Configurazione della licenza HSECK9 su cEdge SD-WAN XE

Introduzione

In questo documento viene descritto come installare e risolvere i problemi relativi alle licenze HSECK9 sui bordi SD-WAN XE.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• SD-WAN (Wide Area Network) definito dal software Cisco
• Cisco IOS® XE Command Line Interface (CLI)
• Licenze Smart
• Cisco Software Central

Componenti usati

Questo documento si basa sulle seguenti versioni software e hardware:

• cEdge C111-8PWE versione 17.6.3
• Cisco Smart Software Manager (CSM)

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Concetti

Smart Licensing mediante criteri utilizza una varietà di nuovi concetti, ad esempio:

• Tipi di applicazione della licenza
• Durata della licenza
• Codice di autorizzazione
• Livello di throughput che richiede lo Smart Licensing Authorization Code (SLAC) - Piattaforme router che richiedono uno SLAC
• Policy
• Rapporto Misurazione utilizzo risorse (rapporto RUM) e Conferma rapporto
• Codice trust

Per ulteriori informazioni, passare a Smart Licensing mediante i concetti dei criteri.

Comportamento throughput

• Per impostazione predefinita, tutti i prodotti ISR serie 1000, ISR serie 4000, C8200, C8300, CSR1000v, C8000v e ISRv sono a 250 Mbps se il prodotto non dispone di una licenza HSECK9.
• Se il throughput deve essere superiore a 250 Mbps, tutti i modelli ISR serie 1000, ISR serie 4000, C8200, C8300, CSR1000v, C8000v e ISRv devono avere una licenza HSECK9 installata.
• Non tutte le appliance ASR serie 1000 devono avere HSECK9 per oltre 250 Mbps.
• Tutti i modelli C8500 devono avere una licenza HSECK9 installata nel produttore. In caso contrario, la licenza HSECK9 può essere installata manualmente.
• Nessuna configurazione del throughput nella modalità gestita dal controller. L'installazione della licenza HSECK9 consente automaticamente ai core di inoltro/motori di elaborazione pacchetti di liberare la velocità effettiva.
• Il throughput massimo dopo l'installazione della licenza HSECK9 dipende dalle funzionalità hardware della piattaforma. Per ulteriori informazioni, vedere il foglio dati della piattaforma specifica.

Verifica della disponibilità della licenza

Passaggio 1. Passare a Cisco Software Central.

Passaggio 2. Fare clic suSmart Software Manager.

Passaggio 3. Selezione Inventory dal menu superiore.

Passaggio 4. Scegliere il Virtual Account.

Passaggio 5. Selezionare il Licenses sotto l'account virtuale.

Passaggio 6. Verificare che la licenza venga aggiunta e che sia disponibile con un saldo positivo.

Se non è disponibile una licenza o il saldo è negativo (in rosso), aprire una richiesta di assistenza in Cisco Licensing Team.

Nota: In questa guida si presume che il cliente abbia già acquistato una licenza HSECK9 o una licenza di esportazione US per DNA del router e che la licenza venga aggiunta a un account virtuale valido all'interno di uno smart account.

Modalità operativa del router

Verificare che il router sia in modalità gestita dal controller con uno dei comandi.

show platform software device-mode
show version | include mode

Esempio:

Router# show platform software device-mode
Device Operating-mode: Controller-Managed
Device-mode bootup status:
8/03 00:44:16 System is green
Bootup Success

Router# show version | in mode 
Router operating mode: Controller-Managed

Nota: Se il risultato della modalità operativa è Autonomo, spostare il router su Gestito da controller con controller-mode enable

Configurazione

Metodo online per CSSM

Configurare il tipo di trasporto e impostare l'URL CSM predefinito

Passaggio 1. Configurare il tipo di trasporto e l'URL corretti.

cEdge#config-transaction
cEdge(config)# license smart transport smart
cEdge(config)# license smart url default
cEdge(config)# commit
Commit complete.

Nota: Se al router è associato un modello. Gli smart commands per il trasporto e l'URL sono supportati e possono essere configurati con un modello di funzionalità CLI-Add-On. Per ulteriori informazioni, passare ai modelli delle funzionalità dei componenti aggiuntivi CLI.

