Cisco Smart Licensing - Catalystプラットフォームのトラブルシューティング手順と考慮事項
目次
1. 概要
1.1. Cisco Smart Licensingとは何ですか。
Cisco Smart Licensingは、シスコ製品全体のすべてのソフトウェアライセンスを管理するクラウドベースの統合ライセンス管理システムであり、お客様はシスコソフトウェアライセンスを購入、導入、管理、追跡、更新できます。また、ライセンスの所有権と消費に関する情報を1つのユーザインターフェイスで提供します
このソリューションは、シスコのソフトウェア資産の追跡に使用されるオンラインのスマートアカウント(Cisco Smart Licensing Portal)と、スマートアカウントの管理に使用されるCisco Smart Software Manager(CSSM)で構成されます。CSSMでは、ライセンスの登録、登録解除、移動、転送など、すべてのライセンス管理関連タスクを実行できます。ユーザは、スマートアカウントおよび特定の仮想アカウントに対するアクセス権と権限を追加および付与できます。
Cisco Smart Licensingの詳細については、次を参照してください。
a) Cisco Smart Licensingホームページ
b)シスココミュニティ – オンデマンドトレーニング。
スマートアカウントは、ここで作成できます。
スマートアカウントは、スマートソフトウェアライセンスで管理できます
1.2スマートライセンスの実装方法
Cisco Smart Licensingの導入には、企業のセキュリティプロファイルに応じて次のような複数の方法を利用できます。
ダイレクトクラウドアクセス
シスコ製品は、HTTPSを使用して使用状況に関する情報をインターネット経由で安全に送信します。追加のコンポーネントは不要です。
HTTPSプロキシ経由のアクセス
シスコ製品は、HTTPSを使用してHTTPプロキシサーバを介して使用状況の情報を安全に送信します。既存のプロキシサーバを使用することも、シスコのTransport Gatewayを介して導入することもできます。(詳細はここをクリックしてください)。
オンプレミスライセンスサーバ(Cisco Smart Software Manager satelliteとも呼ばれる)
シスコ製品は、インターネット経由で直接使用するのではなく、オンプレミスのサーバに使用状況情報を送信します。月に一度、サーバはHTTPS経由ですべてのデバイスにインターネット経由で到達するか、手動で転送してデータベースを同期できます。CSSM On-prem(サテライト)は、仮想マシン(VM)として利用でき、こちらからダウンロードできます。詳細については、スマートソフトウェアマネージャサテライトページを参照してください。
1.3.サポートされるIOS XEプラットフォーム
- IOS XEバージョン16.9.1以降、Catalyst 3650/3850およびCatalyst 9000シリーズスイッチプラットフォームでは、唯一のライセンス方法としてCisco Smart Licensing方式がサポートされています。
- IOS XEバージョン16.10.1以降では、ASR1K、ISR1K、ISR4K、仮想ルータ(CSRv/ISRv)などのルータプラットフォームは、Cisco Smart Licensing方式を唯一のライセンス方式としてサポートしています。
1.4.レガシーライセンスからスマートライセンスへの移行
レガシーライセンスをスマートライセンスに変換するには、Right-to-Use(RTU)または製品アクティベーションキー(PAK)などの2つの方法があります。従う必要がある方法の詳細については、該当するシスコデバイスのリリースノートおよび/またはコンフィギュレーションガイドを参照してください。
1.4.1.デバイスLED変換(DLC)による変換
- Device Led Conversion(DLC)は、シスコ製品が使用しているライセンスをレポートし、ライセンスがCisco Smart Software Manager(CSSM)の対応するスマートアカウントに自動的にデポジットされる1回限りの方式です。 DLC手順は、特定のシスコデバイスのコマンドラインインターフェイス(CLI)から直接実行されます。
- DLCプロセスは、Catalyst 3650/3850および選択されたルータプラットフォームでのみサポートされます。特定のルータモデルについては、個々のプラットフォーム設定ガイドとリリースノートを参照してください。例:Fuji 16.9.xリリースを実行するCatalyst 3850のDLC手順。
1.4.2.変換 Cisco Smart Software Manager(CSSM)またはLicense Registration Portal(LRP)
Cisco Smart Software Manager(CSSM)の方法:
1. https://software.cisco.com/でCisco Smart Software Manager(CSSM)にログインします
2. [Smart Software Licensing] > [Convert to Smart Licensing]に移動します
3. [Convert PAK]または[Convert Licenses]を選択します
4. PAKライセンスを変換する場合は、次の表でライセンスを見つけます。非PAKライセンスを変換する場合は、手順を追って「ライセンス変換ウィザード」を使用します。
