Introduzione

In questo documento viene descritto come configurare Smart Licensing Using Policy (SLUP) su Catalyst 9800 WLC e risolvere i relativi problemi.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Criteri di utilizzo delle licenze Smart (SLUP)
• Catalyst 9800 Wireless LAN Controller (WLC)

• Sottoscrizione rete Cisco

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Attenzione: Le note di questo articolo contengono utili suggerimenti o riferimenti a materiale non trattato nel documento. Si consiglia di leggere ogni nota.

1. Connessione diretta a Cisco Smart Software Manager Cloud (CSM Cloud)
2. Connesso a CSM tramite CSLU (Cisco Smart License Utility Manager)
3. Connesso a CSM tramite Smart Software Manager locale (SSM locale)

In questo articolo non vengono illustrati tutti gli scenari relativi alle licenze Smart su Catalyst 9800. Per ulteriori informazioni, consultare la guida alla configurazione delle licenze Smart tramite i criteri. Tuttavia, questo articolo fornisce una serie di utili comandi per risolvere i problemi di connessione diretta, CSLU e licenze SSM Smart in locale che usano i problemi di policy su Catalyst 9800.

Opzione 1. Connessione diretta a Cisco Smart Licensing Cloud Server (CSSM)

Opzione 2. Connessione tramite CSLU

Opzione 3. Connessione tramite Smart Software Manager locale (SSM locale)

Nota: Tutti i comandi menzionati in questo articolo sono applicabili solo ai WLC con versione 17.3.2 o successive.

Gestione unificata delle licenze, applicazione e SLUP

Le licenze unificate, disponibili negli abbonamenti alle reti Cisco, introducono l'applicazione delle licenze ai clienti locali.

• IOS XE 17.15.2 (dicembre 2024) è stata la prima release supportata per le licenze unificate e ha introdotto la segnalazione delle licenze per dispositivo e lo stato di conformità.
• Le future versioni di IOS XE introducono l'applicazione del Giorno 0 per gli access point senza licenza e l'applicazione del Giorno N per i dispositivi con licenze scadute. su qualsiasi dispositivo non conforme, l'imposizione avviene quando l'immagine software viene aggiornata.

Completare la procedura descritta in questa guida è fondamentale per garantire che i dispositivi siano configurati correttamente utilizzando SLUP, in modo che i dispositivi non siano soggetti a imposizione durante l'aggiornamento dell'immagine del software IOS XE.

Verifica della conformità AP su Unified Licensing

Figura 1: Conformità API interfaccia utente Web (non conforme)

Le informazioni sulla conformità dell'access point sono disponibili sul controller (Meraki Dashboard, Catalyst Center 2.3.7.9) e sul dispositivo (Web UI, CLI).

Nella Figura 1 viene illustrato un esempio di informazioni sulla conformità dei punti di accesso nell'interfaccia utente Web. Gli access point non conformi hanno uno stato di licenza Non conforme, con la motivazione che l'access point è "Mai concesso in licenza".

Dopo aver configurato correttamente la SLUP, i punti di accesso riflettono uno stato di conformità aggiornato.

Figura 1: Conformità API interfaccia utente Web (conforme)

Nota: se la configurazione della SLUP è riuscita e lo stato dei punti di accesso è ancora Non conforme, confermare di aver acquistato una licenza sufficiente e che le licenze sono state depositate nello Smart Account (SA) e nell'account virtuale (VA) corretti.

Licenze tradizionali e SLUP

La funzionalità Smart Licensing Using Policy è stata introdotta in Catalyst 9800 con la versione di codice 17.3.2. La versione iniziale 17.3.2 non consente di visualizzare il menu di configurazione SLUP in WLC WebUI, introdotto con la versione 17.3.3. La SLUP è diversa dalle licenze intelligenti tradizionali in due modi:

• WLC comunica ora con CSM tramite il dominio smartreceiver.cisco.com, anziché tramite il dominio tools.cisco.com.
• Anziché registrarsi, il WLC ora stabilisce un trust con il CSM o l'SSM locale.
• i comandi CLI sono stati leggermente modificati.
• SLR (Smart Licensing Reservation) non è più disponibile. È invece possibile segnalare periodicamente l'utilizzo manualmente.

