Introduzione

In questo documento viene descritto come configurare Smart Licensing con criteri (SLUP) e risolvere i relativi problemi su Catalyst 9800 Wireless LAN Controller (WLC) .

Premesse

1. Connessione diretta a Cisco Smart Software Manager Cloud (CSM Cloud)
2. Connesso a CSM tramite CSLU (Cisco Smart License Utility Manager)
3. Connesso a CSM tramite Smart Software Manager locale (SSM locale)

In questo articolo non vengono illustrati tutti gli scenari relativi alle licenze Smart su Catalyst 9800 meglio spiegati nella guida alla configurazione delle licenze Smart con criteri di utilizzo. Tuttavia, fornisce una serie di utili comandi per risolvere i problemi di connessione diretta, CSLU e licenze SSM Smart in locale che usano i problemi delle policy su Catalyst 9800.

Opzione 1. Connessione diretta a server cloud Cisco Smart Licensing (CSM)

Opzione 2. Connessione tramite CSLU

Opzione 3. Connessione tramite On-Prem Smart Software Manager (SSM locale)

Nota: tutti i comandi menzionati in questo articolo sono applicabili solo ai WLC con versione 17.3.2 o successive.

Licenze tradizionali e SLUP

Smart Licensing Using Policy è stato introdotto in Catalyst 9800 con il codice versione 17.3.2. Nella versione 17.3.2 iniziale non è presente il menu di configurazione SLUP nel WebUI del WLC, introdotto con la versione 17.3.3. La SLUP è diversa dalle licenze intelligenti tradizionali in due modi:

• WLC comunica ora con CSM tramite il dominio smartreceiver.cisco.com, anziché tramite il vecchio tools.cisco.com
• Anziché "Registrarsi", il WLC ora "Stabilisce la fiducia" con il CSM o il SSM locale
• i comandi CLI sono stati leggermente modificati
• SLR (Smart Licensing Reservation) non è più disponibile. È invece possibile segnalare periodicamente l'utilizzo manualmente
• Non è più disponibile una modalità di valutazione. Il WLC continua a funzionare a piena capacità anche senza licenza. Il sistema è basato sul rispetto e l'utente è tenuto a segnalare periodicamente l'utilizzo della licenza (in modo automatico o manuale in caso di reti non collegate)

Nota: indica che il lettore prende nota. Le note contengono utili suggerimenti o riferimenti a materiale non trattato nel documento.

Configurazione

CSSM Direct Connect

Dopo aver creato il token sul CSM, per stabilire la fiducia, è necessario eseguire questi comandi:

Nota: Token Max. Il numero di utilizzi deve essere almeno 2 in un caso di WLC in HA SSO.

configure terminal
ip http client source-interface 
    
    
      ip http client secure-trustpoint 
     
       license smart transport smart license smart url default exit write memory terminal monitor license smart trust idtoken 
      
        all force 
       
      
    

• Il comando "ip http client source-interface" specifica l'interfaccia L3 da cui verranno originati i pacchetti correlati alle licenze
• Il comando "ip http client secure-trustpoint" specifica il trust point/certificato utilizzato per la comunicazione CSM. Il nome del trust point può essere trovato utilizzando il comando "show crypto pki trustpoints". Si consiglia di utilizzare un certificato autofirmato TP-self-signed-xxxxxxxxxx o un certificato installato dal produttore (noto anche come MIC, disponibile solo su 9800-40, 9800-80 e 9800-L), generalmente denominato CISCO_IDEVID_SUDI.
• Il comando "Monitor terminale" consente al WLC di stampare i registri sulla console e di verificare che l'attendibilità sia stata stabilita correttamente. Può essere disattivato usando "terminal no monitor".
• La parola chiave "all" nell'ultimo comando indica a tutti i WLC nel cluster HA SSO di stabilire la relazione di trust con il CSM.
• La parola chiave "force" indica al WLC di ignorare qualsiasi trust stabilito in precedenza e tentarne uno nuovo.

Nota: se il trust non viene stabilito, lo switch 9800 riprova 1 minuto dopo, dopo che il comando è stato eseguito, e non riprova per qualche tempo. Immettere nuovamente il comando token per forzare una nuova definizione di trust.

