Catalystプラットフォームでのスマートライセンスのトラブルシューティング
内容
概要
このドキュメントでは、Cisco Smart Licensing(クラウドベースシステム)と連携して、Catalystスイッチのソフトウェアライセンスを管理する方法について説明します。
Cisco Smart Licensing とは
Cisco Smart Licensingは、シスコ製品全体のすべてのソフトウェアライセンスを管理するクラウドベースの統合ライセンス管理システムであり、お客様はシスコソフトウェアライセンスを購入、導入、管理、追跡、更新できます。また、単一のユーザインターフェイスでライセンスの所有権と使用状況に関する情報を得られます。
このソリューションは、シスコのソフトウェア資産の追跡に使用する(Cisco Smart Licensing Portal の)オンライン スマート アカウントとスマートアカウントの管理に使用する Cisco Smart Software Manager(CSSM)で構成されます。CSSM では、ライセンスの登録、登録解除、移行、転送といった、ライセンス管理に関連するすべてのタスクを実行できます。ユーザを追加して、スマートアカウントや特定のバーチャルアカウントに対するアクセスと権限を付与できます。
Cisco Smart Licensing の詳細については、以下を参照してください。
a)Cisco Smart Licensing のホームページ
Cisco IOS® XE 17.3.2以降のポリシーを使用した新しいスマートライセンスの詳細については、「Catalystスイッチのポリシーを使用したスマートライセンス」を参照してください
スマートライセンスやスマートアカウントの管理を初めて行った方は、新しい管理者トレーニングコースおよびレコーディングにアクセスしてサインアップする:
シスココミュニティ – Cisco Smart Accounts/Smart LicensingとMy Ciscoの権利でスマートを実現
スマートアカウントは、ここで作成できます。
スマートアカウントは、スマートソフトウェアライセンスで管理できます
Smart Licensing の実装方式
Cisco Smart Licensing は、企業のセキュリティプロファイルに応じて以下に示す複数の方式で導入できます。
ダイレクトクラウドアクセス
HTTPS を使用して、シスコ製品からインターネット経由で安全に使用状況に関する情報が直接送信されます。追加のコンポーネントは不要です。
HTTPS プロキシによるアクセス
HTTPS を使用して、シスコ製品から HTTP プロキシサーバ経由で安全に使用状況に関する情報が直接送信されます。既存のプロキシサーバを使用することも、シスコのトランスポートゲートウェイを介して導入することもできます(詳細については、ここをクリックしてください)。
オンプレミスライセンスサーバ(Cisco Smart Software Managerサテライト)
シスコ製品から、インターネットを介して直接ではなく、オンプレミスのサーバに使用状況に関する情報が送信されます。サーバが 1 ヵ月に 1 回 HTTPS を使用してインターネット経由ですべてのデバイスにアクセスするか、手動で転送してデータベースを同期できます。CSSM On-prem(サテライト)は仮想マシン(VM)として利用でき、こちらからダウンロードできます。詳細については、Smart Software Manager サテライトのページを参照してください。
サポートされるCisco IOS XEプラットフォーム
- Cisco IOS XEバージョン16.9.1以降、Catalyst 3650/3850およびCatalyst 9000シリーズスイッチプラットフォームでは、唯一のライセンス方法としてCisco Smart Licensing方式がサポートされています。
- Cisco IOS XEバージョン16.10.1以降では、ASR1K、ISR1K、ISR4K、仮想ルータ(CSRv/ISRv)などのルータプラットフォームで、Cisco Smart Licensing方式が唯一のライセンス方式としてサポートされています。
レガシーライセンスからスマートライセンスへの移行
使用権(RTU)や製品アクティベーションキー(PAK)などのレガシーライセンスをスマートライセンスに変換する方式は 2 つあります。従う必要がある方法の詳細については、特定のシスコデバイスの関連するリリースノート、コンフィギュレーション ガイド、またはその両方を参照してください。
Device Led Conversion(DLC)による変換
- Device Led Conversion(DLC)は、シスコ製品が使用しているライセンスを報告でき、ライセンスが Cisco Smart Software Manager(CSSM)の対応するスマートアカウントに自動的に取り込まれる 1 回限りの方式です。 DLC の手順は、特定のシスコデバイスのコマンド ライン インターフェイス(CLI)から直接実行されます。
- DLC のプロセスは、Catalyst 3650/3850 と特定のルータプラットフォームでのみサポートされています。特定のルータモデルについては、各プラットフォームのコンフィギュレーション ガイドとリリースノートを参照してください。例: Fuji 16.9.xリリースを実行するCatalyst 3850のDLC手順。
変換 Cisco Smart Software Manager(CSSM)またはLicense Registration Portal(LRP)
Cisco Smart Software Manager(CSSM)方式:
1. https://software.cisco.com/でCisco Smart Software Manager(CSSM)にログインします
2. [Smart Software Licensing] > [Convert to Smart Licensing]に移動します
3. [Convert PAK]または[Convert Licenses]を選択します
4. PAKライセンスを変換する場合は、次の表でライセンスを見つけます。PAK 以外のライセンスを変換する場合は、[ライセンス変換ウィザード(License Conversion Wizard)] の段階的な指示に従います。
アカウントに関連付けられている既知の PAK ファイルの場所:
[ライセンス変換ウィザード(License Conversion Wizard)] のリンクの場所:
5.必要なライセンスと製品の組み合わせを見つけます
6. (アクションの下)をクリックします。[スマートライセンスへの変換(Convert to Smart Licensing)] をクリックします。
7.必要な仮想アカウント、ライセンスを選択し、[Next]をクリックします
8.選択内容を確認し、[Convert Licenses]をクリックします
ライセンス登録ポータル(LRP)の方法:
1. License Registration Portal(LRP)http://tools.cisco.com/SWIFT/LicensingUI/Homeにログインします。
2. [Devices] > [Add Devices]に移動します。
3.適切な製品ファミリとUDI(Unique Device Identifier)製品IDとシリアル番号を入力し、[OK]をクリックします。UDI情報は、シスコデバイスのコマンドラインインターフェイス(CLI)から取得した「show version」または「show inventory」から取得できます
4.追加したデバイスを選択し、ライセンスをスマートライセンスに変換する
5.適切な仮想アカウントに割り当て、変換および送信するライセンスを選択します。
Cisco Global Licensing Operations(GLO)部門への連絡による変換
Global Licensing Operations 部門には、ワールドワイド コンタクト センターのここからアクセスできます。
Catalyst 9500の16.9から16.12.3への高性能動作の変更
他のCatalyst 9000モデルと同様に、Catalyst 9500高性能モデルは、Cisco IOS XEバージョン16.9トレイン以降でSmart Licensingを使用して有効になりました。ただし、Catalyst 9500高性能モデルでは、各モデルに固有のライセンス資格タグが付いています。その後、製品チームとマーケティングチームがC9500プラットフォームのエンタイトルメントタグを統合することを決定しました。この決定により、C9500高性能モデルの動作が、特定のエンタイトルメントタグを使用して汎用C9500ライセンスに変更されました。
この動作の変更は、次のドキュメントに記載されています。不具合:
C9500高性能モデルに関する上記の変更ライセンスの前後を以下に示します。
Cisco IOS XEバージョン16.11.x以前
各C9600高性能モデルには、独自の権限付与タグがあります。
| モデル | ライセンス |
| C9500-32C | C9500 32C NW Essentials C9500 32C NWアドバンテージ C9500 32C DNA Essentials C9500 32C DNAの利点 |
| C9500-32QC | C9500 32QC NW Essentials C9500 32QC NW優位性 C9500 32QC DNA Essentials C9500 32QC DNAの利点 |
| C9500-24Y4C | C9500 24Y4C NW Essentials C9500 24Y4C NWアドバンテージ C9500 24Y4C DNA Essentials C9500 24Y4C DNAの優位性 |
| C9500-48Y4C | C9500 48Y4C NW Essentials C9500 48Y4C NWアドバンテージ C9500 48Y4C DNA Essentials C9500 48Y4C DNAの優位性 |
Cisco IOS XEバージョン16.12.3以降
Catalyst 9500高性能プラットフォームでは、汎用ネットワークライセンスタグと個別のDNAライセンスタグが使用されます。次の表に、Cisco IOS XEバージョン16.12.3以降で強調表示されている権限変更を示します。
| モデル | ライセンス |
| C9500-32C | C9500 Network Essentials C9500ネットワークの利点 C9500 32C DNA Essentials C9500 32C DNAの利点 |
| C9500-32QC | C9500 Network Essentials C9500ネットワークの利点 C9500 32QC DNA Essentials C9500 32QC DNAの利点 |
| C9500-24Y4C | C9500 Network Essentials C9500ネットワークの利点 C9500 24Y4C DNA Essentials C9500 24Y4C DNAの優位性 |
| C9500-48Y4C | C9500 Network Essentials C9500ネットワークの利点 C9500 48Y4C DNA Essentials C9500 48Y4C DNAの優位性 |