Avviso: Se si usa un controller wireless Cisco Catalyst 9800-CL, accertarsi di conoscere i requisiti obbligatori degli ACK che iniziano con Cisco IOS® XE Cupertino 17.7.1. Vedere Requisiti di reporting e riconoscimento RUM per Cisco Catalyst 9800-CL Wireless Controller.

Configurazione

CSSM Direct Connect

Dopo aver creato il token sul CSM, per stabilire la fiducia, è necessario eseguire questi comandi:

Nota: Token max Il numero di utilizzi deve essere almeno 2 in un caso di WLC in HA SSO.

configure terminal
ip http client source-interface 
ip http client secure-trustpoint 
license smart transport smart
license smart url default
exit
write memory
terminal monitor
license smart trust idtoken  all force

• Il comando ip http client-interface specifica l'interfaccia L3 da cui verranno originati i pacchetti correlati alle licenze
• Il comando ip http client secure-trustpoint specifica il trust point/certificato utilizzato per la comunicazione CSM. Il nome del trust point può essere trovato utilizzando il comando show crypto pki trustpoints. Si consiglia di utilizzare un certificato autofirmato TP-xxxxxxxxxx o un certificato installato dal produttore (noto anche come MIC, disponibile solo su 9800-40, 9800-80 e 9800-L), generalmente denominato CISCO_IDEVID_SUDI.
• Il comando Terminal Monitor consente al WLC di stampare i registri sulla console e di verificare che la relazione di trust sia stata stabilita correttamente. Può essere disattivato usando il terminale sul monitor.
• La parola chiave all nell'ultimo comando indica a tutti i WLC nel cluster HA SSO di stabilire la relazione di trust con il CSM.
• La forza della parola chiave indica al WLC di ignorare una qualsiasi delle relazioni di trust precedentemente stabilite e tentarne una nuova.

Nota: Se il trust non viene stabilito, lo switch 9800 ritenta di nuovo 1 minuto dopo l'esecuzione del comando e non riprova più per qualche tempo. Immettere nuovamente il comando token per forzare una nuova definizione di trust.

Connesso a CSLU

Cisco Smart License Utility Manager (CSLU) è un'applicazione basata su Windows (disponibile anche in Linux) che consente ai clienti di amministrare le licenze e le istanze del prodotto associate dalla propria sede anziché dover connettere direttamente le proprie istanze del prodotto con licenza Smart a Cisco Smart Software Manager (CSSM).

Questa sezione riguarda solo la configurazione wireless 9800. Per configurare la licenza con CSLU, è necessario eseguire altri passaggi (ad esempio installare CSLU, configurare il software CSLU e così via), descritti nelle Guide alla configurazione .Se si desidera implementare un metodo di comunicazione avviato dall'istanza del prodotto o da CSLU oppure completare la sequenza di attività corrispondente.

Avviato dall'istanza del prodotto 

1. Garantire la raggiungibilità della rete dal controller alla CSLU 
2. Verificare che il tipo di trasporto sia impostato su cslu: 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. Se si desidera che la CSLU venga rilevata dal controller, è necessario eseguire l'azione. Se si desidera individuare la CSLU utilizzando il DNS, non è necessaria alcuna azione. Se si desidera individuarlo utilizzando un URL, immettere questi comandi: 
   

   (config)#license smart url cslu http://:8182/cslu/v1/pi
   (config)#exit
   #copy running-config startup-config

avviata da CSLU 

Quando si configura la comunicazione avviata dalla CSLU, l'unica azione necessaria è verificare la presenza di CSLU e garantire la raggiungibilità della rete da parte del controller. 

