Configuration des licences Smart avec NSO

Introduction

Ce document décrit les différentes licences Network Services Orchestrator (NSO) et comment elles peuvent être activées à l'aide de la licence Cisco Smart License®.

Conditions préalables 

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Comment utiliser l'interface de ligne de commande NSO
• Dépannage de NSO
• Connaissances de base de Linux  

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• NSO 6.x
• NSO 5.x

• NSO 4.5 et versions ultérieures
• NSO 4.4
• NSO 4.1/4.2/4.3

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Licences NSO

Remarque : L'utilisateur doit posséder une licence NSO valide.

 Les licences utilisées par NSO sont les suivantes :

Remarque : Cela peut être inclus dans un PID de package (bundle qui inclut ESC, et plus), il est donc possible que ces PID n'apparaissent pas dans l'ordre.

Compte Smart et compte virtuel

Chaque produit, y compris NSO, demande au serveur Cisco d'acquérir une licence pour s'activer. Essentiellement, il vérifie si vous avez acheté le nombre suffisant de licences pour le produit et qu'elles sont disponibles à l'utilisation.

Un compte Smart est attribué à une organisation. Prenez l'entreprise A, par exemple :

• L'entreprise A peut avoir les départements X, Y et Z, et elle souhaite gérer ses licences séparément.
• Un compte virtuel peut être attribué à chaque service.

Des jetons peuvent être générés pour chaque compte virtuel. Nous utilisons le jeton pour accéder au compte virtuel à partir du produit.

Dans Smart Software Manager, l'état des licences dans les comptes virtuels s'affiche comme suit :

Configurer

Il peut y avoir différentes méthodes de connexion du NSO au serveur de licences Smart et cela dépend de l'environnement dans lequel le NSO est installé. Ce document décrit également les différentes intégrations entre le NSO et les serveurs de licences Cisco.

Étape 1. Génération d’un jeton

1. Pour créer un nouveau jeton, connectez-vous à Cisco Smart Software Manager (CSSM) avec l'ID utilisateur ou l'ID CCO et sélectionnez le compte virtuel approprié. Cliquez sur Manage licenses pour continuer. Recherchez le lien dans Cisco Software Central.

2. Cliquez sur l'onglet Inventaire et sélectionnez un compte virtuel avec lequel vous souhaitez travailler.

 3. Dans CSSM, cliquez sur New Token.

Renseignez les informations requises. Veuillez noter que la date d'expiration indique la durée de validité du jeton. Les utilisateurs doivent donc utiliser le jeton créé dans les jours. Le court et le long doivent être équilibrés entre la commodité et le risque de sécurité. En outre, il ne s'agit PAS de la durée de validité des licences.

5. Le jeton nouvellement créé se trouve dans la table.

6. Cliquez sur le lien de jeton pour afficher une fenêtre contextuelle. Copiez le jeton de la fenêtre de dialogue dans le Presse-papiers.

Étape 2. Préparation de l’enregistrement des jetons

Voici les méthodes d'enregistrement (direct/proxy/satellite).  

Si NSO ou un produit Cisco nécessite des licences Smart, contactez Cisco Smart Software Manager (ou Cisco Cloud) pour vous enregistrer.

Il existe quatre options principales pour configurer l'environnement pris en charge par les licences Smart :

Option 1. Accès direct au cloud

Avec cette méthode, le serveur NSO doit pouvoir communiquer directement avec le cloud Cisco avec https. L'utilisation du protocole HTTP est prise en charge, mais elle n'est pas recommandée pour des raisons de sécurité.

Dans cette méthode, le processus d'enregistrement peut être démarré sans configuration spéciale.

Option 2. Accès direct au cloud via un proxy HTTPS

Si vous devez utiliser le serveur proxy HTTP(S) pour vous connecter au Web sur Internet, l'agent intelligent de NSO doit être configuré avec les informations du serveur proxy.

Lorsque l'option 2 est utilisée, l'agent intelligent doit être invité à envoyer sa demande d'enregistrement au serveur proxy au lieu de l'envoyer directement à Cisco.

La configuration dépend de la version. 

NSO 4.5 ou version ultérieure

À partir de NSO 4.5, il est désormais possible de configurer la licence Smart via ncs.conf. Si la configuration de licence intelligente existe à la fois dans ncs.conf et NSO CDB, la configuration dans ncs.conf est prioritaire.