Passaggio 2. Verificare che il commit delle modifiche sia stato eseguito correttamente.

cEdge# show lic tech support | begin Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: Smart <<<<<<<<<<<<<<<<<<<<<<<<<<<< This must be Smart
URL: https://smartreceiver.cisco.com/licservice/license <<<<<<<<<<<<<<< URL must be pointed to smartreceiver.cisco.com
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: True

Nota: L'URL predefinito viene attivato automaticamente e non è necessario modificarlo.

Genera un token di registrazione dell'istanza del prodotto

Passaggio 1. Generare un nuovo token.

Nello stesso account virtuale in cui risiede la licenza, passare a General e fare clic su New Token.

Passaggio 2. Compilare le nuove informazioni sul token.

Descrizione: Breve descrizione dello scopo del token.
Scade dopo: Numero di giorni di validità del token per le registrazioni dei prodotti.
Max Numero di utilizzi: Numero massimo di utilizzi token. Facoltativo.

Assicurarsi che Allow export-controlled l'opzione è selezionata, altrimenti la registrazione della licenza non riesce e fare clic su Create Token.

Nota: Il token scade quando viene raggiunta la scadenza o l'utilizzo massimo.

Nota: Per ulteriori informazioni, visitare il sito Cisco Export Trade.

Passaggio 3. Copiare il token.

Copiare il token appena generato negli Appunti; passare a Actions > Copy o manualmente nella piccola icona blu accanto alla stringa del token.

Genera un trust tra cEdge e CSSM

Per fornire l'autorizzazione a usare una licenza sottoposta a controllo per l'esportazione, cEdge deve stabilire una relazione di trust con il CSSM. Per l'handshake, cEdge utilizza il token generato su CSM nel passaggio precedente.

license smart trust idtoken TOKEN local force

Esempio:

cEdge# license smart trust idtoken ZThjOTlmM2UtMjQ2ZC00YjI1LTgwNjctZGIxZjIzYjZiYmVmLTE2NjM0NjI1%0AMjgyNTh8YWNVeTFiZU03N0lCdTFadmJ4ejZBL0toR2Mva21odElrQmxDa1FN%0AcVI3cz0%3D%0A local force

Subito dopo la creazione del trust, i registri mostrano la comunicazione con CSM.

cEdge# show logging last 50
<snip>
*Aug 18 21:03:44.730: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair2 has been removed from key storage
*Aug 18 21:03:46.146: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair2 has been generated or imported by crypto-engine
*Aug 18 21:03:53.221: %SYS-6-PRIVCFG_ENCRYPT_SUCCESS: Successfully encrypted private config file
*Aug 18 21:03:56.107: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco Smart Software Manager (CSSM) restored
*Aug 18 21:03:56.347: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C1111-8PWE,S:FGL2149XXXX.

Verifica il contatore di riuscita dell'istituzione trust

Verificare che il contatore delle operazioni riuscite per stabilire la relazione di trust aumenti, in modo che l'agente di gestione licenze possa raggiungere il servizio di gestione archivi certificati.

cEdge# show lic tech support | begin Communication Statistics
Communication Statistics:
=======================
Communication Level Allowed: DIRECT
Overall State: <empty>
Trust Establishment:
Attempts: Total=1, Success=1, Fail=0 Ongoing Failure: Overall=0 Communication=0 <<<<<<<<<<
Last Response: OK on Aug 18 21:03:56 2022 UTC
Failure Reason: <none>
Last Success Time: Aug 18 21:03:56 2022 UTC
Last Failure Time: Aug 18 21:00:43 2022 UTC
<snip>

Nota: Se il contatore degli errori aumenta, passare alla sezione Risoluzione dei problemi in questo documento.

Richiedi autorizzazione

A questo punto, il trust è stato stabilito, ma la licenza HSECK9 non è ancora in uso. Questo si verifica perché è necessario per rendere la richiesta del router al CSM l'utilizzo della licenza. Per recuperare la licenza, eseguire la richiesta di autorizzazione.

cEdge# license smart authorization request add hseck9 local

Registri:

cEdge# show logging | include SMART
*Aug 18 21:11:41.553: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 18 21:11:41.641: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

Nel registro eventi di Smart Licensing le informazioni relative alla richiesta di licenza vengono salvate nel caso siano necessarie ulteriori informazioni.

