Cisco License Central (ou Cisco Cloud) pour vous enregistrer.

Il existe quatre options principales pour configurer l'environnement pris en charge par les licences Smart :

Option 1. Accès direct au cloud

Avec cette méthode, le serveur NSO doit pouvoir communiquer directement avec le cloud Cisco avec https. L'utilisation du protocole HTTP est prise en charge, mais elle n'est pas recommandée pour des raisons de sécurité.

Dans cette méthode, le processus d'enregistrement peut être démarré sans configuration spéciale.

Option 2. Accès direct au cloud via un proxy HTTPS

Si vous devez utiliser le serveur proxy HTTP(S) pour vous connecter au Web sur Internet, l'agent intelligent de NSO doit être configuré avec les informations du serveur proxy.

Lorsque l'option 2 est utilisée, l'agent intelligent doit être invité à envoyer sa demande d'enregistrement au serveur proxy au lieu de l'envoyer directement à Cisco.

La configuration dépend de la version. 

NSO 4.5 ou version ultérieure

À partir de NSO 4.5, il est désormais possible de configurer la licence Smart via ncs.conf. Si la configuration de licence intelligente existe à la fois dans ncs.conf et NSO CDB, la configuration dans ncs.conf est prioritaire.

Cela signifie que les commandes telles que smart-license smart-agent override-url url https://10.1.2.3/ ne prennent pas effet si une configuration différente est présente dans ncs.conf. Lors de l'installation d'un système NSO, ncs.conf inclut par défaut les éléments suivants :

<smart-license>
  <smart-agent>
    <java-executable>DEFAULT</java-executable>
    <java-options>DEFAULT</java-options>
    <production-url>DEFAULT</production-url>
    <alpha-url>DEFAULT</alpha-url>
    <override-url>
      <url>DEFAULT</url>
    </override-url>
    <proxy>
      <url>DEFAULT</url>
    </proxy>
  </smart-agent>
</smart-license>

DEFAULT signifie qu'il utilise les valeurs par défaut telles que définies dans $install_dir/src/ncs/yang/tailf-ncs-smart-license.yang.

Pour configurer les leafs répertoriés dans ncs.conf dans NSO CDB à la place, assurez-vous de supprimer l'entrée correspondante de ncs.conf et d'effectuer /etc/init.d/ncs reload.

NSO 4.4

Configurez l'URL proxy sur ce chemin.

smart-license smart-agent proxy url <url proxy>

admin@ncs(config)# smart-license smart-agent proxy url https://10.10.10.10:8080
admin@ncs(config)#

Dans la configuration par défaut, NSO se connecte à https://tools.cisco.com/its/service/oddce/services/service ETCD, le proxy HTTPS doit donc être utilisé.

Cette configuration proxy définit automatiquement HTTPS et HTTP. Par conséquent, si vous modifiez l'URL cible en HTTP pour l'utilisation de Satellite, comme expliqué à l'option 3. ou 4., une configuration peut toujours gérer les deux cas.

Option 3. Accès médiatisé via un collecteur sur site connecté

Dans de nombreux cas, le réseau de l'ONS n'est pas directement connecté à Internet. À l'exception de l'option 2, Cisco License Central Satellite peut être introduit ; afin que NSO n'ait pas besoin d'échanger des messages directement vers le cloud Cisco.

Les détails du produit Cisco License Central Satellite sont disponibles sur Cisco Software Central.

Pour savoir comment procéder à l'installation, consultez le guide d'installation dans le lien.

Lorsque vous utilisez cette méthode, NSOl parle au satellite et non au cloud Cisco. 

Pour modifier la cible, vous pouvez modifier override-url :

admin@ncs(config)# smart-license smart-agent override-url url https://10.1.2.3/
admin@ncs(config)#

Cette URL se trouve sur le site Web d'administration de Cisco License Central Satellite.

Option 4: Accès par médiation via un collecteur sur site déconnecté

Cette méthode est exactement la même que la méthode (3) du point de vue de l'ONS. La différence réside uniquement dans la manière de synchroniser avec le cloud Cisco à partir de Cisco License Central Satellite.

Étape 3. Enregistrement des jetons

Après avoir utilisé le jeton, activez NSO avec le jeton généré sur le serveur Cisco. Le jeton est utilisé sur l'interface de ligne de commande NSO pour s'enregistrer auprès de Cisco License Central. Lorsque la commande est entrée, le processus d'enregistrement est lancé de manière asynchrone.

admin@ncs# smart-license register idtoken YWVlMmQ3ZjEtYT....
result Registration process in progress. Use the 'show license status' command to check the progress and result.
admin@ncs#

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Avant l'enregistrement

Smart Licensing est toujours activé. Le résultat indique que NSO n'est pas enregistré et qu'il est en MODE ÉVALUATION, qui expire dans 89 jours et 23 heures.

admin@ncs# show license status

Smart Licensing is ENABLED

Registration:
  Status: UNREGISTERED
  Export-Controlled Functionality: Allowed

License Authorization:
  Status: EVAL MODE
  Evaluation Period Remaining: 89 days, 23 hr, 17 min, 36 sec
  Last Communication Attempt: NONE
  Next Communication Attempt: NONE
Development mode: enabled
admin@ncs#

L'état de l'enregistrement peut être vérifié avec la commande show license status. Si l'enregistrement est toujours en cours, la commande affiche ce résultat et dit : "INSCRIPTION EN ATTENTE".

