Configurer les licences Smart pour les plates-formes de routage d'entreprise Cisco IOS® ; XE

Introduction

Ce document décrit les types de déploiement de Cisco Smart Licensing (SL) et la configuration requise.

Conditions préalables

Exigences

• Un compte Smart avec accès au portail Cisco Smart Software Manager (CSSM).
• Périphérique avec la version Cisco IOS® XE comprise entre 16.5.1 et 17.3.1.
• Serveur sur site Cisco Smart Software Manager.
• Connectivité HTTPS entre le périphérique et le serveur CSSM ou On-Prem.

Remarque : pour certains déploiements, Cisco Smart Software Manager On-Prem n'est pas nécessaire. Il s'agit d'un composant facultatif de la fonction.

Attention : Smart Licensing est facultatif pour les versions comprises entre 16.5.1 et 16.9.8. Pour les périphériques physiques avec Cisco IOS® XE 16.10.1a jusqu'à Cisco IOS® XE 17.3.1, la licence Smart est obligatoire. À partir de la version 17.3.2, la politique d'utilisation des licences Smart est obligatoire. Pour les périphériques virtuels et les autres plates-formes Cisco, consultez les notes de version du code spécifique.

Composants utilisés

Ce document s'applique aux plates-formes de routage d'entreprise Cisco IOS® XE.
Les informations contenues dans ce document sont basées sur les versions matérielles et logicielles suivantes :

• Cisco ASR1001-X avec Cisco IOS® XE version 16.9.4 et Cisco ISR4351 avec Cisco IOS® XE version 16.12.1. 
• Serveur Smart Software Manager avec version 8-202108.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Types de déploiement 

Quatre options de déploiement principales sont disponibles pour l'enregistrement et l'utilisation des licences Smart :

1. Accès CSSM direct
2. Accès CSSM direct avec proxy
3. Accès sur site SSM
4. Réservation de licence spécifique (SLR)

Accès CSSM direct

Cette option de déploiement vous permet de transférer des informations d'utilisation via Internet directement à Cisco via HTTPS.

À partir de Cisco IOS® XE 16.10.1a, les licences Smart sont activées par défaut et constituent le seul modèle de licence disponible. Pour ce déploiement, la configuration de couche 3 est requise et l'accessibilité à tools.cisco.com dans le port HTTPS (443) à partir de l'interface appropriée. La configuration DNS est requise.

Une fois la connectivité confirmée, les étapes d'enregistrement des périphériques sont les suivantes :

Étape 1. Activez la licence Smart sur le périphérique (facultatif). À partir de 16.10.1a, il est activé par défaut.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

Remarque : cette commande active le service call-home requis.

Étape 2. Configurez un serveur DNS (Domain Name System) ou une entrée d'hôte statique pour tools.cisco.com.

Router(config)#ip name-server X.X.X.X 
or
Router(config)#ip host tools.cisco.com X.X.X.X

Étape 3. Générez un nouveau jeton depuis Cisco Smart Software Manager.

• Connectez-vous à Cisco Smart Software Manager à l'adresse https://software.cisco.com/# et accédez à la section Smart Software Manager.
• Sélectionnez l'onglet Inventaire, puis Compte virtuel dans la liste déroulante Compte virtuel.
• Sélectionnez l'onglet General, puis sélectionnez New Token.

• Saisissez la description du jeton et spécifiez le nombre de jours pendant lesquels le jeton doit être actif.
• Activez Autoriser la fonctionnalité de contrôle d'exportation sur les produits enregistrés avec ce jeton.Cela permet la demande d'une licence de cryptage élevée pour les périphériques enregistrés.
• Sélectionnez Créer un jeton. Une fois le jeton créé, sélectionnez Copy.

Étape 4. Modifier la configuration de la fonction Call-Home (facultatif).

La configuration du profil call-home par défaut est suffisante pour enregistrer le périphérique. Vous pouvez vérifier la configuration actuelle du profil Call Home ici :

Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email

Étape 5. Enregistrez le périphérique avec le CSSM avec le jeton.

Router#license smart register idtoken < token from CSSM portal > force

Étape 6. Vérifiez que le périphérique est correctement enregistré auprès du module CSSM.