Connesso a SSM locale

La configurazione con SSM locale è simile alla connessione diretta. È necessario eseguire on-prem la versione 8-202102 o successiva. Per le versioni SLUP (17.3.2 e successive), si consiglia di utilizzare l'URL CSLU e il tipo di trasporto. L'URL può essere ottenuto dall'interfaccia WebUI locale nella sezione Smart Licensing > Inventario > <Account virtuale> Generale.

configure terminal
 ip http client source-interface 
 ip http client secure-trustpoint 
 license smart transport cslu
 license smart url cslu http:///cslu/v1/pi/ (see previous paragraph on how to get exact URL)
 crypto pki trustpoint SLA-TrustPoint
  revocation-check none 
 exit
write memory
terminal monitor

SSM locale non richiede l'utilizzo di un token di attendibilità.

Nota: Se viene visualizzato il messaggio %PKI-3-CRL_FETCH_FAIL: Recupero CRL per SLA-TrustPoint del trust point non riuscito. Non è stato configurato alcun controllo di revoca in SLA-TrustPoint. Questo è il trust utilizzato per Smart Licensing. Nel caso di un certificato locale, il certificato sul server di licenze è spesso un certificato autofirmato per il quale non è possibile eseguire la verifica CRL. Di conseguenza, non è necessario configurare alcun controllo delle revoche.

Configurazione di Smart Transport tramite un proxy HTTPS

Nota: I proxy autenticati non sono ancora supportati a partire dalla versione 17.9.2 del codice. Se si utilizzano proxy autenticati nell'infrastruttura, si consiglia di utilizzare Cisco Smart License Utility Manager (CSLU), che supporta questo tipo di server.

Per utilizzare un server proxy per comunicare con CSM quando si utilizza la modalità di trasporto intelligente, attenersi alla seguente procedura:

configure terminal
  ip http client source-interface 
  ip http client secure-trustpoint 
  license smart transport smart
  license smart url default
  license smart proxy address 
  license smart proxy port 
exit
write memory
terminal monitor
license smart trust idtoken  all force

Frequenza di comunicazione

L'intervallo di report che è possibile configurare nella CLI o nella GUI non ha alcun effetto.

9800 WLC comunica con CSM o con Smart Software Manager in locale ogni 8 ore, indipendentemente dall'intervallo di reporting configurato tramite interfaccia Web o CLI. Ciò significa che i punti di accesso appena aggiunti possono essere visualizzati sul CSM fino a 8 ore dopo l'iniziale aggiunta.

Per individuare la prossima volta che le licenze vengono calcolate e segnalate, usare il comando show license air entities summary. Questo comando non fa parte dell'output tipico di show tech o show license all:

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

Reset License Factory

Catalyst 9800 WLC può avere tutta la configurazione della licenza e il trust factory reimpostato e mantenere tutte le altre configurazioni. È necessario un ricaricamento WLC:

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

È importante notare che dopo un reset del factory delle licenze, è necessario attendere un'ora prima di concedere nuovamente la licenza al WLC, nel caso in cui sia in modalità AirGap.

In caso di RMA o sostituzione hardware

Se il WLC 9800 deve essere sostituito, il nuovo dispositivo deve essere registrato con CSM/On-Prem Smart Software Manager e viene percepito come un nuovo dispositivo. Per rilasciare il numero di licenze del dispositivo precedente, è necessario eseguire l'eliminazione manuale in Istanze prodotto:

Aggiornamento da SLR (Specific License Registration)

Nelle versioni precedenti, precedenti alla 17.3.2, veniva usato uno speciale metodo di licenza offline chiamato SLR (Specific License Registration). Questo metodo di licenza è stato deprecato nelle versioni che usano SLUP (17.3.2 e versioni successive).