Connesso a CSLU

Cisco Smart License Utility Manager (CSLU) è un'applicazione basata su Windows (disponibile anche in Linux) che consente ai clienti di amministrare le licenze e le istanze del prodotto associate dalla propria sede anziché dover connettere direttamente le proprie istanze del prodotto con licenza Smart a Cisco Smart Software Manager (CSSM).

Questa sezione riguarda solo la configurazione wireless 9800. Per configurare la licenza con CSLU, è necessario eseguire altri passaggi (ad esempio, installare CSLU, configurare il software CSLU e così via), descritti nelle guide alla configurazione.Se si desidera implementare un metodo di comunicazione avviato dall'istanza di un prodotto o da CSLU, completare la sequenza di attività corrispondente.

Avviato dall'istanza del prodotto 

1. Garantire la raggiungibilità della rete dal controller alla CSLU 
2. Assicurarsi che il tipo di trasporto sia impostato su cslu: 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. Se si desidera che la CSLU venga rilevata dal controller, è necessario eseguire l'azione. Se si desidera individuare la CSLU utilizzando il DNS, non è necessaria alcuna azione. Se si desidera individuarlo utilizzando un URL, immettere i seguenti comandi: 
   

   (config)#license smart url cslu http://
         
         
           :8182/cslu/v1/pi (config)#exit #copy running-config startup-config 
         

avviata da CSLU 

Quando si configura la comunicazione avviata dalla CSLU, è sufficiente verificare e garantire la raggiungibilità della rete a CSLU dal controller. 

Connesso a SSM locale

La configurazione con SSM locale è abbastanza simile alla connessione diretta. On-Prem deve eseguire la versione 8-202102 o successiva. Per le versioni SLUP (17.3.2 e successive), si consiglia di utilizzare l'URL CSLU e il tipo di trasporto. L'URL può essere ottenuto dall'interfaccia utente Web locale nella sezione Smart Licensing -> Inventario -> <Account virtuale> Generale

configure terminal
 ip http client source-interface 
    
    
      ip http client secure-trustpoint 
     
       license smart transport cslu license smart url https:// 
      
        /SmartTransport crypto pki trustpoint SLA-TrustPoint revocation-check none exit write memory terminal monitor 
       
      
    

SSM locale non richiede l'utilizzo di un token di trust.

Nota: se viene visualizzato il messaggio " %PKI-3-CRL_FETCH_FAIL: Recupero CRL per SLA-TrustPoint trustpoint non riuscito", significa che non è stato configurato il controllo di revoca in SLA-TrustPoint. Questo è il trust utilizzato per Smart Licensing. Nel caso di un certificato locale, il certificato sul server di licenze è spesso un certificato autofirmato per il quale non è possibile eseguire la verifica CRL, pertanto è necessario non configurare alcun controllo delle revoche.

Configurazione dello Smart Transport tramite un proxy HTTP

Nota: indica che il lettore prende nota. Le note contengono utili suggerimenti o riferimenti a materiale non trattato nel documento.

Per utilizzare un server proxy per comunicare con CSM quando si utilizza la modalità di trasporto intelligente, attenersi alla seguente procedura:

configure terminal
  ip http client source-interface 
    
    
      ip http client secure-trustpoint 
     
       license smart transport smart license smart url default license smart proxy address 
      
        license smart proxy port 
       
         exit write memory terminal monitor license smart trust idtoken 
        
          all force 
         
        
       
      
    

Frequenza di comunicazione

L'intervallo di report che è possibile configurare nella CLI o nella GUI non ha alcun effetto.

9800 WLC comunica con CSM o con On-Prem Smart Software Manager ogni 8 ore, indipendentemente dall'intervallo di reporting configurato tramite interfaccia Web o CLI. Ciò significa che i punti di accesso appena aggiunti possono essere visualizzati sul CSM fino a 8 ore dopo l'iniziale aggiunta.

È possibile stabilire la data e l'ora in cui le licenze verranno calcolate e segnalate con "show license air entities summary". Questo comando non fa parte dell'output tipico del comando "show tech" o "show license all":

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

Reset License Factory

Catalyst 9800 WLC può avere tutta la configurazione della licenza e il trust factory reimpostato e mantenere tutte le altre configurazioni. È necessario un ricaricamento WLC:

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

In caso di RMA o sostituzione hardware

Se il WLC 9800 deve essere sostituito, il nuovo dispositivo deve essere registrato con CSM/On-Prem Smart Software Manager e viene percepito come un nuovo dispositivo. Per rilasciare il numero di licenze del dispositivo precedente, è necessario eliminarlo manualmente in "Istanze del prodotto":

Aggiornamento da SLR (Specific License Registration)

Le versioni precedenti di WLC <17.3.2 utilizzavano uno speciale metodo di licenza offline chiamato SLR (Specific License Registration). Questo metodo di licenza è stato deprecato nelle versioni che usano SLUP (17.3.2 e versioni successive).

