Configurazione di Smart Licensing per le piattaforme di routing aziendale Cisco IOS® XE

Aggiornato:27 giugno 2023
ID documento:217898

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive i tipi di distribuzione di Cisco Smart Licensing (SSL) e la configurazione richiesta.

    Prerequisiti

    Requisiti

    • Uno Smart Account con accesso al portale Cisco Smart Software Manager (CSSM).
    • Dispositivo con Cisco IOS® XE versione compresa tra 16.5.1 e 17.3.1.
    • Server locale Cisco Smart Software Manager.
    • Connettività HTTPS tra il dispositivo e il CSM o il server locale.

    Nota: per alcune implementazioni, Cisco Smart Software Manager On-Prem non è necessario. È un componente opzionale per la feature.

    Attenzione: Smart Licensing è opzionale per le versioni tra la 16.5.1 e la 16.9.8. Per i dispositivi fisici con Cisco IOS® XE 16.10.1a fino a Cisco IOS® XE 17.3.1, le licenze Smart sono obbligatorie. A partire dalla versione 17.3.2, l'uso delle licenze intelligenti è obbligatorio. Per i dispositivi virtuali e altre piattaforme Cisco, vedere le note sulla versione del codice specifico.

    Componenti usati

    Questo documento è relativo alle piattaforme di routing aziendale Cisco IOS® XE.
    Le informazioni di questo documento si basano sulle seguenti versioni hardware e software:

    • Cisco ASR 1001-X con Cisco IOS® XE versione 16.9.4 e Cisco ISR4351 con Cisco IOS® XE versione 16.12.1. 
    • Server Smart Software Manager con versione 8-20108.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Tipi di distribuzione 

    Per la registrazione e l'utilizzo di Smart Licensing sono disponibili quattro opzioni di distribuzione principali:

    1. Accesso diretto CSSM
    2. Accesso diretto CSM con proxy
    3. Accesso locale SSM
    4. SLR (Specific License Reservation)

    Types of Deployment

    Accesso diretto CSSM

    Questa opzione di distribuzione consente di trasferire le informazioni sull'utilizzo tramite Internet direttamente a Cisco tramite HTTPS.

    Da Cisco IOS® XE 16.10.1a, le licenze intelligenti sono abilitate per impostazione predefinita ed è l'unico modello di licenza disponibile. Per questa distribuzione, è necessaria la configurazione di layer 3 e la possibilità di raggiungere tools.cisco.com nella porta HTTPS (443) dall'interfaccia corretta. La configurazione DNS è obbligatoria.

    Una volta confermata la connettività, per registrare i dispositivi procedere come segue:

    Passaggio 1. Abilitare la licenza Smart sul dispositivo (facoltativo). Dalla versione 16.10.1a è attivata per default.

    Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

    Nota:questo comando abilita la funzione call-home del servizio, che è obbligatoria.

    Passaggio 2. Configurare un server Domain Name System (DNS) o una voce host statica per tools.cisco.com.

    Router(config)#ip name-server X.X.X.X 
    or
    Router(config)#ip host tools.cisco.com X.X.X.X

    Passaggio 3. Generare un nuovo token da Cisco Smart Software Manager.

    • Accedere a Cisco Smart Software Manager all'indirizzo https://software.cisco.com/# e selezionare la sezione Smart Software Manager.
    • Selezionare la scheda Inventario e selezionare Account virtuale dall'elenco a discesa Account virtuale.
    • Selezionare la scheda General, quindi selezionare New Token.

    Generate a New Token from Cisco Smart Software Manager

    • Immettere la descrizione del token e specificare il numero di giorni in cui il token deve essere attivo.
    • Abilitare Consenti funzionalità di controllo dell'esportazione sui prodotti registrati con questo token.Ciò consente la richiesta di una licenza di crittografia elevata nei dispositivi registrati.
    • Selezionare Create Token. Dopo aver creato il token, selezionare Copy (Copia).

