Configurazione e risoluzione dei problemi di Unified Licensing e Smart Licensing Catalyst 9800 con SLUP
Sommario
Introduzione
In questo documento viene descritta la configurazione e la risoluzione dei problemi relativi all'utilizzo delle licenze Smart con criteri (SLUP) su Catalyst 9800 WLC.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Criteri di utilizzo delle licenze Smart (SLUP)
- Catalyst 9800 Wireless LAN Controller (WLC)
Componenti usati
Il documento può essere consultato per tutte le versioni software o hardware.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Attenzione: Le note di questo articolo contengono utili suggerimenti o riferimenti a materiale non trattato nel documento. Si consiglia di leggere ogni nota.
- Connessione diretta a Cisco License Central
- Connesso a Cisco License Central tramite CSLU (Cisco Smart License Utility Manager)
- Connesso tramite Cisco License Central (in locale)
In questo articolo non vengono illustrati tutti gli scenari relativi alle licenze Smart su Catalyst 9800. Per ulteriori informazioni, consultare la guida alla configurazione delle licenze Smart tramite i criteri. Tuttavia, in questo articolo vengono forniti una serie di utili comandi per risolvere i problemi relativi a connessione diretta, CSLU e licenze Smart Licensing on-prem con problemi di policy su Catalyst 9800.
Opzione 1. Connessione diretta a Cisco License Central:
Opzione 2. Connessione tramite CSLU:
Opzione 3. Connettersi utilizzando Cisco License Central (locale).
Gestione unificata delle licenze, applicazione e SLUP
Le licenze unificate, disponibili negli abbonamenti alle reti Cisco, introducono l'applicazione delle licenze ai clienti locali.
- Cisco IOS® XE 17.15.2 (dicembre 2024) è stata la prima release supportata per le licenze unificate e ha introdotto la segnalazione delle licenze per dispositivo e lo stato di conformità.
- Le future versioni di Cisco IOS XE introdurranno l'applicazione del giorno 0 per gli access point senza licenza e l'applicazione del giorno N per i dispositivi con licenze scadute. su qualsiasi dispositivo non conforme, l'imposizione avviene quando l'immagine software viene aggiornata.
Completare la procedura descritta in questa guida è fondamentale per garantire che i dispositivi siano configurati correttamente utilizzando SLUP, in modo che i dispositivi non siano soggetti a imposizione con l'aggiornamento dell'immagine software Cisco IOS XE.
Verifica della conformità AP su Unified Licensing
Figura 1: Conformità API interfaccia utente Web (non conforme)
Le informazioni sulla conformità dell'access point sono disponibili sul controller (Meraki Dashboard, Catalyst Center 2.3.7.9) e sul dispositivo (Web UI, CLI).
Nella Figura 1 viene illustrato un esempio di informazioni sulla conformità dei punti di accesso nell'interfaccia utente Web. Gli access point non conformi hanno uno stato di licenza Non conforme, con la motivazione che l'access point è "Mai concesso in licenza".
Dopo aver configurato correttamente la SLUP, i punti di accesso riflettono uno stato di conformità aggiornato.
Figura 1: Conformità API interfaccia utente Web (conforme)
Nota: Se la configurazione dello SLUP è riuscita e lo stato dei punti di accesso è ancora Non conforme, confermare di aver acquistato una licenza sufficiente e che le licenze sono state depositate nello Smart Account (SA) e nell'account virtuale (VA) corretti.
Licenze tradizionali e SLUP
La funzionalità Smart Licensing Using Policy è stata introdotta in Catalyst 9800 con la versione di codice 17.3.2. La versione iniziale 17.3.2 non consente di visualizzare il menu di configurazione SLUP in WLC WebUI, introdotto con la versione 17.3.3. La SLUP è diversa dalle licenze intelligenti tradizionali in due modi:
- WLC comunica ora con Cisco License Central tramite il dominio smartreceiver.cisco.com, anziché il dominio tools.cisco.com.
- Anziché registrarsi, il WLC ora stabilisce il trust con Cisco License Central o On-prem.