アカウントに関連付けられている既知のPAKファイルの場所:
[License Conversion Wizard]リンクの場所:
5.必要なライセンスと製品の組み合わせを見つけます
6. (アクションの下)をクリックします。スマートライセンスへの変換
7.必要な仮想アカウント、ライセンスを選択し、[Next]をクリックします
8.選択内容を確認し、[Convert Licenses]をクリックします
1.4.3. Cisco Global Licensing Operations(GLO)部門への連絡による変換
グローバルライセンスオペレーション部門は、当社の世界のコンタクトセンターからご連絡ください。
1.5. Catalyst 9500の16.9から16.12.3への高性能動作の変更
他のCatalyst 9000モデルと同様に、Catalyst 9500高性能モデルもIOS XEバージョン16.9トレイン以降でSmart Licensingを使用して有効になりました。ただし、Catalyst 9500高性能モデルでは、各モデルに固有のライセンス資格タグが付いています。その後、製品チームとマーケティングチームがC9500プラットフォームのエンタイトルメントタグを統合することを決定しました。この決定により、C9500高性能モデルの動作が、特定のエンタイトルメントタグを使用して汎用C9500ライセンスに変更されました。
この動作の変更は、次の不具合で文書化されています。
a) CSCvp30661
b) CSCvt01955
C9500高性能モデルに関する上記の変更ライセンスの前後を以下に示します。
1.5.1. IOS XEバージョン16.11.x以降
各C9600高性能モデルには、独自の権限付与タグがあります。
| モデル | ライセンス |
| C9500-32C | C9500 32C NW Essentials C9500 32C NWアドバンテージ C9500 32C DNA Essentials C9500 32C DNAの利点 |
| C9500-32QC | C9500 32QC NW Essentials C9500 32QC NW優位性 C9500 32QC DNA Essentials C9500 32QC DNAの利点 |
| C9500-24Y4C | C9500 24Y4C NW Essentials C9500 24Y4C NWアドバンテージ C9500 24Y4C DNA Essentials C9500 24Y4C DNAの優位性 |
| C9500-48Y4C | C9500 48Y4C NW Essentials C9500 48Y4C NWアドバンテージ C9500 48Y4C DNA Essentials C9500 48Y4C DNAの優位性 |
注:IOS XEバージョン16.12.1および16.12.2には、CSCvp30661、CSCvt01955の不具合があり、16.12.3a以降で対応しています。
1.5.2. IOS XEバージョン16.12.3以降
Catalyst 9500高性能プラットフォームでは、汎用ネットワークライセンスタグと個別のDNAライセンスタグが使用されます。次の表に、IOS XEバージョン16.12.3以降で強調表示されている権限付与の変更を示します。
| モデル | ライセンス |
| C9500-32C | C9500 Network Essentials C9500ネットワークの利点 C9500 32C DNA Essentials C9500 32C DNAの利点 |
| C9500-32QC | C9500 Network Essentials C9500ネットワークの利点 C9500 32QC DNA Essentials C9500 32QC DNAの利点 |
| C9500-24Y4C | C9500 Network Essentials C9500ネットワークの利点 C9500 24Y4C DNA Essentials C9500 24Y4C DNAの優位性 |
| C9500-48Y4C | C9500 Network Essentials C9500ネットワークの利点 C9500 48Y4C DNA Essentials C9500 48Y4C DNAの優位性 |
注:IOS XEバージョン16.12.1および16.12.2からのアップグレードでは、このライセンス動作が表示されます。IOS XEバージョン16.9.x、16.10.x、16.11.xから16.12.3へのアップグレードでは、古いライセンス設定が認識されます。
1.5.3. C9500高性能の変更に関するFAQ
1 の L-AC-PLS-G)を注文します。 デバイスがデバイス固有のネットワークライセンスを使用している場合、シスコのサポートはなぜ汎用ネットワークライセンスを割り当てるのですか。
汎用タグは、ネットワークデバイスに適した権限付与タグであるため、提供されます。これにより、特定のC9500高性能モデルだけでなく、Cat9500プラットフォーム全体でエンタイトルメントタグを使用できます。デバイス固有のライセンスタグを求める16.12.3以前のイメージは、ライセンス階層の汎用ライセンスに該当するため、汎用ライセンスタグに準拠しています。
2. 2つのネットワークタグがスマートアカウントに表示されるのはなぜですか。
この動作は、ライセンス階層に起因するもので、デバイス固有のライセンスタグを使用する古いイメージでデバイスが実行されている場合に発生します。デバイス固有のライセンスタグを求める古いイメージは、ライセンス階層の汎用ライセンスに該当するため、汎用ライセンスタグに準拠しています。
