Configurazione e risoluzione dei problemi dei criteri di gestione delle licenze Smart sulle piattaforme ACI
Sommario
Introduzione
In questo documento viene descritto come usare i criteri di gestione delle licenze Cisco Smart e come configurare, risolvere i problemi e gestire le licenze software sulla piattaforma Cisco Application Centric Infrastructure (ACI).
Che cosa è la policy Cisco Smart Licensing (SLP)?
Cisco Smart Licensing è una piattaforma di gestione software che gestisce tutte le licenze dei prodotti Cisco. In base al feedback ricevuto, Cisco Smart Licensing è stato migliorato ed è stata proposta una nuova piattaforma, denominata SLP. Lo scopo di SLP è semplificare le licenze intelligenti e consentire la configurazione e la manutenzione. È stato introdotto nella versione ACI 5.2(4).
Non si ha familiarità con Smart Licensing e/o con l'amministrazione degli Smart Account?
iscriversi al nuovo corso di formazione per amministratori e registrarsi a
Cisco Community - Get Smart with Cisco Smart Accounts/Smart Licensing and My Cisco Entitlements
Per creare gli Smart Account, vedere Smart Account
Per gestire gli Smart Account, vedere Smart Software Licensing
Che cos'è un token ID?
Utilizzato per registrare in modo sicuro i prodotti su uno Smart Account e un account virtuale. I token ID sono "identificatori organizzativi" utilizzati per stabilire l'identità quando un prodotto viene registrato. Questi token in SLP vengono utilizzati con un metodo di registrazione diverso descritto più avanti in questo documento.
Genera un token ID da CSM
Per generare, visitare questo collegamento e passare a Manage Licenses > Inventory > General > New Token come mostrato nell'immagine.
Una volta generato, è possibile copiare o scaricare in azioni:
Licenza SLP e stati del prodotto
In ACI SLP non sono necessari 90 giorni del periodo di valutazione e la registrazione del prodotto. La registrazione del prodotto non è più necessaria. È necessario segnalare l'utilizzo delle licenze nel miglior modo possibile. Inoltre, lo stato di autorizzazione della licenza nella visualizzazione client viene eliminato. A questo punto, un diritto di licenza ha due stati: In uso o non in uso. Poiché il controller APIC gestisce solo le licenze attualmente in uso, sull'interfaccia utente/CLI di APIC è possibile visualizzare solo le licenze che sono in uso.
Metodi supportati con SLP
Esistono diversi metodi per configurare i criteri Smart License che possono essere differenziati come segue:
1. Modalità online
2. Modalità offline
In ACI SLP, introdurre il concetto di rapporto Misurazione utilizzo risorse (rapporto RUM). Un report RUM è un file in formato XML che contiene il report sull'utilizzo delle licenze. Quindi, la terminologia license usage report e Rum reportsono intercambiabili; entrambi fanno riferimento al rapporto sull'utilizzo delle licenze. In modalità online, un utente deve configurare la rete e fare in modo che il controller APIC sia connesso al CSSM direttamente o indirettamente, anche in modalità online, APIC può inviare automaticamente rapporti RUM al CSSM e ottenere conferma.
In modalità offline, poiché APIC è completamente isolato senza alcuna connessione di rete con CSSM diretta o indiretta, un utente deve scaricare periodicamente il report RUM da APIC, importarlo in CSSM, scaricare la conferma da CSSM e importarlo in APIC.
In base alla connettività di APIC con CSSM, è possibile decidere se utilizzare la modalità online o offline, che dispone quindi anche di più metodi in modalità online, come illustrato di seguito:
Metodo 1. Connessione diretta a CSM
Si tratta della modalità di rete più utilizzata. Cisco APIC deve disporre di connettività Internet in modo che possa inviare rapporti RUM direttamente al CSSM. È necessario configurare il DNS e consentire il ping del nome host CSM (tools.cisco.com).
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passare a System > Smart Licensing > Actions > Configure Network Settings.
Passaggio 3. Selezione Direct connect to CSSM.
Passaggio 4. L'URL e il numero di porta non possono essere modificati.
Passaggio 5. Incollare il token ID istanza prodotto, già ottenuto dall'account virtuale CSSM.
Passaggio 6. Fare clic su OK.
Una volta completata la sincronizzazione con CSM, i nomi degli Smart Account e degli account virtuali vengono aggiornati nella pagina Smart Licensing, come mostrato nell'immagine.