<Inscription en cours...>

admin@ncs# show license status

Smart Licensing is ENABLED

Registration:
  Status: UNREGISTERED - REGISTRATION PENDING
  Initial Registration: First Attempt Pending
  Export-Controlled Functionality: Allowed

License Authorization:
  Status: EVAL MODE
  Evaluation Period Remaining: 89 days, 23 hr, 16 min, 36 sec
  Last Communication Attempt: SUCCEEDED on Aug 3 09:41:56 2016 UTC
  Next Communication Attempt: NONE
Development mode: enabled
admin@ncs#

Au bout d'un certain temps, l'enregistrement est terminé. Lorsque vous voyez l'état REGISTERED (ENREGISTRÉ), le système est enregistré sur Cisco License Central.

<Enregistré!!>

admin@ncs# show license status

Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: BU Production Test
  Virtual Account: TAC-Japan-Cloudorch
  Export-Controlled Functionality: Allowed
  Initial Registration: SUCCEEDED on Aug 4 05:29:52 2016 UTC
  Last Renewal Attempt: SUCCEEDED on Aug 4 05:30:03 2016 UTC
  Next Renewal Attempt: Jan 31 05:30:03 2017 UTC
  Registration Expires: Aug 4 05:24:56 2017 UTC
  Export-Controlled Functionality: Allowed

License Authorization:

License Authorization:
  Status: AUTHORIZED on Aug 4 05:30:05 2016 UTC
  Last Communication Attempt: SUCCEEDED on Aug 4 05:25:02 2016 UTC
  Next Communication Attempt: Sep 3 05:30:07 2016 UTC
  Communication Deadline: Aug 4 05:24:56 2017 UTC
Development mode: enabled
admin@ncs#

Utilisation (état autorisé)

Vous pouvez voir quelle licence est utilisée avec la commande show license summary. Dans cet exemple, NSO-platform-production, NSO-network-element et cisco-ios-NED sont utilisés dans le système. Notez que l'état d'autorisation de licence est "AUTORISÉ". Cela signifie que tous les composants qui nécessitent des licences fonctionnent correctement dans un état légal.

admin@ncs# show license summary
Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: COMPANY A
  Virtual Account: Network Department
  Last Renewal Attempt: None
  Next Renewal Attempt: Jan 31 05:33:02 2017 UTC

License Authorization:
  Status: AUTHORIZED
  Last Communication Attempt: SUCCEEDED
  Next Communication Attempt: Sep 3 05:33:06 2016 UTC

License Usage:
  License                     Entitlement Tag                                                                                Count        Status
  ----------------------------------------------------------------------------------------------------------------------------------------------
  348fbb21-7edf-42bb-baa7-198903058a54regid.2016-04.com.cisco.NSO-platform-production,4.2_348fbb21-7edf-42bb-baa7-198903058a54       1            InCompliance
  5d641fa0-757d-43b0-a926-166cb6e3cfddregid.2015-10.com.cisco.NSO-network-element,1.0_5d641fa0-757d-43b0-a926-166cb6e3cfdd           3            InCompliance
  d9eca34d-1f6a-4595-ad74-9c0c57e03c27regid.2015-10.com.cisco.cisco-ios-NED,1.0_d9eca34d-1f6a-4595-ad74-9c0c57e03c27                 1            InCompliance

Development mode: disabled
admin@ncs#

Ceci est une sortie de la commande show license usage dans un autre exemple. Dans cet exemple, cisco-iosxr-NED est également ajouté et l'état est OutOfCompliance. Cela indique que l'inscription à Cisco License Central est correcte, mais qu'une licence pour cisco-iosxr-NED est insuffisante dans le compte virtuel. En raison de l'état de non-conformité de cisco-iosxr-NED, l'état global est OUT_OF_COMPLIANCE.

admin@ncs # show license usage 

License Authorization Status : OUT_OF_COMPLIANCE as of Oc 24 06:14:11 2016 UTC 

NSO-platform-production (regid.2016-04.com.cisco.NSO-platform-production, 1.0_d1445dab-9d96-4593-99f2-6f633b8a759c) 
 Description : API unavailable 
 Count : 1 
 Version : 1.0 
 Status : InCompliance 