2.設定
2.1.基本設定
スマートライセンスを設定する正確な手順については、各リリース/プラットフォームで利用可能な『System Management Configuration Guide』を参照してください。
例:システム管理設定ガイド、Cisco IOS XE Fuji 16.9.x(Catalyst 9300スイッチ)
2.2.登録トークン/デバイスIDトークン
デバイスを登録する前に、トークンを生成する必要があります。登録トークンは、デバイスIDトークンとも呼ばれ、スマートライセンスポータルまたはCisco Smart Software Managerから生成された一意のトークンです。個々のトークンを使用して、作成時に使用されるパラメータに応じて複数のシスコデバイスを登録できます。
登録トークンは、シスコデバイスの初期登録時にのみ必要です。デバイスに情報を提供してシスコのバックエンドにコールホームし、正しいスマートアカウントに関連付けられるためです。シスコデバイスの登録後、トークンは不要になります。
登録トークンとその生成方法の詳細については、ここをクリックして一般的なガイドを参照してください。詳細については、特定のシスコデバイスの設定ガイドを参照してください。
2.3登録及びライセンスの状態
Smart Licensingの導入と設定の際に、シスコデバイスが存在できる状態は複数あります。これらの状態は、シスコデバイスのコマンドラインインターフェイス(CLI)からshow license allまたはshow license statusを確認することで表示できます。
すべての状態とその意味を次に示します。
- 評価(未確認)状態
- これは、最初にブートしたときのデバイスのデフォルト状態です。
- 通常、この状態は、シスコデバイスがスマートライセンス用に設定されていないか、スマートアカウントに登録されていない場合に表示されます。
- この状態では、すべての機能が利用可能で、デバイスはライセンスレベルを自由に変更できます。
- 評価期間は、デバイスが未確認状態のときに使用されます。この状態では、デバイスはシスコとの通信を試行しません。
- 90暦日ではなく90日の使用になります。期限が切れば、リセットされることはありません。
- デバイス全体の評価期間が1つあり、権限付与ごとではない
- 評価期間が90日の終わりに終了すると、デバイスはEVAL EXPIRYモードに入りますが、リロード後も機能に影響や中断はありません。現在、適用はありません。
- カウントダウン時間は、リブート後も維持されます。
- 評価期間は、デバイスがまだシスコに登録されておらず、シスコのバックエンドから次の2つのメッセージを受信していない場合に使用されます。
- 登録要求への正常な応答
- 権限付与要求への正常な応答。
- 登録状態
- これは、登録が正常に完了した後の予期される状態です。
- シスコデバイスは、シスコスマートアカウントと正常に通信し、登録できるようになりました。
- デバイスは、今後の通信に使用される1年間有効なID証明書を受信します
- デバイスはCSSMに要求を送信して、デバイスで使用されているライセンスの権限を承認します
- CSSMの応答に応じて、デバイスは[Authorized]または[Out of Compliance]に入ります
- ID証明書の有効期限は1年の終わりです。6ヵ月後、ソフトウェアエージェントプロセスは証明書の更新を試みます。エージェントがCisco Smart Software Managerと通信できない場合、有効期限(1年)までId証明書の更新を試行し続けます。 1年が経過すると、エージェントは[Un-Identified]状態に戻り、評価期間を有効にしようとします。CSSMは、データベースから製品インスタンスを削除します。
- 認定状態
- これは、デバイスが資格を使用していて、コンプライアンスに準拠している場合に予想される状態です(負のバランスはありません)。
- CSSMの仮想アカウントには、デバイスのライセンスの消費を許可するための適切なタイプと数のライセンスが用意されています
- 30日が経過すると、デバイスは新しい要求をCSSMに送信して認可を更新します。
- 90日後の期間(更新に失敗した場合)が[Authorization Expired]状態に移行します。
- コンプライアンス違反の状態
- これは、デバイスが権限付与を使用していて、コンプライアンス違反(負のバランス)である状態です。
- この状態は、シスコデバイスがCiscoスマートアカウントに登録されている対応する仮想アカウントにライセンスがない場合に表示されます。
- コンプライアンス/承認済みの状態に移行するには、お客様が適切なライセンス数とタイプをスマートアカウントに追加する必要があります
- この状態になると、デバイスは毎日自動的に認可更新要求を送信します
- ライセンスと機能は引き続き動作し、機能への影響はありません
- 認証期限切れ状態
- これは、デバイスが権限付与を使用している場合に、90日間にわたって関連付けられたシスコスマートアカウントと通信できない状態です。
- これは通常、シスコデバイスが初期登録後にインターネットアクセスを失うか、tools.cisco.comに接続できない場合に発生します。
- スマートライセンスのオンライン方式では、このステータスを防止するために、シスコデバイスが90日ごとに最低でも通信する必要があります。