cEdge# show lic eventlog 0
**** Event Log ****
2022-08-18 21:11:41.538 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><dateStamp>2022-08-18T21:17:45</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feac79ca9112704623118db58bbc2c-09b6eebc91ae833f</correlationID></status></authorizationCode><signature>MEUCIBuNw8+ogfZmJAbsRa+8B+F0wnDZLrv5RXm822rN/he5AiEAtfzzFV9L3dqht4sUYDxRvnUHF2KYi+vFv2vivDF6rIs=</signature></smartLicenseAuthorization>"
2022-08-18 21:11:41.552 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-18 21:11:41.641 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.641 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:12:06.119 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><status><success>false</success><message>last update already confirmed</message><code>last update already confirmed</code><correlationID>62feac7c4be974f92eefc15a640f938b-f08787827763ca37</correlationID></status></authorizationCode><signature>MEUCIQDhI8x+Rzf7wyibdohvYY6q9/8puukf8SuJ4ok48d4y5QIgdl5/z/7rLu+LEd5gK9kgOxA2Vb+vnJUcTOVPo3/R0pc=</signature></smartLicenseAuthorization>"

Verifica della riuscita dell'attivazione

Sono disponibili alcuni comandi per verificare se la licenza è disponibile e attivata correttamente.

show license tech support | begin License Usage
show license authorization
show license summary
show license usage

Esempio:

cEdge# show license tech support | begin License Usage 
License Usage
=============
Handle: 1
License: hseck9
Entitlement Tag: regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844
Description: hseck9
Count: 1
Version: 1.0
Status: IN USE(15)               <<<<<<<<<<<<<<<<<<<<<<
Status time: Aug 18 21:11:41 2022 UTC
Request Time: Aug 18 21:11:41 2022 UTC
Export status: RESTRICTED - ALLOWED
Feature Name: hseck9
Feature Description: hseck9
Enforcement type: EXPORT RESTRICTED
License type: Perpetual
Measurements:
ENTITLEMENT:
Interval: 00:15:00
Current Value: 1

cEdge# show license authorization 
Overall status:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Status: SMART AUTHORIZATION INSTALLED on Aug 18 21:11:41 2022 UTC   <<<<<<<<<<<<<<<
Last Confirmation code: 0cde51c5

Authorizations:
Router US Export Lic. for DNA (DNA_HSEC):
Description: U.S. Export Restriction Compliance license for DNA based Routers
Total available count: 1
Enforcement type: EXPORT RESTRICTED
Term information:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Authorization type: SMART AUTHORIZATION INSTALLED  <<<<<<<<<<<<<
License type: PERPETUAL
Term Count: 1

Purchased Licenses:
No Purchase Information Available


Edge# show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
hseck9 (DNA_HSEC) 1 IN USE     <<<<<<<<<<

Metodo offline per CSSM

Per le reti con interruzioni d'aria in cui l'accesso a Internet non è consentito, l'installazione delle licenze sottoposte ai controlli per l'esportazione può essere effettuata con una prenotazione locale di una SLAC sul CSSM. 

Nota: Questo metodo non richiede un tipo di trasporto né un URL (Uniform Resource Locator) valido. 

Genera prenotazione licenze locale

Nello stesso account virtuale in cui risiede la licenza, passare a Product Instances > Authorize License-Enforced Features.

Ottieni informazioni sull'UDI di cEdge

La prenotazione della licenza locale richiede l'UDI (Unique Device Identifier)a) da cEdge, eseguire show license udi per ottenere l'ID prodotto (PID) e il numero di serie (SN).

cEdge# show license udi
UDI: PID:C1111-8PWE,SN:FGL2149XXXX

Compilare l'UDI cEdge nel modulo di prenotazione

SelezionaSingle Devicee inserire il numero di serie e il PID del bordo c. Clic Next.

Selezionare il numero di licenze da riservare

Poiché si tratta di una singola periferica, la licenza riservata è una, digitare il numero nella casella. Assicurarsi che il numero non superi quello disponibile.

Selezionare il tipo di dispositivo di licenza 

Il tipo di dispositivo può essere Digital Network Architecture (DNA) On-Prem o DNA Cloud, a seconda del tipo di licenza acquistato.

Genera il codice di autorizzazione

Esaminare la configurazione e fare clic su Genera codice di autorizzazione.