Router#show license status 
Smart Licensing is ENABLED 

Registration: 
 Status: REGISTERED 
 Smart Account: TAC Cisco Systems, Inc. 
 Virtual Account: CORE TAC 
 Export-Controlled Functionality: Allowed 
 Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC 
 Last Renewal Attempt: None 
 Next Renewal Attempt: Feb 28 12:54:22 2018 UTC 
 Registration Expires: Sep 01 12:49:04 2018 UTC 

License Authorization: 
 Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC 
 Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC 
 Next Communication Attempt: Oct 01 12:54:28 2017 UTC 
 Communication Deadline: Nov 30 12:49:12 2017 UTC

Accès CSSM direct avec VRF (Virtual Routing and Forwarding)

Si le périphérique utilise un VRF pour atteindre le CSSM, il est nécessaire de configurer le VRF source et l'interface source dans la configuration du profil d'appel à distance. Pour configurer ce déploiement, vous devez suivre les étapes 1 à 3 de la section Direct CSSM Access. Ensuite, modifiez la configuration de call-home avec le VRF correct et l'interface source pour atteindre l'URL CSSM. Ici est utilisée l'interface de gestion GigabitEthernet0 qui est dans le VRF Mgmt-intf comme exemple.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

Configurez l'interface HTTP source avec l'interface correcte affectée au VRF. Cette configuration influence le trafic HTTP et HTTPS.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

Configurez DNS pour le VRF spécifique :

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X

Une fois la configuration VRF effectuée, elle peut être poursuivie avec les étapes 5 et 6 de la section Direct CSSM Access.

Accès CSSM direct avec proxy 

Si un serveur proxy est requis pour obtenir la connectivité HTTPS au CSSM, il est nécessaire de suivre les étapes dans la section Accès direct au CSSM et d'inclure la commande http-proxy dans la configuration de call-home.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080 

Accès sur site SSM

Ce type de déploiement vous permet de gérer les produits et les licences dans vos locaux sans connexion directe au CSSM hébergé par Cisco. Pour implémenter cela, vous devez déjà avoir installé un SSM On-Prem sur votre réseau. Les étapes d'installation de SSM On-Prem sortent du cadre de ce document.

Les étapes de configuration permettant de connecter le serveur On-Prem SSM à un périphérique sont les suivantes :

Étape 1. Activez la licence Smart sur le périphérique.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

Remarque : cette commande active le service call-home qui est requis.

Étape 2. Assurez-vous que vous êtes en mesure de communiquer avec votre serveur sur site CSSM.

Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

Remarque : si vous disposez d'un serveur DNS, vous pouvez l'utiliser pour convertir votre adresse IP de serveur On-Prem en nom.

Étape 3. Générez un nouveau jeton à partir de SSM On-Prem.

3.1 Connexion au serveur SSM

3.2 Création de jeton

• Saisissez la description du jeton. Spécifiez le nombre de jours pendant lesquels le jeton doit être actif.
• Activez la case à cocher Autoriser la fonctionnalité d'exportation contrôlée sur les produits enregistrés avec ce jeton.
• Sélectionnez Créer un jeton.
• Une fois le jeton créé, sélectionnez Copy pour copier le jeton nouvellement créé.

Étape 4. Configurez le call-home sur le périphérique.

Il est nécessaire de modifier la commande destination address http avec l'adresse IP du serveur On-Prem (http://X.X.X.X/Transportgateway/services/DeviceRequestHandler) et de supprimer celle par défaut.

Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end

Étape 5. Configurez revocation-check none sur le point de confiance SLA-TrustPoint.

Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none

Étape 6. Enregistrez le périphérique avec le jeton récupéré depuis SSM On-Prem.

Router#license smart register idtoken < token from SSM On-Prem portal > force

Étape 7. Vérifiez que le périphérique s'est correctement enregistré avec le module SSM On-Prem.

Router#show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLEDData Privacy:
 Sending Hostname: yes
 Callhome hostname privacy: DISABLED
 Smart Licensing hostname privacy: DISABLED
 Version privacy: DISABLED

Transport:
 Type: Callhome

Registration:
 Status: REGISTERED
 Smart Account: manudiaz
 Virtual Account: Default
 Export-Controlled Functionality: ALLOWED
 Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
 Last Renewal Attempt: None
 Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
 Registration Expires: Oct 19 04:35:44 2021 UTC

Accès sur site SSM avec configuration VRF

Si vous utilisez un VRF pour atteindre SSM On-Prem, vous devez configurer le VRF source de sorte que le périphérique génère la requête à partir du VRF correct.