C9500高性能の変更に関するFAQ
1. デバイスがデバイス固有のネットワークライセンスを使用している場合、シスコのサポートはなぜ汎用ネットワークライセンスを割り当てるのですか。
汎用タグは、ネットワークデバイスに適した権限付与タグであるため、提供されます。これにより、特定のC9500高性能モデルだけでなく、Cat9500プラットフォーム全体でエンタイトルメントタグを使用できます。デバイス固有のライセンスタグを求める16.12.3以前のイメージは、ライセンス階層の汎用ライセンスに該当するため、汎用ライセンスタグに準拠しています。
2. 2つのネットワークタグがスマートアカウントに表示されるのはなぜですか。
この動作は、ライセンス階層に起因するもので、デバイス固有のライセンスタグを使用する古いイメージでデバイスが実行されている場合に発生します。デバイス固有のライセンスタグを求める古いイメージは、ライセンス階層の汎用ライセンスに該当するため、汎用ライセンスタグに準拠しています。
コンフィギュレーション
基本設定
スマートライセンスの正確な設定手順については、各リリース/プラットフォームのシステム管理コンフィギュレーション ガイドを参照してください。
例:システム管理設定ガイド、Cisco IOS XE Fuji 16.9.x(Catalyst 9300スイッチ)
登録トークン/デバイス ID トークン
デバイスを登録する前に、トークンを生成する必要があります。登録トークンは、デバイスIDトークンとも呼ばれ、スマートライセンスポータルまたはCisco Smart Software Managerから生成された一意のトークンです。各トークンは、作成中に使用されるパラメータに応じて複数のシスコデバイスを登録する際に使用できます。
また登録トークンは、シスコデバイスを最初に登録するときにのみ必要です。登録トークンは、Call Home を使用してシスコのバックエンドに通知を送り、正しいスマートアカウントに関連付けるための情報をデバイスに提供するものであるためです。シスコデバイスが登録されるとトークンは不要になります。
登録トークンとその作成方法の詳細については、ここをクリックして一般ガイドを参照してください。詳細については、特定のシスコデバイスのコンフィギュレーション ガイドを参照してください。
登録とライセンスの状態
スマートライセンスを導入して設定するときは、シスコデバイスがさまざまな状態になっていると考えられます。これらの状態は、シスコデバイスのコマンド ライン インターフェイス(CLI)で show license all か show license status の出力を見るとわかります。
すべてのステータスとそれぞれの意味は、次のとおりです。
- [評価(未確認)(Evaluation (Unidentified))] 状態
- これは、デバイスを最初に起動したときのデフォルトの状態です。
- この状態は通常、シスコデバイスがまだスマートライセンス用に設定されていないか、スマートアカウントに登録されていない場合に表示されます。
- この状態では、すべての機能が使用可能となっており、デバイスでライセンスレベルを自由に変更できます。
- 評価期間は、デバイスが未確認状態の場合に使用されます。この状態では、デバイスはシスコとの通信を試みません。
- 90暦日ではなく90日の使用になります。期限が切れば、リセットされることはありません。
- 権限単位ではなく、デバイス全体に対して 1 つの評価期間が設けられます。
- 90 日後に評価期間が期限切れになると、デバイスは [評価期間の期限切れ(EVAL EXPIRY)] モードになりますが、リロードしても機能的な影響や機能の中断が生じることはありません。現在のところ適用されていません。
- カウントダウン時間は再起動後も維持されます。
- 評価期間は、デバイスがまだシスコに登録されておらず、シスコのバックエンドから次の 2 つのメッセージを受信していない場合に使用されます。
- 登録要求に対する成功応答
- 権限承認要求に対する成功応答
- [登録済み(Registered)] 状態
- これは、登録が正常に完了した後の予想される状態です。
- シスコデバイスは、Cisco スマートアカウントと正常に通信することが可能になり登録できています。
- デバイスは、今後の通信に使用される 1 年間有効な ID 証明書を受け取ります。
- デバイスは、CSSM にデバイスで使用されているライセンスの権限承認要求を送信します。
- CSSM の応答に応じて、デバイスは [承認済み(Authorized)] または [不適合(Out of Compliance)] 状態になります。
- ID 証明書は 1 年後に期限切れになります。6 ヵ月後にソフトウェア エージェント プロセスで証明書の更新が試みられます。Cisco Smart Software Manager と通信できない場合、エージェントは有効期限(1 年)まで引き続き ID 証明書の更新を試みます。 エージェントは 1 年後に [未確認(Unidentified)] 状態に戻り、評価期間を有効にしようとします。CSSM は、データベースから製品インスタンスを削除します。
- [承認済み(Authorized)] 状態
- これは、デバイスが権限を使用しており、適合している(負のバランスになっていない)場合に予想される状態です。
- CCSM のバーチャルアカウントに正しい種類と数のライセンスがあり、デバイスのライセンスの使用が承認されています。
- デバイスは、30 日後に承認を更新するための新しい要求を CSSM に送信します。