Scarica lo SLAC

Lo SLAC può essere scaricato come file o copiato negli Appunti.

Copia dello SLAC sullo spigolo

Per copiare il file SLAC su cEdge sono disponibili tre opzioni.

• Con unità USB:

cEdge# show file systems | include usb|Size
Size(b)        Free(b)  Type Flags Prefixes
15598043136 15596658688 disk  rw     usb0:

cEdge# dir usb0:
Directory of usb0:/

5 -rwx 1557 Aug 19 2022 00:43:30 +00:00 AuthorizationCode_SN_FGL2149XXXX.txt

15598043136 bytes total (15596658688 bytes free)

cEdge# copy usb0:AuthorizationCode_SN_FGL2149XXXX.txt bootflash:
Destination filename [AuthorizationCode_SN_FGL2149XXXX.txt]? 
Copy in progress...C
1557 bytes copied in 0.020 secs (77850 bytes/sec)

• Con vManage tramite Control Connections, passare a Trasferisci file tra cEdge e vManage per ulteriori informazioni.
• SCP/FTP/TFTP sul lato servizio.

Installazione dello SLAC

Usare Smart Import per installare il file SLAC in bootflash.

cEdge# license smart import bootflash:AuthorizationCode_SN_FGL2149XXXX.txt
Import Data Successful
Last Confirmation code UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Confirmation code: aaa6b57e

Registri.

cEdge# show logging | include SMART
*Aug 19 05:42:45.309: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 19 05:42:45.362: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

cEdge# show license eventlog 0
**** Event Log ****

2022-08-19 05:42:45.293 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>0ceadf0a-3145-4779-8cbb-743c5a234a05</piid><dateStamp>2022-08-19T05:43:11</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62ff22ec38ab5858bde12581a2589b39-bde12581a2589b39</correlationID></status></authorizationCode><signature>MEUCIQDrUe11CPAsnjonKRmUe40arqPiY/q/UfTGSJ1IdmkkrAIgF8G2zoHIxz04IVO2J7ZHA1M51+QMvLzUGyZsfvwK5tk=</signature></smartLicenseAuthorization>"
2022-08-19 05:42:45.308 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.333 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.334 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-19 05:42:45.362 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.362 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"

Verifica della riuscita dell'installazione

Per verificare se la licenza è installata correttamente, utilizzare lo stesso comando utilizzato nel metodo online.

show license authorization
show license summary
show license tech support | begin License Usage 

Se l'installazione è corretta, la licenza nell'account virtuale aumenta automaticamente In Use contatore e decrementa il Available to Use contatore.

Anche in Product Instances , fare clic sulla voce per ottenere ulteriori informazioni sulle caratteristiche della licenza.

Restituire La Licenza HSECK9

Metodo online

Al momento, non è disponibile alcuna implementazione in modalità gestita dal controller per restituire una licenza né in modalità online né offline.

cEdge# license smart authorization return local online
Operation cannot be completed because license is in use

cEdge# license smart authorization return local offline
Operation cannot be completed because license is in use

Per rimuovere l'installazione della licenza, il router deve essere impostato sulla modalità autonoma.

cEdge# controller-mode disable
Disabling controller mode erases the nvram filesystem, remove all configuration files, and reload the box!
Ensure the BOOT variable points to a valid image
Continue? [confirm]

Nota: Questa modifica della modalità rimuove la configurazione SD-WAN corrente. Si consiglia di eseguire il backup della configurazione in un luogo sicuro. In questo modo è possibile ricreare le connessioni di controllo quando cEdge viene nuovamente impostato sulla modalità gestita dal controller.

Quando il router è in modalità autonoma, è necessario eseguire una configurazione di base per poter raggiungere Internet e la risoluzione DNS (Domain Name System):

1. Configurazione di un indirizzo IP e di una maschera per l'interfaccia WAN 
2. Accendere l'interfaccia WAN
3. Configurare una route IP predefinita
4. Abilita DNS
5. Configurare un server DNS

Nota: La modalità autonoma utilizza il comando configure terminal per accedere alla modalità di configurazione, anziché il comando configuration-transaction.

Nota: La modalità autonoma non richiede il commit delle modifiche, ma qualsiasi configurazione eseguita viene salvata nel file di configurazione in esecuzione.