Suivez les étapes de la section SSM On-Prem Access jusqu'à l'étape 3.

Étape 1. Modifiez la configuration Call Home avec le VRF approprié et l'interface source où vous pouvez accéder à SSM On-Prem :

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

Étape 2. Configurez l'interface http-client source avec l'interface correcte affectée au VRF :

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

Étape 3. Configurez DNS pour le VRF spécifique.

Vous pouvez configurer un serveur DNS dans votre environnement On-Prem pour résoudre le nom de votre serveur On-Prem SSM :

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X

Vous pouvez continuer avec les étapes 5 et 6 de SSM On-Prem Access après ces modifications.

Réservation de licence spécifique (SLR)

SLR est une fonctionnalité qui vous permet de déployer une licence logicielle sur un périphérique sans communiquer directement les informations d'utilisation à Cisco. Cette fonctionnalité est particulièrement utile dans les réseaux hautement sécurisés et elle est prise en charge sur les plates-formes disposant du portail de gestion des licences Smart.  Ce guide de configuration suppose que vous avez demandé et avez été autorisé à utiliser le reflex.

Remarque : le reflex n'est pas activé par défaut. Vous devez demander spécifiquement cette fonctionnalité. 

Remarque : le reflex et les licences sont pris en charge dans Cisco IOS® XE 16.11.1a et les versions ultérieures.

Pour configurer le reflex dans le périphérique, il est nécessaire d'effectuer ces étapes du côté du routeur ainsi que du portail CSSM

Étape 1. Configurez le routeur pour le reflex. Vous devez entrer la commande license smart reservation et demander la fonctionnalité SLR avec license smart reservation request local.

Remarque : si l'enregistrement est effectué sur une plate-forme HA, vous devez utiliser license smart reservation request all.

Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
  Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX

Remarque : le reflex n'est pas activé par défaut. Vous devez demander spécifiquement cette fonctionnalité.

Remarque : pour annuler la demande de réservation de licence, exécutez la commande license smart reservation cancel.

Sur le CSSM, il est nécessaire de réserver les licences requises.

Étape 2. Connectez-vous à CSSM à l'adresse https://software.cisco.com/#. Vous devez vous connecter au portail avec vos identifiants Cisco.

Étape 3. Sélectionnez l'onglet Inventaire. Dans la liste déroulante Compte virtuel, sélectionnez votre compte Smart.

Étape 4. Dans l'onglet Licences, sélectionnez License Reservation.

Étape 5. Sur la page Enter Request Code, saisissez ou joignez le code de demande de réservation que vous avez généré à partir du routeur, et sélectionnez Next.

Étape 6. Cochez la case Reserve a Specific License et sélectionnez la licence et la quantité de licence réservée requise pour chaque périphérique.

Étape 7. Dans l'onglet Vérifier et confirmer, sélectionnez Générer un code d'autorisation.

Remarque : une fois que vous avez généré le code SLR pour un périphérique spécifique, le fichier de code d'autorisation est valide jusqu'à ce que vous installiez le code. Si l'installation échoue, vous devez contacter Cisco Global License Operations (GLO) pour créer un nouveau code d'autorisation. Vous pouvez contacter GLO ici

Étape 8. Sélectionnez Copier dans le Presse-papiers pour copier le code ou Télécharger-le en tant que fichier. Vous devez copier le code ou le fichier sur votre périphérique pour continuer le processus.

Si vous configurez SLR, vous pouvez télécharger ou installer le fichier texte du code d'autorisation. Si vous configurez la réservation de licence permanente (PLR), vous pouvez copier et coller le code d'autorisation.

Étape 9. Connectez-vous à votre périphérique et utilisez la commande d'installation license smart reservation install file bootflash:<SLR file>.

Router#enable
Router#license smart reservation install file bootflash:

 Si nécessaire, vous pouvez renvoyer les licences réservées dans le périphérique et revenir à un état non enregistré. Un code de retour est généré et doit être entré dans CSSM pour supprimer l'instance de produit.

Router#enable
Router#license smart reservation return local

Mettre à jour une réservation de licence spécifique

Une fois que vous avez enregistré correctement un périphérique, si nécessaire, vous pouvez mettre à jour la réservation avec une nouvelle fonctionnalité ou licence comme suit :

Étape 1. Connectez-vous à Cisco Smart Software Manager à l'adresse https://software.cisco.com/#. Vous devez vous connecter au portail avec le nom d'utilisateur et le mot de passe fournis par Cisco.