- (正常に更新されなかった場合)[承認の期限切れ(Authorization Expired)] 状態に移行してから 90 日の期間が設けられます。
- [不適合(Out of Compliance)] 状態
- これは、デバイスが権限を使用しており、適合していない(負のバランスになっている)場合の状態です。
- この状態は、シスコデバイスがCiscoスマートアカウントに登録されている対応する仮想アカウントにデバイスが利用可能なライセンスを持っていない場合に表示されます。
- [適合(Compliance)]/[承認済み(Authorized)] 状態にするには、お客様がスマートアカウントに正しい数と種類のライセンスを追加する必要があります。
- この状態になっている場合、デバイスは毎日自動的に承認更新要求を送信します。
- ライセンスと機能は引き続き使用でき、機能的な影響が生じることはありません。
- [承認の期限切れ(Authorization Expired)] 状態
- これは、デバイスが権限を使用しており、関連付けられた Cisco スマートアカウントと 90 日超にわたって通信できていない場合の状態です。
- これは通常、シスコデバイスがインターネットにアクセスできなくなったか、最初の登録の後に tools.cisco.com に接続できない場合に表示されます。
- スマートライセンスのオンライン方式では、この状態にならないようにするために、シスコデバイスが少なくとも 90 日に 1 回通信する必要があります。
- CSSM は、90 日間通信がなかったことを理由として、このデバイスで使用されているすべてのライセンスをプールに戻します。
- この状態になっている場合、デバイスは、登録期間(ID 証明書)が期限切れになるまで、権限承認を更新するために 1 時間ごとにシスコへの連絡を試み続けます。
- ソフトウェアエージェントは、シスコとの通信を再確立して承認要求を受け取ると、その応答を正常に処理して確立状態のいずれかになります。
考慮事項と注意事項
- 16.9.1からスイッチ用、16.10.1からルータ用に、デフォルトのCall-homeプロファイル「CiscoTAC-1」が生成され、Smart Licensingへの移行を支援します。デフォルトでは、このプロファイルはDirect Cloud Access方式に設定されます。
#show call-home profile CiscoTAC-1 Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default <snip>
- Cisco Smart Software Managerオンプレミスサーバを使用する場合は、アクティブなcall-home設定の下の宛先アドレスがポイントされている必要があります(大文字と小文字が区別されます)。
(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler
- tools.cisco.comを解決するにはDNSが必要です。DNSサーバ接続がVRFにある場合は、適切な送信元インターフェイスとVRFが次のように定義されていることを確認します。
Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>
VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>] <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>
また、NDS を使用できない場合は、(エンドデバイスのローカル DNS 解決に基づいて)ローカル DNS から IP へのマッピングを静的に設定するか、Call Home 設定の DNS 名を IP アドレスに置き換えます。直接クラウドアクセスの例を参照してください(Cisco Smart Software Managerのオンプレミアでは、tools.cisco.comではなく独自のDNS名を使用します)。
(config)#ip host tools.cisco.com <x.x.x.x>
- (Mgmt-vrf など)特定の VRF のインターフェイスから tools.cisco.com への通信が必要な場合は、次の CLI を設定する必要があります。
(config)#ip http client source-interface <VRF_INTERFACE>
- StackWise や StackWise Virtual で動作する Catalyst スイッチなど、シスコデバイスの設定によって使用されるライセンスの数が異なる場合があります。
従来の StackWise でサポートされるスイッチ(Catalyst 9300 シリーズなど):
ネットワークライセンス:スタック内のスイッチごとに 1 つのライセンスが使用されます。
Cisco DNA ライセンス:スタック内のスイッチごとに 1 つのライセンスが使用されます。
モジュラ型シャーシ(Catalyst 9400 シリーズなど):
ネットワークライセンス:シャーシ内のスーパーバイザごとに 1 つのライセンスが使用されます。
Cisco DNA ライセンス:シャーシごとに 1 つのライセンスが使用されます。
固定の StackWise Virtual でサポートされるスイッチ(Catalyst 9500 シリーズなど):
ネットワークライセンス:スタック内のスイッチごとに 1 つのライセンスが使用されます。
Cisco DNA ライセンス:スタック内のスイッチごとに 1 つのライセンスが使用されます。