- i comandi CLI sono stati leggermente modificati.
- SLR (Smart Licensing Reservation) non è più disponibile. È invece possibile segnalare periodicamente l'utilizzo manualmente.
Avviso: Se si usa un controller wireless Cisco Catalyst 9800-CL, accertarsi di conoscere i requisiti obbligatori degli ACK che iniziano con Cisco IOS® XE Cupertino 17.7.1. Vedere Requisiti di reporting e riconoscimento RUM per Cisco Catalyst 9800-CL Wireless Controller.
Configurazione
Direct Connect Cisco License Central
Dopo aver creato il token sul Cisco License Central, per stabilire la fiducia, è necessario eseguire questi comandi.
configure terminal
ip http client source-interface
ip http client secure-trustpoint
license smart transport smart
license smart url default
exit
write memory
terminal monitor
license smart trust idtoken all force - Il comando ip http client-interface specifica l'interfaccia L3 da cui verranno originati i pacchetti correlati alle licenze.
- Il comando ip http client secure-trustpoint specifica il trust point/certificato utilizzato per la comunicazione di Cisco License Central. Il nome del trust point può essere trovato utilizzando il comando show crypto pki trustpoints. Si consiglia di utilizzare un certificato autofirmato TP-xxxxxxxxxx o un certificato installato dal produttore (noto anche come MIC, disponibile solo su 9800-40, 9800-80 e 9800-L), generalmente denominato CISCO_IDEVID_SUDI.
- Il comando Terminal Monitor consente al WLC di stampare i registri sulla console e di verificare che la relazione di trust sia stata stabilita correttamente. Può essere disattivato usando il terminale sul monitor.
- La parola chiave all nell'ultimo comando indica a tutti i WLC nel cluster HA SSO di stabilire la relazione di trust con Cisco License Central.
- La forza della parola chiave indica al WLC di ignorare una qualsiasi delle relazioni di trust precedentemente stabilite e tentarne una nuova.
Connesso a CSLU
Cisco Smart License Utility Manager (CSLU) è un'applicazione basata su Windows (disponibile anche in Linux) che consente ai clienti di amministrare le licenze e le istanze di prodotto associate dalla propria sede anziché dover connettere direttamente le proprie istanze di prodotto abilitate per Smart Licensed a Cisco License Central.
Questa sezione riguarda solo la configurazione wireless 9800. Per configurare la licenza con CSLU, è necessario eseguire altri passaggi (ad esempio installare CSLU, configurare il software CSLU e così via), descritti nelle Guide alla configurazione .Se si desidera implementare un metodo di comunicazione avviato dall'istanza del prodotto o da CSLU oppure completare la sequenza di attività corrispondente.
Avviato dall'istanza del prodotto
- Garantire la raggiungibilità della rete dal controller alla CSLU.
- Verificare che il tipo di trasporto sia impostato su cslu:
(config)#license smart transport cslu (config)#exit #copy running-config startup-config - Se si desidera che la CSLU venga rilevata dal controller, è necessario eseguire l'azione. Se si desidera individuare la CSLU utilizzando il DNS, non è necessaria alcuna azione. Se si desidera individuarlo utilizzando un URL, immettere questi comandi:
(config)#license smart url cslu http://:8182/cslu/v1/pi (config)#exit #copy running-config startup-config
avviata da CSLU
Quando si configura la comunicazione avviata dalla CSLU, l'unica azione necessaria è verificare la presenza di CSLU e garantire la raggiungibilità della rete da parte del controller.
Connesso a Cisco License Central on-prem
La configurazione con Cisco License Central on-prem è simile alla connessione diretta. È necessario eseguire on-prem la versione 8-202102 o successiva. Per le versioni SLUP (17.3.2 e successive), si consiglia di utilizzare l'URL CSLU e il tipo di trasporto. L'URL può essere ottenuto dall'interfaccia WebUI locale nella sezione Smart Licensing > Inventario > <Account virtuale> Generale.
configure terminal
ip http client source-interface
ip http client secure-trustpoint
license smart transport cslu
license smart url cslu http:///cslu/v1/pi/ (see previous paragraph on how to get exact URL)
crypto pki trustpoint SLA-TrustPoint
revocation-check none
exit
write memory
terminal monitor Cisco License Central locale non richiede l'utilizzo di un token di attendibilità.
