はじめに
このドキュメントでは、Catalyst 9800ワイヤレスLANコントローラ(WLC)でポリシー(SLUP)を使用してSmart Licensing(SLUP)を設定し、トラブルシューティングする方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- ポリシーを使用したスマートライセンス(SLUP)
- Catalyst 9800ワイヤレスLANコントローラ(WLC)
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
注意:この記事の注意事項には、このドキュメントで取り上げられていない役立つ情報や資料への参照が含まれています。それぞれの注を読むことをお勧めします。
- Cisco Smart Software Manager Cloud(CSSM Cloud)への直接接続
- CSLU(Cisco Smart License Utility Manager)経由でCSSMに接続
- オンプレミスのSmart Software Manager(SSM)経由でCSSMに接続(オンプレミスSSM)
この記事では、Catalyst 9800でのスマートライセンスのすべてのシナリオについて説明しているわけではありません。詳細については、『ポリシー設定ガイドを使用したスマートライセンス』を参照してください。ただし、この記事では、Catalyst 9800でのポリシーの問題を使用した直接接続、CSLU、およびオンプレミスSSMスマートライセンスのトラブルシューティングに役立つ一連のコマンドについて説明します。
オプション 1Cisco Smart Licensing Cloud Server(CSSM)への直接接続
オプション 2CSLU経由の接続
オプション 3オンプレミススマートソフトウェアマネージャ経由の接続(オンプレミスSSM)
注:この記事に記載されているすべてのコマンドは、バージョン17.3.2以降を実行するWLCにのみ適用できます。
従来のライセンスとSLUP
Smart Licensing Using Policy機能は、コードバージョン17.3.2でCatalyst 9800に導入されました。最初の17.3.2リリースでは、17.3.3リリースで導入されたWLC webUIのSLUP設定メニューが表示されません。SLUPは、いくつかの点で従来のスマートライセンスとは異なります。
- WLCは、smartreceiver.cisco.comドメインではなく、tools.cisco.comドメインを介してCSSMと通信します。
- WLCは登録する代わりに、CSSMまたはオンプレミスSSMとの信頼を確立します。
- CLIコマンドは若干変更されています。
- スマートライセンスの予約(SLR)はなくなりました。代わりに、使用状況を定期的に手動でレポートできます。
- 評価モードはなくなりました。WLCは、ライセンスがなくても引き続きフルキャパシティで機能します。このシステムは自己申告ベースで、ライセンスの使用状況を定期的にレポートします(エアギャップのあるネットワークの場合は自動または手動でレポートします)。
コンフィギュレーション
直接接続CSSM
CSSMでトークンが作成されたら、信頼を確立するために、次のコマンドを実行する必要があります。
注:Token Max.HA SSOのWLCの場合、使用数は2以上である必要があります。
configure terminal
ip http client source-interface
ip http client secure-trustpoint
license smart transport smart license smart url default exit write memory terminal monitor license smart trust idtoken
all force
- ip http client source-interfaceコマンドでは、ライセンス関連のパケットの送信元となるL3インターフェイスを指定します
- ip http client secure-trustpointコマンドは、CSSM通信に使用するトラストポイント/証明書を指定します。トラストポイント名は、show crypto pki trustpointsコマンドを使用して確認できます。自己署名証明書TP-self-signed-xxxxxxxxxx証明書または製造元でインストールされる証明書(MICとも呼ばれ、9800-40、9800-80、および9800-Lでのみ使用可能)を使用することをお勧めします。通常はCISCO_IDEVID_SUDIと呼ばれます。
- terminal monitorコマンドは、WLCにログをコンソールに出力させ、信頼が正常に確立されたことを確認できるようにします。terminal no monitorを使用して無効にできます。
- 最後のコマンドのキーワードallは、HA SSOクラスタ内のすべてのWLCに対して、CSSMとの信頼を確立するように指示します。
- キーワードforceは、以前に確立された信頼のいずれかを上書きし、新しい信頼を試行するようにWLCに指示します。
注:信頼が確立されていない場合、9800はコマンドの実行後1分後に再試行し、その後しばらく再試行しません。新しい信頼確立を強制するには、再度tokenコマンドを入力します。
CSLUに接続
Cisco Smart License Utility Manager(CSLU)は、Windowsベースのアプリケーション(Linuxでも使用可能)です。このアプリケーションを使用すると、お客様は、ライセンスおよび関連する製品インスタンスを社内から管理でき、スマートライセンス対応の製品インスタンスをCisco Smart Software Manager(CSSM)に直接接続する必要がなくなります。
このセクションでは、9800ワイヤレス設定のみを取り上げます。CSLUを使用してライセンスを設定するには、他の手順(CSLUのインストール、CSLUソフトウェアの設定など)も実行します。これらについては、『設定ガイド』を参照してください。製品インスタンス起動方式を実装するか、CSLU起動方式を実装するか、または対応する一連のタスクを実行します。
製品インスタンス起動
- コントローラからCSLUへのネットワーク到達可能性を確認する
- トランスポートタイプがcsluに設定されていることを確認します。
(config)#license smart transport cslu
(config)#exit
#copy running-config startup-config
- CSLUをコントローラで検出する場合は、次の操作を実行する必要があります。DNSを使用してCSLUを検出する場合は、何もする必要はありません。URLを使用して検出する場合は、次のコマンドを入力してください。
(config)#license smart url cslu http://