- スマートライセンスに対してアクティブにできる Call Home プロファイルは 1 つだけです。
- ライセンスは対応する機能が設定されている場合にのみ使用されます。
- スマートライセンス用に設定されたシスコデバイスは、対応する Cisco スマートアカウントと適切に同期されるように正しいシステム日時を設定する必要があります。シスコデバイスのタイムオフセットが離れすぎていると、デバイスを登録できない可能性があります。クロックは手動で設定するか、Network Time Protocol(NTP)や Precision Time Protocol(PTP)などのタイムプロトコルを使用して設定する必要があります。 これらの変更に必要な正確な手順については、特定のシスコデバイスのコンフィギュレーション ガイドを参照してください。
- シスコデバイスの登録中に生成される Public Key Infrastructure(PKI)キーは、登録後に自動的に保存されなければ保存する必要があります。デバイスで PKI キーを保存できなかった場合は、「copy running-config startup-config」か「write memory」を使用して設定を保存するよう指示する syslog が生成されます。
- シスコデバイスの PKI キーが適切に保存されていない場合、フェールオーバーかリロードのときにライセンスの状態が失われる可能性があります。
- HTTPS プロキシ方式でサードパーティのプロキシを使用する場合、スマートライセンスはデフォルトで HTTPS プロキシの SSL 証明書の代行受信をサポートしません。この機能をサポートするには、プロキシで SSL の代行受信を無効にするか、プロキシから送信された証明書を手動でインポートします。
How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint.
The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.
Device#conf t
Device(config)#crypto pki trustpoint LicRoot
Device(ca-trustpoint)#enrollment terminal
Device(ca-trustpoint)#revocation-check none
Device(ca-trustpoint)#exit
Device(config)#crypto pki authenticate LicRoot
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: XXXXXXXX
Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
- トランスポートゲートウェイの HTTP プロキシを使用する場合は、次のように IP アドレスを tools.cisco.com からプロキシに変更する必要があります。
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
TO
宛先アドレスhttp https:// <TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler - トランスポートゲートウェイの IP アドレスは、Cisco トランスポートゲートウェイ の GUI で [HTTP設定(HTTP Settings)] に移動し、HTTP サービスの URL の下を見るとわかります。
- 詳細については、Cisco トランスポートゲートウェイのコンフィギュレーション ガイド(こちら)を参照してください。
トラブルシューティング
CiscoデバイスをSmart Licensing対応ソフトウェアバージョンに移行する際は、次のフローチャートを3つの方法(直接クラウドアクセス、HTTPSプロキシ、およびCisco Smart Software Managerオンプレミスガイド)すべてに対する一般的なガイドとして使用できます。
スマートライセンスをサポートするソフトウェアリリースでデバイスをアップグレードまたは出荷(サポートされるCisco IOS XEリリースのリストについては、セクション1.3を参照)。
次のトラブルシューティング手順は、主に「デバイスを登録できない」シナリオに焦点を置いています。
デバイスを登録できない
初期設定の後で、スマートライセンスを有効にするには、CSSM/Cisco Smart Software Managerで事前に生成されたトークンをCLI経由でデバイスに登録する必要があります。
license smart register idtoken <TOKEN>
これにより、次のイベントが生成されます。
! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result !
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine %PKI-4-NOCONFIGAUTOSAVE: Configuration was modified. Issue "write memory" to save new IOS PKI configuration !
! Call-home start registration process
! %CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. !
! Smart Licensing process connects with CSSM and check entitlement.