Nota: Se viene visualizzato il messaggio %PKI-3-CRL_FETCH_FAIL: Recupero CRL per SLA-TrustPoint del trust point non riuscito. Non è stato configurato alcun controllo di revoca in SLA-TrustPoint. Questo è il trust utilizzato per Smart Licensing. Nel caso di un certificato locale, il certificato sul server di licenze è spesso un certificato autofirmato per il quale non è possibile eseguire la verifica CRL. Di conseguenza, non è necessario configurare alcun controllo delle revoche.
Configurazione di Smart Transport tramite un proxy HTTPS
Nota: I proxy autenticati non sono ancora supportati a partire dalla versione 17.9.2 del codice. Se si utilizzano proxy autenticati nell'infrastruttura, si consiglia di utilizzare Cisco Smart License Utility Manager (CSLU), che supporta questo tipo di server.
Per utilizzare un server proxy per comunicare con Cisco License Central quando si utilizza la modalità di trasporto intelligente, attenersi alla seguente procedura:
configure terminal
ip http client source-interface
ip http client secure-trustpoint
license smart transport smart
license smart url default
license smart proxy address
license smart proxy port
exit
write memory
terminal monitor
license smart trust idtoken all force Frequenza di comunicazione
L'intervallo di report che è possibile configurare nella CLI o nella GUI non ha alcun effetto.
Il WLC 9800 comunica con Cisco License Central o On-Prem ogni 8 ore, a prescindere dall'intervallo di report configurato tramite l'interfaccia Web o la CLI. Ciò significa che i nuovi access point aggiunti possono essere visualizzati su Cisco License Central fino a 8 ore dopo l'aggiunta iniziale.
Per individuare la prossima volta che le licenze vengono calcolate e segnalate, usare il comando show license air entities summary. Questo comando non fa parte dell'output tipico di show tech o show license all:
WLC#show license air entities summary
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0
Reset License Factory
Catalyst 9800 WLC può avere tutta la configurazione della licenza e il trust factory reimpostato e mantenere tutte le altre configurazioni. È necessario un ricaricamento WLC:
WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command
È importante notare che dopo un reset del factory delle licenze, è necessario attendere un'ora prima di concedere nuovamente la licenza al WLC, nel caso in cui sia in modalità AirGap.
In caso di RMA o sostituzione hardware
Se il WLC 9800 deve essere sostituito, il nuovo dispositivo deve essere registrato con Cisco License Central/On-Prem e viene percepito come un nuovo dispositivo. Per rilasciare il numero di licenze del dispositivo precedente, è necessario eseguire l'eliminazione manuale in Istanze prodotto:
Aggiornamento da SLR (Specific License Registration)
Nelle versioni precedenti, precedenti alla 17.3.2, veniva usato uno speciale metodo di licenza offline chiamato SLR (Specific License Registration). Questo metodo di licenza è stato deprecato nelle versioni che usano SLUP (17.3.2 e versioni successive).
Se si aggiorna un controller 9800 che utilizzava SLR a una versione successiva alla 17.3.2 o alla 17.4.1, si consiglia di passare al reporting SLUP offline anziché basarsi sui comandi SLR. Salvare il file RUM relativo all'utilizzo della licenza e registrarlo sul portale delle licenze Smart. Poiché SLR non esiste più nelle nuove versioni, questo comando indica il numero di licenze corretto e rilascia tutte le licenze non utilizzate. Le licenze non vengono più bloccate, ma viene visualizzato il numero esatto di utilizzi.