Cela signifie que les commandes telles que smart-license smart-agent override-url url https://10.1.2.3/ ne prennent pas effet si une configuration différente est présente dans ncs.conf. Lors de l'installation d'un système NSO, ncs.conf inclut par défaut les éléments suivants :

<smart-license>
  <smart-agent>
    <java-executable>DEFAULT</java-executable>
    <java-options>DEFAULT</java-options>
    <production-url>DEFAULT</production-url>
    <alpha-url>DEFAULT</alpha-url>
    <override-url>
      <url>DEFAULT</url>
    </override-url>
    <proxy>
      <url>DEFAULT</url>
    </proxy>
  </smart-agent>
</smart-license>

DEFAULT signifie qu'il utilise les valeurs par défaut telles que définies dans $install_dir/src/ncs/yang/tailf-ncs-smart-license.yang.

Pour configurer les leafs répertoriés dans ncs.conf dans NSO CDB à la place, assurez-vous de supprimer l'entrée correspondante de ncs.conf et d'effectuer /etc/init.d/ncs reload.

NSO 4.4

Configurez l'URL proxy sur ce chemin.

smart-license smart-agent proxy url <url proxy>

admin@ncs(config)# smart-license smart-agent proxy url https://10.10.10.10:8080
admin@ncs(config)#

Dans la configuration par défaut, NSO se connecte à https://tools.cisco.com/its/service/oddce/services/service ETCD, le proxy HTTPS doit donc être utilisé.

Cette configuration proxy définit automatiquement HTTPS et HTTP. Par conséquent, si vous modifiez l'URL cible en HTTP pour l'utilisation de Satellite, comme expliqué à l'option 3. ou 4., une configuration peut toujours gérer les deux cas.

Option 3. Accès médiatisé via un collecteur sur site connecté

Dans de nombreux cas, le réseau de l'ONS n'est pas directement connecté à Internet. À l'exception de l'option 2, le satellite Smart Software Manager peut être introduit ; afin que NSO n'ait pas besoin d'échanger des messages directement vers le cloud Cisco.

Les détails du produit Smart Software Manager Satellite sont disponibles ici.

Pour savoir comment procéder à l'installation, consultez le guide d'installation dans le lien.

Lorsque vous utilisez cette méthode, NSOl parle au satellite et non au cloud Cisco. 

Pour modifier la cible, vous pouvez modifier override-url :

admin@ncs(config)# smart-license smart-agent override-url url https://10.1.2.3/
admin@ncs(config)#

Cette URL se trouve sur le site Web d'administration de Smart Software Manager Satellite.

Option 4 : Accès par médiation via un collecteur sur site déconnecté

Cette méthode est exactement la même que la méthode (3) du point de vue de l'ONS. La différence réside uniquement dans la manière de synchroniser avec le cloud Cisco à partir de Smart Software Manager Satellite.

Étape 3. Enregistrement des jetons

Après avoir utilisé le jeton, activez NSO avec le jeton généré sur le serveur Cisco. Le jeton est utilisé sur l'interface de ligne de commande NSO pour s'enregistrer auprès de CSSM. Lorsque la commande est entrée, le processus d'enregistrement est lancé de manière asynchrone.

admin@ncs# smart-license register idtoken YWVlMmQ3ZjEtYT....
result Registration process in progress. Use the 'show license status' command to check the progress and result.
admin@ncs#

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Avant l'enregistrement

Smart Licensing est toujours activé. Le résultat indique que NSO n'est pas enregistré et qu'il est en MODE ÉVALUATION, qui expire dans 89 jours et 23 heures.

admin@ncs# show license status

Smart Licensing is ENABLED

Registration:
  Status: UNREGISTERED
  Export-Controlled Functionality: Allowed

License Authorization:
  Status: EVAL MODE
  Evaluation Period Remaining: 89 days, 23 hr, 17 min, 36 sec
  Last Communication Attempt: NONE
  Next Communication Attempt: NONE
Development mode: enabled
admin@ncs#

L'état de l'enregistrement peut être vérifié avec la commande show license status. Si l'enregistrement est toujours en cours, la commande affiche ce résultat et dit : "INSCRIPTION EN ATTENTE".