Metodo 2. Cisco Transport Gateway
Con questo metodo, Cisco APIC non richiede la connettività Internet. Cisco APIC invia i rapporti RUM al CSM con l'aiuto del gateway di trasporto. Il middleware del gateway di trasporto Cisco deve essere già installato nel centro dati e raggiungibile da APIC. Per la modalità Transport Gateway, il formato dell'URL è: http://
, dove IP o nomehost è l'IP o il nome host di Transport Gateway. Se non si tratta della porta HTTP 80 o HTTPS 443 predefinita, è necessario immettere il numero di porta. È inoltre necessario un token ID istanza prodotto che può essere ottenuto dall'account virtuale CSM.
Per installare e configurare Transport Gateway, è possibile fare riferimento alla documentazione di Cisco Transport Gateway:
https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passare a System > Smart Licensing > Actions > Configure Network Settings.
Passaggio 3. Selezionare Cisco Transport Gateway.
Passaggio 4. Modificare l'URL con l'IP (IP del gateway di trasporto Cisco) e la porta corretti;http://
.
Passaggio 5. Incollare il token ID istanza prodotto, già ottenuto dall'account virtuale CSSM.
Passaggio 6. Fare clic su OK.
Metodo 3. Proxy HTTP/HTTPS
Con questo metodo, Cisco APIC non richiede la connettività Internet. Cisco APIC invia i report RUM al CSM dal proxy Web. Verificare che il server proxy Web sia configurato per consentire i messaggi di gestione licenze smart. Inoltre, il firewall deve avere delle regole per passare la comunicazione per raggiungere la destinazione (https://tools.cisco.com/its/service/oddce/services/DDCEService).
In modalità Proxy, l'utente deve configurare l'IP e la porta proxy. Inoltre, è necessario un token ID istanza prodotto che può essere ottenuto dall'account virtuale CSSM dell'utente.
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passare aSystem > Smart Licensing >
Passaggio 3. SelezioneCisco HTTP/HTTPS Proxy.
Passaggio 4. Fornire l'indirizzo IP e il numero di porta del proxy.
Passaggio 5. Incollare il token ID istanza prodotto, che può essere ottenuto dall'account virtuale CSSM.
Passaggio 6. Fare clic suOK.
Metodo 4. Locale
Con questo metodo, Cisco APIC non richiede la connettività Internet, mentre On-Prem richiede la connettività Internet. L'APIC Cisco invia i rapporti RUM al CSM tramite l'On-Prem. Il middleware locale deve essere già installato nel centro dati. Questa modalità era già nota come Cisco Smart Software Manager Satellite (Manager Satellite) in Cisco ACI Smart Licensing (SL).
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passare aSystem > Smart Licensing > Actions > Configure Network Settings
Passaggio 3. Selezione Cisco Smart Software Manager On-Prem.
È necessario fornire l'URL di Cisco Smart Software Manager On-Prem. Per ottenere l'URL, accedere alla GUI locale di Cisco Smart Software Manager. Passa a Inventory > General e fare clic sul pulsante CSLU TransportCollegamento URL.
Passaggio 4. Copiare l'URL CSLU e incollarlo nel campo URL nell'interfaccia utente grafica di Cisco APIC.
Non è necessario specificare il token dell'ID istanza del prodotto. Cisco APIC utilizza un certificato incorporato per comunicare con Cisco Smart Software Manager On-Prem.
Una volta completata la sincronizzazione, Smart-Software-Manager On-Prem Inventory viene aggiornato con le licenze in uso.
Metodo 5. Cisco Smart Licensing Utility
Con questo metodo, Cisco APIC non richiede la connettività Internet. L'APIC Cisco invia i rapporti RUM al CSSM tramite la CSLU. La CSLU, ovvero la versione Microsoft Windows del middleware, deve essere già installata nel centro dati. L'URL per la CSLU può essere configurato in APIC nel seguente formato:http://ip_or_hostname:port/cslu/v1/pi
Qui IP o nomehost è l'indirizzo IP o il nome host CSLU. HTTPS non supportato.
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passare a Inventory System > Smart Licensing >
Passaggio 3. Selezione Cisco Smart Licensing Utility (CSLU).
Nell'URL precedente, la porta viene utilizzata come porta di servizio dell'istanza del prodotto nelle preferenze della GUI CSLU.
Se la sincronizzazione ha esito positivo, la pagina delle licenze viene aggiornata con il nome dello Smart Account e dell'account virtuale, come mostrato nell'immagine.
Metodo 6. Metodo offline
In modalità offline, Cisco APIC è isolato senza alcuna connessione di rete con il CSM, direttamente o indirettamente. Poiché Cisco APIC non può raggiungere il CSSM tramite una connessione di rete, ogni 12 mesi è necessario scaricare un report RUM da Cisco APIC e importarlo nel CSSM. In seguito, è necessario scaricare una conferma dal CSM e importarla nell'APIC Cisco.