    Create Registration Token

    Passaggio 4. Modificare la configurazione di chiamata a domicilio (facoltativo).

    La configurazione predefinita del profilo "call-home" è sufficiente per registrare il dispositivo. Per verificare la configurazione corrente del profilo di call-home, fare clic qui:

    Router#show run | sec call-home
    service call-home
    call-home
    ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
    ! the email address configured in Cisco Smart License Portal will be used as
    contact email address to send SCH notifications.
    contact-email-addr sch-smart-licensing@cisco.com
    profile "CiscoTAC-1"
    active
    destination transport-method http
    no destination transport-method email

    Passaggio 5. Registrare il dispositivo con CSM con il token.

    Router#license smart register idtoken < token from CSSM portal > force
    note-icon

    Nota: la parola chiave force forza immediatamente il tentativo di registrazione. Se non utilizzata, la procedura di registrazione può richiedere più tempo.

    Passaggio 6. Verificare che il dispositivo sia stato registrato correttamente con il modulo CSM.

    Router#show license status 
Smart Licensing is ENABLED 

Registration: 
 Status: REGISTERED 
 Smart Account: TAC Cisco Systems, Inc. 
 Virtual Account: CORE TAC 
 Export-Controlled Functionality: Allowed 
 Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC 
 Last Renewal Attempt: None 
 Next Renewal Attempt: Feb 28 12:54:22 2018 UTC 
 Registration Expires: Sep 01 12:49:04 2018 UTC 

License Authorization: 
 Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC 
 Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC 
 Next Communication Attempt: Oct 01 12:54:28 2017 UTC 
 Communication Deadline: Nov 30 12:49:12 2017 UTC

    Accesso diretto CSM con VRF (Virtual Routing and Forwarding)

    Se il dispositivo utilizza un VRF per raggiungere il CSM, è necessario configurare il VRF di origine e l'interfaccia di origine nella configurazione del profilo di chiamata a casa. Per configurare questa distribuzione, è necessario eseguire i passaggi da 1 a 3 della sezione Accesso diretto CSM. Quindi, modificare la configurazione "call-home" con il VRF corretto e l'interfaccia di origine per raggiungere l'URL del CSM. A titolo di esempio, viene utilizzata l'interfaccia di gestione Gigabit Ethernet0 contenuta nel VRF Mgmt-intf.

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#call-home
    Router(cfg-call-home)#source-interface gigabitEthernet 0
    Router(cfg-call-home)#vrf Mgmt-intf

    Configurare l'interfaccia HTTP di origine con l'interfaccia corretta assegnata al VRF. Questa configurazione influisce sul traffico HTTP e HTTPS.

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#ip http client source-interface gigabitEthernet 0

    Configurare il DNS per il VRF specifico:

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#ip name-server vrf Mgmt-intf X.X.X.X

    Una volta completata la configurazione VRF, è possibile continuare con i passaggi 5 e 6 della sezione Accesso diretto CSM.

    Accesso diretto CSM con proxy 

    Se è necessario un server proxy per ottenere la connettività HTTPS al CSSM, è necessario eseguire la procedura descritta nella sezione Accesso diretto al CSSM e includere il comando http-proxy nella configurazione call-home.

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#call-home
    Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080

    Accesso locale SSM

    Questo tipo di distribuzione consente di gestire prodotti e licenze nella sede senza una connessione diretta a CSM ospitato da Cisco. Per implementare questa funzionalità, è necessario che nella rete sia già installato un servizio locale SSM. La procedura di installazione di SSM in locale esula dall'ambito di questo documento.

    Per connettere il server locale SSM a un dispositivo, eseguire la configurazione seguente:

    Passaggio 1. Abilitare Smart Licensing sul dispositivo.

    Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

    Nota: questo comando abilita la funzione call-home del servizio, che è obbligatoria.

    Passaggio 2. Accertarsi di essere in grado di comunicare con il server locale CSM.

    Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

    Nota: se si dispone di un server DNS, è possibile utilizzarlo per risolvere l'indirizzo IP del server locale in un nome.

    Passaggio 3. Genera un nuovo token da SSM locale.

    3.1 Accedere al server SSM.

    Generate a New Token from SSM On-Prem

    3.2 Creazione di token

    • Immettere la descrizione del token. Specificare il numero di giorni in cui il token deve essere attivo.
    • Selezionare la casella di controllo Consenti funzionalità di controllo dell'esportazione sui prodotti registrati con questo token.
    • Selezionare Create Token.
    • Dopo aver creato il token, selezionare Copy (Copia) per copiare il token appena creato.

    Select Copy to Copy the Newly Created Token

    Passaggio 4. Configurare la funzione "call-home" sul dispositivo.

    È necessario modificare il comando destination http (indirizzo di destinazione) con l'indirizzo IP del server locale (http://X.X.X.X/Transportgateway/services/DeviceRequestHandler) e rimuovere quello predefinito.

    Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end

    Passaggio 5. Configurare il controllo di revoca none sul trust point SLA-TrustPoint.

    Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none

    Passaggio 6. Registrare il dispositivo con il token recuperato da SSM locale.

    Router#license smart register idtoken < token from SSM On-Prem portal > force

    Passaggio 7. Verificare che il dispositivo sia stato registrato correttamente con SSM On-Prem.

    Router#show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLEDData Privacy:
 Sending Hostname: yes
 Callhome hostname privacy: DISABLED
 Smart Licensing hostname privacy: DISABLED
 Version privacy: DISABLED

Transport:
 Type: Callhome

Registration:
 Status: REGISTERED
 Smart Account: manudiaz
 Virtual Account: Default
 Export-Controlled Functionality: ALLOWED
 Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
 Last Renewal Attempt: None
 Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
 Registration Expires: Oct 19 04:35:44 2021 UTC

    Accesso locale SSM con configurazione VRF

    Se si utilizza un VRF per raggiungere SSM in locale, è necessario configurare il VRF di origine in modo che il dispositivo generi la richiesta dal VRF corretto.

    Seguire i passaggi nella sezione Accesso locale SSM fino al passaggio 3.

    Passaggio 1. Modificare la configurazione "call-home" con il VRF corretto e l'interfaccia di origine dove è possibile raggiungere SSM On-Prem:

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#call-home
    Router(cfg-call-home)#source-interface gigabitEthernet 0
    Router(cfg-call-home)#vrf Mgmt-intf

    Passaggio 2. Configurare l'interfaccia http-client di origine con l'interfaccia corretta assegnata al VRF:

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#ip http client source-interface gigabitEthernet 0

    Passaggio 3. Configurare il DNS per il VRF specifico.

    È possibile configurare un server DNS nell'ambiente locale per risolvere il nome del server locale SSM:

    Router#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X

    È possibile continuare con i passaggi 5 e 6 da Accesso locale SSM dopo queste modifiche.

    SLR (Specific License Reservation)

    SLR è una funzione che consente di distribuire una licenza software su un dispositivo senza comunicare direttamente le informazioni di utilizzo a Cisco. Questa funzionalità è particolarmente utile in reti altamente sicure ed è supportata sulle piattaforme che dispongono di Smart Licensing Portal.  In questa guida alla configurazione si presume che l'utente abbia richiesto e sia stato autorizzato a utilizzare SLR.

    Nota: SLR non è abilitato per impostazione predefinita. È necessario richiedere questa funzionalità in modo specifico. 

    Nota: SLR e le versioni successive della licenza sono supportate in Cisco IOS® XE 16.11.1a.

    Per configurare SLR nel dispositivo, è necessario eseguire questi passaggi dal lato router e dal portale CSM

    Passaggio 1. Configurare il router per SLR. È necessario immettere il comando license smart Reservation e richiedere la funzionalità SLR con la richiesta di prenotazione intelligente della licenza in locale.