Risoluzione dei problemi
Accesso a Internet, verifiche delle porte e ping
Anziché il tools.cisco.com utilizzato dalle licenze intelligenti tradizionali, il nuovo SLUP utilizza il dominio smartreceiver.cisco.com per stabilire la relazione di trust. Al momento della stesura di questo articolo, il dominio viene risolto in più indirizzi IP diversi. Non è possibile eseguire il ping di tutti gli indirizzi. I ping non devono essere utilizzati come test di raggiungibilità su Internet dal WLC. Il fatto di non poter eseguire il ping di questi server non significa che non funzionino correttamente.
Per verificare la raggiungibilità, usare telnet over porta 443 anziché i ping. Telnet può essere confrontato con il dominio smartreceiver.cisco.com o direttamente con gli indirizzi IP del server. Se il traffico non viene bloccato, la porta deve apparire come aperta nell'output:
WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]Syslog
Se il comando terminal monitor è abilitato mentre il token è in fase di configurazione, il WLC stampa i log pertinenti nella CLI. Per visualizzare questi messaggi, è possibile eseguire il comando show logging. I registri di un trust stabilito correttamente hanno il seguente aspetto:
WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.
Registri di un WLC senza un server DNS definito o con un server DNS non funzionante:
Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name In questo caso verificare che sia configurato un server DNS valido. Non esitare a utilizzare qualsiasi indirizzo IP pubblico del server DNS disponibile:
ip name-server Registri di un WLC con un server DNS funzionante, ma senza accesso a Internet:
Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information givenAcquisizioni pacchetti
Anche se la comunicazione tra WLC e Cisco License Central/On-Prem è crittografata e passa attraverso HTTPS, l'esecuzione di acquisizioni di pacchetti può rivelare le cause del mancato accertamento del trust. Il modo più semplice per raccogliere le acquisizioni dei pacchetti è tramite l'interfaccia Web WLC.
Selezionare Risoluzione dei problemi > Acquisizione pacchetti. Creare un nuovo punto di acquisizione:
Verificare che la casella di controllo Controlla piano di controllo sia abilitata. Aumentare le dimensioni del buffer fino a un massimo di 100 MB. Aggiungere l'interfaccia che deve essere acquisita. Il traffico delle licenze Smart viene inviato dall'interfaccia di gestione wireless per impostazione predefinita o dall'interfaccia definita con il comando ip http client source-interface:
Avviare le acquisizioni ed eseguire il comando license smart trust idtoken <token> all force:
Le acquisizioni di pacchetti di uno stabilimento di attendibilità devono contenere i seguenti passaggi:
- Sessione TCP stabilita tramite SYN, SYN-ACK e sequenza ACK
- Sessione TLS stabilita con scambio di certificati sia server che client. L'installazione termina con il pacchetto New Session Ticket
- Encrypted packet exchange (Application Data frames) dove WLC segnala l'utilizzo della licenza
- Fine sessione TCP tramite sequenza FIN-PSH-ACK, FIN-ACK e ACK
Poiché Cisco License Central Cloud usa 3 diversi indirizzi IP pubblici, per filtrare tutte le acquisizioni di pacchetti tra WLC e Cisco License Central, usare questo filtro wireshark:
ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144 Se si utilizza un servizio Cisco License Central locale, filtrare in base all'indirizzo IP di Cisco License Central:
ip.addr==Esempio: Le acquisizioni dei pacchetti di un trust stabilito con successo con Cisco License Central collegato direttamente con tutte le acquisizioni significative dei pacchetti filtrate:
Comandi show
I comandi show riportati di seguito contengono informazioni utili sulla definizione del trust:
show license status
show license summary
show license tech support
show license air entities summary
show license history message (useful to see the history and content of messages sent to SL)
show tech wireless (actually gets show log and show run on top of the rest which can be useful)Il comando show license history message è uno dei comandi più utili in quanto può visualizzare i messaggi effettivi inviati dal WLC e ricevuti nuovamente da Cisco License Central.
Un'istituzione di trust riuscita ha sia "REQUEST: 23 ago 10:18:08 2021 Central" e "RESPONSE: 23 ago 10:18:10 2021 Central" messaggi stampati. Se non vi è nulla dopo la riga RESPONSE, il WLC non ha ricevuto risposta da Cisco License Central.