Se si aggiorna un controller 9800 che utilizzava SLR a una versione successiva alla 17.3.2 o alla 17.4.1, si consiglia di passare al reporting SLUP offline anziché basarsi sui comandi SLR. Salvare il file RUM relativo all'utilizzo della licenza e registrarlo sul portale delle licenze Smart. Poiché SLR non esiste più nelle nuove versioni, questo comando indica il numero di licenze corretto e rilascia tutte le licenze non utilizzate. Le licenze non vengono più bloccate, ma viene visualizzato il numero esatto di utilizzi.

Risoluzione dei problemi

Accesso a Internet, verifiche delle porte e ping

Anziché il tools.cisco.com utilizzato dalle licenze intelligenti tradizionali, il nuovo SLUP utilizza il dominio smartreceiver.cisco.com per stabilire la relazione di trust. Al momento della stesura di questo articolo, il dominio viene risolto in più indirizzi IP diversi. Non è possibile eseguire il ping di tutti gli indirizzi. I ping non devono essere utilizzati come test di raggiungibilità su Internet dal WLC. Il fatto di non poter eseguire il ping di questi server non significa che non funzionino correttamente.

Per verificare la raggiungibilità, usare telnet over porta 443 anziché i ping. Telnet può essere confrontato con il dominio smartreceiver.cisco.com o direttamente con gli indirizzi IP del server. Se il traffico non viene bloccato, la porta deve apparire come aperta nell'output:

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]

Syslog

Se il comando terminal monitor è abilitato mentre il token è in fase di configurazione, il WLC stampa i log pertinenti nella CLI. Per visualizzare questi messaggi, è possibile eseguire il comando show logging. I registri di un trust stabilito correttamente hanno il seguente aspetto:

WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.

Registri di un WLC senza un server DNS definito o con un server DNS non funzionante:

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

In questo caso verificare che sia configurato un server DNS valido. Non esitare a utilizzare qualsiasi indirizzo IP pubblico del server DNS disponibile:

ip name-server 

Registri di un WLC con un server DNS funzionante, ma senza accesso a Internet:

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Acquisizioni pacchetti

Anche se la comunicazione tra WLC e CSSM/SSM in locale è crittografata e passa attraverso HTTPS, l'esecuzione di acquisizioni di pacchetti può rivelare le cause del mancato accertamento del trust. Il modo più semplice per raccogliere le acquisizioni dei pacchetti è tramite l'interfaccia Web WLC.

Selezionare Risoluzione dei problemi > Acquisizione pacchetti. Creare un nuovo punto di acquisizione:

Verificare che la casella di controllo Controlla piano di controllo sia abilitata. Aumentare le dimensioni del buffer fino a un massimo di 100 MB. Aggiungere l'interfaccia che deve essere acquisita. Il traffico delle licenze Smart viene inviato dall'interfaccia di gestione wireless per impostazione predefinita o dall'interfaccia definita con il comando ip http client source-interface:

Avviare le acquisizioni ed eseguire il comando license smart trust idtoken <token> all force:

Le acquisizioni di pacchetti di uno stabilimento di attendibilità devono contenere i seguenti passaggi:

1. Sessione TCP stabilita tramite SYN, SYN-ACK e sequenza ACK
2. Sessione TLS stabilita con scambio di certificati sia server che client. L'installazione termina con il pacchetto New Session Ticket
3. Encrypted packet exchange (Application Data frames) dove WLC segnala l'utilizzo della licenza
4. Fine sessione TCP tramite sequenza FIN-PSH-ACK, FIN-ACK e ACK

Nota: Le acquisizioni dei pacchetti contengono molti più frame, inclusi multipli di aggiornamenti di finestre TCP e frame di dati dell'applicazione

Poiché CSM Cloud usa 3 diversi indirizzi IP pubblici, per filtrare tutte le acquisizioni di pacchetti tra WLC e CSM, usare questo filtro wireshark:

ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144 

Se si utilizza un SSM locale, filtrare l'indirizzo IP del SSM:

ip.addr==

Esempio: Le acquisizioni dei pacchetti di un trust stabilito con successo con CSM connesso direttamente con tutte le acquisizioni significative dei pacchetti filtrate:

Comandi show

I comandi show riportati di seguito contengono informazioni utili sulla definizione del trust:

show license status
show license summary
show tech-support license
show license tech-support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

Il comando show license history message è uno dei comandi più utili in quanto può visualizzare i messaggi effettivi inviati dal WLC e ricevuti nuovamente dal CSM.