NSO-network-element (regid.2015-10.com.cisco.NSO-network-element, 1.0_5d641fa0-757d-43b0-a926-166cb6e3cfdd) 
 Description : API unavailable 
 Count : 3 
 Version : 1.0 
 Status : InCompliance 

cisco-ios-NED (regid.2015-10.com.cisco.cisco-ios-NED, 1.0_d9eca34d-1f6a-4595-ad74-9c0c57e03c27) 
 Description : API unavailable 
 Count : 1 
 Version : 1.0 
 Status : InCompliance 

cisco-iosxr-NED (regid.2015-10.com.cisco.cisco.cisco-iosxr-NED, 1.0_9956fc34-cbed-4d13-a1ea-6a36f4e40a99) 
 Description : API unavailable 
 Count : 1 
 Version : 1.0 
 Status : OutOfCompliance 

Dépannage

Essayez d'activer le débogage sur la fonctionnalité de licence Smart. Lorsque le débogage est activé, le journal de débogage est généré dans le fichier spécifié dans /smart-license/smart-agent/stdout-capture/file. smart license debug génère un grand nombre de journaux et il est recommandé de désactiver le débogage après la collecte des données.

Debug enable

admin@ncs# debug smart_lic all
ok
admin@ncs#

Debug disable

admin@ncs# no debug smart_lic all
ok
admin@ncs#

Configuration du journal de licences Smart

admin@ncs# show running-config smart-license
smart-license smart-agent stdout-capture disabled
smart-license smart-agent stdout-capture file ./logs/ncs-smart-licensing.log
admin@ncs#

Activer le journal de licences Smart

admin@ncs(config)# smart-license smart-agent stdout-capture enabled
admin@ncs(config)# commit
Commit complete.
admin@ncs(config)#

Renouveler le certificat SSL sur site de Cisco License Central

Pour les clients disposant de Cisco License Central sur site, NSO peut ne pas pouvoir se connecter au serveur si le certificat SSL a expiré.

Voici les étapes permettant de résoudre le problème en générant un fichier onprem.crt :

1. Recueillez le nouveau certificat à partir du serveur Cisco License Central à l’aide de openssl (le port normalement utilisé est 443) :

openssl s_client -showcerts -connect <>:443 | openssl x509 -out onprem.crt

2. Recherchez le répertoire d'importation du certificat. Le répertoire par défaut est /etc/pki/ca-trust/excluded/java/cacerts. Afin de le trouver, voici une commande pour rechercher les répertoires cacerts dans le système, et un exemple de la sortie :

[root@localhost /]# find / -name cacerts 2>/dev/null | xargs -I {} ls -l {}
-r--r--r--. 1 root root 156478 Jun 26 08:02 /etc/pki/ca-trust/extracted/java/cacerts
lrwxrwxrwx. 1 root root 40 Aug 25  2022 /etc/pki/java/cacerts -> /etc/pki/ca-trust/extracted/java/cacerts
lrwxrwxrwx. 1 root root 21 Jun 15 04:52 /etc/java/java-17-openjdk/java-17-openjdk-17.0.15.0.6-3.el9.x86_64/lib/security/cacerts -> /etc/pki/java/cacerts
[root@localhost /]# 

3. Chargez le certificat. Le mot de passe par défaut pour le keystore est changeit :

sudo keytool -import -alias ssm_onprem -file onprem.crt -keystore /etc/pki/ca-trust/extracted/java/cacerts

3.1 (Facultatif) Afin de confirmer que le certificat a été correctement chargé, exécutez cette commande :

root@Ubuntu-24-9:/home/nso# keytool -list -keystore /etc/ssl/certs/java/cacerts -storepass changeit -alias ssm_onprem
Warning: use -cacerts option to access cacerts keystore
ssm_onprem, Aug 4, 2025, trustedCertEntry, 
Certificate fingerprint (SHA-256): F7:00:C9:74:34:57:5E:BE:70:A7:0E:D2:9B:A8:2D:44:F1:CE:14:55:C3:D9:06:3F:83:68:95:A1:C6:B5:7F:26
root@Ubuntu-24-9:/home/nso# 

4. Redémarrez l'agent intelligent (en mode de configuration) :

admin@ncs(config)# smart-license smart-agent restart 
result Started

5. Réenregistrez le certificat :

admin@ncs# license smart deregister 
ok
admin@ncs# license smart register idtoken TOKEN
Registration process in progress. Use the 'show license status' command to check the progress and result.
admin@ncs# 

6. Afin de confirmer que l'enregistrement a réussi avec la commande show license summary dont le résultat est montré dans cet article. 

Historique de révision

Révision	Date de publication	Commentaires
6.0	27-May-2026	Mise à jour de Cisco Smart Software Manager (SSM) avec « Cisco License Central ».
5.0	04-Aug-2025	Mise à jour des noms d'auteur, formatage, grammaire et style d'écriture amélioré.
4.0	01-Aug-2024	Version initiale - problèmes majeurs de formatage et de style corrigés.
1.0	06-Jun-2017	Première publication