Introduction
Ce document décrit comment configurer des licences HSEC à l'aide de SLP sur des commutateurs hors ligne de la gamme Catalyst 9300X.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Compréhension des concepts de Cisco Smart Licensing Using Policy (SLP)
- Connaissance de la gestion matérielle et logicielle des commutateurs Cisco Catalyst 9300X
- Expérience de navigation et de gestion des licences dans Cisco Smart Software Manager (CSSM)
- Possibilité d'utiliser la CLI sur les périphériques Cisco IOS XE
- Connaissance des types de licences Cisco DNA
- Procédures d'enregistrement et de réservation de licence
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Matériel : Cisco Catalyst C9300X-24Y
- le logiciel Cisco IOS: Cisco IOS XE 17.12.04
- Infrastructure de licence intelligente : Cisco Smart Software Manager (CSSM)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
La licence HSEC (High-Security) offre des fonctionnalités de sécurité avancées sur les plates-formes Cisco, améliorant ainsi la protection du réseau, l'intégrité des données et la confidentialité. Il fournit des outils robustes pour une communication sécurisée et la conformité aux exigences de sécurité strictes.
Fonctionnalités clés activées par HSEC :
- La prise en charge VPN facilite les communications sécurisées et cryptées sur les réseaux publics, tels que les VPN IPsec et SSL, pour l'accès site à site et à distance.
- Les fonctions de cryptage prennent en charge des algorithmes cryptographiques puissants pour la protection des données, notamment AES et SHA pour garantir la confidentialité, l'intégrité et l'authentification.
- WAN MACsec étend les capacités de cryptage de couche 2 (MACsec) sur les liaisons WAN, assurant ainsi la sécurité de bout en bout des données sur les réseaux non fiables.
- Les améliorations de l'évolutivité permettent une évolutivité plus élevée pour les tunnels cryptés, tels que les sessions VPN, afin de prendre en charge les déploiements à grande échelle.
- La communication sécurisée offre des fonctionnalités telles que FlexVPN et DMVPN pour une connectivité dynamique, évolutive et sécurisée.
Configurer
Utilisez l'interface de ligne de commande C9300X pour configurer les licences Smart.
Désactivez la fonction Smart Licensing Transport.
Configuration CLI :
device#conf t
Enter configuration commands, one per line. End with CNTL/Z.
device(config)#license smart transport off
Installer une demande ACK de confiance
Générez et enregistrez la demande de code d'approbation pour l'instance de produit active dans la mémoire Flash.
Configuration CLI :
device#license smart save trust-request flash:trust_request.txt
Téléchargez le fichier de demande d'approbation sur Cisco SSM et téléchargez le fichier ACK.
- Connectez-vous à l'interface utilisateur Web de Cisco SSM à l'adresse https://software.cisco.com. Sous Smart Software Licensing, cliquez sur le lien Manage licenses.
- Sélectionnez le compte Smart qui reçoit le rapport.
- Sélectionnez Smart Software Licensing > Reports > Usage Data Files.
- CLIck Télécharger les données d'utilisation. Accédez à l'emplacement du fichier (rapport RUM au format tar), sélectionnez, puis cliquez sur CLIck Upload Data.
Remarque : Vous ne pouvez pas supprimer un fichier après l'avoir téléchargé. Vous pouvez toutefois télécharger un autre fichier, si nécessaire.
5. Dans la fenêtre contextuelle Sélectionner des comptes virtuels, sélectionnez le compte virtuel qui reçoit le fichier téléchargé.
6. Le fichier est téléchargé et figure dans le tableau Fichiers de données d'utilisation de l'écran Rapports. Les détails affichés incluent le nom du fichier, l'heure à laquelle il a été signalé, le compte virtuel vers lequel il a été téléchargé, l'état du rapport, le nombre d'instances de produit signalées et l'état de l'accusé de réception.
7. Dans la colonne Acknowledgement, cliquez sur Download pour enregistrer le fichier ACK pour le rapport ou la demande que vous avez téléchargé.
Remarque : Vous devez attendre que le fichier apparaisse dans la colonne Accusé de réception. S'il y a beaucoup de rapports RUM ou de demandes à traiter, Cisco SSM doit prendre quelques minutes.
Après avoir téléchargé le fichier, importez-le et installez-le sur l'instance du produit
Copier le fichier ACK de confiance
Copiez le fichier de son emplacement ou répertoire source vers la mémoire flash de l'instance de produit.
Configuration CLI :
device#copy ftp: flash:
Address or name of remote host []? 192.168.1.1
Source filename []? ACK_ trust_request.txt
Destination filename [ACK_ trust_request.txt]?
Accessing ftp://192.168.1.1/ACK_ trust_request.txt...!