    Nota: se la registrazione viene eseguita in una piattaforma HA, è necessario utilizzare license smart reserve request all.

    Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
    UDI: PID:ASR1002-X,SN:JAE170XXXXX
      Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX

    Nota: SLR non è abilitato per impostazione predefinita. È necessario richiedere questa funzionalità in modo specifico.

    Nota: per annullare la richiesta di prenotazione della licenza, eseguire il comando license smart reserve cancel.

    Sul CSSM, è necessario riservare le licenze richieste.

    Passaggio 2. Accedere a CSM all'indirizzo https://software.cisco.com/#. È necessario accedere al portale con le credenziali Cisco.

    Passaggio 3. Selezionare la scheda Magazzino. Dall'elenco a discesa Account virtuale, selezionare lo Smart Account.

    Passaggio 4. Dalla scheda Licenze, selezionare Prenotazione licenze.

    Specific License Registration

    Passaggio 5. Nella pagina Inserisci codice richiesta, inserire o allegare il codice della richiesta di prenotazione generato dal router e selezionare Avanti.

    Enter Request Code

    Passaggio 6. Selezionare la casella Reserve a Specific License (Riserva una licenza specifica), quindi selezionare la licenza e la quantità di licenza riservata richiesta per ciascun dispositivo.

    Select Licenses

    Passaggio 7. Nella scheda Revisione e conferma selezionare Genera codice di autorizzazione.

    Review and Confirm

    Nota: dopo aver generato il codice SLR per un dispositivo specifico, il file del codice di autorizzazione rimane valido fino a quando non si installa il codice. Se l'installazione non riesce, è necessario contattare Cisco Global License Operations (GLO) per creare un nuovo codice di autorizzazione. È possibile contattare GLO qui

    Passaggio 8. Selezionare Copia negli Appunti per copiare il codice oppure Scarica il codice come file. Per continuare, è necessario copiare il codice o il file nel dispositivo.

    Authorization Code Issued

    Se si configura SLR, è possibile scaricare o installare il file di testo del codice di autorizzazione. Se si configura la prenotazione permanente delle licenze (PLR), è possibile copiare e incollare il codice di autorizzazione.

    Passaggio 9. Accedere al dispositivo e usare il comando di installazione license smart reserve install file bootflash:<SLR file>.

    Router#enable
Router#license smart reservation install file bootflash:

     Se necessario, è possibile ripristinare le licenze riservate nel dispositivo e ripristinare lo stato non registrato. Viene generato un codice restituito che deve essere immesso in CSM per rimuovere l'istanza del prodotto.

    Router#enable
Router#license smart reservation return local

    Aggiorna una prenotazione di licenza specifica

    Dopo aver registrato correttamente un dispositivo, se necessario, è possibile aggiornare la prenotazione con una nuova funzione o licenza come indicato di seguito:

    Passaggio 1. Accedere a Cisco Smart Software Manager all'indirizzo https://software.cisco.com/#. È necessario accedere al portale con il nome utente e la password forniti da Cisco.

    Passaggio 2. Passare alla scheda Inventario e selezionare lo Smart Account dall'elenco a discesa Account virtuale.

    Passaggio 3. Dalla scheda Istanze del prodotto, selezionare Azioni per il dispositivo da aggiornare.

    Passaggio 4. Selezionare Aggiorna licenze riservate.

    Passaggio 5. Selezionare la licenza da aggiornare.

    Passaggio 6. Selezionare Avanti.

    Passaggio 7. Nella scheda Revisione e conferma selezionare Genera codice di autorizzazione. Viene visualizzata la scheda Codice di autorizzazione. Il sistema visualizza il codice di autorizzazione generato.

    Passaggio 8. Selezionare l'opzione Copia negli Appunti per copiare il codice o scaricarlo come file. È necessario copiare il codice o il file nel dispositivo.

