この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Cisco Smart Licensing(クラウドベースシステム)を使用して Catalyst スイッチのソフトウェアライセンスを管理する方法について説明します。
Cisco Smart Licensing は、複数のシスコ製品間ですべてのソフトウェアライセンスを管理する、クラウドベースの統合ライセンス管理システムです。 シスコソフトウェアライセンスの購入、導入、管理、追跡、および更新が可能になります。また、単一のユーザインターフェイスでライセンスの所有権と使用状況に関する情報を得られます。
このソリューションは、シスコのソフトウェア資産の追跡に使用されるオンラインのスマートアカウント(Cisco Smart Licensing Portal)と、スマートアカウントの管理に使用されるCisco Smart Software Manager(CSSM)で構成されています。CSSM では、ライセンスの登録、登録解除、移行、転送といった、ライセンス管理に関連するすべてのタスクを実行できます。ユーザを追加して、スマートアカウントや特定のバーチャルアカウントに対するアクセスと権限を付与できます。
Cisco Smart Licensing の詳細については、以下を参照してください。
a)Cisco Smart Licensing のホームページ
Cisco IOS® XE 17.3.2 以降のスマートライセンスを使用したポリシー方式の詳細については、「Catalyst スイッチング プラットフォームのポリシーを使用したスマートライセンス」を参照してください。
スマートライセンスまたはスマートアカウントの管理が初めてという方は、シスココミュニティにアクセスし、新しい管理者向けトレーニングコースに登録してください。過去の録画トレーニングも参照できます。
シスココミュニティ - Cisco スマートアカウント/スマートライセンス、My Cisco Entitlements でスマートに
スマートアカウントの作成はこちらで行えます:スマートアカウント
スマートアカウントの管理はこちらで行えます:スマート ソフトウェア ライセンス
Cisco Smart Licensing は、企業のセキュリティプロファイルに応じて以下に示す複数の方式で導入できます。
ダイレクトクラウドアクセス
HTTPS を使用して、シスコ製品からインターネット経由で安全に使用状況に関する情報が直接送信されます。追加のコンポーネントは不要です。
HTTPS プロキシによるアクセス
HTTPS を使用して、シスコ製品から HTTP プロキシサーバ経由で安全に使用状況に関する情報が直接送信されます。既存のプロキシサーバを使用することも、Cisco Transport Gateway経由で導入することもできます。(詳細については、ここをクリックしてください)。
オンプレミス ライセンス サーバー(別名 Cisco Smart Software Manager サテライト)
シスコ製品から、インターネットを介して直接ではなく、オンプレミスのサーバに使用状況に関する情報が送信されます。サーバが 1 ヵ月に 1 回 HTTPS を使用してインターネット経由ですべてのデバイスにアクセスするか、手動で転送してデータベースを同期できます。CSSM オンプレミス(サテライト)は仮想マシン(VM)として使用でき、ここでダウンロード可能です。詳細については、Smart Software Manager サテライトのページを参照してください。
Right-To-Use(RTU)や製品アクティベーションキー(PAK)などのレガシーライセンスをスマートライセンスに変換する方法は2つあります。従う必要がある方法の詳細については、特定のシスコデバイスに関連するリリースノートや設定ガイドを参照してください。
Cisco Smart Software Manager(CSSM)方式:
1. Cisco Smart Software Manager(CSSM)(https://software.cisco.com/)にログインします。
2. [Smart Software Licensing] > [スマートライセンスに変換(Convert to Smart Licensing)] の順に移動します。
3. [Convert PAK] または[Convert Licenses] を選択します
4. PAKライセンスを変換するには、次の表でライセンスを見つけます。非PAKライセンスを変換するには、ライセンス変換ウィザードを使用して手順を確認します。
アカウントに関連付けられている既知の PAK ファイルの場所:
[ライセンス変換ウィザード(License Conversion Wizard)] のリンクの場所:
5.目的のライセンスと製品の組み合わせを見つけます。
6. ([アクション]の下の)[スマートライセンスに変換]をクリックします。
7. [virtual account, license]を選択し、[Next] をクリックします。
8.選択内容を確認し、[Convert Licenses] をクリックします。
License Registration Portal(LRP)を使用する方法
1. License Registration Portal(LRP)http://tools.cisco.com/SWIFT/LicensingUI/Home
2. [Devices] > [Add Devices] に移動します。
3.適切な製品ファミリとUnique Device Identifier(UDI)製品IDとシリアル番号を入力し、Okをクリックします。UDI情報は、シスコデバイスのコマンドラインインターフェイス(CLI)から取得したshow versionまたはshow inventoryから取得できます。
4. 追加したデバイスを選択し、[ライセンスをスマートライセンスに変換(Convert Licenses to Smart Licensing)] を実行します。
5.適切な仮想アカウントに割り当て、変換するライセンスを選択し、[Submit] をクリックします。
ヒント:LRPツールは、[PAKs]または[Tokens]タブでライセンス/製品ファミリを検索することによっても使用できます。PAK/トークンの横にある円のドロップダウンをクリックし、[Convert to Smart Licensing] を選択します。
Global Licensing Operations 部門には、ワールドワイド コンタクト センターのここからアクセスできます。
他の Catalyst 9000 モデルと同様に、Catalyst 9500 ハイパフォーマンスモデルでも Cisco IOS XE バージョン 16.9 トレイン以降のスマートライセンスに対応しました。Catalyst 9500 ハイパフォーマンスモデルの場合、各モデルには固有のライセンス権限タグがありましたが、C9500プラットフォームのエンタイトルメントタグを統合することは、後に製品チームとマーケティングチームによって決定されました。この決定により、C9500 ハイパフォーマンスモデルは専用の権限タグではなく、C9500 汎用ライセンスを使用する仕組みに変更されました。
この動作の変更は、次の不具合に記載されています。
C9500ハイパフォーマンスモデルの上記の変更の前後のライセンス変更を次に示します。
各C9600高性能モデルには、それぞれ独自のエンタイトルメントタグがあります。
モデル | ライセンス |
C9500-32C |
C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C Cisco DNA Essentials C9500 32C Cisco DNA Advantage |
C9500-32QC |
C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC Cisco DNA Essentials C9500 32QC Cisco DNA Advantage |
C9500-24Y4C |
C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C Cisco DNA Essentials C9500 24Y4C Cisco DNA Advantage |
C9500-48Y4C |
C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C Cisco DNA Essentials C9500 48Y4C Cisco DNA Advantage |
注:Cisco IOS XEバージョン16.12.1および16.12.2には、不具合Cisco Bug ID CSCvp30661およびCisco Bug ID CSCvt01955があります。これらの不具合は、16.12.3a以降で対応されています。
Catalyst 9500高性能プラットフォームでは、汎用ネットワークライセンスタグと個別のDNAライセンスタグが使用されるようになりました。次の表に、Cisco IOS XEバージョン16.12.3以降で強調表示されている権限付与の変更を示します。
モデル | ライセンス |
C9500-32C |
C9500 Network Essentials C9500 Network Advantage C9500 32C Cisco DNA Essentials C9500 32C Cisco DNA Advantage |
C9500-32QC |
C9500 Network Essentials C9500 Network Advantage C9500 32QC Cisco DNA Essentials C9500 32QC Cisco DNA Advantage |
C9500-24Y4C |
C9500 Network Essentials C9500 Network Advantage C9500 24Y4C Cisco DNA Essentials C9500 24Y4C Cisco DNA Advantage |
C9500-48Y4C |
C9500 Network Essentials C9500 Network Advantage C9500 48Y4C Cisco DNA Essentials C9500 48Y4C Cisco DNA Advantage |
注:Cisco IOS XEバージョン16.12.1および16.12.2からのアップグレードでは、このライセンスの動作が表示されます。Cisco IOS XEバージョン16.9.x、16.10.x、16.11.xから16.12.3へのアップグレードでは、古いライセンス設定が認識されます。
1.デバイスがデバイス固有のネットワークライセンスを使用しているときに、シスコサポートが汎用ネットワークライセンスを割り当てるのはなぜですか。
汎用タグは、ネットワークデバイスに最適な権限タグとして提供されます。このタグにより、特定の C9500 ハイパフォーマンスモデルだけでなく、Cat9500 プラットフォーム全体で権限タグを使用できるようになります。16.12.3 よりも前の、デバイス固有のライセンスタグを要求するイメージは、汎用ライセンスタグに準拠します。これはより固有のライセンスが、ライセンス階層における汎用ライセンスに分類されるためです。
2.2つのネットワークタグがスマートアカウントに表示されるのはなぜですか。
この動作はライセンス階層に起因するものです。デバイス固有のライセンスタグを使用する旧式のイメージでデバイスが動作している場合に発生します。デバイス固有のライセンスタグを要求する旧式のイメージは、汎用ライセンスタグに準拠します。これは、より固有のタグが、ライセンス階層における汎用ライセンスに分類されるためです。
Smart Licensingの設定方法の正確な手順については、各リリース/プラットフォームで利用可能な『System Management Configuration Guide(システム管理構成ガイド)』を参照してください。
例:『System Management Configuration Guide, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 Switches)』
デバイスを登録する前にトークンを生成する必要があります。 登録トークンは、デバイスIDトークンとも呼ばれ、対応するスマートアカウントにシスコデバイスを最初に登録するときに、スマートライセンシングポータルまたはCisco Smart Software Manager on-premから生成される一意のトークンです。各トークンは、作成中に使用されるパラメータに応じて複数のシスコデバイスを登録する際に使用できます。
また登録トークンは、シスコデバイスを最初に登録するときにのみ必要です。登録トークンは、Call Home を使用してシスコのバックエンドに通知を送り、正しいスマートアカウントに関連付けるための情報をデバイスに提供するものであるためです。Ciscoデバイスが登録されると、トークンは不要になります。
登録トークンとその生成方法に関する詳細については、ここをクリックして一般的なガイドを参照してください。詳細については、特定のシスコデバイスのコンフィギュレーション ガイドを参照してください。
Smart Licensingの導入と設定には、Ciscoデバイスが置かれる可能性のある状態が複数あります。これらの状態は、シスコデバイスのコマンド ライン インターフェイス(CLI)で show license all か show license status の出力を見るとわかります。
すべての状態とその説明を次に示します。
[評価(未確認)(Evaluation (Unidentified))] 状態
[登録済み(Registered)] 状態
[不適合(Out of Compliance)] 状態
[承認の期限切れ(Authorization Expired)] 状態
スイッチ用の16.9.1およびルータ用の16.10.1以降では、Smart Licensingへの移行を支援するために、CiscoTAC-1という名前のデフォルトのCall-homeプロファイルが生成されます。 デフォルトでは、このプロファイルはダイレクトクラウドアクセス方式用に設定されます。
#show call-home profile CiscoTAC-1 Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default <snip>
Cisco Smart Software Manager オンプレミスサーバーを使用している場合、アクティブな Call-Home 設定の下にある宛先アドレスは、そのプロファイル(大文字と小文字を区別)を指している必要があります。
(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler
tools.cisco.com を解決するには DNS が必要です。DNSサーバ接続がVRFにある場合は、適切な送信元インターフェイスとVRFが定義されていることを確認します。
Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>
VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>] <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>
DNSが使用できない場合は、ローカルDNSからIPマッピングへの静的な設定(エンドデバイスでのローカルDNS解決に基づく)を行うか、Call Home設定のDNS名をIPアドレスに置き換えます。ダイレクトクラウドアクセスの例を参照してください(Cisco Smart Software Manager on-premでは、tools.cisco.comではなく独自のDNS名を使用します)。
(config)#ip host tools.cisco.com <x.x.x.x>
tools.cisco.comへの通信を特定のVRFのインターフェイス(Mgmt-vrfなど)から発信する必要がある場合は、次のCLIを設定する必要があります。
(config)#ip http client source-interface <VRF_INTERFACE>
StackWiseまたはStackWise Virtualで稼働するCatalystスイッチなど、シスコデバイスの設定に応じて、異なる数のライセンスを使用できます。
従来のスタック型サポートスイッチ(Catalyst 9300シリーズなど):
ネットワークライセンス:スタック内のスイッチごとに1ライセンスが消費されます。
DNAライセンス:スタック内のスイッチごとに1ライセンスが消費されます。
モジュラシャーシ(Catalyst 9400シリーズなど):
ネットワークライセンス:シャーシ内のスーパーバイザごとに1ライセンスが消費されます。
DNAライセンス:シャーシごとに1ライセンスが消費されます。
固定スタック型の仮想サポートスイッチ(Catalyst 9500シリーズなど):
ネットワークライセンス:スタック内のスイッチごとに1ライセンスが消費されます。
DNAライセンス:スタック内のスイッチごとに1ライセンスが消費されます。
How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint.
The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.
Device#conf t
Device(config)#crypto pki trustpoint LicRoot
Device(ca-trustpoint)#enrollment terminal
Device(ca-trustpoint)#revocation-check none
Device(ca-trustpoint)#exit
Device(config)#crypto pki authenticate LicRoot
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: XXXXXXXX
Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
Transport Gateway HTTPプロキシを使用する場合は、次の例のように、IPアドレスをtools.cisco.comからProxyに変更する必要があります。
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
TO
宛先アドレスhttp https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler
トランスポートゲートウェイの IP アドレスは、Cisco トランスポートゲートウェイ の GUI で [HTTP設定(HTTP Settings)] に移動し、HTTP サービスの URL の下を見るとわかります。
詳細については、ここにあるCisco Transport Gatewayの設定ガイドを参照してください。
シスコデバイスをスマートライセンス対応ソフトウェアバージョンに移行する際は、このフローチャートを3つの方法(Direct Cloud Access、HTTPSプロキシ、およびCisco Smart Software Manager On-prem)すべての一般的なガイドとして使用できます。
スマートライセンスをサポートするソフトウェアリリースでアップグレードされるか、そのソフトウェアリリースとともに出荷されるデバイス(セクション 1.3 にあるサポート対象の Cisco IOS XE リリースの一覧を参照)。
トラブルシューティングを行うこれらの手順は、主にデバイスが登録に失敗するシナリオに集中して行います。
初期設定が終わったら、スマートライセンスを有効にするために、CSSM/Cisco Smart Software Manager オンプレミスで生成されるトークンを CLI を使用してデバイスに登録する必要があります。
license smart register idtoken <TOKEN>
このアクションにより、次のイベントが生成されます。
! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result !
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine %PKI-4-NOCONFIGAUTOSAVE: Configuration was modified. Issue "write memory" to save new IOS PKI configuration !
! Call-home start registration process
! %CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. !
! Smart Licensing process connects with CSSM and check entitlement.
! %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed %SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> %SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved %SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized %SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>
Call Homeの設定を確認するには、次のCLIを実行します。
#show call-home profile all Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default Periodic configuration info message is scheduled every 1 day of the month at 09:15 Periodic inventory info message is scheduled every 1 day of the month at 09:00 Alert-group Severity ------------------------ ------------ crash debug diagnostic minor environment warning inventory normal Syslog-Pattern Severity ------------------------ ------------ APF-.-WLC_.* warning .* major
スマートライセンスのステータスを確認するには、次のCLIを実行します。
#show license summary Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: Krakow LAN-SW Export-Controlled Functionality: ALLOWED Last Renewal Attempt: None Next Renewal Attempt: Nov 22 21:24:32 2019 UTC License Authorization: Status: AUTHORIZED Last Communication Attempt: SUCCEEDED Next Communication Attempt: Jun 25 21:24:37 2019 UTC License Usage: License Entitlement tag Count Status ----------------------------------------------------------------------------- C9500 Network Advantage (C9500 Network Advantage) 1 AUTHORIZED C9500-DNA-40X-A (C9500-40X DNA Advantage) 1 AUTHORIZED
デバイスが登録に失敗した場合(および状態が「登録済み(REGISTERED)」ではない場合)、「コンプライアンス不適合(Out-of-Compliance)」は CSSM に問題があることを示します。この場合の問題としては、スマート バーチャル アカウントのライセンスがない、マッピングが不適切な状態(たとえば、有効なライセンスがない別のバーチャルアカウントからのトークンが使用された場合)などが考えられます。 次のことを確認してください。
1. 設定と一般的な失敗のシナリオを確認する
セクション 2.1 の基本設定の手順を参照してください。また、フィールドで観察される一般的な障害シナリオについては、セクション5を参照してください。
2. 基本接続のチェック
デバイスがtools.cisco.com(直接アクセスの場合)またはCisco Smart Software Managerオンプレミスサーバに到達(およびTCPポートを開く)できることを確認します。
#show run all | in destination address http destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService ! ! check connectivity ! #telnet tools.cisco.com 443 /source-interface gi0/0 Trying tools.cisco.com (x.x.x.x, 443)... Open [Connection to tools.cisco.com closed by foreign host]
これらのコマンドが機能しない場合は、ルーティングルール、送信元インターフェイス、およびファイアウォールの設定を再確認してください。
注:HTTP(TCP/80)は廃止されており、推奨プロトコルはHTTPS(TCP/443)です。
セクション3を参照してください。DNSとHTTPの詳細を設定する方法の詳細なガイドラインについては、このドキュメントの「考慮事項と注意事項」を参照してください。
3. スマートライセンスの設定を確認する
次の出力を収集します。
#show tech-support license
収集した設定/ログを確認します(詳細な調査のために Cisco TAC のケースをオープンする場合は、この出力を添付します)。
4. デバッグをイネーブルにする
スマートライセンスプロセスに関する追加情報を収集するには、次のデバッグを有効にします。
注:デバッグを有効にした後、ポイント4.1で説明したように、CLiを使用してライセンスを再登録する必要があります。
#debug call-home smart-licensing [all | trace | error] #debug ip http client [all | api | cache | error | main | msg | socket]
内部デバッグの場合は、バイナリトレースを有効にして内容を確認します。
! enable debug #set platform software trace ios [switch] active R0 infra-sl debug ! ! read binary traces infra-sl process logs #show platform software trace message ios [switch] active R0
このセクションでは、シスコデバイスの登録中または登録後に発生する可能性がある一般的な障害シナリオについて説明します。
「show license all」の一部:
Registration:
Status: UNREGISTERED - REGISTRATION FAILED
エクスポート制御機能:許可されない
初期登録:2018 EST 10月22日14:25:31に失敗
エラーの理由:製品は既に登録されています
次回の登録試行: Oct 22 14:45:34 2018 EST
次のステップ:
- Ciscoデバイスを再登録する必要があります。
- CiscoデバイスがCSSMに表示される場合は、forceパラメータを使用する必要があります(つまり、license smart register idtoken <TOKEN> force)。
注:失敗の理由は次のように表示されることもあります。
– エラーの理由:製品<X>とudiSerialNumber:<SerialNumber>,udiPid:<Product>を含むsudiは既に登録されています。
– エラーの理由:既存の製品インスタンスに消費があり、強制フラグがFalseです
「show license all」の一部:
Registration:
ステータス:登録中 – 登録中
エクスポート制御機能:許可されない
初期登録:FAILED on Oct 24 15:55:26 2018 EST
Failure reason: Your request could not be processed right now.Please try again
次回の登録試行:2018 EST 10/24 16:12:15
次のステップ:
– 問題に関する詳細な洞察を得るには、セクション4で説明したデバッグを有効にします。
- CSSM でスマートライセンスの新しいトークンを生成してもう一度試します。
「show license all」の一部:
Registration:
ステータス:登録中 – 登録中
エクスポート制御機能:許可されない
初期登録:2018年11月17日55:46に失敗
Failure reason: {"timestamp":["デバイスの日付'1526135268653'が、許容される許容限度を超えてオフセットされています。"]}
次回の登録試行:2018年11月11日18:12:17 EST
表示される可能性のあるログ:
%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID:証明書チェーンの検証に失敗しました。 証明書(SN: XXXXXX)はまだ有効ではありません。Validity period starts on 2018-12-12:43Z
次のステップ:
– シスコデバイスのクロックが正しい時刻を示していることを確認します(show clock)。
– クロックが正しく設定されるように、可能であればネットワークタイムプロトコル(NTP)を設定します。
- NTPが使用できない場合は、手動で設定したクロック(clock set)が正しいこと(show clock)と、信頼できる時刻源として設定されていることを確認します。clock calendar-validが設定されていることを確認します
注:デフォルトでは、システムクロックは信頼されません。Clock calendar-validが必要です。
「show license all」の一部:
登録:ステータス:[UNREGISTERED] - [REGISTRATION FAILED]
エクスポート制御機能:許可されない
初期登録:FAILED on Mar 09 21:42:02 2019 CST
失敗の理由:通信トランスポートを使用できません。
表示される可能性のあるログ:
%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: Smart AgentからCall-Homeを有効にしてライセンスを取得できませんでした:既存のアクティブユーザープロファイルが原因で、このコマンドはSmart Call Homeを有効にできませんでした。CiscoTAC-1プロファイル以外のユーザプロファイルを使用してデータをシスコのSCHサーバに送信する場合は、プロファイルモードでreporting smart-licensing-dataを入力し、そのプロファイルをスマートライセンス用に設定します。SCHの詳細については、http://www.cisco.com/go/smartcallhomeを参照してください。
%SMART_LIC-3-AGENT_REG_FAILED: Smart Agent for Licensing Registration with the Cisco Smart Software Managerまたはサテライトが失敗しました:通信トランスポートを使用できません。
%SMART_LIC-3-COMM_FAILED: Cisco Smart Software Managerとの通信エラーまたはサテライト:通信トランスポートが利用できません。
次のステップ:
- Ciscoデバイスのshow running-config出力で、call-homeがservice call-homeで有効になっていることを確認します。
– 正しいcall-homeプロファイルがアクティブであることを確認します。
– アクティブなcall-homeプロファイルでreporting smart-licensing-dataが設定されていることを確認します。
「show license all」の一部:
License Authorization:
Status: OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
Last Communication Attempt: FAILED on Aug 02 14:26:23 2018 UTC
失敗の理由:Call Home HTTPメッセージの送信に失敗しました。
Next Communication Attempt: Aug 02 14:26:53 2018 UTC
Communication Deadline: Oct 25 09:21:38 2018 UTC
表示される可能性のあるログ:
%CALL_HOME-5-SL_MESSAGE_FAILED:スマートライセンスメッセージを次の場所に送信できません:https://<ip>/its/service/oddce/services/DDCEService(ERR 205:要求の中止)
%SMART_LIC-3-COMM_FAILED:Cisco Smart Software Managerとの通信エラーまたは「サテライト:Call Home HTTPメッセージの送信に失敗しました。」
%SMART_LIC-3-AUTH_RENEW_FAILED:Cisco Smart Software Managerによる認証の更新またはサテライト:udi PID:XXX、SN:XXXのCommunication message send error
次のステップ:
- Ciscoデバイスがtools.cisco.comにpingできることを確認します。
- DNSが設定されていない場合は、tools.cisco.comのローカルnslookup IP用にDNSサーバまたはip host文を設定します。
- CiscoデバイスからTCPポート443(HTTPSで使用されるポート)のtools.cisco.comへのTelnet接続を試みます。
- HTTPsクライアントの送信元インターフェイスが定義され、正しいことを確認します。
- Call HomeプロファイルのURL/IPがシスコデバイスでshow call-home profile allを使用して正しく設定されていることを確認します。
- ipルートが正しいネクストホップを指していることを確認します。
- Ciscoデバイス、Smart Call Home Serverへのパス、またはCisco Smart Software Managerのオンプレミス(サテライト)でTCPポート443がブロックされていないことを確認します。
– 必要に応じて、正しいVirtual Routing and Forwarding(VRF)インスタンスがcall-homeの下に設定されていることを確認します。
この動作は、Cisco Bug ID CSCvr41393で文書化されているように、暗号証明書の期限が切れたCSSMオンプレミスサーバを使用している場合に発生します。これは、登録デバイスとの証明書の同期の問題を防ぐために、オンプレミスのCSSMに証明書の同期と更新を許可する必要があるため、予期される動作です。
「show license all」の一部:
Registration:
ステータス:未登録
スマートアカウント:アカウントの例
エクスポート制御機能:許可
License Authorization:
ステータス:評価モード
評価期間(残余):65日、18時間、43分、0秒
表示される可能性のあるログ:
このエラーは、show loggingまたはshow license eventlogで表示されます。
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="ID証明書シリアル番号フィールドがありません;署名証明書シリアル番号フィールドがありません;署名されたデータと証明書が一致しません"
次のステップ:
- CiscoデバイスがCSSMオンプレミスサーバにIP接続できることを確認します。
- HTTPSを使用している場合は、認証C-Nameがデバイスのcall-home設定で使用されていることを確認します。
- DNSサーバが認証C-Nameの解決に使用できない場合は、ドメイン名とIPアドレスをマッピングするスタティックip host文を設定します。
- CSSMのオンプレミスでの証明書のステータスがまだ有効であることを確認します。
- CSSMのオンプレミス証明書の期限が切れている場合は、Cisco Bug ID CSCvr41393
注:デフォルトでは、HTTPSはSSLハンドシェイク中にサーバIDチェックを実行し、URLまたはIPがサーバから提供された証明書と同じであることを確認します。この動作により、ホスト名と IP が一致していない場合に DNS エントリではなく IP アドレスを使用していると、問題が起きる可能性があります。DNSが不可能な場合、または静的なip host文の場合は、この認証チェックを無効にするようにno http secure server-identity-checkを設定できます。
「show license all」の一部:
License Authorization:
Status: OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
Last Communication Attempt: PENDING on Aug 02 14:34:51 UTC
失敗の理由:応答を待っています
Next Communication Attempt: Aug 02 14:53:58 UTC
Communication Deadline: Oct 25 09:21:39 2018 UTC
表示される可能性のあるログ:
%PKI-3-CRL_FETCH_FAIL:トラストポイントSLA-TrustPointのCRLフェッチが失敗した理由:ソケットを選択できませんでした。Timeout : 5(接続タイムアウト)
%PKI-3-CRL_FETCH_FAIL:トラストポイントSLA-TrustPointのCRLフェッチが失敗した理由:ソケットを選択できませんでした。Timeout : 5(接続タイムアウト)
次のステップ:
– この問題を修正するには、実行コンフィギュレーションでSLA-TrustPointをnoneに設定する必要があります
show running-config
<omitted>
crypto pki trustpoint SLA-TrustPoint
revocation-check none
CRL とは
証明書失効リスト(CRL)とは、失効した証明書のリストです。CRL は、証明書を発行した認証局(CA)によって作成され、デジタル署名されます。CRL には、各証明書の発行日と失効日が含まれています。CRL の詳細については、こちらを参照してください。
「show license all」の一部:
License Authorization:
Status: OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
Last Communication Attempt: PENDING on Aug 02 14:34:51 UTC
失敗の理由:応答を待っています
Next Communication Attempt: Aug 02 14:53:58 UTC
Communication Deadline: Oct 25 09:21:39 2018 UTC
表示される可能性のあるログ:
%SMART_LIC-3-OUT_OF_COMPLIANCE: 1つ以上のエンタイトルメントがコンプライアンスに違反しています。
次のステップ:
– 適切なスマート仮想アカウントのトークンが使用されているかどうかを確認します。
- ここで使用可能なライセンスの数を確認します。
「show license all」の一部:
License Authorization:
ステータス:2020年3月12日09:17:45をもって承認されました。
Last Communication Attempt: FAILED on Mar 12 09:17:45 2020 EDT
失敗の理由:データと署名が一致しません
Next Communication Attempt: Mar 12 09:18:15 2020 EDT
通信期限:2020年5月9日21:22:43 EDT
表示される可能性のあるログ:
%SMART_LIC-3-AUTH_RENEW_FAILED: Cisco Smart Software Manager(CSSM)による認証の更新:Smart Software Managerからエラーを受信:udi PID:C9000,SN:XXXXXXXXXXXのデータと署名が一致しません
次のステップ:
– ライセンスのスマート登録を解除してスイッチの登録を解除します。
– 次に、license smart register idtoken <TOKEN> forceで新しいトークンを使用してスイッチを登録します。
1)Cisco Smart Licensing のホームページ
3)スマートアカウント - 管理ポータル:スマート ソフトウェア ライセンシング
4)スマートアカウント - 新しいアカウントの作成:スマートアカウント
5)コンフィギュレーション ガイド(例)-『System Management Configuration Guide, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 Switches)』
改定 | 発行日 | コメント |
---|---|---|
3.0 |
25-May-2023 |
ブランディング要件、スタイル要件、機械翻訳、言語、およびフォーマットが更新されました。 |
2.0 |
11-May-2022 |
タイトルを編集しました。セクション番号を削除。プレースホルダテキスト("x.x.x.x")を使用するように一部のIPアドレスを変更。 |
1.0 |
31-May-2019 |
初版 |