概要
このドキュメントでは、Cisco Smart Licensing(SL)導入のタイプと必要な設定について説明します。
前提条件
要件
- Cisco Smart Software Manager(CSSM)ポータルにアクセスできるスマートアカウント。
- Cisco IOS® XEバージョンが16.5.1 ~ 17.3.1のデバイス
- Cisco Smart Software Managerオンプレミスサーバ
- デバイスとCSSMまたはオンプレミスサーバ間のHTTPS接続。
注:一部の導入では、Cisco Smart Software Manager On-Premは不要です。この機能のオプションのコンポーネントです。
注意:スマートライセンスは、16.5.1と16.9.8の間のバージョンではオプションです。Cisco IOS® XE 16.10.1aからCisco IOS® XE 17.3.1までの物理デバイスでは、スマートライセンスが必須です。17.3.2以降では、ポリシーを使用したスマートライセンスは必須です。仮想デバイスおよびその他のシスコプラットフォームについては、特定のコードのリリースノートを確認してください。
使用するコンポーネント
このドキュメントは、Cisco IOS® XEエンタープライズルーティングプラットフォームに適用されます。
このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。
- Cisco ASR1001-X(Cisco IOS® XEバージョン16.9.4を搭載)およびCisco ISR4351(Cisco IOS® XEバージョン16.12.1を搭載)
- 8 202108バージョンのSmart Software Managerサーバ。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
導入のタイプ
スマートライセンスの登録と利用には、主に4つの導入オプションがあります。
- ダイレクトCSSMアクセス
- プロキシを使用したダイレクトCSSMアクセス
- SSMオンプレミスアクセス
- 特定ライセンスの予約(SLR)
ダイレクトCSSMアクセス
この導入オプションを使用すると、インターネット経由でHTTPS経由でシスコに使用状況情報を直接転送できます。
Cisco IOS® XE 16.10.1a以降では、スマートライセンスがデフォルトで有効になっています。これは使用可能な唯一のライセンスモデルです。この導入では、レイヤ3設定が必要で、適切なインターフェイスからHTTPSポート(443)のtools.cisco.comに到達できます。DNS設定が必要です。
接続が確認されたら、デバイスを登録する手順は次のとおりです。
ステップ 1:デバイスでスマートライセンスを有効にします(オプション)。16.10.1a以降では、デフォルトで有効になっています。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#license smart enable
注:このコマンドは、必要なservice call-homeを有効にします。
ステップ 2:tools.cisco.comのドメインネームシステム(DNS)サーバまたはスタティックホストエントリを設定します。
Router(config)#ip name-server X.X.X.X
or
Router(config)#ip host tools.cisco.com X.X.X.X
ステップ 3:Cisco Smart Software Managerから新しいトークンを生成します。
- トークンの説明を入力し、トークンをアクティブにする日数を指定します。
- このトークンに登録された製品でAllow export-controlled functionalityを有効にします。これにより、登録されたデバイスでの高度暗号化ライセンスの要求が許可されます。
- Create Tokenを選択します。トークンが作成されたら、Copyを選択します。
ステップ 4:Call Homeの設定を変更します(オプション)。
デフォルトのCall Homeプロファイル設定で、デバイスを登録できます。現在のcall-homeプロファイル設定は、次で確認できます。
Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
ステップ 5:トークンを使用してCSSMにデバイスを登録します。
Router#license smart register idtoken < token from CSSM portal > force
注:forceキーワードを指定すると、登録が直ちに試行されます。使用しない場合、登録手順により時間がかかる可能性があります。
手順 6:デバイスがCSSMに正しく登録されたことを確認します。
Router#show license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: TAC Cisco Systems, Inc.
