Configurer les licences Smart pour les plates-formes de routage IOS Enterprise
Table des matières
Introduction
Ce document décrit les types de déploiement de Cisco Smart Licensing (SL) et la configuration requise.
Conditions préalables
Exigences
- Un compte Smart avec accès au portail Cisco Smart Software Manager (CSSM)
- Périphérique avec la version Cisco IOS® comprise entre 16.5.1 et 17.3.1
- Serveur sur site Cisco Smart Software Manager
- Connectivité HTTPS entre le périphérique et le serveur CSSM ou On-Prem
Composants utilisés
Ce document s'applique aux plates-formes de routage d'entreprise Cisco IOS XE.
Les informations contenues dans ce document sont basées sur les versions matérielles et logicielles suivantes :
- Cisco ASR1001-X avec Cisco IOS XE version 16.9.4 et Cisco ISR4351 avec Cisco IOS XE version 16.12.1.
- Serveur Smart Software Manager avec version 8-202108.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Types de déploiement
Quatre options de déploiement principales sont disponibles pour l'enregistrement et l'utilisation des licences Smart :
- Accès CSSM direct
- Accès CSSM direct avec proxy
- Accès sur site SSM
- Réservation de licence spécifique (SLR)
Accès CSSM direct
Cette option de déploiement vous permet de transférer des informations d'utilisation via Internet directement à Cisco via HTTPS.
À partir de Cisco IOS XE 16.10.1a, les licences Smart sont activées par défaut et constituent le seul modèle de licence disponible. Pour ce déploiement, la configuration de couche 3 est requise et l'accessibilité à tools.cisco.com dans le port HTTPS (443) à partir de l'interface appropriée. La configuration DNS est requise.
Une fois la connectivité confirmée, les étapes d'enregistrement des périphériques sont les suivantes :
Étape 1 : activation de la licence Smart sur le périphérique (facultatif) À partir de 16.10.1a, il est activé par défaut.
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#license smart enable
Étape 2 : configuration d’un serveur DNS (Domain Name System) ou d’une entrée d’hôte statique pour tools.cisco.com.
Router(config)#ip name-server X.X.X.X
or
Router(config)#ip host tools.cisco.com X.X.X.X
Étape 3. Génération d’un nouveau jeton à partir de Cisco Smart Software Manager
- Connectez-vous à Cisco Smart Software Manager à l'adresse https://software.cisco.com/# et accédez à la section Smart Software Manager.
- Sélectionnez l'onglet Inventaire, puis Compte virtuel dans la liste déroulante Compte virtuel.
- Sélectionnez l'onglet General, puis sélectionnez New Token.
- Saisissez la description du jeton et spécifiez le nombre de jours pendant lesquels le jeton doit être actif.
- Activez Autoriser la fonctionnalité de contrôle d'exportation sur les produits enregistrés avec ce jeton.Cela permet la demande d'une licence de cryptage élevée pour les périphériques enregistrés.
- Sélectionnez Créer un jeton. Une fois le jeton créé, sélectionnez Copy.
Étape 4. Modification de la configuration de Call Home (facultatif)
La configuration du profil call-home par défaut est suffisante pour enregistrer le périphérique. Vous pouvez vérifier la configuration actuelle du profil Call Home ici :
Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
Étape 5 : enregistrement du périphérique avec le CSSM avec le jeton
Router#license smart register idtoken < token from CSSM portal > force
Remarque : Le mot clé force immédiatement la tentative d'enregistrement. Si elle n'est pas utilisée, la procédure d'enregistrement peut prendre plus de temps.
Étape 6. Vérifiez que le périphérique est correctement enregistré auprès du CSSM.