:8182/cslu/v1/pi (config)#exit #copy running-config startup-config
CSLU開始
CSLU開始通信を設定する場合、必要な唯一のアクションは、コントローラからCSLUへのネットワーク到達可能性を確認し、確認することです。
オンプレミスのSSMに接続
オンプレミスSSMを使用した設定は、直接接続に非常によく似ています。オンプレミスでは、バージョン8-202102以降を実行する必要があります。SLUPリリース(17.3.2以降)では、CSLU URLとトランスポートタイプを使用することを推奨します。URLは、オンプレミスWebUIインターフェイスのSmart Licensing > Inventory > <Virtual Account> > Generalセクションで取得できます。
configure terminal
ip http client source-interface
ip http client secure-trustpoint
license smart transport cslu license smart url https://
/SmartTransport crypto pki trustpoint SLA-TrustPoint revocation-check none exit write memory terminal monitor
オンプレミスSSMでは、信頼トークンを使用する必要はありません。
注:「%PKI-3-CRL_FETCH_FAIL: CRL fetch for trustpoint SLA-TrustPoint failed」というメッセージが表示される場合、SLA-TrustPointでrevocation-check noneを設定していないことが原因です。これは、スマートライセンスに使用されるトラストポイントです。オンプレミスの場合、ライセンスサーバー上の証明書は、ほとんどの場合、CRL検証が不可能な自己署名証明書です。したがって、失効チェックを設定する必要はありません。
HTTPSプロキシによるスマートトランスポートの設定
スマートトランスポートモードの使用時にプロキシサーバを使用してCSSMと通信するには、次の手順を実行します。
configure terminal
ip http client source-interface
ip http client secure-trustpoint
license smart transport smart license smart url default license smart proxy address
license smart proxy port
exit write memory terminal monitor license smart trust idtoken
all force
通信周波数
CLIまたはGUIで設定できるレポート間隔は影響しません。
9800 WLCは、WebインターフェイスまたはCLIを使用して設定されているレポート間隔に関係なく、8時間ごとにCSSMまたはオンプレミスのSmart Software Manager(SSM)と通信します。つまり、新しく加入したアクセスポイントは、最初に加入してから8時間後までCSSMに表示されます。
次回ライセンスが計算されて報告される時刻は、show license air entities summaryコマンドで確認できます。次のコマンドは、一般的なshow techまたはshow license allの出力には含まれていません。
WLC#show license air entities summary
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0
ライセンスの初期設定へのリセット
Catalyst 9800 WLCでは、すべてのライセンス設定とtrust factory resetを使用でき、他のすべての設定は保持されます。これにはWLCのリロードが必要です。
WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command
RMAまたはハードウェア交換の場合
9800 WLCを交換する必要がある場合は、新しいデバイスをCSSM/オンプレミスSmart Software Manager(SSM/オンプレミスSmart Software Manager)に登録する必要があり、新しいデバイスとして認識されます。以前のデバイスのライセンス数をリリースするには、製品インスタンスで手動による削除が必要です。
特定のライセンス登録(SLR)からのアップグレード
17.3.2よりも前の古いWLCリリースでは、Specific License Registration(SLR)と呼ばれる特別なオフラインライセンス方式が使用されていました。このライセンス方式は、SLUP (17.3.2以降)を使用するリリースでは廃止されています。
SLRを使用していた9800コントローラをリリース17.3.2または17.4.1以降にアップグレードする場合は、SLRコマンドに依存するのではなく、オフラインのSLUPレポートに移行することをお勧めします。ライセンス使用状況RUMファイルを保存し、スマートライセンスポータルに登録します。新しいリリースではSLRが存在しないため、正しいライセンス数が報告され、未使用のライセンスが解放されます。ライセンスはブロックされなくなりますが、正確な使用数がレポートされます。
トラブルシューティング
インターネットアクセス、ポートのチェックとPing
従来のスマートライセンスで使用されていたtools.cisco.comの代わりに、新しいSLUPはsmartreceiver.cisco.comドメインを使用して信頼を確立します。この記事を書いている時点で、このドメインは複数の異なるIPアドレスに解決されます。このアドレスのすべてがping可能とは限りません。pingは、WLCからのインターネット到達可能性テストとして使用しないでください。これらのサーバに対してpingを実行できないからといって、サーバが正しく動作していないということにはなりません。
pingの代わりに、到達可能性テストとしてポート443経由のtelnetを使用する必要があります。Telnetは、smartreceiver.cisco.comドメインに対してチェックするか、サーバのIPアドレスに対して直接チェックできます。トラフィックがブロックされていない場合、ポートは出力でオープンとして表示される必要があります。
WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]
Syslog
トークンの設定中にterminal monitorコマンドが有効になっている場合、WLCはCLIで関連ログを出力します。これらのメッセージは、show loggingコマンドを実行して取得することもできます。正常に確立された信頼のログは次のようになります。
WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.