Virtual Account: CORE TAC
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Feb 28 12:54:22 2018 UTC
Registration Expires: Sep 01 12:49:04 2018 UTC
License Authorization:
Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC
Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC
Next Communication Attempt: Oct 01 12:54:28 2017 UTC
Communication Deadline: Nov 30 12:49:12 2017 UTC
Virtual Routing and Forwarding(VRF)によるダイレクトCSSMアクセス
デバイスがCSSMに到達するためにVRFを使用する場合、call-homeプロファイル設定で送信元VRFと送信元インターフェイスを設定する必要があります。この導入を設定するには、「ダイレクトCSSMアクセス」セクションのステップ1 ~ 3に従う必要があります。次に、正しいVRFと送信元インターフェイスを使用してCall Home設定を編集し、CSSM URLに到達します。ここでは、例としてMgmt-intf VRFにある管理インターフェイスGigabitEthernet0を使用しています。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
VRFに割り当てられた正しいインターフェイスを使用して、送信元HTTPインターフェイスを設定します。この設定は、HTTPおよびHTTPSトラフィックに影響します。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
特定のVRFのDNSを設定します。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X
VRFの設定が完了したら、「ダイレクトCSSMアクセス」セクションのステップ5と6に進みます。
プロキシを使用したダイレクトCSSMアクセス
CSSMへのHTTPS接続を実現するためにプロキシサーバが必要な場合は、「直接CSSMアクセス」セクションの手順に従い、call-home設定内にhttp-proxyコマンドを含める必要があります。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080
SSMオンプレミスアクセス
この導入タイプを使用すると、シスコがホストするCSSMに直接接続しなくても、オンプレミスで製品とライセンスを管理できます。これを実装するには、SSMオンプレミスがネットワークにインストールされている必要があります。SSMをオンプレミスでインストールする手順は、このドキュメントの範囲外です。
SSMオンプレミスサーバをデバイスに接続するための設定手順は次のとおりです。
ステップ 1:デバイスでスマートライセンスを有効にします。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#license smart enable
注:このコマンドは、必要なservice call-homeを有効にします。
ステップ 2:CSSMオンプレミスサーバと通信できることを確認します。
Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms
注:DNSサーバがある場合は、それを使用してオンプレミスサーバのIPアドレスを名前に解決できます。
ステップ 3:SSMオンプレミスから新しいトークンを生成します。
3.1 SSMサーバにログインします。
3.2トークンの作成
- トークンの説明を入力します。トークンをアクティブにする日数を指定します。
- Allow export-controlled functionality on the products registered with this tokenチェックボックスをオンにします。
- Create Tokenを選択します。
- トークンを作成したら、Copyを選択して、新しく作成したトークンをコピーします。
ステップ 4:デバイスにcall-homeを設定します。
オンプレミスサーバ(http://X.X.X.X/Transportgateway/services/DeviceRequestHandler)のIPを使用してdestination address httpコマンドを変更し、デフォルトのIPを削除する必要があります。
Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end
ステップ 5:SLA-TrustPointトラストポイントでrevocation-check noneを設定します。
Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none
手順 6:SSMオンプレミスから取得したトークンでデバイスを登録します。
Router#license smart register idtoken < token from SSM On-Prem portal > force
手順 7:デバイスがSSMオンプレミスに正しく登録されたことを確認します。
Router#show license status
Smart Licensing is ENABLED
Utility:
Status: DISABLEDData Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
Registration:
Status: REGISTERED
Smart Account: manudiaz
Virtual Account: Default
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
Registration Expires: Oct 19 04:35:44 2021 UTC
VRFを使用したSSMオンプレミスアクセスの設定
SSMオンプレミスに到達するためにVRFを使用する場合は、デバイスが正しいVRFからの要求を生成するように送信元VRFを設定する必要があります。
「SSMオンプレミスアクセス」セクションの手順をステップ3まで実行します。
ステップ 1:正しいVRFと、SSMのオンプレミスに到達できる送信元インターフェイスを使用して、Call Homeの設定を編集します。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
ステップ 2:VRFに割り当てられた正しいインターフェイスを使用して、送信元のhttp-clientインターフェイスを設定します。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
ステップ 3:特定のVRFのDNSを設定します。
オンプレミス環境でDNSサーバを設定して、SSMオンプレミスサーバの名前を解決できます。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X
これらの変更後は、『SSMオンプレミスアクセス』の手順5と6を続行できます。
特定ライセンスの予約(SLR)
SLRは、使用状況情報をシスコに直接伝えることなく、ソフトウェアライセンスをデバイスに導入できる機能です。この機能は、安全性の高いネットワークで特に役立ち、Smart Licensing Portalを備えたプラットフォームでサポートされます。 この構成ガイドでは、お客様がSLRを要求し、使用する権限を与えられていることを前提としています。
注:SLRはデフォルトでは有効になっていません。この機能を明示的に要求する必要があります。
注:SLRおよびライセンスの適用は、Cisco IOS® XE 16.11.1a以降のリリースでサポートされています。
デバイスでSLRを設定するには、ルータ側とCSSMポータルから次の手順を実行する必要があります
ステップ 1:ルータをSLR用に設定します。license smart reservationコマンドを入力し、license smart reservation request localを使用してSLR機能を要求する必要があります。
注:HAプラットフォームで登録を行う場合は、license smart reservation request allを使用する必要があります。
Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX
注:SLRはデフォルトでは有効になっていません。この機能を明示的に要求する必要があります。
注:ライセンス予約リクエストをキャンセルするには、license smart reservation cancelコマンドを実行します。
CSSMでは、必要なライセンスを予約する必要があります。
ステップ 2:https://software.cisco.com/#でCSSMにログインします。シスコのクレデンシャルを使用してポータルにログインする必要があります。
ステップ 3:Inventoryタブを選択します。Virtual Accountドロップダウンから、スマートアカウントを選択します。
ステップ 4:Licensesタブで、License Reservationを選択します。
ステップ 5:Enter Request Codeページで、ルータから生成した予約要求コードを入力または添付し、Nextを選択します。
手順 6:Reserve a Specific Licenseボックスにチェックマークを入れて、ライセンスと各デバイスに必要な予約済みライセンスの量を選択します。
手順 7:Review and Confirmタブで、Generate Authorization Codeを選択します。
注:特定のデバイスのSLRコードを生成した後、認証コードファイルはコードをインストールするまで有効です。インストールが失敗した場合は、Cisco Global License Operations(GLO)に連絡して新しい認証コードを作成する必要があります。GLOへのお問い合わせはこちらから
ステップ 8:Copy to Clipboardを選択してコードをコピーするか、Downloadを選択してファイルとしてダウンロードします。プロセスを続行するには、コードまたはファイルをデバイスにコピーする必要があります。
SLRを設定する場合は、認証コードテキストファイルをダウンロードまたはインストールできます。無期限ライセンス予約(PLR)を設定する場合は、認証コードをコピーして貼り付けることができます。
ステップ 9:デバイスにログインし、インストールコマンドlicense smart reservation install file bootflash:<SLR file>を使用します。
Router#enable
Router#license smart reservation install file bootflash:
必要に応じて、デバイスに予約されているライセンスを返却し、未登録状態に戻すことができます。製品インスタンスを削除するには、リターンコードが生成され、CSSMに入力する必要があります。
Router#enable
Router#license smart reservation return local
特定のライセンス予約の更新
デバイスを正常に登録した後、必要に応じて、次のように新しい機能またはライセンスで予約を更新できます。
ステップ 1:Cisco Smart Software Manager(https://software.cisco.com/#)にログインします。シスコから提供されたユーザ名とパスワードを使用してポータルにログインする必要があります。
ステップ 2:Inventoryタブに移動し、Virtual Accountドロップダウンからスマートアカウントを選択します。
ステップ 3:Product Instancesタブで、更新する必要があるデバイスのActionsを選択します。
ステップ 4:Update Reserved Licensesを選択します。
ステップ 5:更新するライセンスを選択します。
手順 6:[次へ(Next)] を選択します。
手順 7:Review and Confirmタブで、Generate Authorization Codeを選択します。Authorization Codeタブが表示されます。生成された認証コードが表示されます。
ステップ 8:コードをコピーするか、ファイルとしてダウンロードするには、Copy to Clipboardオプションを選択します。コードまたはファイルをデバイスにコピーする必要があります。
ステップ 9:更新するデバイスにログインします。
ステップ 10:license smart reservation install fileコマンドを実行します。
Router#enable
Router#license smart reservation install file bootflash:
特定のライセンス予約の登録解除
デバイスの特定のライセンス予約を登録解除するには、CLIでライセンス予約を返却し、CSSMからインスタンスを削除する必要があります。
ステップ 1:登録解除するデバイスにログインします。
ステップ 2:ライセンス予約認証コードを削除するには、license smart reservation returnコマンドを使用します。
Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33
ステップ 3:https://software.cisco.com/#でCSSMにログインします。
ステップ 4:Inventoryタブを選択します。Virtual Accountドロップダウンリストから、スマートアカウントを選択します。
ステップ 5:Product instanceタブで、登録解除するデバイスに対してActionsを選択します。
手順 6:Removeを選択します。
手順 7:プロンプトが表示されたら、リターンコードを入力します。
トラブルシュート
デバイスがtools.cisco.comを解決できない
正しいVRFまたはグローバルルートテーブルに対してDNSサーバが正しく設定されていることを確認します。必要に応じて、スタティックDNSエントリを作成することもできます。
Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8
注:IPアドレス72.163.4.38および173.37.145.8は、tools.cisco.comに到達するために使用されるものです。これらは変更される可能性があります。DNSによって解決されるIPアドレスは同じでも変更してもかまいません。手動設定を行う前に、ローカル機器で確認します。
ルータがtools.cisco.comと通信できない
- インターネットへのデフォルトルートが設定されていることを確認します。
- デバイスとCSSMの間にファイアウォールまたはプロキシが存在しないことを確認します。
- ポート443および80がブロックされていないことを確認します。
Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open
Router#telnet tools.cisco.com 443 /vrf Mgmt-intf
Trying tools.cisco.com (72.163.4.38, 443)... Open
ステータスが「不適合(Out of Compliance)」のライセンス
この状態は、デバイスが資格を使用していて、コンプライアンスに違反している(負のバランス)場合に発生します。これは、シスコデバイスが登録されている仮想アカウントで必要なライセンスが使用できない場合に発生します。
Router#show license all
License Authorization:
Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
Next Communication Attempt: Mar 26 03:12:31 2019 CDT
Communication Deadline: Jun 23 15:06:30 2019 CDT
- コンプライアンス/承認済み状態に移行するには、正しい数とタイプのライセンスをスマートアカウントに追加する必要があります
- デバイスがこの状態になると、許可更新要求が毎日自動的に送信されます
スマートライセンスのデバッグ
Call HomeおよびSmart Licensingの登録に関する問題のトラブルシューティングに使用できるデバッグは次のとおりです。
- debug call-homeトレース
- debug call-homeエラー
- debug call-home smart-licensing all
- debug ip http client all
- debug crypto pki <すべてのオプション>
- debug ssl openssl <すべてのオプション>
追加情報
シスコエンタープライズルーティングプラットフォーム向けCisco Smart Licensingガイド