Router#show license status Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: CORE TAC Export-Controlled Functionality: Allowed Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC Last Renewal Attempt: None Next Renewal Attempt: Feb 28 12:54:22 2018 UTC Registration Expires: Sep 01 12:49:04 2018 UTC License Authorization: Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC Next Communication Attempt: Oct 01 12:54:28 2017 UTC Communication Deadline: Nov 30 12:49:12 2017 UTC
Accès CSSM direct avec VRF (Virtual Routing and Forwarding)
Si le périphérique utilise un VRF pour atteindre le CSSM, il est nécessaire de configurer le VRF source et l'interface source dans la configuration du profil d'appel à distance. Pour configurer ce déploiement, vous devez suivre les étapes 1 à 3 de la section Direct CSSM Access. Ensuite, modifiez la configuration de call-home avec le VRF correct et l'interface source pour atteindre l'URL CSSM. Ici est utilisée l'interface de gestion GigabitEthernet0 qui est dans le VRF Mgmt-intf comme exemple.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
Configurez l'interface HTTP source avec l'interface correcte affectée au VRF. Cette configuration influence le trafic HTTP et HTTPS.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
Configurez DNS pour le VRF spécifique :
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X
Une fois la configuration VRF effectuée, vous pouvez poursuivre avec les étapes 5 et 6 de la section Direct CSSM Access.
Accès CSSM direct avec proxy
Si un serveur proxy est requis pour obtenir la connectivité HTTPS au CSSM, il est nécessaire de suivre les étapes dans la section Accès direct au CSSM et d'inclure la commande http-proxy dans la configuration call-home.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080
Accès sur site SSM
Ce type de déploiement vous permet de gérer les produits et les licences dans vos locaux sans connexion directe au CSSM hébergé par Cisco. Pour implémenter cela, vous devez déjà avoir installé un SSM On-Prem sur votre réseau. Les étapes d'installation de SSM On-Prem sortent du cadre de ce document.
Les étapes de configuration permettant de connecter le serveur On-Prem SSM à un périphérique sont les suivantes :
Étape 1 : activation de Smart Licensing sur le périphérique
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#license smart enable
Étape 2. Assurez-vous que vous êtes en mesure de communiquer avec votre serveur sur site CSSM.
Router#ping X.X.X.X Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms
Étape 3. Génération d’un nouveau jeton à partir de SSM On-Prem
3.1 Connexion au serveur SSM
3.2 Création de jeton
- Saisissez la description du jeton. Spécifiez le nombre de jours pendant lesquels le jeton doit être actif.
- Activez la case à cocher Autoriser la fonctionnalité d'exportation contrôlée sur les produits enregistrés avec ce jeton.
- Sélectionnez Créer un jeton.
- Une fois le jeton créé, sélectionnez Copy pour copier le jeton nouvellement créé.
Étape 4 : configuration de la fonction Call Home sur le périphérique
Il est nécessaire de modifier la commande destination address http avec l'adresse IP du serveur On-Prem (http://X.X.X.X/Transportgateway/services/DeviceRequestHandler) et de supprimer celle par défaut.
Router(config)#call-home Router(cfg-call-home)#profile CiscoTAC-1 Router(cfg-call-home-profile)#destination transport-method http Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService Router(cfg-call-home-profile)#active Router(cfg-call-home-profile)#exit Router(cfg-call-home)#contact-email-addr test@cisco.com Router(cfg-call-home)#service call-home Router(cfg-call-home)#end
Étape 5 : configuration de revocation-check none sur le point de confiance SLA-TrustPoint
Router#configure terminal Router(config)#crypto pki trustpoint SLA-TrustPoint Router(ca-trustpoint)#revocation-check none
Étape 6. Enregistrement du périphérique avec le jeton récupéré à partir de SSM On-Prem
Router#license smart register idtoken < token from SSM On-Prem portal > force
Étape 7. Vérifiez que le périphérique s'est correctement enregistré avec le module SSM On-Prem.
Router#show license status Smart Licensing is ENABLED Utility: Status: DISABLEDData Privacy: Sending Hostname: yes Callhome hostname privacy: DISABLED Smart Licensing hostname privacy: DISABLED Version privacy: DISABLED Transport: Type: Callhome Registration: Status: REGISTERED Smart Account: manudiaz Virtual Account: Default Export-Controlled Functionality: ALLOWED Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC Last Renewal Attempt: None Next Renewal Attempt: Sept 30 14:22:12 2021 UTC Registration Expires: Oct 19 04:35:44 2021 UTC
Accès sur site SSM avec configuration VRF
Si vous utilisez un VRF pour atteindre SSM On-Prem, vous devez configurer le VRF source de sorte que le périphérique génère la requête à partir du VRF correct.