Se si aggiorna un controller 9800 che utilizzava SLR a una versione successiva alla 17.3.2 o alla 17.4.1, si consiglia di passare al report SLUP offline anziché basarsi sui comandi SLR.Salvare il file RUM relativo all'utilizzo della licenza e registrarlo con il portale delle licenze Smart. Poiché SLR non esiste più nelle nuove versioni, questo comando indica il numero di licenze corretto e rilascia tutte le licenze non utilizzate. Le licenze non vengono più "bloccate", ma viene visualizzato il numero esatto di utilizzi.

Risoluzione dei problemi

Accesso a Internet, verifiche delle porte e ping

Anziché il dominio tools.cisco.com utilizzato dalle licenze smart tradizionali, il nuovo SLUP utilizza il dominio smartreceiver.cisco.com per stabilire la relazione di trust. Al momento della stesura di questo articolo, il dominio viene risolto in più indirizzi IP diversi. Non è possibile eseguire il ping di tutti gli indirizzi. I ping non devono essere utilizzati come test di raggiungibilità su Internet dal WLC. Il fatto di non poter eseguire il ping di questi server non significa che non funzionino correttamente.

Per verificare la raggiungibilità, usare telnet over porta 443 anziché i ping. Telnet può essere confrontato con il dominio smartreceiver.cisco.com o direttamente con gli indirizzi IP del server. Se il traffico non viene bloccato, la porta deve apparire come aperta nell'output:

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.133.220.90, 443)... Open <-------
[Connection to 192.133.220.90 closed by foreign host]

Syslog

Se il comando "terminal monitor" è abilitato durante la configurazione del token, il WLC stampa i log pertinenti nella CLI. Per visualizzare questi messaggi, eseguire il comando "show logging". I registri di un trust stabilito correttamente hanno il seguente aspetto:

WLC-1#license smart trust idtoken 
    
    
      all force Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB. 
    

Registri di un WLC senza un server DNS definito o con un server DNS non funzionante:

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

Registri di un WLC con un server DNS funzionante, ma senza accesso a Internet:

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Acquisizioni pacchetti

Anche se la comunicazione tra WLC e CSM/On-Prem SSM è crittografata e passa attraverso HTTPS, l'esecuzione di acquisizioni di pacchetti può fornire alcune informazioni su ciò che può causare il mancato accertamento del trust. Il modo più semplice per raccogliere le acquisizioni dei pacchetti è tramite l'interfaccia Web del WLC.

Selezionare Risoluzione dei problemi > Acquisizione pacchetti. Creare un nuovo punto di acquisizione:

Assicurarsi che la casella di controllo "Controlla piano di controllo" sia attivata. Aumentare le dimensioni del buffer fino a un massimo di 100 MB. Aggiungere l'interfaccia che deve essere acquisita. Per impostazione predefinita, il traffico delle licenze intelligenti proviene dall'interfaccia di gestione wireless o dall'interfaccia definita tramite il comando "ip http client source-interface ":

Avviare le acquisizioni ed eseguire il comando "license smart trust idtoken <token> all force":

Le acquisizioni di pacchetti di uno stabilimento di attendibilità devono contenere i seguenti passaggi:

1. Sessione TCP stabilita tramite SYN, SYN-ACK e sequenza ACK
2. Sessione TLS stabilita con scambio di certificati sia server che client. L'installazione termina con il pacchetto "New Session Ticket"
3. Encrypted packet exchange (frame "Application data") dove WLC segnala l'utilizzo della licenza
4. Fine sessione TCP tramite sequenza FIN-PSH-ACK, FIN-ACK e ACK

Nota: l'acquisizione del pacchetto contiene molti più frame, inclusi multipli di aggiornamenti di finestre TCP e frame "Application Data"