- CSSMは、90日間の通信がないため、このデバイスのすべての使用中ライセンスをプールに戻します
- この状態の間、デバイスは登録期間(id証明書)の期限が切れるまで、1時間ごとにシスコに連絡して権限付与の更新を試みます
- ソフトウェアAgentがシスコとの通信を再確立し、承認の要求を受信すると、Agentは通常どおり応答を処理し、確立状態のいずれかに入ります
3. 考慮事項と注意
- 16.9.1からスイッチ用、16.10.1からルータ用に、デフォルトのCall-homeプロファイル「CiscoTAC-1」が生成され、Smart Licensingへの移行を支援します。デフォルトでは、このプロファイルはDirect Cloud Access方式に設定されます。
#show call-home profile CiscoTAC-1 Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default <snip>
- Cisco Smart Software Managerオンプレミスサーバを使用する場合は、アクティブなcall-home設定の下の宛先アドレスがポイントされている必要があります(大文字と小文字が区別されます)。
(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler
- VRFでDNSを解決する必要がある場合、DNSは次のように設定できます。
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server [vrf <VRF>] <IP>
または、DNSが使用できない場合は、ローカルDNSからIPへのマッピング(エンドデバイスのローカルDNS解決に基づく)を静的に設定するか、call-home設定のDNS名をIPアドレスに置き換えます。直接クラウドアクセスの例を参照してください(Cisco Smart Software Managerのオンプリムでは、tools.cisco.comの代わりに独自のDNS名を使用します)。
(config)#ip host tools.cisco.com 173.37.145.8
- tools.cisco.comへの通信を特定のVRF(Mgmt-vrfなど)のインターフェイスから発信する必要がある場合は、次のCLIを設定する必要があります。
(config)#ip http client source-interface <VRF_INTERFACE>
- StackWiseまたはStackWise Virtualで動作するCatalystスイッチなど、シスコデバイスの設定に応じて異なる数のライセンスが使用される場合があります。
従来のスタックに対応したスイッチ(Catalyst 9300シリーズなど):
ネットワークライセンス:スタック内のスイッチごとに1つのライセンスが消費される
DNAライセンス:スタック内のスイッチごとに1つのライセンスが消費される
モジュラシャーシ(Catalyst 9400シリーズなど):
ネットワークライセンス:シャーシのスーパーバイザごとに1つのライセンスが消費される
DNAライセンス:シャーシごとに1ライセンスが消費される
固定スタックごとに仮想サポートされるスイッチ(Catalyst 9500シリーズなど):
ネットワークライセンス:スタック内のスイッチごとに1つのライセンスが消費される
DNAライセンス:スタック内のスイッチごとに1つのライセンスが消費される
- スマートライセンスに対してアクティブにできるcall-homeプロファイルは1つだけです。
- ライセンスは、対応する機能が設定されている場合にのみ使用されます。
- スマートライセンス用に設定されたシスコデバイスは、対応するシスコスマートアカウントと正しく同期されるように、正しいシステム日時で設定する必要があります。シスコデバイスのタイムオフセットが大きすぎると、デバイスの登録が失敗する可能性があります。クロックは、ネットワークタイムプロトコル(NTP)やプレシジョンタイムプロトコル(PTP)などのタイミングプロトコルを使用して手動で設定または設定する必要があります。 これらの変更を実装するために必要な正確な手順については、特定のシスコデバイスのコンフィギュレーションガイドを参照してください。
- 登録後に自動的に保存されない場合は、シスコデバイス登録時に生成される公開キーインフラストラクチャ(PKI)キーを保存する必要があります。デバイスがPKIキーの保存に失敗すると、「copy running-config startup-config」または「write memory」を使用して設定を保存することを示すsyslogが生成されます。
- シスコデバイスのPKIキーが正しく保存されていない場合、フェールオーバーまたはリロード時にライセンス状態が失われる可能性があります。
- スマートライセンスは、HTTPSプロキシ方式にサードパーティ製プロキシを使用する場合、デフォルトではHTTPSプロキシSSL証明書の代行受信をサポートしません。この機能をサポートするには、プロキシでSSL代行受信を無効にするか、プロキシから送信された証明書を手動でインポートします。
How to Manually Import Certification as a TrustPoint:
Note, the certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint.