Usare un token dello stesso account virtuale in cui risiede la licenza HSECK9 o DNA sottoposta ai controlli per l'esportazione. Se non è presente alcun token attivo, generarne uno nuovo.

Seguire la stessa procedura descritta in cEdge per generare un trust stabilito con il modulo CSM.

Router# configure terminal
Router(config)# license smart transport smart
Router(config)# license smart url default
Router(config)# end
Router# license smart trust idtoken TOKEN local force
Router# license smart authorization request add hseck9 local

Nota: utilizzare gli stessi comandi spiegati in precedenza per verificare che il tipo di trasporto e l'URL del ricevitore intelligente siano abilitati e che la definizione del trust sia stata completata correttamente.

Dopo aver completato la comunicazione, restituire la licenza al contenitore nell'account virtuale.

Router# license smart authorization return local online 
Authorization already returned with this code:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CmJHqn-5CFUkd-effkCh-4XqCpQ-SgK5Sz-fQFfM8-6qH7MA-33hDbX-sXT

Registri.

Router# show logging | include SMART
*Aug 18 22:00:22.998: %SMART_LIC-6-AUTHORIZATION_REMOVED: A licensing authorization code has been removed from PID:C1111-8PWE,SN:FGL2149XXXX.

Router#show license eventlog 0 
**** Event Log ****
2022-08-18 22:08:53.275 UTC SAEVT_RESERVE_RETURN_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>519e0f72-85d6-4a57-8805-5999e7b712be</piid><dateStamp>2022-08-18T22:08:17</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feb851b0b3a2264144901cb3491c22-ff31e87ded74ffde</correlationID></status></authorizationCode><signature>MEUCIQCTL9Y/HrhJXgR3+oxCWH/mpLxezThnvoAMFRIO7BHzJgIgBNDnvAD4u1eiQZ3Qrg8uGc4I6rLkbR/pn3fDv67eG5c=</signature></smartLicenseAuthorization>"

Nota: Riportare il router alla modalità gestita dal controller con controller-mode enable 

Offline, metodo

Per generare il codice restituito, il router deve essere in modalità autonoma. Per modificare la modalità, seguire il metodo in linea.

Genera il codice restituito

Il codice restituito è necessario per convalidare la licenza riservata in CSM con l'autorizzazione locale nel router.

Router# license smart authorization return local offline
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CCKUTq-Qg2Ytw-ZhSLq5-bDFw7e-VvWgf2-QwwBed-3MaRcT-fFfGcn-X6e <<<< Copy the string

Rimuovi prenotazione

Passa a Product Instances > Actions > Remove. Incollare il codice restituito appena copiato dal router e fare clic su Remove Reservation.

La notifica della rimozione della prenotazione licenze viene visualizzata subito dopo. Anche in questo caso, passare a Actions > Remove > Remove Instance.

Verifica

Per verificare che la configurazione funzioni correttamente, consultare questa sezione.

Comandi utili

La procedura di verifica viene descritta in ogni fase per i metodi in linea o non in linea. 

show license tech support
show license status
show license authorization
show license summary
show license history message
show license eventlog 
     
     
license smart clear event log
license smart sync local
license smart factory reset

Risoluzione dei problemi

Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

I criteri per l'utilizzo di licenze intelligenti si basano su comunicazioni bidirezionali sicure tra cEdge e CSSM su Internet, al fine di scambiare conferme e handshake che favoriscono la registrazione e il recupero della licenza.

Esistono scenari comuni che non consentono lo scambio corretto di messaggi tra i dispositivi.

Problemi comuni

La risoluzione DNS non funziona

Per raggiungere smartreceiver.com, cEdge deve essere in grado di risolvere un nome di dominio. In caso contrario, l'URL non viene convertito in un IP instradabile e la comunicazione non riesce. Questo errore in genere viene visualizzato dopo il tentativo di stabilire il trust.