Suivez les étapes de la section SSM On-Prem Access jusqu'à l'étape 3.
Étape 1 : modification de la configuration Call Home avec le VRF approprié et l’interface source permettant d’accéder à SSM On-Prem :
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
Étape 2 : configuration de l’interface http-client source avec l’interface correcte attribuée au VRF
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
Étape 3 : configuration du DNS pour le VRF spécifique
Vous pouvez configurer un serveur DNS dans votre environnement On-Prem pour résoudre le nom de votre serveur On-Prem SSM :
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X
Vous pouvez continuer avec les étapes 5 et 6 de l'accès sur site SSM après ces modifications.
Réservation de licence spécifique (SLR)
SLR est une fonctionnalité qui vous permet de déployer une licence logicielle sur un périphérique sans communiquer directement les informations d'utilisation à Cisco. Cette fonctionnalité est particulièrement utile dans les réseaux hautement sécurisés et elle est prise en charge sur les plates-formes disposant du portail de gestion des licences Smart. Ce guide de configuration suppose que vous avez demandé et avez été autorisé à utiliser le reflex.
Pour configurer le reflex dans le périphérique, il est nécessaire d'effectuer ces étapes du côté du routeur ainsi que du portail CSSM
Étape 1 : configuration du routeur pour le reflex Vous devez entrer la commande license smart reservation et demander la fonctionnalité SLR avec license smart reservation request local.
Router# enable Router# configure terminal Router(config)# license smart reservation Router(config)# exit Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX
Sur le CSSM, il est nécessaire de réserver les licences requises.
Étape 2. Connectez-vous à CSSM à l’adresse https://software.cisco.com/#. Vous devez vous connecter au portail avec vos identifiants Cisco.
Étape 3. Sélectionnez l'onglet Inventaire. Dans la liste déroulante Compte virtuel, sélectionnez votre compte Smart.
Étape 4. Dans l'onglet Licences, sélectionnez License Reservation.
Étape 5. Sur la page Enter Request Code, saisissez ou joignez le code de demande de réservation que vous avez généré à partir du routeur, puis sélectionnez Next.
Étape 6. Cochez la case Reserve a Specific License et sélectionnez la licence et la quantité de licence réservée requise pour chaque périphérique.
Étape 7. Dans l'onglet Vérifier et confirmer, sélectionnez Générer un code d'autorisation.
Étape 8. Sélectionnez Copier dans le Presse-papiers pour copier le code ou Téléchargez-le en tant que fichier. Vous devez copier le code ou le fichier sur votre périphérique pour continuer le processus.
Si vous configurez SLR, vous pouvez télécharger ou installer le fichier texte du code d'autorisation. Si vous configurez la réservation de licence permanente (PLR), vous pouvez copier et coller le code d'autorisation.
Étape 9. Connectez-vous à votre périphérique et utilisez la commande d’installation license smart reservation install file bootflash:<SLR file>.
Router#enable Router#license smart reservation install file bootflash:
Si nécessaire, vous pouvez renvoyer les licences réservées dans le périphérique et revenir à un état non enregistré. Un code de retour est généré et doit être entré dans CSSM pour supprimer l'instance de produit.
Router#enable Router#license smart reservation return local
Mettre à jour une réservation de licence spécifique
Une fois que vous avez enregistré correctement un périphérique, si nécessaire, vous pouvez mettre à jour la réservation avec une nouvelle fonctionnalité ou licence :
Étape 1. Connectez-vous à Cisco Smart Software Manager à l'adresse https://software.cisco.com/#. Vous devez vous connecter au portail avec le nom d'utilisateur et le mot de passe fournis par Cisco.
Étape 2. Accédez à l'onglet Inventaire et sélectionnez votre compte Smart dans la liste déroulante Compte virtuel.
Étape 3. Dans l'onglet Product Instances, sélectionnez Actions pour le périphérique que vous devez mettre à jour.
Étape 4. Sélectionnez Mettre à jour les licences réservées.
Étape 5. Sélectionnez la licence que vous souhaitez mettre à jour.
Étape 6. Sélectionnez Suivant.