<Inscription en cours...>

admin@ncs# show license status

Smart Licensing is ENABLED

Registration:
  Status: UNREGISTERED - REGISTRATION PENDING
  Initial Registration: First Attempt Pending
  Export-Controlled Functionality: Allowed

License Authorization:
  Status: EVAL MODE
  Evaluation Period Remaining: 89 days, 23 hr, 16 min, 36 sec
  Last Communication Attempt: SUCCEEDED on Aug 3 09:41:56 2016 UTC
  Next Communication Attempt: NONE
Development mode: enabled
admin@ncs#

Au bout d'un certain temps, l'enregistrement est terminé. Lorsque vous voyez l'état REGISTERED (ENREGISTRÉ), le système est enregistré auprès de CSSM.

<Enregistré!!>

admin@ncs# show license status

Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: BU Production Test
  Virtual Account: TAC-Japan-Cloudorch
  Export-Controlled Functionality: Allowed
  Initial Registration: SUCCEEDED on Aug 4 05:29:52 2016 UTC
  Last Renewal Attempt: SUCCEEDED on Aug 4 05:30:03 2016 UTC
  Next Renewal Attempt: Jan 31 05:30:03 2017 UTC
  Registration Expires: Aug 4 05:24:56 2017 UTC
  Export-Controlled Functionality: Allowed

License Authorization:

License Authorization:
  Status: AUTHORIZED on Aug 4 05:30:05 2016 UTC
  Last Communication Attempt: SUCCEEDED on Aug 4 05:25:02 2016 UTC
  Next Communication Attempt: Sep 3 05:30:07 2016 UTC
  Communication Deadline: Aug 4 05:24:56 2017 UTC
Development mode: enabled
admin@ncs#

Utilisation (état autorisé)

Vous pouvez voir quelle licence est utilisée avec la commande show license summary. Dans cet exemple, NSO-platform-production, NSO-network-element et cisco-ios-NED sont utilisés dans le système. Notez que l'état d'autorisation de licence est "AUTORISÉ". Cela signifie que tous les composants qui nécessitent des licences fonctionnent correctement dans un état légal.

admin@ncs# show license summary
Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: COMPANY A
  Virtual Account: Network Department
  Last Renewal Attempt: None
  Next Renewal Attempt: Jan 31 05:33:02 2017 UTC

License Authorization:
  Status: AUTHORIZED
  Last Communication Attempt: SUCCEEDED
  Next Communication Attempt: Sep 3 05:33:06 2016 UTC

License Usage:
  License                     Entitlement Tag                                                                                Count        Status
  ----------------------------------------------------------------------------------------------------------------------------------------------
  348fbb21-7edf-42bb-baa7-198903058a54regid.2016-04.com.cisco.NSO-platform-production,4.2_348fbb21-7edf-42bb-baa7-198903058a54       1            InCompliance
  5d641fa0-757d-43b0-a926-166cb6e3cfddregid.2015-10.com.cisco.NSO-network-element,1.0_5d641fa0-757d-43b0-a926-166cb6e3cfdd           3            InCompliance
  d9eca34d-1f6a-4595-ad74-9c0c57e03c27regid.2015-10.com.cisco.cisco-ios-NED,1.0_d9eca34d-1f6a-4595-ad74-9c0c57e03c27                 1            InCompliance

Development mode: disabled
admin@ncs#

Ceci est une sortie de la commande show license usage dans un autre exemple. Dans cet exemple, cisco-iosxr-NED est également ajouté et l'état est OutOfCompliance. Cela indique que l'inscription au CSSM est correcte, cependant, une licence pour cisco-iosxr-NED est insuffisante dans le compte virtuel. En raison de l'état de non-conformité de cisco-iosxr-NED, l'état global est OUT_OF_COMPLIANCE.

admin@ncs # show license usage  

License Authorization Status : OUT_OF_COMPLIANCE  as of Oc  24 06:14:11 2016 UTC 

NSO-platform-production (regid.2016-04.com.cisco.NSO-platform-production, 1.0_d1445dab-9d96-4593-99f2-6f633b8a759c) 
 Description : API unavailable 
 Count : 1 
 Version : 1.0 
 Status : InCompliance 