Étape 2. Accédez à l'onglet Inventaire et sélectionnez votre compte Smart dans la liste déroulante Compte virtuel.

Étape 3. Dans l'onglet Product Instances, sélectionnez Actions pour le périphérique que vous devez mettre à jour.

Étape 4. Sélectionnez Mettre à jour les licences réservées.

Étape 5. Sélectionnez la licence que vous souhaitez mettre à jour.

Étape 6. Sélectionnez Suivant.

Étape 7. Dans l'onglet Vérifier et confirmer, sélectionnez Générer un code d'autorisation. L'onglet Authorization Code s'affiche. Le système affiche le code d'autorisation généré.

Étape 8. Sélectionnez l'option Copier dans le Presse-papiers pour copier le code ou le télécharger sous forme de fichier. Vous devez copier le code ou le fichier sur votre périphérique.

Étape 9. Connectez-vous au périphérique que vous souhaitez mettre à jour.

Étape 10. Exécutez la commande license smart reservation install file.

Router#enable
Router#license smart reservation install file bootflash:

Résilier une réservation de licence spécifique

Pour annuler l'enregistrement d'une réservation de licence spécifique pour un périphérique, vous devez renvoyer la réservation de licence dans l'interface de ligne de commande et supprimer l'instance de CSSM.

Étape 1. Connectez-vous au périphérique dont vous souhaitez annuler l'inscription.

Étape 2. Pour supprimer le code d'autorisation de réservation de licence, utilisez la commande license smart reservation return.

Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
    CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33

Étape 3. Connectez-vous à CSSM à l'adresse https://software.cisco.com/#.

Étape 4. Sélectionnez l'onglet Inventaire. Dans la liste déroulante Compte virtuel, sélectionnez votre compte Smart.

Étape 5. Dans l'onglet Product instance, pour le périphérique que vous souhaitez annuler l'enregistrement, sélectionnez Actions.

Étape 6. Sélectionnez Supprimer.

Étape 7. Lorsque vous y êtes invité, entrez le code de retour.

Dépannage

Le périphérique ne peut pas résoudre tools.cisco.com

 Vérifiez que vous avez correctement configuré un serveur DNS pour le VRF ou la table de routage globale corrects. Si vous le souhaitez, vous pouvez également créer une entrée DNS statique :

Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8 

Remarque : les adresses IP 72.163.4.38 et 173.37.145.8 sont celles utilisées pour accéder à tools.cisco.com. Celles-ci peuvent changer. Les adresses IP résolues par DNS peuvent être identiques ou modifiées. Confirmer avec l'équipement local avant la configuration manuelle.

Le routeur ne peut pas communiquer avec tools.cisco.com

• Assurez-vous qu'une route par défaut vers Internet est configurée.
• Assurez-vous qu'il n'y a pas de pare-feu ou de proxy entre le périphérique et CSSM.
• Assurez-vous que les ports 443 et 80 ne sont pas bloqués.

Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open

• Telnet avec VRF.

Router#telnet tools.cisco.com 443 /vrf Mgmt-intf 
Trying tools.cisco.com (72.163.4.38, 443)... Open

Licence dans l'état « HORS CONFORMITÉ »

Cet état se produit lorsque le périphérique utilise un droit et n'est pas conforme (solde négatif). Cela se produit lorsqu'une licence requise n'est pas disponible dans le compte virtuel auprès duquel le périphérique Cisco est enregistré.

Router#show license all

License Authorization:
  Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
  Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
  Next Communication Attempt: Mar 26 03:12:31 2019 CDT
  Communication Deadline: Jun 23 15:06:30 2019 CDT

• Pour passer à l'état Conformité / Autorisé, vous devez ajouter le nombre et le type de licences corrects au compte Smart
• Lorsque le périphérique est dans cet état, il envoie automatiquement une demande de renouvellement d'autorisation chaque jour

Débogages des licences Smart

Voici quelques débogages qui peuvent être utilisés pour résoudre les problèmes d'enregistrement de licences Smart et Call-Home :

• debug call-home trace
• debug call-home error
• debug call-home smart-licensing all
• debug ip http client all
• debug crypto pki <toutes les options>
• debug ssl openssl <toutes les options>

Additional Information

Guide Cisco Smart Licensing pour les plates-formes de routage d'entreprise Cisco