Étape 7. Dans l'onglet Vérifier et confirmer, sélectionnez Générer un code d'autorisation. L'onglet Authorization Code s'affiche. Le système affiche le code d'autorisation généré.
Étape 8. Sélectionnez l'option Copier dans le Presse-papiers pour copier le code ou le télécharger sous forme de fichier. Vous devez copier le code ou le fichier sur votre périphérique.
Étape 9. Connectez-vous au périphérique à mettre à jour.
Étape 10. Exécutez la commande license smart reservation install file.
Router#enable Router#license smart reservation install file bootflash:
Résilier une réservation de licence spécifique
Pour annuler l'enregistrement d'une réservation de licence spécifique pour un périphérique, vous devez renvoyer la réservation de licence dans l'interface de ligne de commande et supprimer l'instance de CSSM.
Étape 1. Connectez-vous au périphérique dont vous souhaitez annuler l’enregistrement.
Étape 2. Pour supprimer le code d'autorisation de réservation de licence, utilisez la commande license smart reservation return.
Router#license smart reservation return local This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly. Do you want to continue? [yes/no]: yes Enter this return code in Cisco Smart Software Manager portal: UDI: PID:ISR4351/K9,SN:FDO210305DQ CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33
Étape 3. Connectez-vous à CSSM à l’adresse https://software.cisco.com/#.
Étape 4. Sélectionnez l'onglet Inventaire. Dans la liste déroulante Compte virtuel, sélectionnez votre compte Smart.
Étape 5. Dans l'onglet Instance de produit, sélectionnez Actions pour le périphérique que vous souhaitez annuler l'enregistrement.
étape 6. Sélectionnez Remove (retirer).
Étape 7. Lorsque vous y êtes invité, entrez le code de retour.
Dépannage
Le périphérique ne peut pas résoudre tools.cisco.com
Vérifiez que vous avez correctement configuré un serveur DNS pour le VRF ou la table de routage globale corrects. Si vous le souhaitez, vous pouvez également créer une entrée DNS statique :
Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8
Le routeur ne peut pas communiquer avec tools.cisco.com
- Assurez-vous qu'une route par défaut vers Internet est configurée.
- Assurez-vous qu'il n'y a pas de pare-feu ou de proxy entre le périphérique et CSSM.
- Assurez-vous que les ports 443 et 80 ne sont pas bloqués.
Router#telnet tools.cisco.com 443 Trying tools.cisco.com (72.163.4.38, 80)... Open
- Telnet avec VRF.
Router#telnet tools.cisco.com 443 /vrf Mgmt-intf Trying tools.cisco.com (72.163.4.38, 443)... Open
Licence dans l'état « HORS CONFORMITÉ »
Cet état se produit lorsque le périphérique utilise un droit et n'est pas conforme (solde négatif). Cela se produit lorsqu'une licence requise n'est pas disponible dans le compte virtuel auprès duquel le périphérique Cisco est enregistré.
Router#show license all License Authorization: Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT Next Communication Attempt: Mar 26 03:12:31 2019 CDT Communication Deadline: Jun 23 15:06:30 2019 CDT
- Pour passer à l'état Conformité / Autorisé, vous devez ajouter le nombre et le type de licences corrects au compte Smart
- Lorsque le périphérique est dans cet état, il envoie automatiquement une demande de renouvellement d'autorisation chaque jour
Débogages des licences Smart
Voici quelques débogages qui peuvent être utilisés pour résoudre les problèmes d'enregistrement de licences Smart et Call-Home :
- debug call-home trace
- debug call-home error
- debug call-home smart-licensing all
- debug ip http client all
- debug crypto pki <toutes les options>
- debug ssl openssl <toutes les options>
Additional Information
Guide Cisco Smart Licensing pour les plates-formes de routage d'entreprise Cisco
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
3.0 |
29-Aug-2024
|
Titre mis à jour, exigences de marque, traduction automatique, exigences de style, orthographe et mise en forme. |
2.0 |
27-Jun-2023
|
Texte de remplacement ajouté.
Titre mis à jour, exigences de marque, traduction automatique, exigences de style, orthographe et mise en forme. |
1.0 |
24-May-2022
|
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)