! %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed %SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> %SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved %SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized %SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>
Call Home の設定を確認するには、次の CLI を実行します。
#show call-home profile all
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
Periodic configuration info message is scheduled every 1 day of the month at 09:15
Periodic inventory info message is scheduled every 1 day of the month at 09:00
Alert-group Severity
------------------------ ------------
crash debug
diagnostic minor
environment warning
inventory normal
Syslog-Pattern Severity
------------------------ ------------
APF-.-WLC_.* warning
.* major
スマートライセンスのステータスを確認するには、次の CLI を実行します。
#show license summary Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: Krakow LAN-SW Export-Controlled Functionality: ALLOWED Last Renewal Attempt: None Next Renewal Attempt: Nov 22 21:24:32 2019 UTC License Authorization: Status: AUTHORIZED Last Communication Attempt: SUCCEEDED Next Communication Attempt: Jun 25 21:24:37 2019 UTC License Usage: License Entitlement tag Count Status ----------------------------------------------------------------------------- C9500 Network Advantage (C9500 Network Advantage) 1 AUTHORIZED C9500-DNA-40X-A (C9500-40X DNA Advantage) 1 AUTHORIZED
デバイスの登録が失敗した場合(ステータスがREGISTEREDと異なる場合)、Out-of-Complianceは、Smart Virtual Accountにライセンスが存在しない場合などのCSSMの問題、不適切なマッピング(たとえば、異なる仮想アカウントのトークンが使用された場合)、など)などを示します。 次のことを確認してください。
1.構成設定と一般的な障害シナリオの確認
セクション 2.1 の基本設定の手順を参照してください。また、セクション 5 に記載されている、このフィールドで確認された一般的な失敗のシナリオも参照してください。
2. 基本接続のチェック
デバイスがtools.cisco.com(直接アクセスの場合)またはCisco Smart Software Managerオンプレミスサーバに到達(およびオープンTCPポート)できることを確認します。
#show run all | in destination address http destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService ! ! check connectivity ! #telnet tools.cisco.com 443 /source-interface gi0/0 Trying tools.cisco.com (x.x.x.x, 443)... Open [Connection to tools.cisco.com closed by foreign host]
上記のように動作しない場合は、ルーティングルール、送信元インターフェイス、およびファイアウォール設定をダブルチェックします。
HTTP(TCP/80)は廃止されており、HTTPS(TCP/443)が推奨のプロトコルとなっている点に注意してください。
DNS と HTTP の詳細の設定方法に関するその他のガイドラインについては、セクション「DNSおよびHTTPの詳細を設定するガイドラインについては、このドキュメントの「3.考慮事項と注意」を参照してください。
3.スマートライセンス設定の確認
次の出力を収集します。
#show tech-support license
収集した設定/ログを確認します(詳細な調査のために Cisco TAC のケースをオープンする場合は、この出力を添付します)。
4.デバッグの有効化
次のデバッグを有効にしてスマートライセンスのプロセスに関するその他の情報を収集します(デバッグを有効にしたら、ポイント 4.1 に記載されている CLI を使用してライセンスをもう一度登録する必要がある点に注意してください)。
#debug call-home smart-licensing [all | trace | error] #debug ip http client [all | api | cache | error | main | msg | socket]
内部デバッグの場合は、バイナリトレースを有効にして内容を確認します。
! enable debug #set platform software trace ios [switch] active R0 infra-sl debug ! ! read binary traces infra-sl process logs #show platform software trace message ios [switch] active R0
一般的な失敗のシナリオ
シスコデバイスの登録中または登録後に発生する可能性がある、一般的な失敗のシナリオのいくつかを次に示します。
シナリオ 1:スイッチの登録が失敗する理由:「製品がすでに登録されています(Product Already Registered)」
「show license all」の一部:
Registration:
ステータス:未登録 – 登録に失敗しました
Export-Controlled Functionality:NotAllowed
Initial Registration:FAILED on Oct 22 14:25:31 2018 EST
Failure reason:Product Already Registered
Next Registration Attempt:Oct 22 14:45:34 2018 EST
次のステップ:
- シスコデバイスをもう一度登録する必要があります。
- CiscoデバイスがCisco Smart Software Manager(CSSM)に表示される場合は、「force」パラメータを使用する必要があります(つまり、"license smart register idtoken <TOKEN> force")
シナリオ 2 :スイッチの登録が失敗する理由:Your request could not be processed right now.Please try again)」
「show license all」の一部:
Registration:
ステータス:REGISTERING - REGISTRATION IN PROGRESS
Export-Controlled Functionality:NotAllowed
Initial Registration:FAILED on Oct 24 15:55:26 2018 EST
Failure reason: Your request could not be processed right now.Please try again
Next Registration Attempt:Oct 24 16:12:15 2018 EST
次のステップ:
- セクション 4 に記載されているようにデバッグを有効にして問題の詳細情報を取得します。
- CSSM でスマートライセンスの新しいトークンを生成してもう一度試します。
シナリオ 3 :失敗の理由:「デバイスの日付1526135268653は許容範囲を超えています(The device date 1526135268653 is offset beyond the allowed tolerance limit)」
「show license all」の一部:
Registration:
ステータス:REGISTERING - REGISTRATION IN PROGRESS
Export-Controlled Functionality:NotAllowed
Initial Registration:FAILED on Nov 1117:55:46 2018 EST
Failure reason: {"timestamp":["デバイスの日付'1526135268653'は許容許容範囲制限を超えてオフセットされています。"]}
Next Registration Attempt:Nov 11 18:12:17 2018 EST
表示される可能性のあるログ:
%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID:Certificate chain validation has failed. The certificate (SN:XXXXXX) is not yet valid.Validity period starts on 2018-12-12:43Z
次のステップ:
- シスコデバイスのクロックに正しい時刻が表示されていることを確認します(show clock)。
- クロックが正しく設定されるように可能な場合は Network Time Protocol(NTP)を設定します。
- NTP を設定できない場合は、「clock calendar-valid」が設定されていることを確認し、手動で設定したクロック(clock set)が正しく(show clock)、信頼できるタイムソースとして設定されていることを確認します。
シナリオ 4 :スイッチの登録が失敗する理由:「通信を転送できません(Communication transport not available)」
「show license all」の一部:
Registration:ステータス:UNREGISTERED - REGISTRATION FAILED
Export-Controlled Functionality:Not Allowed
Initial Registration:FAILED on Mar 09 21:42:02 2019 CST
Failure reason:Communication transport not available.