The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.
Device#conf t
Device(config)#crypto pki trustpoint LicRoot
Device(ca-trustpoint)#enrollment terminal
Device(ca-trustpoint)#revocation-check none
Device(ca-trustpoint)#exit
Device(config)#crypto pki authenticate LicRoot
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: XXXXXXXX
Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
- Transport Gateway HTTPプロキシを使用する場合、次のようにIPアドレスをtools.cisco.comからプロキシに変更する必要があります。
宛先アドレスhttp https:// tools.cisco.com/its/service/odce/services/DDCEService
TO
宛先アドレスhttp https:// <TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler - Transport GatewayのIPアドレスは、HTTP設定に移動し、Cisco Transport Gateway GUIの[HTTP Service URLs]の下を見ることで確認できます。
- 詳細については、Cisco Transport Gatewayの次の設定ガイドを参照してください。
4. トラブルシューティング
CiscoデバイスをSmart Licensing対応ソフトウェアバージョンに移行する際は、次のフローチャートを3つの方法(直接クラウドアクセス、HTTPSプロキシ、およびCisco Smart Software Managerオンプレミスガイド)すべてに対する一般的なガイドとして使用できます。
スマートライセンスをサポートするソフトウェアリリースでデバイスをアップグレードまたは出荷(サポートされるIOS-XEリリースのリストについては、セクション1.3を参照)。
以下のトラブルシューティング手順は、主に「デバイスが登録に失敗する」シナリオに焦点を当てています。
4.1.デバイスの登録の失敗
初期設定の後で、スマートライセンスを有効にするには、CSSM/Cisco Smart Software Managerで事前に生成されたトークンをCLI経由でデバイスに登録する必要があります。
license smart register idtoken <TOKEN>
これにより、次のイベントが生成されます。
!
! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result !
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine %PKI-4-NOCONFIGAUTOSAVE: Configuration was modified. Issue "write memory" to save new IOS PKI configuration !
! Call-home start registration process
! %CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. !
! Smart Licensing process connects with CSSM and check entitlement.
! %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed %SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> %SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved %SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized %SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>
Call Homeの設定を確認するには、次のCLIを実行します。
#show call-home profile all
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
Periodic configuration info message is scheduled every 1 day of the month at 09:15
Periodic inventory info message is scheduled every 1 day of the month at 09:00
Alert-group Severity
------------------------ ------------
crash debug
diagnostic minor
environment warning
inventory normal
Syslog-Pattern Severity
------------------------ ------------
APF-.-WLC_.* warning
.* major
スマートライセンスのステータスを確認するには、次のCLIを実行します。
#show license summary Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: Krakow LAN-SW Export-Controlled Functionality: ALLOWED Last Renewal Attempt: None Next Renewal Attempt: Nov 22 21:24:32 2019 UTC License Authorization: Status: AUTHORIZED Last Communication Attempt: SUCCEEDED Next Communication Attempt: Jun 25 21:24:37 2019 UTC License Usage: License Entitlement tag Count Status ----------------------------------------------------------------------------- C9500 Network Advantage (C9500 Network Advantage) 1 AUTHORIZED C9500-DNA-40X-A (C9500-40X DNA Advantage) 1 AUTHORIZED