Poiché CSM Cloud usa 3 diversi indirizzi IP pubblici, per filtrare tutte le acquisizioni di pacchetti tra WLC e CSM, usare questo filtro wireshark:

ip.addr==173.36.127.16 or ip.addr==192.133.220.90 or ip.addr==72.163.15.144 

Se si utilizza un SSM locale, filtrare l'indirizzo IP del SSM:

ip.addr==
    
    

Esempi di acquisizioni di pacchetti di una relazione di trust stabilita con CSM con connessione diretta con tutte le acquisizioni di pacchetti significative filtrate:

Comandi show

I comandi show contengono informazioni utili sulla determinazione dell'attendibilità:

show license status
show license summary
show tech-support license
show license tech-support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

Il comando "show license history message" è uno dei più utili in quanto può visualizzare i messaggi effettivi inviati dal WLC e ricevuti nuovamente dal CSM.

Per una relazione di trust stabilita correttamente vengono stampati sia messaggi "RICHIESTA: 23 ago 10:18:08 2021 centrale" che messaggi "RISPOSTA: 23 ago 10:18:10 2021 centrale". Se non vi è nulla dopo la riga "RESPONSE", il WLC non ha ricevuto una risposta dal CSM.

Esempio di output di "show license history message" per un trust stabilito correttamente:

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

Debug/btrace

Eseguire questo comando pochi minuti dopo il tentativo di stabilire un trust utilizzando il comando "license smart trust idtoken all force". I registri IOSRP sono estremamente dettagliati. Aggiungi " | include smart-agent" al comando per ottenere solo i log delle licenze smart.

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

È inoltre possibile eseguire questi debug e quindi riconfigurare i comandi di gestione licenze per forzare una nuova connessione:

debug license events
debug license errors
debug license agent all

Problemi comuni

Il WLC non ha accesso a Internet o il firewall blocca/altera il traffico

Le acquisizioni dei pacchetti incorporati sul WLC sono un modo facile per vedere se il WLC riceve qualcosa dal CSM o dal SSM in loco. Se non è stata ricevuta alcuna risposta, è probabile che il firewall blocchi qualcosa.

Il comando "show license history message" stampa una risposta vuota 1 secondo dopo l'invio della richiesta se non è stata ricevuta alcuna risposta dal cloud CSM o dal servizio SSM locale.

Per esempio, questo può portare un ingegnere a credere che sia stata ricevuta una risposta vuota, ma in realtà non c'è stata alcuna risposta:

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

Nota: è attualmente disponibile una richiesta di miglioramento "CSCvy84684 - show license history message print empty response when there are no response" (CSCvy84684 - visualizza il messaggio della cronologia delle licenze stampa una risposta vuota quando non è disponibile una risposta). Questa richiesta mira a migliorare l'output del comando "show license history message" (mostra messaggio della cronologia delle licenze)

Avviso CA sconosciuto nelle acquisizioni pacchetti

La comunicazione con il CSM o il SSM locale richiede un certificato "decente" sul lato 9800. Può essere autofirmato, ma non può essere non valido o scaduto. In questo caso, l'acquisizione di un pacchetto mostra un avviso TLS per "CA sconosciuta" inviato da CSSM quando il certificato client http 9800 è scaduto.

Le licenze intelligenti utilizzano la configurazione "ip http client", che è diversa dalla configurazione "ip http server" utilizzata dall'interfaccia Web WLC. Ciò significa che questi comandi devono essere configurati correttamente:

ip http client source-interface 
    
    
      ip http client secure-trustpoint 
      
    

Il nome del trust point può essere trovato con il comando "show crypto pki trustpoints". Si consiglia di utilizzare un certificato autofirmato TP-xxxxxxxxxxxx o un certificato di installazione del produttore (MIC), generalmente denominato CISCO_IDEVID_SUDI ed disponibile solo sui modelli 9800-80, 9800-40 e 9800-L.

È importante notare che i dispositivi che intercettano TLS, ad esempio un firewall con la funzione di decrittografia SSL, possono impedire al C9800 di stabilire un handshake corretto con il server licenze Cisco, poiché il certificato HTTPS presentato è il certificato firewall anziché il certificato del server licenze Cisco.

Nota: accertarsi di configurare i comandi source-interface e secure-trustpoint. Il comando source-interface è necessario anche se il WLC ha solo un'interfaccia L3.