[OK - 5254/4096 bytes]
5254 bytes copied in 0.045 secs (116756 bytes/sec)
Importez et installez le fichier sur l'instance de produit.
Configuration CLI :
device#license smart import flash:ACK_ trust_request.txt
Import Data Successful
device#
*Jun 12 20:01:07.348: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9300X-24Y,S:XXXXXXXXX.
Installez une demande d'autorisation avec toutes les informations requises.
Générez et enregistrez la demande d'autorisation pour l'instance de produit active dans la mémoire Flash.
Configuration CLI :
device#license smart authorization request add hseck9 all
Remarque : HSEC : Haute sécurité.
Enregistrez la demande de code d'autorisation pour l'instance de produit active dans la mémoire Flash.
device#license smart authorization request save bootflash:auth3.txt
Téléchargez le fichier de demande d'autorisation sur Cisco SSM et téléchargez le fichier ACK.
- Connectez-vous à l'interface utilisateur Web de Cisco SSM à l'adresse https://software.cisco.com. Sous Smart Software Licensing, cliquez sur le lien Manage licenses.
- Sélectionnez le compte Smart qui reçoit le rapport.
- Sélectionnez Smart Software Licensing > Reports > Usage Data Files.
- CLIck Télécharger les données d'utilisation. Accédez à l'emplacement du fichier (rapport RUM au format tar), sélectionnez, puis cliquez sur CLIck Upload Data.
Remarque : Vous ne pouvez pas supprimer un fichier après l'avoir téléchargé. Vous pouvez toutefois télécharger un autre fichier, si nécessaire.
5. Dans la fenêtre contextuelle Sélectionner des comptes virtuels, sélectionnez le compte virtuel qui reçoit le fichier téléchargé.
Le fichier est téléchargé et est répertorié dans le tableau Fichiers de données d'utilisation dans l'écran Rapports. Les détails affichés incluent le nom du fichier, l'heure à laquelle il a été signalé, le compte virtuel vers lequel il a été téléchargé, l'état du rapport, le nombre d'instances de produit signalées et l'état de l'accusé de réception.
6. Dans la colonne Acknowledgement, cliquez sur Download pour enregistrer le fichier ACK pour le rapport ou la demande que vous avez téléchargé.
Remarque : Vous devez attendre que le fichier apparaisse dans la colonne Accusé de réception. S'il y a beaucoup de rapports RUM ou de demandes à traiter, Cisco SSM doit prendre quelques minutes.
Après avoir téléchargé le fichier, importez-le et installez-le sur l'instance du produit
Fichier ACK de demande CopyAuthorization
Copiez le fichier de son emplacement ou répertoire source vers la mémoire flash de l'instance de produit.
device#copy ftp flash
Address or name of remote host [192.168.1.1]? 192.168.1.1
Source filename [ACK_ auth3.txt]? ACK_auth3.txt
Destination filename [ACK_auth3.txt]?
Accessing ftp://192.168.1.1/ACK_auth3.txt ...!
[OK - 1543/4096 bytes]
1543 bytes copied in 0.041 secs (37634 bytes/sec)
Fichier ACK de demande InstallAuthorization
device#license smart import flash:ACK_auth3.txt
Last Confirmation code UDI: PID:C9300X-24Y,SN:XXXXXXXXX
Confirmation code: a4a85361
Import Data Completed
Last Confirmation code UDI: PID:C9300X-24Y,SN:XXXXXXXXX
Confirmation code: a4a85361
device#
*Jun 12 20:05:33.968: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C9300X-24Y,SN:XXXXXXXXXsh lic
Vérifier
Vous pouvez utiliser ces commandes pour vérifier l'état de la licence :
device#sh license sum
Account Information:
Smart Account: Cisco Systems, TAC As of Jun 12 20:03:03 2025 UTC
Virtual Account: LANSW
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
network-advantage (C9300X-12/24Y Network ...) 1 IN USE
dna-advantage (C9300X-12/24Y DNA Adva...) 1 IN USE
C9K HSEC (Cat9K HSEC) 0 NOT IN USE
device#show license authorization
Overall status:
Active: PID:C9300X-24Y,SN:XXXXXXXXXX
Status: SMART AUTHORIZATION INSTALLED on Jun 12 20:05:33 2025 UTC
Last Confirmation code: a4a85361
Authorizations:
C9K HSEC (Cat9K HSEC):
Description: HSEC Key for Export Compliance on Cat9K Series Switches
Total available count: 4
Enforcement type: EXPORT RESTRICTED
Term information:
Active: PID:C9300X-24Y,SN:FJC28281AE2
Authorization type: SMART AUTHORIZATION INSTALLED
License type: PERPETUAL
Term Count: 4
device#sh license all | i Trust
Trust Code Installed: Jun 12 20:01:07 2025 UTC