NSO-network-element (regid.2015-10.com.cisco.NSO-network-element, 1.0_5d641fa0-757d-43b0-a926-166cb6e3cfdd) 
 Description : API unavailable 
 Count : 3 
 Version : 1.0 
 Status : InCompliance 

cisco-ios-NED (regid.2015-10.com.cisco.cisco-ios-NED, 1.0_d9eca34d-1f6a-4595-ad74-9c0c57e03c27) 
 Description : API unavailable 
 Count : 1 
 Version : 1.0 
 Status : InCompliance 

cisco-iosxr-NED (regid.2015-10.com.cisco.cisco.cisco-iosxr-NED, 1.0_9956fc34-cbed-4d13-a1ea-6a36f4e40a99) 
 Description : API unavailable 
 Count : 1 
 Version : 1.0 
 Status : OutOfCompliance 

Dépannage

Essayez d'activer le débogage sur la fonctionnalité de licence Smart. Lorsque le débogage est activé, le journal de débogage est généré dans le fichier spécifié dans /smart-license/smart-agent/stdout-capture/file. smart license debug génère un grand nombre de journaux et il est recommandé de désactiver le débogage après la collecte des données.

Debug enable

admin@ncs# debug smart_lic all
ok
admin@ncs#

Debug disable

admin@ncs# no debug smart_lic all
ok
admin@ncs#

Configuration du journal de licences Smart

admin@ncs# show running-config smart-license
smart-license smart-agent stdout-capture disabled
smart-license smart-agent stdout-capture file ./logs/ncs-smart-licensing.log
admin@ncs#

Activer le journal de licences Smart

admin@ncs(config)# smart-license smart-agent stdout-capture enabled
admin@ncs(config)# commit
Commit complete.
admin@ncs(config)#

Renouveler le certificat SSL sur site CSSM

Pour les clients disposant d'un CSSM sur site, NSO peut échouer à se connecter au serveur si le certificat SSL a expiré.

Voici les étapes permettant de résoudre le problème en générant un fichier onprem.crt :

1. Recueillez le nouveau certificat à partir du serveur CSSM à l’aide de openssl (le port normalement utilisé est 443) :

openssl s_client -showcerts -connect <>:443 | openssl x509 -out onprem.crt

2. Recherchez le répertoire d'importation du certificat. Le répertoire par défaut est /etc/pki/ca-trust/excluded/java/cacerts. Afin de le trouver, voici une commande pour rechercher les répertoires cacerts dans le système, et un exemple de la sortie :

[root@localhost /]# find / -name cacerts 2>/dev/null | xargs -I {} ls -l {}
-r--r--r--. 1 root root 156478 Jun 26 08:02 /etc/pki/ca-trust/extracted/java/cacerts
lrwxrwxrwx. 1 root root 40 Aug 25  2022 /etc/pki/java/cacerts -> /etc/pki/ca-trust/extracted/java/cacerts
lrwxrwxrwx. 1 root root 21 Jun 15 04:52 /etc/java/java-17-openjdk/java-17-openjdk-17.0.15.0.6-3.el9.x86_64/lib/security/cacerts -> /etc/pki/java/cacerts
[root@localhost /]# 

3. Chargez le certificat. Le mot de passe par défaut pour le keystore est changeit :

sudo keytool -import -alias ssm_onprem -file onprem.crt -keystore /etc/pki/ca-trust/extracted/java/cacerts

3.1 (Facultatif) Afin de confirmer que le certificat a été correctement chargé, exécutez cette commande :

root@Ubuntu-24-9:/home/nso# keytool -list -keystore /etc/ssl/certs/java/cacerts -storepass changeit -alias ssm_onprem
Warning: use -cacerts option to access cacerts keystore
ssm_onprem, Aug 4, 2025, trustedCertEntry, 
Certificate fingerprint (SHA-256): F7:00:C9:74:34:57:5E:BE:70:A7:0E:D2:9B:A8:2D:44:F1:CE:14:55:C3:D9:06:3F:83:68:95:A1:C6:B5:7F:26
root@Ubuntu-24-9:/home/nso# 

4. Redémarrez l'agent intelligent (en mode de configuration) :

admin@ncs(config)# smart-license smart-agent restart 
result Started

5. Réenregistrez le certificat :

admin@ncs# license smart deregister 
ok
admin@ncs# license smart register idtoken TOKEN
Registration process in progress. Use the 'show license status' command to check the progress and result.
admin@ncs# 

6. Afin de confirmer que l'enregistrement a réussi avec la commande show license summary dont le résultat est montré dans cet article.