デバイスの登録が失敗した場合(およびステータスが上記のようにREGISTEREDと異なる場合。Out-of-Complianceは、Smart Virtual Accountにライセンスが不足しているなどのCSSM上の問題を示します。マッピングが正しくない(ライセンスが使用できない場合に異なる仮想アカウントのトークンが使用された場合など)次の項目を確認します。
1.構成設定と一般的な障害シナリオの確認
基本的な設定手順については、セクション2.1を参照してください。フィールドで観察される一般的な障害シナリオについては、セクション5を参照してください。
2.基本接続の確認
デバイスがtools.cisco.com(直接アクセスする場合)またはCisco Smart Software Managerオンプレミスサーバに到達(およびTCPポートを開く)できることを確認します。
#show run all | in destination address http destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService ! ! check connectivity ! #telnet tools.cisco.com 443 /source-interface gi0/0 Trying tools.cisco.com (173.37.145.8, 443)... Open [Connection to tools.cisco.com closed by foreign host]
上記の手順が正しく動作しない場合は、ルーティングルール、送信元インターフェイス、およびファイアウォールの設定を再確認してください。
HTTP(TCP/80)は非推奨であり、推奨プロトコルはHTTPS(TCP/443)です。
次のセクションを参照してください。DNSおよびHTTPの詳細を設定するガイドラインについては、このドキュメントの「3.考慮事項と注意」を参照してください。
3.スマートライセンス設定の確認
次の出力を収集します。
#show tech-support license
収集した設定/ログを検証します(詳細な調査のためにCisco TACケースをオープンする場合に備えて、この出力を添付してください)。
4.デバッグの有効化
次のデバッグを有効にして、スマートライセンスプロセスに関する追加情報を収集します(デバッグを有効にした後、ポイント4.1で説明したCLiを使用してライセンスを再度登録する必要があることに注意してください)。
#debug call-home smart-licensing [all | trace | error] #debug ip http client [all | api | cache | error | main | msg | socket]
内部デバッグの場合は、バイナリトレースを有効にして読み取ります。
! enable debug #set platform software trace ios [switch] active R0 infra-sl debug ! ! read binary traces infra-sl process logs #show platform software trace message ios [switch] active R0
5.一般的な障害シナリオ
シスコデバイスの登録中または登録後に発生する可能性のある一般的な障害シナリオを次に示します。
シナリオ#1:スイッチ登録「Failure Reason:Product Already Registered」
「show license all」の省略:
登録:
ステータス:未登録 – 登録に失敗しました
エクスポート制御の機能:NotAllowed
初期登録:FAILED on Oct 22 14:25:31 2018 EST
失敗の理由:製品はすでに登録されています
次の登録試行:2018年10月2214:45:34 EST
次のステップ:
– シスコデバイスを再度登録する必要があります。
- CiscoデバイスがCisco Smart Software Manager(CSSM)に表示される場合は、「force」パラメータを使用する必要があります(つまり、"license smart register idtoken <TOKEN> force")
注:障害の理由は次のように表示されます。
– 失敗の理由:udiSerialNumber:<SerialNumber>,udiPid:<Product>を含む製品<X>とsudiはすでに登録されています。
– 失敗の理由:既存の製品インスタンスに消費があり、強制フラグが偽である
シナリオ#2:スイッチ登録「Failure Reason:現在、要求を処理できませんでした。もう一度やり直してください。
「show license all」の省略:
登録:
ステータス:登録 – 登録中
エクスポート制御の機能:NotAllowed
初期登録:FAILED on Oct 24 15:55:26 2018 EST
失敗の理由: 現在、要求を処理できませんでした。もう一度やり直してください
次の登録試行:2018年10月2416:12:15 EST
次のステップ:
– セクション4で説明したデバッグを有効にして、問題に関する詳細を確認します。
- Smart LicensingでCSSMで新しいトークンを生成し、もう一度やり直します。
シナリオ#3:障害の理由「デバイスの日付1526135268653が許容許容範囲上限を超えています
「show license all」の省略:
登録:
ステータス:登録 – 登録中
エクスポート制御の機能:NotAllowed