*Aug 18 20:45:10.345: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart License Utility (CSLU) : Unable to resolve server hostname/domain name

Verificare che esista una connettività IP a Internet.

ping 8.8.8.8

Eseguire il ping di un URL per verificare se il DNS funziona o meno se il protocollo ICMP (Internet Control Message Protocol) è bloccato da un dispositivo esterno tramite telnet su un URL.

ping cisco.com
telnet cisco.com 80

Se il test ha esito negativo, configurare un server DNS e abilitare la risoluzione DNS.

ip domain lookup
ip name-server 8.8.8.8

Se non è possibile configurare un server DNS esterno, configurare la risoluzione DNS locale nel router.

cEdge# config-transaction
cEdge(config)# ip host smartreceiver.com A.B.C.D
cEdge(config)# commit

Nota: Per sapere quali indirizzi IP rispondono a smartreceiver.com, eseguire una nslookup da un computer Windows o Linux.

Nota: La risoluzione DNS locale non è consigliata perché gli IP dei risponditori possono cambiare nel tempo e Cisco non avvisa in merito alla modifica.

Il messaggio di errore più comune viene visualizzato nel registro eventi di Smart Licensing (SSL).

cEdge# show license eventlog 0
**** Event Log ****

2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

cEdge# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

SD-WAN Tunnel Blocks DNS

Un problema simile si verifica se l'ACL implicito nel tunnel SD-WAN blocca le risposte DNS in arrivo.

cEdge# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

cEdge# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

Verificare che al momento della registrazione il servizio DNS sia consentito.

cEdge# show sdwan running-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns <<<<<<<<<<<<<<<<<< MUST be allowed
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit

URL di trasporto non corretto

Per le installazioni greenfield (fresche), il tipo di trasporto predefinito è Cisco Smart Licensing Utility (CSLU).

cEdge# show license tech support | include Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: cslu         <<<<<<<<<<<<<<<<<<
Cslu address: <empty>
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: False

Errori comuni nei registri.

cEdge# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

cEdge# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed info

Nota: CSLU non è supportato in Cisco SD-WAN (Cisco vManage) e non può essere utilizzato per segnalare l'utilizzo della licenza per il routing di istanze di prodotti gestite da Cisco vManage. Per ulteriori informazioni, passare a Cisco Smart License Utility (CSLU).

Configurare manualmente l'URL e il tipo di trasporto predefiniti per lo smart agent, quindi provare a ristabilire il trust stabilito con il token.

cEdge# configure terminal
cEdge(config)# license smart transport smart
cEdge(config)# license smart url default
cEdge(config)# commit

Blocchi tunnel SD-WAN HTTPS

La comunicazione di Smart Licensing si basa sulla porta Hypertext Transfer Protocol Secure (HTTPS) 443, quindi, se il tunnel SD-WAN blocca le risposte HTTPS in arrivo, la registrazione, la richiesta di autorizzazione e la notifica dei rapporti RUM hanno esito negativo.

Errore comune nel registro e nel registro eventi.

*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Verificare che il servizio HTTPS sia consentito nel tunnel SD-WAN al momento della registrazione. In caso contrario, consentirlo e riprovare a utilizzare il token per stabilire la attendibilità.

cEdge# show sdwan runnning-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns 
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https <<<<<<<<<<<<<<<<<< MUST be allowed
no allow-service snmp
no allow-service bfd
exit

Il firewall esterno blocca l'URL, gli IP o la porta CSM 443

Se l'architettura del sito utilizza un firewall per controllare il traffico, verificare che la porta 443 a smartreceiver.cisco.com non sia bloccata. Contattare il team del firewall o il provider di servizi Internet (ISP) per ulteriori verifiche.

Dal router.

cEdge# telnet smartreceiver.com 443        
Trying smartreceiver.com (X.X.X.X, 443)...Open

Da un host VRF di servizio.

ericgar@cisco$ telnet smartreceiver.cisco.com 443
Trying X.X.X.X...
Connected to smartreceiver.cisco.com.   
Escape character is '^]'.

Interfacce multiple per Internet

In alcuni scenari in cui sono presenti più interfacce, la comunicazione con CSSM non riesce; l'interfaccia dell'origine HTTP può essere modificata in qualsiasi percorso disponibile nel router.

cEdge# config-transaction
cEdge(config)# ip http client source-interface INTERFACE
cEdge(config)# commit

Informazioni correlate

• Gestione intelligente delle licenze tramite criteri per piattaforme di routing aziendali Cisco
• Domande frequenti su Cisco Smart Licensing e Smart Account
• Gestire le licenze per Smart Licensing utilizzando il criterio SDWAN
• Documentazione e supporto tecnico – Cisco Systems