Questo è un esempio di output del messaggio show license history per un trust stabilito correttamente:
REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}
RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}Debug/btrace
Eseguire questo comando pochi minuti dopo il tentativo di stabilire un trust con un comando license smart trust idtoken all force. I registri IOSRP sono estremamente dettagliati. Aggiungi | include smart-agent" nel comando per ottenere solo i log delle licenze smart.
show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agentÈ inoltre possibile eseguire questi debug e quindi riconfigurare i comandi di gestione licenze per forzare una nuova connessione:
debug license events
debug license errors
debug license agent allProblemi comuni
Il WLC non ha accesso a Internet o il firewall blocca/altera il traffico
Le acquisizioni dei pacchetti incorporati sul WLC sono un modo facile per vedere se il WLC riceve qualcosa da Cisco License Central o On-Prem. Se non è stata ricevuta alcuna risposta, è possibile che il firewall stia bloccando qualcosa.
Il comando show license history message stampa una risposta vuota 1 secondo dopo l'invio della richiesta se non è stata ricevuta alcuna risposta dal Cisco License Central Cloud o on-prem.
Ad esempio, questo può indurvi a credere che sia stata ricevuta una risposta vuota, ma in realtà non c'è stata alcuna risposta:
REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CETAvviso CA sconosciuto nelle acquisizioni pacchetti
La comunicazione con Cisco License Central o On-prem richiede un certificato valido sul lato 9800. Può essere autofirmato, ma non può essere non valido o scaduto. In questo caso, l'acquisizione di un pacchetto mostra un avviso TLS per un'autorità di certificazione sconosciuta inviato da Cisco License Central quando il certificato client HTTP 9800 è scaduto.
Smart Licensing utilizza la configurazione del client http ip, che è diversa dal server http ip utilizzato dall'interfaccia Web WLC. Ciò significa che questi comandi devono essere configurati correttamente:
ip http client source-interface
ip http client secure-trustpoint Il nome del trust point può essere trovato con il comando show crypto pki trustpoints. Si consiglia di utilizzare un certificato autofirmato TP-xxxxxxxxxxxx o un certificato di installazione del produttore (MIC), generalmente denominato CISCO_IDEVID_SUDI ed disponibile solo sui modelli 9800-80, 9800-40 e 9800-L.
È importante notare che i dispositivi che eseguono l'intercettazione TLS, ad esempio un firewall con la funzione di decrittografia SSL, possono impedire a C9800 di stabilire un handshake con il server licenze Cisco, in quanto il certificato HTTPS presentato è il certificato firewall anziché il certificato del server licenze Cisco.
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
15.0 |
05-Jun-2026
|
Testo alternativo, sostituire i riferimenti a "Cisco Smart Software Manager (SSM)" con "Cisco License Central." |
14.0 |
04-Nov-2025
|
È stato corretto un comando show nella sezione risoluzione dei problemi |
13.0 |
28-Jul-2025
|
È stata aggiunta una nota sulla licenza Airgap dopo un reset di fabbrica |
12.0 |
22-Jul-2025
|
Comando di configurazione del server DNS aggiunto |
11.0 |
20-Aug-2024
|
È stato corretto un URL |
10.0 |
01-Mar-2024
|
Certificazione |
9.0 |
12-Jan-2023
|
Sono stati aggiunti dettagli sul supporto dei proxy autenticati |
8.0 |
15-Dec-2022
|
Aggiunti dettagli su CSLU e 17.7 |
7.0 |
20-May-2022
|
Comandi di debug aggiunti |
6.0 |
26-Apr-2022
|
È stata aggiunta una sezione sul proxy |
5.0 |
14-Jan-2022
|
aggiunta di un requisito di versione locale |
4.0 |
12-Jan-2022
|
ha aggiunto una nota su CSSM locale |
3.0 |
05-Oct-2021
|
ha aggiunto un piccolo commento su SSM locale |
2.0 |
02-Sep-2021
|
modifiche secondarie alla formattazione |
1.0 |
02-Sep-2021
|
Versione iniziale |
Feedback