初期登録:FAILED on Nov 1117:55:46 2018 EST
失敗の理由: {"timestamp":["デバイスの日付'1526135268653'は許容許容範囲制限を超えてオフセットされています。"]}
次の登録試行:2018年11 18:12:17 EST
表示される可能性のあるログ:
%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID:証明書チェーンの検証に失敗しました。 証明書(SN:XXXXXX)は有効ではありません。有効期間は2018-12-12:43Zから始まります。
次のステップ:
– シスコデバイスのクロックが正しい時刻を示していることを確認します(show clock)
– クロックが正しく設定されていることを確認するために、ネットワークタイムプロトコル(NTP)を設定します
- NTPが使用できない場合は、「clock calendar-valid」が設定されていることを確認して、手動で設定したクロック(clock set)が正しく(show clock)、信頼できる時刻源として設定されていることを確認します
注:デフォルトでは、システムクロックは信頼されません。「clock calendar-valid」が必要です。
シナリオ#4:スイッチ登録「Failure Reason:通信トランスポートを使用できません。」
「show license all」の省略:
登録:ステータス:未登録 – 登録に失敗しました
エクスポート制御の機能:禁止
初期登録:FAILED on Mar 09 21:42:02 2019 CST
失敗の理由:通信トランスポートが使用できません。
表示される可能性のあるログ:
%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE:Smart Agent for LicensingからCall-Homeを有効にできませんでした:既存のアクティブなユーザプロファイルのため、コマンドでsmart call homeを有効にできませんでした。「CiscoTAC-1」プロファイル以外のユーザプロファイルを使用してシスコのSCHサーバにデータを送信する場合は、プロファイルモードで「reporting smart-licensing-data」と入力して、そのプロファイルをスマートライセンス用に設定します。SCHの詳細については、http://www.cisco.com/go/smartcallhomeを参照してください
%SMART_LIC-3-AGENT_REG_FAILED:Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellite failed:通信トランスポートが使用できません。
%SMART_LIC-3-COMM_FAILED:Cisco Smart Software Managerまたはサテライトとの通信障害:通信トランスポートが使用できません。
次のステップ:
- Ciscoデバイスの「show running-config」出力で「service call-home」が有効になっていることを確認します
– 正しいcall-homeプロファイルがアクティブであることを確認します
– アクティブなcall-homeプロファイルの下に「reporting smart-licensing-data」が設定されていることを確認します
シナリオ#5:スイッチライセンス認証「Failure reason:Call Home HTTPメッセージを送信できません。
「show license all」の省略:
ライセンス認証:
ステータス:2018年7月26日09:24:09 UTC(GMT)に準拠していません。
最後の通信試行:FAILED on Aug 02 14:26:23 2018 UTC
失敗の理由:Call Home HTTPメッセージを送信できません。
次の通信試行:2018年8月2日14:26:53 UTC(GMT)
通信期限:10月25 09:21:38 2018 UTC(GMT)
考えられるログは次のとおりです。
%CALL_HOME-5-SL_MESSAGE_FAILED:スマートライセンスメッセージの送信先:https://<ip>/its/service/odce/services/DCEService(ERR 205:要求の中止)
%SMART_LIC-3-COMM_FAILED:Cisco Smart Software Managerまたはサテライトとの通信エラー:Call Home HTTPメッセージを送信できません。
%SMART_LIC-3-AUTH_RENEW_FAILED:Cisco Smart Software Managerまたはサテライトによる認可更新:udi PID:XXX、SNの通信メッセージ送信エラー:?
次のステップ:
- Ciscoデバイスがtools.cisco.comにpingできることを確認します
- DNSが設定されていない場合は、tools.cisco.comのローカルnslookup IPに対してDNSサーバまたは「ip host」文を設定します
- TCPポート443(HTTPSで使用されるポート)で、シスコデバイスからtools.cisco.comへのTelnetを試みます。
- HTTPsクライアントの送信元インターフェイスが定義され、正しいことを確認します
- 「show call-home profile all」を使用して、Call Homeプロファイル内のURL/IPがシスコデバイスに正しく設定されていることを確認します
- ipルートが正しいネクストホップを指していることを確認します
– シスコのデバイス、Smart Call Homeサーバへのパス、またはCisco Smart Software Manager on-prem(サテライト)でTCPポート443がブロックされていないことを確認します
– 適切なVirtual Routing and Forwarding(VRF)インスタンスが、コールホームで設定されていることを確認します(該当する場合)。
シナリオ#6:失敗の理由「ID証明書のシリアル番号フィールドがありません。署名証明書のシリアル番号フィールドがありません。署名されたデータと証明書が一致しません"ログ
この動作は、CSCvr41393に記載されているように、暗号証明書が期限切れになったCSSMオンプレミスサーバで作業している場合に発生します。登録デバイスとの証明書同期の問題を防ぐために、CSSMオンプレミスサーバで同期が可能です。
「show license all」の省略:
登録:
ステータス:未登録
スマートアカウント:アカウントの例
エクスポート制御の機能:ALLOWED
ライセンス認証:
ステータス:EVALモード
評価期間(残余):65日、18時間43分0秒
表示される可能性のあるログ:
「show logging」または「show license eventlog」の下には、次のエラーが表示されます。
SAVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Missing Id cert serial number field;署名証明書のシリアル番号フィールドがありません。署名されたデータと証明書が一致しません"
次のステップ:
- CiscoデバイスがCSSMオンプレミスサーバにIP接続できることを確認します
- HTTPSを使用している場合は、デバイスのcall-home設定で証明書C-Nameが使用されていることを確認します
- DNSサーバが認証C-Nameの解決に使用できない場合は、ドメイン名とIPアドレスをマッピングするように静的「ip host」文を設定します
- CSSMオンプレミスの証明書のステータスが有効であることを確認します
- CSSMのオンプレミス証明書の期限が切れた場合は、CSCvr41393に記載されている回避策のいずれかに従ってください
注:デフォルトでは、HTTPSはSSLハンドシェイク中にサーバIDチェックを実行し、URLまたはIPがサーバから提供された証明書と同じであることを確認します。ホスト名とIPが一致しない場合、DNSエントリの代わりにIPアドレスを使用すると問題が発生する可能性があります。DNSが使用できない場合、またはスタティックIPホストステートメントの場合は、「no http secure server-identity-check」を設定してこの認証チェックを無効にできます。
シナリオ#7:スイッチライセンス認証「Failure reason:返信を待っています"
「show license all」の省略:
ライセンス認証:
ステータス:2018年7月26日09:24:09 UTC(GMT)に準拠していません。
最後の通信試行:2018年8月2日14:34:51 UTC(GMT)に保留
失敗の理由:応答を待っています
次の通信試行:2018年8月2日14:53:58 UTC(GMT)
通信期限:10月25 09:21:39 2018 UTC(GMT)
考えられるログは次のとおりです。
%PKI-3-CRL_FETCH_FAIL:トラストポイントSLA-TrustPointのCRLフェッチが失敗した理由:ソケットを選択できませんでした。タイムアウト:5(接続タイムアウト)
%PKI-3-CRL_FETCH_FAIL:トラストポイントSLA-TrustPointのCRLフェッチが失敗した理由:ソケットを選択できませんでした。タイムアウト:5(接続タイムアウト)
次のステップ:
– この問題を修正するには、実行コンフィギュレーションでSLA-TrustPointをnoneに設定する必要があります
show running-config
<省略>
crypto pki trustpoint SLA-TrustPoint
revocation-check none
CRLとは何ですか。
証明書失効リスト(CRL)は、失効した証明書のリストです。CRLは、最初に証明書を発行した認証局(CA)によって作成され、デジタル署名されます。CRLには、各証明書が発行された日付と有効期限の日付が含まれます。CRLに関する詳細については、こちらをご覧ください。
シナリオ#8:「コンプライアンス違反」ステータスのライセンス
「show license all」の省略:
ライセンス認証:
ステータス:2018年7月26日09:24:09 UTC(GMT)に準拠していません。
最後の通信試行:2018年8月2日14:34:51 UTC(GMT)に保留
失敗の理由:応答を待っています
次の通信試行:2018年8月2日14:53:58 UTC(GMT)
通信期限:10月25 09:21:39 2018 UTC(GMT)
考えられるログは次のとおりです。
%SMART_LIC-3-OUT_OF_COMPLIANCE:1つ以上の資格がコンプライアンス違反です
次のステップ:
– 適切なスマート仮想アカウントのトークンが使用されているかどうかを確認します。
– ここで使用可能なライセンス数を確認します。
シナリオ#9:スイッチライセンス認証「Failure reason:データと署名が一致しません"
「show license all」の省略:
ライセンス認証:
ステータス:2020年3月12日09:17:45 EDT認定
最後の通信試行:FAILED on Mar 12 09:17:45 2020 EDT
失敗の理由:データと署名が一致しません
次の通信試行:2020年3月12 09:18:15 EDT
通信期限:2020年5月9日21:22:43 EDT
考えられるログは次のとおりです。
%SMART_LIC-3-AUTH_RENEW_FAILED:Cisco Smart Software Manager(CSSM)による認可更新:スマートソフトウェアマネージャからエラーを受信しました:udi PID:C9000、SN:XXXXXXXXXXXのデータとシグニチャが一致しない
次のステップ:
- 「License smart deregister」でスイッチの登録を解除します。
- 「license smart register idtoken <TOKEN> force」で新しいトークンを使用してスイッチを登録します
6.参考資料
1) Cisco Smart Licensingホームページ
2)シスココミュニティ – オンデマンドトレーニング。
3)スマートアカウント – 管理ポータル:スマートソフトウェアライセンス
4)スマートアカウント – 新規アカウントの作成:スマートアカウント
5)設定ガイド(例):Cisco IOS XE Fuji 16.9.x(Catalyst 9300スイッチ)
フィードバック