DNSサーバが定義されていない、または機能していないDNSサーバがあるWLCのログ:
Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name
DNSサーバは機能しているが、インターネットにアクセスできないWLCのログ:
Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given
パケット キャプチャ
WLCとCSSM/オンプレミスSSM間の通信は暗号化され、HTTPSを経由しますが、パケットキャプチャを実行すると、信頼が確立されない原因が明らかになります。パケットキャプチャを収集する最も簡単な方法は、WLCのWebインターフェイスを使用する方法です。
Troubleshooting > Packet Captureの順に移動します。新しいキャプチャポイントを作成します。
Monitor Control Planeチェックボックスが有効になっていることを確認します。バッファサイズを最大100 MBに増やします。キャプチャする必要があるインターフェイスを追加します。スマートライセンストラフィックは、デフォルトではワイヤレス管理インターフェイスから発信されるか、ip http client source-interfaceコマンドで定義されたインターフェイスから発信されます。
キャプチャを開始し、license smart trust idtoken <token> all forceコマンドを実行します。
信頼確立のパケットキャプチャには、次の手順が含まれている必要があります。
- SYN、SYN-ACK、およびACKシーケンスを使用したTCPセッションの確立
- サーバとクライアントの両方の証明書交換によるTLSセッションの確立。確立は新しいセッションチケットパケットで終了します
- 暗号化されたパケット交換(アプリケーションデータフレーム)。WLCがライセンスの使用状況をレポートします。
- FIN-PSH-ACK、FIN-ACK、およびACKシーケンスによるTCPセッションの終了
注:パケットキャプチャには、TCPウィンドウ更新フレームとアプリケーションデータフレームの倍数を含む、さらに多くのフレームが含まれています
CSSMクラウドは3つの異なるパブリックIPアドレスを使用するため、WLCとCSSM間のすべてのパケットキャプチャをフィルタリングするには、次のWiresharkフィルタを使用します。
ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144
オンプレミスSSMを使用している場合は、SSMのIPアドレスをフィルタリングします。
ip.addr==
例:フィルタリングされたすべての重要なパケットキャプチャを使用して、直接接続されたCSSMを使用した正常な信頼確立のパケットキャプチャ:
show コマンド
次のshowコマンドには、信頼の確立に関する有用な情報が含まれています。
show license status
show license summary
show tech-support license
show license tech-support
show license air entities summary
show license history message (useful to see the history and content of messages sent to SL)
show tech wireless (actually gets show log and show run on top of the rest which can be useful)
show license history messageコマンドは、WLCから送信されてCSSMから受信した実際のメッセージを表示できるため、より便利なコマンドの1つです。
信頼が正常に確立されると、「REQUEST: Aug 23 10:18:08 2021 Central」と「RESPONSE: Aug 23 10:18:10 2021 Central」の両方のメッセージが表示されます。RESPONSE行の後に何もない場合は、WLCがCSSMから応答を受信しなかったことを意味します。
次に、信頼が確立された場合のshow license historyメッセージの出力例を示します。
REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}
RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}
デバッグ/btrace
このコマンドは、license smart trust idtoken all forceコマンドを使用して信頼の確立が試行されてから数分後に実行します。IOSRPログは非常に詳細です。追加 | include smart-agent」をコマンドに追加して、スマートライセンスログのみを取得します。
show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent
また、次のデバッグを実行し、新しい接続を強制するようにライセンスコマンドを再設定することもできます。
debug license events