表示される可能性のあるログ:
%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE:Failed to enable call-home from Smart Agent for Licensing:The command failed to enable smart call home due to an existing active user profile.If you are using a user profile other than "CiscoTAC-1" profile to send data to SCH server in Cisco, please enter "reporting smart-licensing-data" under profile mode to configure that profile for smart licensing.For more details about SCH, please check http://www.cisco.com/go/smartcallhome
%SMART_LIC-3-AGENT_REG_FAILED:Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellite failed:Communication transport not available.
%SMART_LIC-3-COMM_FAILED:Communications failure with the Cisco Smart Software Manager or satellite:Communication transport not available.
次のステップ:
- シスコデバイスの「show running-config」の出力で「service call-home」によって Call Home が有効になっていることを確認します。
- 正しい Call Home プロファイルがアクティブになっていることを確認します。
- アクティブな Call Home プロファイルで「reporting smart-licensing-data」が設定されていることを確認します。
シナリオ 5 :スイッチのライセンス承認が失敗する理由:「Call Home HTTPメッセージを送信できませんでした(Fail to send out Call Home HTTP message)」
「show license all」の一部:
License Authorization:
ステータス:OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
Last Communication Attempt:FAILED on Aug 02 14:26:23 2018 UTC
Failure reason:Fail to send out Call Home HTTP message.
Next Communication Attempt:Aug 02 14:26:53 2018 UTC
Communication Deadline:Oct 25 09:21:38 2018 UTC
表示される可能性のあるログ:
%CALL_HOME-5-SL_MESSAGE_FAILED:スマートライセンスメッセージの送信先:https://<ip>/its/service/odce/services/DCEService(ERR 205:要求の中止)
%SMART_LIC-3-COMM_FAILED:Communications failure with the Cisco Smart Software Manager or satellite:Fail to send out Call Home HTTP message.
%SMART_LIC-3-AUTH_RENEW_FAILED:Authorization renewal with the Cisco Smart Software Manager or satellite:udi PID:XXX、SNの通信メッセージ送信エラー:XXX
次のステップ:
- Ciscoデバイスがtools.cisco.comにpingできることを確認します
- DNSが設定されていない場合は、tools.cisco.comのローカルnslookup IPに対してDNSサーバまたは"ip host"文文を設定します
- TCP ポート 443(HTTPS で使用するポート)でシスコデバイスから tools.cisco.com への telnet を試行します。
- HTTPsクライアントの送信元インターフェイスが定義され、正しいことを確認します
- 「show call-home profile all」を使用して、シスコデバイスで Call Home プロファイルの URL/IP が正しく設定されていることを確認します。
- IP ルートが正しいネクストホップを指していることを確認します。
– シスコのデバイス、Smart Call Homeサーバへのパス、またはCisco Smart Software Managerのオンプレミア(サテライト)でTCPポート443がブロックされていないことを確認します
– 適切なVirtual Routing and Forwarding(VRF)インスタンスが、コールホームで設定されていることを確認します(該当する場合)。
シナリオ 6:失敗の理由「ID証明書のシリアル番号フィールドがありません。署名証明書のシリアル番号フィールドがありません。署名されたデータと証明書が一致しません"ログ
この動作は、Cisco Bug ID CSCvr41393に記載されているように、暗号証明書が期限切れになったCSSMオンプレミスサーバで作業している場合に発生します。登録デバイスとの同期の問題を防ぐために、CSSMオンプレミスサーバをで同期しし、更新できます。
「show license all」の一部:
Registration:
ステータス:未登録
スマートアカウント:アカウントの例
Export-Controlled Functionality:許可
License Authorization:
ステータス:EVALモード
評価期間(残余):65日、18時間43分0秒
表示される可能性のあるログ:
「show logging」または「show license eventlog」の下には、次のエラーが表示されます。
SAVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Missing Id cert serial number field;署名証明書のシリアル番号フィールドがありません。署名されたデータと証明書が一致しません"
次のステップ:
- CiscoデバイスがCSSMオンプレミスサーバにIP接続できることを確認します
- HTTPSを使用している場合は、デバイスのcall-home設定で証明書C-Nameが使用されていることを確認します
- DNSサーバが認証C-Nameの解決に使用できない場合は、ドメイン名とIPアドレスをマッピングするように静的「ip host」文を設定します
- CSSMオンプレミスの証明書のステータスが有効であることを確認します
- CSSMのオンプレミス証明書の期限が切れた場合は、Cisco Bug ID CSCvr41393に記載されている回避策の1つを実行してください
シナリオ 7:スイッチのライセンス承認が失敗する理由:「応答を待機しています(Waiting for reply)」
「show license all」の一部:
License Authorization:
ステータス:OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
Last Communication Attempt:PENDING on Aug 02 14:34:51 2018 UTC
Failure reason:Waiting for reply
Next Communication Attempt:Aug 02 14:53:58 2018 UTC
Communication Deadline:Oct 25 09:21:39 2018 UTC
表示される可能性のあるログ:
%PKI-3-CRL_FETCH_FAIL:CRL fetch for trustpoint SLA-TrustPoint failed Reason :Failed to select socket.タイムアウト:5 (Connection timed out)
%PKI-3-CRL_FETCH_FAIL:CRL fetch for trustpoint SLA-TrustPoint failed Reason :Failed to select socket.タイムアウト:5 (Connection timed out)
次のステップ:
- この問題を修正するには、実行コンフィギュレーションで SLA-TrustPoint を none に設定する必要があります。
show running-config
<omitted>
crypto pki trustpoint SLA-TrustPoint
revocation-check none
CRL とは
証明書失効リスト(CRL)とは、失効した証明書のリストです。CRL は、証明書を発行した認証局(CA)によって作成され、デジタル署名されます。CRL には、各証明書の発行日と失効日が含まれています。CRL の詳細については、こちらを参照してください。
シナリオ 8 :ステータスが「不適合(Out of Compliance)」のライセンス
「show license all」の一部:
License Authorization:
ステータス:OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
Last Communication Attempt:PENDING on Aug 02 14:34:51 2018 UTC
Failure reason:Waiting for reply
Next Communication Attempt:Aug 02 14:53:58 2018 UTC
Communication Deadline:Oct 25 09:21:39 2018 UTC
表示される可能性のあるログ:
%SMART_LIC-3-OUT_OF_COMPLIANCE:One or more entitlements are out of compliance
次のステップ:
- 適切なスマート バーチャル アカウントのトークンが使用されているかどうかを確認します。
- ここで使用可能なライセンスの数を確認します。
シナリオ 9 :スイッチのライセンス承認が失敗する理由:データと署名が一致しません"
「show license all」の一部:
License Authorization:
ステータス:2020年3月12日09:17:45 EDT認定
Last Communication Attempt:FAILED on Mar 12 09:17:45 2020 EDT
Failure reason:データと署名が一致しません
Next Communication Attempt:2020年3月12 09:18:15 EDT
Communication Deadline:2020年5月9日21:22:43 EDT
表示される可能性のあるログ:
%SMART_LIC-3-AUTH_RENEW_FAILED:Cisco Smart Software Manager(CSSM)による認可更新:スマートソフトウェアマネージャからエラーを受信しました:udi PID:C9000、SN:XXXXXXXXXXXのデータとシグニチャが一致しない
次のステップ:
- 「License smart deregister」でスイッチの登録を解除します。
- 「license smart register idtoken <TOKEN> force」で新しいトークンを使用してスイッチを登録します
参考資料
1)Cisco Smart Licensing のホームページ
3)スマートアカウント – 管理ポータル:スマートソフトウェアライセンス
4)スマートアカウント – 新規アカウントの作成:スマートアカウント
5)設定ガイド(例):Cisco IOS XE Fuji 16.9.x(Catalyst 9300スイッチ)
マニュアルの変更履歴
| 改定 | 発行日付 | コメント |
|---|---|---|
2.0 |
11-May-2022 |
タイトルを編集しました。セクション番号を削除。プレースホルダテキスト(「x.x.x.x」)を使用するようにIPアドレスを変更しました。 |
1.0 |
31-May-2019 |
初版 |
フィードバック