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passare a System > Smart Licensing.
Passaggio 3. Nel riquadro di lavoro, passare a Actions > Download Rum Report.
Il file del report RUM viene scaricato automaticamente nella cartella predefinita del browser.
Dopo aver scaricato il report (LicenseUsageRumReport.xml), è possibile importarlo in CSM.
Passaggio 4. Accedere a Software.cisco.com e selezionare Manage License (Gestisci licenza).
Passaggio 5. Dal menu, fare clic su Reportse selezionare Usage Data Filescome mostrato nell'immagine.
Passaggio 6. Fare clic su Upload Usage Datae selezionare fileLicenseUsageRumReport.xmlcome mostrato nell'immagine.
Passaggio 7. Selezionare gli account virtuali che dispongono delle licenze.
Una volta inviato, è necessario attendere che lo stato della segnalazione diventi No Errorse il campo Conferma può essere scaricato.
Passaggio 8. Quando l'opzione di download è disponibile, fare clic su Download eAcknowledgement viene scaricato come nome fileACK_LicenseUsageRumReport.xmlcome mostrato nell'immagine.
È necessario importare la conferma in APIC:
Passaggio 9. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 10. Sulla barra dei menu passare aSystem > Smart Licensing.
Passaggio 11. Nel riquadro di lavoro passare aActions > Import Acknowledgement.
Passaggio 12. Fare clic suChoose File, passare al percorso in cui è stato scaricato il file di conferma, scegliere il file e fare clic su Open.
Passaggio 13. Fare clic su OK.
Se la sincronizzazione ha esito positivo, la pagina delle licenze viene aggiornata con il nome dello Smart Account e dell'account virtuale, come mostrato nell'immagine.
Risoluzione dei problemi relativi ai criteri di licenza Smart ACI di Cisco
Errori
In ACI un errore viene generato quando si verifica una condizione di problema o un avviso specifico prima di iniziare la risoluzione del problema. È sempre consigliabile verificare l'esistenza di eventuali errori che reindirizzano l'utente nella direzione corretta. Nella tabella sono elencati gli errori relativi alle licenze intelligenti:
| F3057 |
Si tratta di un errore di avviso che indica che non è stata ancora configurata un'impostazione di rete. Anche se si desidera scegliere la modalità non in linea, configurare l'impostazione Rete non in linea. Configurare un'impostazione di rete che elimini l'errore. |
| F4290 |
Questo errore indica che il token dell'ID istanza del prodotto immesso non è valido o è scaduto. Accedere al modulo CSM e creare un nuovo token di registrazione dell'istanza del prodotto. Accedere alla GUI di Cisco Application Policy Infrastructure Controller (APIC) per immettere il nuovo token ID e riconfigurare l'impostazione di rete. Questa azione elimina il problema. |
| F4291 |
Questo errore indica che la connettività di rete tra Cisco APIC e il CSM o tra Cisco APIC e il server di trasporto (gateway, proxy, locale o CSLU) hanno un problema. OSPF (Open Shortest Path First) Cisco APIC non è in grado di comunicare con il CSM o il server di trasporto. Dopo aver risolto il problema di connettività di rete, accedere al GUI Cisco APIC, selezionare |
| F422 |
Questo errore indica che Cisco APIC non ha ricevuto conferma di un report RUM per molto tempo e la conferma è scaduta. In modalità offline, scarica manualmente un report RUM e importa la conferma. Quando si importa il file di conferma in Cisco APIC, l'errore viene cancellato. Nelle modalità online, questo errore indica che, a causa di un problema di rete, il Cisco APIC non è sincronizzato con il CSM da molto tempo. Risolvere il problema di connettività di rete tra Cisco APIC e CSM o tra Cisco APIC e il server di trasporto, nonché tra il server di trasporto e CSM. Dopo aver risolto il problema di connettività di rete, accedere al GUI Cisco APIC, selezionare |
| F4310 |
Questo errore indica che è stata importata la conferma errata di un report RUM. Una conferma è associata in modo univoco a un report RUM. La conferma importata deve corrispondere al report RUM scaricato. Scaricare di nuovo manualmente il report RUM e importare la conferma corretta in Cisco APIC, eliminando così il problema. |
Comandi show
Sono disponibili due CLI show comandi utili per la risoluzione dei problemi. Per utilizzare questi comandi, accedere al nodo 1 di Cisco Application Policy Infrastructure Controller (APIC) nel cluster come utente amministratore.