Un'istituzione di trust riuscita ha sia "REQUEST: 23 ago 10:18:08 2021 Central" e "RESPONSE: 23 ago 10:18:10 2021 Central" messaggi stampati. Se non vi è nulla dopo la riga RESPONSE, significa che il WLC non ha ricevuto una risposta dal CSM.

Questo è un esempio di output del messaggio show license history per un trust stabilito correttamente:

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

Debug/btrace

Eseguire questo comando pochi minuti dopo il tentativo di stabilire un trust con un comando license smart trust idtoken all force. I registri IOSRP sono estremamente dettagliati. Aggiungi | include smart-agent" nel comando per ottenere solo i log delle licenze smart.

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

È inoltre possibile eseguire questi debug e quindi riconfigurare i comandi di gestione licenze per forzare una nuova connessione:

debug license events
debug license errors
debug license agent all

Problemi comuni

Il WLC non ha accesso a Internet o il firewall blocca/altera il traffico

Le acquisizioni dei pacchetti incorporati sul WLC sono un modo facile per vedere se il WLC riceve qualcosa dal CSM o dal SSM in locale. Se non è stata ricevuta alcuna risposta, è possibile che il firewall stia bloccando qualcosa.

Il comando show license history message stampa una risposta vuota 1 secondo dopo l'invio della richiesta se non è stata ricevuta alcuna risposta dal cloud CSM o dal modulo di gestione del servizio di archiviazione locale.

Ad esempio, questo può indurvi a credere che sia stata ricevuta una risposta vuota, ma in realtà non c'è stata alcuna risposta:

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

Nota: È attualmente presente una richiesta di miglioramento con l'ID bug Cisco CSCvy84684 che rende il messaggio di visualizzazione della cronologia delle licenze stampato come risposta vuota in assenza di risposta. In questo modo si migliora l'output del comando show license history message

Avviso CA sconosciuto nelle acquisizioni pacchetti

La comunicazione con il modulo CSM o il modulo SSM locale richiede un certificato valido sul lato 9800. Può essere autofirmato, ma non può essere non valido o scaduto. In questo caso, l'acquisizione di un pacchetto mostra un avviso TLS per una CA sconosciuta inviato da CSSM quando il certificato client HTTP 9800 è scaduto.

Smart Licensing utilizza la configurazione del client http ip, che è diversa dal server http ip utilizzato dall'interfaccia Web WLC. Ciò significa che questi comandi devono essere configurati correttamente:

ip http client source-interface 
ip http client secure-trustpoint 

Il nome del trust point può essere trovato con il comando show crypto pki trustpoints. Si consiglia di utilizzare un certificato autofirmato TP-xxxxxxxxxxxx o un certificato di installazione del produttore (MIC), generalmente denominato CISCO_IDEVID_SUDI ed disponibile solo sui modelli 9800-80, 9800-40 e 9800-L.

È importante notare che i dispositivi che eseguono l'intercettazione TLS, ad esempio un firewall con la funzione di decrittografia SSL, possono impedire a C9800 di stabilire un handshake con il server licenze Cisco, in quanto il certificato HTTPS presentato è il certificato firewall anziché il certificato del server licenze Cisco.

Nota: Accertarsi di configurare sia il comando source-interface che il comando secure-trustpoint. Un comando source-interface è necessario anche se il WLC ha solo un'interfaccia L3.

Informazioni correlate

• Smart Licensing con modalità Air Gap su 9800
• Supporto tecnico Cisco e download