debug license errors
debug license agent all
一般的な問題
WLCにインターネットアクセスがない、またはファイアウォールがトラフィックをブロック/変更する
WLC上の組み込みパケットキャプチャは、WLCがCSSMまたはオンプレミスSSMから何かを受信したかどうかを簡単に確認する方法です。応答がない場合、ファイアウォールが何かをブロックしている可能性があります。
show license history messageコマンドでは、CSSMクラウドまたはオンプレミスSSMから応答を受信しなかった場合、要求が送信されてから1秒後に空の応答が表示されます。
たとえば、空の応答が受信されたが、実際には応答が全くなかったと思い込ませることができます。
REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"MIICnjCCAYYCAQAwODE2MDQGA1UEAxMtMjlCQUM2OEQ3MDQ0NzQ1NzE2QjVDOEYxODdGM0Q0Q0QxNTIwOEVGRjo6MSwyMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAmGCVOO1Q/LiZs3je+Zvo+OsJilTb1vpL7sA80TjprHyLkqQ9mMCub1GunwtF18jzIRa1COUPk9vDsY7bD9btvIG80x2MQFAPPmiNFR4ccvuLYzGl+XjjTjgjbsZpov6S6n3rRGJVyd5aS0S8+JCCljzwtv2rHV628RlWFwlEyzcp4Kt5dm8QBnc+dcYWWIn/X9aExPbf9P96HVL6T6+SomKT/h5hQP8wyz8ycol3XjcXN6gD/XZFyOydZ3oayi/RWjRlA0NThHPQy03bdtFiEakA8ZEWmduNRvTnmSsqKQBVVa43gjgoBzANTAOyXv6e33TRN3bQdV6UuSLcqrw1PwIDAQABoCEwHwYJKoZIhvcNAQkOMRIwEDAOBgNVHQ8BAf8EBAMCBaAwDQYJKoZIhvcNAQEFBQADggEBAHwhn+YcbEuJyYrkcFlaEfzRbJcz9KXXAZASykW7ql3fSlv+PaHePdrh9vsxmkXiVo+UnBbk4Kr5a/mdXEG/4NOeToGUwEqf38ktZMJyL81Whl/FEj83Lhmy7Z5paJrSCWwPc14nHFEFJ4BuelbfmPwiK+Y6X0RHEL92ySH6UNNlVgsWsQbHnHLbacDBsjOcyf9N3xAZc/IDxakSUSYMgFGnBXwkP4aN6XZLfKKGvXtYuIs7D+omRpMijYxQfHzvVnauGi7jiDXEAJjUueNHyztgpPi191j84oEVFHvAEhhMRNakrEEp4jyD2bYOr+CVbbxbYiBd2GKDs1/I1N1XSgM=\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET
注:現在、機能拡張要求のCisco Bug ID CSCvy84684(登録ユーザ専用)が存在します。これにより、応答がない場合にshow license historyメッセージに空の応答が表示されます。これは、show license history messageコマンドの出力を拡張するためです
パケットキャプチャの不明なCAアラート
CSSMまたはオンプレミスSSMとの通信には、9800側の適切な証明書が必要です。自己署名できますが、無効または期限切れにすることはできません。この場合、パケットキャプチャには、9800 HTTPクライアント証明書が期限切れになった際にCSSMから送信された不明なCAに対するTLSアラートが示されます。
スマートライセンスでは、WLC Webインターフェイスで使用されるip http serverとは異なるip http client設定が使用されます。これは、次のコマンドを正しく設定する必要があることを意味します。
ip http client source-interface
ip http client secure-trustpoint
トラストポイント名は、show crypto pki trustpointsコマンドで確認できます。自己署名証明書TP-self-signed-xxxxxxxxxx証明書または製造元でインストールされる証明書(MIC)の使用を推奨します。これらは通常CISCO_IDEVID_SUDIと呼ばれ、9800-80、9800-40、および9800-Lでのみ使用可能です。
提示されたHTTPS証明書はシスコライセンスサーバ証明書ではなくファイアウォール証明書であるため、SSL復号化機能を備えたファイアウォールなどのTLS代行受信を実行するデバイスは、C9800がシスコライセンスサーバとの正常なハンドシェイクを確立するのを妨げる可能性があることに注意してください。
注:source-interfaceコマンドとsecure-trustpointコマンドの両方が設定されていることを確認してください。WLCにL3インターフェイスが1つしかない場合でも、source-interfaceコマンドが必要です。
関連情報