N. show license all
Questo comando show visualizza le informazioni sulle licenze smart dall'archivio di attendibilità di Smart Agent (SA). La sezione "Report utilizzo" visualizza l'indicatore orario dell'ultimo report RUM inviato e dell'ultima conferma ricevuta, nonché quando inviare il report RUM successivo e quando eseguire il polling della conferma successiva. Se l'indicatore orario dell'ultima conferma ricevuta è più recente dell'ultimo report RUM inviato, significa che Cisco APIC ha inviato correttamente il report RUM e ha ricevuto la conferma.
N. show license tech support
Questo comando show visualizza informazioni molto più dettagliate di show license all. La console non può visualizzare il risultato completo a causa della sua lunghezza, ma è possibile aprire il file /tmp/SA_Show_Tech_Support.txt per visualizzare tutto l'output.
Log
In caso di problemi con le licenze intelligenti, raccogliere i seguenti log:
/var/log/dme/log/svc_ifc_licensemgr.bin.log
/var/log/dme/log/ch_dbg.log
Assistenza tecnica da APIC.
Problema noto
1. Registrazione non riuscita a causa di un problema di comunicazione (DNS non configurato)
In modalità Connessione diretta a CSM, se si è dimenticato di configurare il DNS nella comunicazione Cisco Application Policy Infrastructure Controller (APIC) a tools.cisco.com non riesce.
verificare che il DNS sia configurato in APIC e che sia possibile eseguire il ping tools.cisco.com
Per verificare se DNS è configurato, eseguirecat /etc/resolv.confsulla CLI APIC:
apic1# cat /etc/resolv.conf
# Generated by IFC
search apic.local
nameserver 10.0.0.1
nameserver XX.163.128.140Per verificare il corretto funzionamento del ping, eseguire il ping sulla CLI del controller APIC. Il ping deve funzionare per tools.cisco.com.
apic1# ping tools.cisco.com
PING tools.cisco.com (XX.163.4.38) 56(84) bytes of data.
64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=1 ttl=235 time=250 ms
64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=2 ttl=235 time=249 ms
64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=3 ttl=235 time=249 ms2. Considerazioni sull'aggiornamento dei criteri di licenza per Cisco ACI Smart
Se si intende eseguire l'aggiornamento a Cisco Application Policy Infrastructure Controller (APIC) versione 5.2(4) o successive e Cisco APIC è già registrato e la modalità di rete o di trasporto è Connessione diretta a CSM, Transport Gateway o Proxy HTTP/HTTPS, è possibile aggiornare direttamente Cisco APIC da Cisco Application Centric Infrastructure (ACI) Smart Licensing (SL) a SLP. Non è necessario eseguire alcuna procedura speciale. Dopo l'aggiornamento, l'APIC Cisco è ancora connesso al CSM e può inviare i report RUM al CSM senza alcun problema.
Se invece Cisco APIC è già registrato e la rete o la modalità di trasporto è Gestione satellite, non è possibile aggiornare direttamente Cisco APIC da SSL a SLP. Infatti, sia il tipo di trasporto sia l'URL vengono modificati per la modalità di rete locale di Cisco Smart Software Manager che sostituisce il satellite di Manager. Eseguire le azioni seguenti:
-
Aggiornare Manager Satellite all'ultima versione di Cisco Smart Software Manager On-Prem che supporta SLP. Dopo l'aggiornamento, verificare che On-Prem disponga di connettività di rete con il CSM e che la sincronizzazione funzioni ancora tra On-Prem e il CSM.
-
Aggiornare Cisco APIC alla versione 5.2(4) o successive. Dopo l'aggiornamento, sull'interfaccia utente di Cisco APIC viene visualizzato che la modalità di rete è Transport Gateway anziché Manager Satellite. È necessario riconfigurare la modalità rete su Cisco Smart Software Manager on-prem e copiare l'URL corretto dalla GUI locale.
3. Errore - Impossibile inviare il messaggio HTTP di chiamata a domicilio (CA radice Quo Vadis)
QuoVadis Root CA 2 è decommissionato e può influire sulla comunicazione SSL da APIC, quindi genera un errore "Fail to send out Call Home HTTP". Per verificare la situazione, è possibile analizzare i log delle chiamate principali in/var/log/dme/log/ch_dbg.log. Se vengono stampate queste righe, segue il BUG e la notifica sul campo specificati:
CH-TRANS-ERROR: ch_pf_curl_send_msg[539], failed to perform, err code 60, err string "Peer certificate cannot be authenticated with given CA certificates" *
CH-TRANS-DETAIL: ch_pf_http_long_buf_dump[264], dump:"SSL certificate problem: self signed certificate in certificate chain"
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
26-Sep-2022 |
Versione iniziale |
Feedback