    Passaggio 9. Accedere al dispositivo che si desidera aggiornare.

    Passaggio 10. Eseguire il comando license smart reserve install file.

    Router#enable
Router#license smart reservation install file bootflash:

    Annullare la registrazione di una prenotazione di licenza specifica

    Per annullare la registrazione di una prenotazione licenze specifica per un dispositivo, è necessario restituire la prenotazione licenze nella CLI e rimuovere l'istanza da CSM.

    Passaggio 1. Accedere al dispositivo di cui si desidera annullare la registrazione.

    Passaggio 2. Per rimuovere il codice di autorizzazione della prenotazione della licenza, utilizzare il comando license smart reserve return.

    Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
    back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
    CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33

    Passaggio 3. Accedere a CSM all'indirizzo https://software.cisco.com/#.

    Passaggio 4. Selezionare la scheda Magazzino. Dall'elenco a discesa Account virtuale, selezionare lo smart account.

    Passaggio 5. Dalla scheda Istanza prodotto, per il dispositivo di cui si desidera annullare la registrazione, selezionare Azioni.

    Passaggio 6. Selezionare Rimuovi.

    Passaggio 7. Quando richiesto, immettere il codice restituito.

    Risoluzione dei problemi

    Impossibile risolvere il tools.cisco.com

     Verificare di aver configurato correttamente un server DNS per il VRF corretto o la tabella di route globale. Se lo si desidera, è inoltre possibile creare una voce DNS statica:

    Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8

    Nota: gli indirizzi IP 72.163.4.38 e 173.37.145.8 sono quelli utilizzati per raggiungere il sito tools.cisco.com. Quelle possono cambiare. Gli indirizzi IP risolti dal DNS possono essere uguali o modificati. Prima di eseguire la configurazione manuale, verificare che l'apparecchiatura sia installata localmente.

    Il router non è in grado di comunicare con tools.cisco.com

      • Verificare che sia configurata una route predefinita a Internet.
      • Verificare che non vi sia un firewall o un proxy tra il dispositivo e CSM.
      • Verificare che le porte 443 e 80 non siano bloccate.
    Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open
      • Telnet con VRF.
    Router#telnet tools.cisco.com 443 /vrf Mgmt-intf 
Trying tools.cisco.com (72.163.4.38, 443)... Open

    Licenza nello stato "OUT OF COMPLIANCE" (Non conforme)

    Questo stato si verifica quando il dispositivo utilizza un diritto e non è conforme (saldo negativo). Questo si verifica quando una licenza richiesta non è disponibile nell'account virtuale con cui è registrato il dispositivo Cisco.

    Router#show license all

License Authorization:
  Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
  Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
  Next Communication Attempt: Mar 26 03:12:31 2019 CDT
  Communication Deadline: Jun 23 15:06:30 2019 CDT
        • Per entrare nello stato di conformità/autorizzazione, è necessario aggiungere il numero e il tipo di licenze corretti allo Smart Account
        • Quando il dispositivo si trova in questo stato, invia automaticamente ogni giorno una richiesta di rinnovo dell'autorizzazione

    Debug delle licenze Smart

    Di seguito sono riportati alcuni debug che possono essere utilizzati per risolvere i problemi di call-home e di registrazione smart delle licenze.

        • debug call-home trace
        • debug call-home error
        • debug call-home smart-licensing all
        • debug ip http client all
        • debug crypto pki <tutte le opzioni>
        • debug ssl openssl <tutte le opzioni>

    Ulteriori informazioni

    Guida alle licenze Cisco Smart per piattaforme di routing aziendali Cisco

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    27-Jun-2023
    Testo alternativo aggiunto. Aggiornamento di titoli, requisiti di branding, traduzione automatica, requisiti di stile, ortografia e formattazione.
    1.0
    24-May-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Sergio Romero
      Cisco TAC Engineer
    • Manuel Diaz
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti