Catalyst プラットフォームでのスマートライセンスのトラブルシューティング

概要

このドキュメントでは、Cisco Smart Licensing（クラウドベースシステム）を使用して Catalyst スイッチのソフトウェアライセンスを管理する方法について説明します。

Cisco Smart Licensing とは

Cisco Smart Licensing は、複数のシスコ製品間ですべてのソフトウェアライセンスを管理する、クラウドベースの統合ライセンス管理システムです。 シスコソフトウェアライセンスの購入、導入、管理、追跡、および更新が可能になります。また、単一のユーザインターフェイスでライセンスの所有権と使用状況に関する情報を得られます。

このソリューションは、シスコのソフトウェア資産の追跡に使用されるオンラインのスマートアカウント(Cisco Smart Licensing Portal)と、スマートアカウントの管理に使用されるCisco Smart Software Manager(CSSM)で構成されています。CSSM では、ライセンスの登録、登録解除、移行、転送といった、ライセンス管理に関連するすべてのタスクを実行できます。ユーザを追加して、スマートアカウントや特定のバーチャルアカウントに対するアクセスと権限を付与できます。

Cisco Smart Licensing の詳細については、以下を参照してください。

a）Cisco Smart Licensing のホームページ

b）シスココミュニティのオンデマンドトレーニング

Cisco IOS® XE 17.3.2 以降のスマートライセンスを使用したポリシー方式の詳細については、「Catalyst スイッチング プラットフォームのポリシーを使用したスマートライセンス」を参照してください。

スマートライセンスまたはスマートアカウントの管理が初めてという方は、シスココミュニティにアクセスし、新しい管理者向けトレーニングコースに登録してください。過去の録画トレーニングも参照できます。
シスココミュニティ - Cisco スマートアカウント/スマートライセンス、My Cisco Entitlements でスマートに

スマートアカウントの作成はこちらで行えます：スマートアカウント

スマートアカウントの管理はこちらで行えます：スマート ソフトウェア ライセンス

Smart Licensing の実装方式

Cisco Smart Licensing は、企業のセキュリティプロファイルに応じて以下に示す複数の方式で導入できます。

ダイレクトクラウドアクセス

HTTPS を使用して、シスコ製品からインターネット経由で安全に使用状況に関する情報が直接送信されます。追加のコンポーネントは不要です。

HTTPS プロキシによるアクセス

HTTPS を使用して、シスコ製品から HTTP プロキシサーバ経由で安全に使用状況に関する情報が直接送信されます。既存のプロキシサーバを使用することも、Cisco Transport Gateway経由で導入することもできます。（詳細については、ここをクリックしてください）。

オンプレミス ライセンス サーバー（別名 Cisco Smart Software Manager サテライト）

シスコ製品から、インターネットを介して直接ではなく、オンプレミスのサーバに使用状況に関する情報が送信されます。サーバが 1 ヵ月に 1 回 HTTPS を使用してインターネット経由ですべてのデバイスにアクセスするか、手動で転送してデータベースを同期できます。CSSM オンプレミス（サテライト）は仮想マシン（VM）として使用でき、ここでダウンロード可能です。詳細については、Smart Software Manager サテライトのページを参照してください。

サポート対象の Cisco IOS XE プラットフォーム

• Cisco IOS XE バージョン 16.9.1 のリリース以降、Catalyst 3650/3850 および Catalyst 9000 シリーズ スイッチプラットフォームは、唯一のライセンス方式として Cisco Smart Licensing 方式をサポートしています。
• Cisco IOS XE バージョン 16.10.1 のリリース以降、ASR1K、ISR1K、ISR4K、仮想ルータ（CSRv/ISRv）などのルータプラットフォームは、唯一のライセンス方式として Cisco Smart Licensing 方式をサポートしています。

レガシーライセンスからスマートライセンスへの移行

Right-To-Use(RTU)や製品アクティベーションキー(PAK)などのレガシーライセンスをスマートライセンスに変換する方法は2つあります。従う必要がある方法の詳細については、特定のシスコデバイスに関連するリリースノートや設定ガイドを参照してください。

Device Led Conversion（DLC）による変換

• Device Led Conversion(DLC)は、シスコ製品が使用するライセンスを報告し、Cisco Smart Software Manager(CSSM)の対応するスマートアカウントにライセンスが自動的に登録される、1回限りの方法です。DLC の手順は、特定のシスコデバイスのコマンド ライン インターフェイス（CLI）から直接実行されます。

• DLC のプロセスは、Catalyst 3650/3850 と特定のルータプラットフォームでのみサポートされています。特定のルータモデルについては、個々のプラットフォーム設定ガイドとリリースノートを参照してください。例：Fuji 16.9.x リリースを実行する Catalyst 3850 での DLC の手順。

変換#ヘンカン# Cisco Smart Software Manager(CSSM)またはLicense Registration Portal(LRP)

Cisco Smart Software Manager（CSSM）方式：

1. Cisco Smart Software Manager(CSSM)(https://software.cisco.com/)にログインします。

2. [Smart Software Licensing] > [スマートライセンスに変換（Convert to Smart Licensing）] の順に移動します。 

3. [Convert PAK] または[Convert Licenses] を選択します

4. PAKライセンスを変換するには、次の表でライセンスを見つけます。非PAKライセンスを変換するには、ライセンス変換ウィザードを使用して手順を確認します。

アカウントに関連付けられている既知の PAK ファイルの場所：

  

[ライセンス変換ウィザード（License Conversion Wizard）] のリンクの場所：

5.目的のライセンスと製品の組み合わせを見つけます。

6. （[アクション]の下の）[スマートライセンスに変換]をクリックします。

7. [virtual account, license]を選択し、[Next] をクリックします。

8.選択内容を確認し、[Convert Licenses] をクリックします。

License Registration Portal（LRP）を使用する方法

1. License Registration Portal(LRP)http://tools.cisco.com/SWIFT/LicensingUI/Home

2. [Devices] > [Add Devices] に移動します。

3.適切な製品ファミリとUnique Device Identifier(UDI)製品IDとシリアル番号を入力し、Okをクリックします。UDI情報は、シスコデバイスのコマンドラインインターフェイス(CLI)から取得したshow versionまたはshow inventoryから取得できます。

4. 追加したデバイスを選択し、[ライセンスをスマートライセンスに変換（Convert Licenses to Smart Licensing）] を実行します。

5.適切な仮想アカウントに割り当て、変換するライセンスを選択し、[Submit] をクリックします。

ヒント:LRPツールは、[PAKs]または[Tokens]タブでライセンス/製品ファミリを検索することによっても使用できます。PAK/トークンの横にある円のドロップダウンをクリックし、[Convert to Smart Licensing] を選択します。

Convert throughおよびCisco Global Licensing Operations(GLO)部門への連絡

Global Licensing Operations 部門には、ワールドワイド コンタクト センターのここからアクセスできます。

16.9 から 16.12.3 へのバージョン変更に伴う Catalyst 9500 ハイパフォーマンスモデルの動作の変更

他の Catalyst 9000 モデルと同様に、Catalyst 9500 ハイパフォーマンスモデルでも Cisco IOS XE バージョン 16.9 トレイン以降のスマートライセンスに対応しました。Catalyst 9500 ハイパフォーマンスモデルの場合、各モデルには固有のライセンス権限タグがありましたが、C9500プラットフォームのエンタイトルメントタグを統合することは、後に製品チームとマーケティングチームによって決定されました。この決定により、C9500 ハイパフォーマンスモデルは専用の権限タグではなく、C9500 汎用ライセンスを使用する仕組みに変更されました。

この動作の変更は、次の不具合に記載されています。

a）Cisco Bug ID CSCvp30661

b）Cisco Bug ID CSCvt01955

C9500ハイパフォーマンスモデルの上記の変更の前後のライセンス変更を次に示します。

Cisco IOS XEバージョン16.11.x以前

各C9600高性能モデルには、それぞれ独自のエンタイトルメントタグがあります。

モデル	ライセンス
C9500-32C	C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C Cisco DNA Essentials C9500 32C Cisco DNA Advantage
C9500-32QC	C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC Cisco DNA Essentials C9500 32QC Cisco DNA Advantage
C9500-24Y4C	C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C Cisco DNA Essentials C9500 24Y4C Cisco DNA Advantage
C9500-48Y4C	C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C Cisco DNA Essentials C9500 48Y4C Cisco DNA Advantage

注:Cisco IOS XEバージョン16.12.1および16.12.2には、不具合Cisco Bug ID CSCvp30661およびCisco Bug ID CSCvt01955があります。これらの不具合は、16.12.3a以降で対応されています。

Cisco IOS XE バージョン 16.12.3 以降

Catalyst 9500高性能プラットフォームでは、汎用ネットワークライセンスタグと個別のDNAライセンスタグが使用されるようになりました。次の表に、Cisco IOS XEバージョン16.12.3以降で強調表示されている権限付与の変更を示します。

モデル	ライセンス
C9500-32C	C9500 Network Essentials C9500 Network Advantage C9500 32C Cisco DNA Essentials C9500 32C Cisco DNA Advantage
C9500-32QC	C9500 Network Essentials C9500 Network Advantage C9500 32QC Cisco DNA Essentials C9500 32QC Cisco DNA Advantage
C9500-24Y4C	C9500 Network Essentials C9500 Network Advantage C9500 24Y4C Cisco DNA Essentials C9500 24Y4C Cisco DNA Advantage
C9500-48Y4C	C9500 Network Essentials C9500 Network Advantage C9500 48Y4C Cisco DNA Essentials C9500 48Y4C Cisco DNA Advantage

注:Cisco IOS XEバージョン16.12.1および16.12.2からのアップグレードでは、このライセンスの動作が表示されます。Cisco IOS XEバージョン16.9.x、16.10.x、16.11.xから16.12.3へのアップグレードでは、古いライセンス設定が認識されます。

C9500 ハイパフォーマンスモデルの変更に関する FAQ

1.デバイスがデバイス固有のネットワークライセンスを使用しているときに、シスコサポートが汎用ネットワークライセンスを割り当てるのはなぜですか。

汎用タグは、ネットワークデバイスに最適な権限タグとして提供されます。このタグにより、特定の C9500 ハイパフォーマンスモデルだけでなく、Cat9500 プラットフォーム全体で権限タグを使用できるようになります。16.12.3 よりも前の、デバイス固有のライセンスタグを要求するイメージは、汎用ライセンスタグに準拠します。これはより固有のライセンスが、ライセンス階層における汎用ライセンスに分類されるためです。

2.2つのネットワークタグがスマートアカウントに表示されるのはなぜですか。

この動作はライセンス階層に起因するものです。デバイス固有のライセンスタグを使用する旧式のイメージでデバイスが動作している場合に発生します。デバイス固有のライセンスタグを要求する旧式のイメージは、汎用ライセンスタグに準拠します。これは、より固有のタグが、ライセンス階層における汎用ライセンスに分類されるためです。

コンフィギュレーション

基本設定

Smart Licensingの設定方法の正確な手順については、各リリース/プラットフォームで利用可能な『System Management Configuration Guide（システム管理構成ガイド）』を参照してください。

例：『System Management Configuration Guide, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 Switches)』

登録トークン/デバイス ID トークン

デバイスを登録する前にトークンを生成する必要があります。 登録トークンは、デバイスIDトークンとも呼ばれ、対応するスマートアカウントにシスコデバイスを最初に登録するときに、スマートライセンシングポータルまたはCisco Smart Software Manager on-premから生成される一意のトークンです。各トークンは、作成中に使用されるパラメータに応じて複数のシスコデバイスを登録する際に使用できます。

また登録トークンは、シスコデバイスを最初に登録するときにのみ必要です。登録トークンは、Call Home を使用してシスコのバックエンドに通知を送り、正しいスマートアカウントに関連付けるための情報をデバイスに提供するものであるためです。Ciscoデバイスが登録されると、トークンは不要になります。

登録トークンとその生成方法に関する詳細については、ここをクリックして一般的なガイドを参照してください。詳細については、特定のシスコデバイスのコンフィギュレーション ガイドを参照してください。

登録とライセンスの状態

Smart Licensingの導入と設定には、Ciscoデバイスが置かれる可能性のある状態が複数あります。これらの状態は、シスコデバイスのコマンド ライン インターフェイス（CLI）で show license all か show license status の出力を見るとわかります。

すべての状態とその説明を次に示します。

[評価（未確認）（Evaluation (Unidentified)）] 状態

• Evaluationは、デバイスが最初にブートされたときのデフォルトの状態です。
• 通常、この状態は、シスコデバイスがスマートライセンス用に設定されていない場合、またはスマートアカウントに登録されていない場合に表示されます。
• この状態では、すべての機能を使用でき、デバイスはライセンスレベルを自由に変更できます。
• 評価期間は、デバイスが未確認状態の場合に使用されます。この状態では、デバイスはCiscoとの通信を試行しません。
• この評価期間は90日間の使用であり、90暦日ではありません。 評価期間が終了すると、リセットは行われません。
• デバイス全体に対して1つの評価期間が存在し、権限ごとに1つの評価期間が存在するわけではありません。
• 評価期間が90日後に終了すると、デバイスはEVAL EXPIRYモードに移行します。ただし、リロード後でも、機能への影響や機能の中断はありません。現在、適用は行われていません。
• カウントダウン時間は再起動後も維持されます。
• 評価期間は、デバイスがまだシスコに登録されておらず、シスコのバックエンドから次の2つのメッセージを受信していない場合に使用されます。
  1. 登録要求に対する成功応答.
  2. 権限承認要求に対する成功応答

[登録済み（Registered）] 状態

• Registeredは、登録が正常に完了した後に予期される状態です。
• この状態は、CiscoデバイスがCiscoスマートアカウントと正常に通信して登録できることを示します。
• デバイスは、1年間有効なID証明書を受信します。この証明書は将来の通信に使用されます。
• デバイスはCSSMに要求を送信して、デバイスで使用されているライセンスの権限を承認します。
• CSSMの応答に応じて、デバイスは[Authorized]または[Out of Compliance]状態になります。
• ID証明書は1年の終わりに期限切れになります。6ヵ月後、ソフトウェアエージェントプロセスは証明書の更新を試みます。エージェントがCSSMと通信できない場合は、有効期限（1年）までID証明書の更新を試行し続けます。1年が経過すると、エージェントはUn-Identified状態に戻り、評価期間の有効化を試みます。CSSMは、データベースから製品インスタンスを削除します。

• [承認済み（Authorized）] 状態
• Authorizedは、デバイスが権限付与を使用しており、コンプライアンスに準拠している場合に予期される状態です（負のバランスはありません）。
  
• この状態は、CSSMの仮想アカウントに、このデバイスのライセンスの使用を許可するための正しいタイプと数のライセンスがあったことを示します。
• 30日後、デバイスはCSSMに新しい要求を送信して認可を更新します。
• この状態の期間は90日です。90日後（正常に更新されなかった場合）、デバイスは[Authorization Expired]状態に移行します。

[不適合（Out of Compliance）] 状態

• Out of Complianceは、デバイスが資格を使用していて、コンプライアンスに違反している状態です（負のバランス）。
  
• この状態は、シスコデバイスの登録先である対応するバーチャルアカウントに使用可能なライセンスがない場合に、Cisco スマートアカウントで表示されます。  
• コンプライアンス/承認済み状態に移行するには、正しい数とタイプのライセンスをスマートアカウントに追加する必要があります。
• デバイスがOut of Compliance状態になると、承認更新要求が毎日自動的に送信されます。
• ライセンスと機能は引き続き動作し、機能への影響はありません。

[承認の期限切れ（Authorization Expired）] 状態

• Authorization Expiredは、デバイスが権限を使用していて、関連付けられたシスコスマートアカウントと90日間以上通信できない状態です。
• この状態は通常、シスコデバイスがインターネットアクセスを失った場合、または初期登録後にtools.cisco.comに接続できない場合に表示されます。
• Smart Licensingのオンライン方式では、この状態を防ぐために、シスコのデバイスが90日ごとに最低でも通信する必要があります。
• CSSMは、90日間デバイスと通信していないため、このデバイスのすべての使用中ライセンスをプールに戻します。
• この状態の間、デバイスは登録期間（ID証明書）が期限切れになるまで、1時間ごとにシスコに連絡して権限付与の承認を更新しようとします。
• ソフトウェアエージェントがシスコとの通信を再確立し、その許可要求を受信すると、通常どおり応答を処理し、確立された状態の1つに入ります。

考慮事項と注意事項

スイッチ用の16.9.1およびルータ用の16.10.1以降では、Smart Licensingへの移行を支援するために、CiscoTAC-1という名前のデフォルトのCall-homeプロファイルが生成されます。  デフォルトでは、このプロファイルはダイレクトクラウドアクセス方式用に設定されます。               

#show call-home profile CiscoTAC-1
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
<snip>

Cisco Smart Software Manager オンプレミスサーバーを使用している場合、アクティブな Call-Home 設定の下にある宛先アドレスは、そのプロファイル（大文字と小文字を区別）を指している必要があります。

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https://
     
     /Transportgateway/services/DeviceRequestHandler

tools.cisco.com を解決するには DNS が必要です。DNSサーバ接続がVRFにある場合は、適切な送信元インターフェイスとVRFが定義されていることを確認します。

Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>

VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]     <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>

DNSが使用できない場合は、ローカルDNSからIPマッピングへの静的な設定（エンドデバイスでのローカルDNS解決に基づく）を行うか、Call Home設定のDNS名をIPアドレスに置き換えます。ダイレクトクラウドアクセスの例を参照してください(Cisco Smart Software Manager on-premでは、tools.cisco.comではなく独自のDNS名を使用します)。  

(config)#ip host tools.cisco.com <x.x.x.x>

tools.cisco.comへの通信を特定のVRFのインターフェイス（Mgmt-vrfなど）から発信する必要がある場合は、次のCLIを設定する必要があります。 

(config)#ip http client source-interface <VRF_INTERFACE>

StackWiseまたはStackWise Virtualで稼働するCatalystスイッチなど、シスコデバイスの設定に応じて、異なる数のライセンスを使用できます。

従来のスタック型サポートスイッチ（Catalyst 9300シリーズなど）:

ネットワークライセンス：スタック内のスイッチごとに1ライセンスが消費されます。

DNAライセンス：スタック内のスイッチごとに1ライセンスが消費されます。

モジュラシャーシ（Catalyst 9400シリーズなど）:

ネットワークライセンス：シャーシ内のスーパーバイザごとに1ライセンスが消費されます。

DNAライセンス：シャーシごとに1ライセンスが消費されます。

固定スタック型の仮想サポートスイッチ（Catalyst 9500シリーズなど）:

ネットワークライセンス：スタック内のスイッチごとに1ライセンスが消費されます。

DNAライセンス：スタック内のスイッチごとに1ライセンスが消費されます。

• スマートライセンスに対してアクティブにできる Call Home プロファイルは 1 つだけです。
• ライセンスは対応する機能が設定されている場合にのみ使用されます。
• スマートライセンス用に設定されたシスコデバイスは、対応するシスコスマートアカウントと正しく同期されるように、正しいシステム時刻と日付で設定する必要があります。シスコデバイスのタイムオフセットが離れすぎていると、デバイスを登録できない可能性があります。クロックは、Network Time Protocol(NTP)やPrecision Time Protocol(PTP)などのタイミングプロトコルを使用して、手動で設定または設定する必要があります。これらの変更を実装するために必要な正確な手順については、特定のシスコデバイスのコンフィギュレーションガイドを参照してください。
• シスコデバイスの登録時に生成される公開キーインフラストラクチャ(PKI)キーは、登録後に自動的に保存されない場合は保存する必要があります。デバイスがPKIキーの保存に失敗すると、copy running-config startup-configまたはwrite memoryコマンドを使用して設定を保存するように求めるsyslogが生成されます。
• シスコデバイスの PKI キーが適切に保存されていない場合、フェールオーバーかリロードのときにライセンスの状態が失われる可能性があります。  
• Smart Licensingは、HTTPSプロキシ方式にサードパーティのプロキシを使用する場合、デフォルトではHTTPSプロキシSSL証明書傍受をサポートしません。この機能をサポートするには、プロキシで SSL の代行受信を無効にするか、プロキシから送信された証明書を手動でインポートします。

How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

Transport Gateway HTTPプロキシを使用する場合は、次の例のように、IPアドレスをtools.cisco.comからProxyに変更する必要があります。
       destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
TO
       宛先アドレスhttp https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler 

トランスポートゲートウェイの IP アドレスは、Cisco トランスポートゲートウェイ の GUI で [HTTP設定（HTTP Settings）] に移動し、HTTP サービスの URL の下を見るとわかります。

詳細については、ここにあるCisco Transport Gatewayの設定ガイドを参照してください。

トラブルシュート

シスコデバイスをスマートライセンス対応ソフトウェアバージョンに移行する際は、このフローチャートを3つの方法(Direct Cloud Access、HTTPSプロキシ、およびCisco Smart Software Manager On-prem)すべての一般的なガイドとして使用できます。

                  スマートライセンスをサポートするソフトウェアリリースでアップグレードされるか、そのソフトウェアリリースとともに出荷されるデバイス（セクション 1.3 にあるサポート対象の Cisco IOS XE リリースの一覧を参照）。  

トラブルシューティングを行うこれらの手順は、主にデバイスが登録に失敗するシナリオに集中して行います。 

デバイスを登録できない 

初期設定が終わったら、スマートライセンスを有効にするために、CSSM/Cisco Smart Software Manager オンプレミスで生成されるトークンを CLI を使用してデバイスに登録する必要があります。

license smart register idtoken <TOKEN>

このアクションにより、次のイベントが生成されます。

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result
!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds)
%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration
!
! Call-home start registration process
!
%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode.
!
! Smart Licensing process connects with CSSM and check entitlement.
!
%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed
%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN>
%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved
%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized
%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>

Call Homeの設定を確認するには、次のCLIを実行します。

#show call-home profile all

Profile Name: CiscoTAC-1
    Profile status: ACTIVE
    Profile mode: Full Reporting
    Reporting Data: Smart Call Home, Smart Licensing
    Preferred Message Format: xml
    Message Size Limit: 3145728 Bytes
    Transport Method: http
    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
    Other address(es): default

    Periodic configuration info message is scheduled every 1 day of the month at 09:15

    Periodic inventory info message is scheduled every 1 day of the month at 09:00

    Alert-group               Severity
    ------------------------  ------------
    crash                     debug
    diagnostic                minor
    environment               warning
    inventory                 normal

    Syslog-Pattern            Severity
    ------------------------  ------------
    APF-.-WLC_.*              warning
    .*                        major

スマートライセンスのステータスを確認するには、次のCLIを実行します。

#show license summary
Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: TAC Cisco Systems, Inc.
  Virtual Account: Krakow LAN-SW
  Export-Controlled Functionality: ALLOWED
  Last Renewal Attempt: None
  Next Renewal Attempt: Nov 22 21:24:32 2019 UTC

License Authorization:
  Status: AUTHORIZED
  Last Communication Attempt: SUCCEEDED
  Next Communication Attempt: Jun 25 21:24:37 2019 UTC

License Usage:
  License                 Entitlement tag               Count Status
  -----------------------------------------------------------------------------
  C9500 Network Advantage (C9500 Network Advantage)         1 AUTHORIZED
  C9500-DNA-40X-A         (C9500-40X DNA Advantage)         1 AUTHORIZED

デバイスが登録に失敗した場合（および状態が「登録済み（REGISTERED）」ではない場合）、「コンプライアンス不適合（Out-of-Compliance）」は CSSM に問題があることを示します。この場合の問題としては、スマート バーチャル アカウントのライセンスがない、マッピングが不適切な状態（たとえば、有効なライセンスがない別のバーチャルアカウントからのトークンが使用された場合）などが考えられます。   次のことを確認してください。 

1. 設定と一般的な失敗のシナリオを確認する 

セクション 2.1 の基本設定の手順を参照してください。また、フィールドで観察される一般的な障害シナリオについては、セクション5を参照してください。

2. 基本接続のチェック

デバイスがtools.cisco.com（直接アクセスの場合）またはCisco Smart Software Managerオンプレミスサーバに到達（およびTCPポートを開く）できることを確認します。 

#show run all | in destination address http
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
!
! check connectivity
!
#telnet tools.cisco.com 443 /source-interface gi0/0
Trying tools.cisco.com (x.x.x.x, 443)... Open
[Connection to tools.cisco.com closed by foreign host]

これらのコマンドが機能しない場合は、ルーティングルール、送信元インターフェイス、およびファイアウォールの設定を再確認してください。

セクション3を参照してください。DNSとHTTPの詳細を設定する方法の詳細なガイドラインについては、このドキュメントの「考慮事項と注意事項」を参照してください。 

3. スマートライセンスの設定を確認する

次の出力を収集します。

#show tech-support license

収集した設定/ログを確認します（詳細な調査のために Cisco TAC のケースをオープンする場合は、この出力を添付します）。 

4. デバッグをイネーブルにする

スマートライセンスプロセスに関する追加情報を収集するには、次のデバッグを有効にします。

#debug call-home smart-licensing [all | trace | error]
#debug ip http client [all | api | cache | error | main | msg | socket]

内部デバッグの場合は、バイナリトレースを有効にして内容を確認します。

! enable debug
#set platform software trace ios [switch] active R0 infra-sl debug
!
! read binary traces infra-sl process logs
#show platform software trace message ios [switch] active R0

一般的な失敗のシナリオ

このセクションでは、シスコデバイスの登録中または登録後に発生する可能性がある一般的な障害シナリオについて説明します。

シナリオ#1：スイッチの登録「Failure Reason: Product Already Registered」

「show license all」の一部：

Registration:

  Status: UNREGISTERED - REGISTRATION FAILED

  エクスポート制御機能：許可されない

  初期登録：2018 EST 10月22日14:25:31に失敗

   エラーの理由：製品は既に登録されています

  次回の登録試行： Oct 22 14:45:34 2018 EST

次のステップ：

- Ciscoデバイスを再登録する必要があります。

- CiscoデバイスがCSSMに表示される場合は、forceパラメータを使用する必要があります（つまり、license smart register idtoken <TOKEN> force）。

注：失敗の理由は次のように表示されることもあります。
    – エラーの理由：製品<X>とudiSerialNumber:<SerialNumber>,udiPid:<Product>を含むsudiは既に登録されています。
    – エラーの理由：既存の製品インスタンスに消費があり、強制フラグがFalseです

シナリオ#2：スイッチ登録「Failure Reason: Your request could not be processed right now.Please try again）」

「show license all」の一部：

Registration:

  ステータス：登録中 – 登録中

  エクスポート制御機能：許可されない

  初期登録：FAILED on Oct 24 15:55:26 2018 EST

  Failure reason: Your request could not be processed right now.Please try again

  次回の登録試行：2018 EST 10/24 16:12:15

次のステップ：

– 問題に関する詳細な洞察を得るには、セクション4で説明したデバッグを有効にします。

- CSSM でスマートライセンスの新しいトークンを生成してもう一度試します。 

シナリオ#3：障害理由「デバイスの日付1526135268653が許容許容範囲制限を超えています

「show license all」の一部：

Registration:

  ステータス：登録中 – 登録中

  エクスポート制御機能：許可されない

  初期登録：2018年11月17日55:46に失敗

    Failure reason: {"timestamp":["デバイスの日付'1526135268653'が、許容される許容限度を超えてオフセットされています。"]}

  次回の登録試行：2018年11月11日18:12:17 EST

表示される可能性のあるログ：

%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID：証明書チェーンの検証に失敗しました。  証明書(SN: XXXXXX)はまだ有効ではありません。Validity period starts on 2018-12-12:43Z

次のステップ：

– シスコデバイスのクロックが正しい時刻を示していることを確認します(show clock)。

– クロックが正しく設定されるように、可能であればネットワークタイムプロトコル(NTP)を設定します。

- NTPが使用できない場合は、手動で設定したクロック(clock set)が正しいこと(show clock)と、信頼できる時刻源として設定されていることを確認します。clock calendar-validが設定されていることを確認します

注：デフォルトでは、システムクロックは信頼されません。Clock calendar-validが必要です。

シナリオ#4：スイッチの登録「Failure Reason: Communication Transport not Available」

「show license all」の一部：

登録：ステータス：[UNREGISTERED] - [REGISTRATION FAILED]

エクスポート制御機能：許可されない

初期登録：FAILED on Mar 09 21:42:02 2019 CST

   失敗の理由：通信トランスポートを使用できません。

表示される可能性のあるログ：

%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: Smart AgentからCall-Homeを有効にしてライセンスを取得できませんでした：既存のアクティブユーザープロファイルが原因で、このコマンドはSmart Call Homeを有効にできませんでした。CiscoTAC-1プロファイル以外のユーザプロファイルを使用してデータをシスコのSCHサーバに送信する場合は、プロファイルモードでreporting smart-licensing-dataを入力し、そのプロファイルをスマートライセンス用に設定します。SCHの詳細については、http://www.cisco.com/go/smartcallhomeを参照してください。
%SMART_LIC-3-AGENT_REG_FAILED: Smart Agent for Licensing Registration with the Cisco Smart Software Managerまたはサテライトが失敗しました：通信トランスポートを使用できません。
%SMART_LIC-3-COMM_FAILED: Cisco Smart Software Managerとの通信エラーまたはサテライト：通信トランスポートが利用できません。

次のステップ：

- Ciscoデバイスのshow running-config出力で、call-homeがservice call-homeで有効になっていることを確認します。

– 正しいcall-homeプロファイルがアクティブであることを確認します。

– アクティブなcall-homeプロファイルでreporting smart-licensing-dataが設定されていることを確認します。

シナリオ#5：スイッチライセンス認可「Failure Reason: Fail to Send out Call Home HTTP Message」

「show license all」の一部：

License Authorization:

  Status: OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC

  Last Communication Attempt: FAILED on Aug 02 14:26:23 2018 UTC

    失敗の理由：Call Home HTTPメッセージの送信に失敗しました。

  Next Communication Attempt: Aug 02 14:26:53 2018 UTC

  Communication Deadline: Oct 25 09:21:38 2018 UTC

表示される可能性のあるログ：

%CALL_HOME-5-SL_MESSAGE_FAILED：スマートライセンスメッセージを次の場所に送信できません：https://<ip>/its/service/oddce/services/DDCEService（ERR 205：要求の中止）

%SMART_LIC-3-COMM_FAILED:Cisco Smart Software Managerとの通信エラーまたは「サテライト:Call Home HTTPメッセージの送信に失敗しました。」

%SMART_LIC-3-AUTH_RENEW_FAILED:Cisco Smart Software Managerによる認証の更新またはサテライト:udi PID:XXX、SN:XXXのCommunication message send error

次のステップ：

- Ciscoデバイスがtools.cisco.comにpingできることを確認します。

- DNSが設定されていない場合は、tools.cisco.comのローカルnslookup IP用にDNSサーバまたはip host文を設定します。

- CiscoデバイスからTCPポート443（HTTPSで使用されるポート）のtools.cisco.comへのTelnet接続を試みます。

- HTTPsクライアントの送信元インターフェイスが定義され、正しいことを確認します。

- Call HomeプロファイルのURL/IPがシスコデバイスでshow call-home profile allを使用して正しく設定されていることを確認します。

- ipルートが正しいネクストホップを指していることを確認します。

- Ciscoデバイス、Smart Call Home Serverへのパス、またはCisco Smart Software Managerのオンプレミス(サテライト)でTCPポート443がブロックされていないことを確認します。

– 必要に応じて、正しいVirtual Routing and Forwarding(VRF)インスタンスがcall-homeの下に設定されていることを確認します。

シナリオ#6：エラー理由「Id証明書のシリアル番号フィールドが見つからない、署名証明書のシリアル番号フィールドが見つからない、署名されたデータと証明書が一致しない」ログ

この動作は、Cisco Bug ID CSCvr41393で文書化されているように、暗号証明書の期限が切れたCSSMオンプレミスサーバを使用している場合に発生します。これは、登録デバイスとの証明書の同期の問題を防ぐために、オンプレミスのCSSMに証明書の同期と更新を許可する必要があるため、予期される動作です。

「show license all」の一部：

Registration:
  ステータス：未登録
  スマートアカウント：アカウントの例
  エクスポート制御機能：許可

License Authorization:
 ステータス：評価モード
 評価期間（残余）:65日、18時間、43分、0秒

表示される可能性のあるログ：

このエラーは、show loggingまたはshow license eventlogで表示されます。
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="ID証明書シリアル番号フィールドがありません；署名証明書シリアル番号フィールドがありません；署名されたデータと証明書が一致しません"

次のステップ：

- CiscoデバイスがCSSMオンプレミスサーバにIP接続できることを確認します。
- HTTPSを使用している場合は、認証C-Nameがデバイスのcall-home設定で使用されていることを確認します。
- DNSサーバが認証C-Nameの解決に使用できない場合は、ドメイン名とIPアドレスをマッピングするスタティックip host文を設定します。

- CSSMのオンプレミスでの証明書のステータスがまだ有効であることを確認します。
- CSSMのオンプレミス証明書の期限が切れている場合は、Cisco Bug ID CSCvr41393

注：デフォルトでは、HTTPSはSSLハンドシェイク中にサーバIDチェックを実行し、URLまたはIPがサーバから提供された証明書と同じであることを確認します。この動作により、ホスト名と IP が一致していない場合に DNS エントリではなく IP アドレスを使用していると、問題が起きる可能性があります。DNSが不可能な場合、または静的なip host文の場合は、この認証チェックを無効にするようにno http secure server-identity-checkを設定できます。

シナリオ#7：スイッチライセンス認証「Failure reason: Waiting for reply」 

「show license all」の一部：

License Authorization:
 Status: OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
 Last Communication Attempt: PENDING on Aug 02 14:34:51 UTC
  失敗の理由：応答を待っています
 Next Communication Attempt: Aug 02 14:53:58 UTC
 Communication Deadline: Oct 25 09:21:39 2018 UTC

表示される可能性のあるログ：

%PKI-3-CRL_FETCH_FAIL：トラストポイントSLA-TrustPointのCRLフェッチが失敗した理由：ソケットを選択できませんでした。Timeout : 5（接続タイムアウト）
%PKI-3-CRL_FETCH_FAIL：トラストポイントSLA-TrustPointのCRLフェッチが失敗した理由：ソケットを選択できませんでした。Timeout : 5（接続タイムアウト）

次のステップ：

– この問題を修正するには、実行コンフィギュレーションでSLA-TrustPointをnoneに設定する必要があります

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revocation-check none

CRL とは

証明書失効リスト（CRL）とは、失効した証明書のリストです。CRL は、証明書を発行した認証局（CA）によって作成され、デジタル署名されます。CRL には、各証明書の発行日と失効日が含まれています。CRL の詳細については、こちらを参照してください。

シナリオ#8：ライセンスのステータスが「OUT OF COMPLIANCE」

「show license all」の一部：

License Authorization:
 Status: OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
 Last Communication Attempt: PENDING on Aug 02 14:34:51 UTC
  失敗の理由：応答を待っています
 Next Communication Attempt: Aug 02 14:53:58 UTC
 Communication Deadline: Oct 25 09:21:39 2018 UTC

表示される可能性のあるログ：

%SMART_LIC-3-OUT_OF_COMPLIANCE: 1つ以上のエンタイトルメントがコンプライアンスに違反しています。

次のステップ：

– 適切なスマート仮想アカウントのトークンが使用されているかどうかを確認します。

- ここで使用可能なライセンスの数を確認します。

シナリオ#9：スイッチライセンス認可「Failure Reason: Data and Signature do not Match」

「show license all」の一部：

License Authorization:

 ステータス：2020年3月12日09:17:45をもって承認されました。

 Last Communication Attempt: FAILED on Mar 12 09:17:45 2020 EDT

  失敗の理由：データと署名が一致しません

 Next Communication Attempt: Mar 12 09:18:15 2020 EDT

 通信期限：2020年5月9日21:22:43 EDT

表示される可能性のあるログ：

%SMART_LIC-3-AUTH_RENEW_FAILED: Cisco Smart Software Manager(CSSM)による認証の更新：Smart Software Managerからエラーを受信：udi PID:C9000,SN:XXXXXXXXXXXのデータと署名が一致しません

次のステップ：

– ライセンスのスマート登録を解除してスイッチの登録を解除します。

– 次に、license smart register idtoken <TOKEN> forceで新しいトークンを使用してスイッチを登録します。

参考資料

1）Cisco Smart Licensing のホームページ

2）シスココミュニティ - オンデマンドトレーニング。

3）スマートアカウント - 管理ポータル：スマート ソフトウェア ライセンシング

4）スマートアカウント - 新しいアカウントの作成：スマートアカウント

5）コンフィギュレーション ガイド（例）-『System Management Configuration Guide, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 Switches)』