Cisco IOS® XE Enterprise Routing Platform용 Smart Licensing 구성

소개

이 문서에서는 Cisco SL(Smart Licensing) 구축 유형 및 필요한 컨피그레이션에 대해 설명합니다.

사전 요구 사항

요구 사항

• CSSM(Cisco Smart Software Manager) 포털에 액세스할 수 있는 Smart Account입니다.
• Cisco IOS® XE 버전이 16.5.1~17.3.1인 디바이스.
• Cisco Smart Software Manager 온프레미스 서버
• 디바이스와 CSSM 또는 온프레미스 서버 간의 HTTPS 연결

참고: 일부 구축에서는 Cisco Smart Software Manager 온프레미스(On-Prem)가 필요하지 않습니다. 이 기능은 기능의 선택 구성 요소입니다.

주의: Smart Licensing은 16.5.1~16.9.8 버전에서는 선택 사항입니다. Cisco IOS® XE 16.10.1a를 사용하는 물리적 디바이스의 경우 최대 Cisco IOS® XE 17.3.1 Smart Licensing은 필수입니다. 17.3.2 이상부터는 Smart Licensing Using Policy가 필수입니다. 가상 디바이스 및 기타 Cisco 플랫폼의 경우 특정 코드의 릴리스 정보를 확인하십시오.

사용되는 구성 요소

이 문서는 Cisco IOS® XE Enterprise Routing Platform에 적용됩니다.
이 문서의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.

• Cisco IOS® XE 버전 16.9.4가 설치된 Cisco ASR1001-X 및 Cisco IOS® XE 버전 16.12.1이 설치된 Cisco ISR4351 
• 8-202108 버전의 Smart Software Manager 서버

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구축 유형 

Smart Licensing 등록 및 사용에 사용할 수 있는 4가지 주요 구축 옵션이 있습니다.

1. 직접 CSSM 액세스
2. 프록시를 사용한 직접 CSSM 액세스
3. SSM 온프레미스 액세스
4. 특정 라이센스 예약(SLR)

직접 CSSM 액세스

이 구축 옵션을 사용하면 인터넷을 통해 HTTPS를 통해 Cisco에 직접 사용 정보를 전송할 수 있습니다.

Cisco IOS® XE 16.10.1a에서 스마트 라이센싱은 기본적으로 활성화되어 있으며 사용 가능한 유일한 라이센싱 모델입니다. 이 구축의 경우 레이어 3 컨피그레이션이 필요하며, 적절한 인터페이스에서 HTTPS 포트(443)의 tools.cisco.com에 연결할 수 있습니다. DNS 컨피그레이션이 필요합니다.

연결이 확인되면 디바이스를 등록하는 단계는 다음과 같습니다.

1단계. 디바이스에서 Smart 라이센스를 활성화합니다(선택 사항). 16.10.1a부터는 기본적으로 활성화되어 있습니다.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

참고:이 명령은 필요한 서비스 Call-Home을 활성화합니다.

2단계. tools.cisco.com에 대한 DNS(Domain Name System) 서버 또는 고정 호스트 항목을 구성합니다.

Router(config)#ip name-server X.X.X.X 
or
Router(config)#ip host tools.cisco.com X.X.X.X

3단계. Cisco Smart Software Manager에서 새 토큰을 생성합니다.

• https://software.cisco.com/#에서 Cisco Smart Software Manager에 로그인하고 Smart Software Manager 섹션으로 이동합니다.
• Inventory(인벤토리) 탭을 선택하고 Virtual Account 드롭다운 목록에서 Virtual Account(가상 어카운트)를 선택합니다.
• 일반 탭을 선택한 다음 새 토큰을 선택합니다.

• 토큰 설명을 입력하고 토큰이 활성화되어야 하는 일 수를 지정합니다.
• 이 토큰에 등록된 제품에서 수출 통제 기능 허용 을 활성화합니다.이렇게 하면 등록된 디바이스에서 높은 암호화 라이센스를 요청할 수 있습니다.
• Create Token을 선택합니다. 토큰을 생성한 후 복사를 선택합니다.

4단계. Call-home 컨피그레이션을 변경합니다(선택 사항).

기본 call-home 프로필 컨피그레이션만으로도 디바이스를 등록할 수 있습니다. 현재 콜 홈 프로필 컨피그레이션은 다음 위치에서 확인할 수 있습니다.

Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email

5단계. 토큰을 사용하여 CSSM에 디바이스를 등록합니다.

Router#license smart register idtoken < token from CSSM portal > force

6단계. 디바이스가 CSSM에 올바르게 등록되었는지 확인합니다.

Router#show license status 
Smart Licensing is ENABLED 

Registration: 
 Status: REGISTERED 
 Smart Account: TAC Cisco Systems, Inc. 
 Virtual Account: CORE TAC 
 Export-Controlled Functionality: Allowed 
 Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC 
 Last Renewal Attempt: None 
 Next Renewal Attempt: Feb 28 12:54:22 2018 UTC 
 Registration Expires: Sep 01 12:49:04 2018 UTC 

License Authorization: 
 Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC 
 Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC 
 Next Communication Attempt: Oct 01 12:54:28 2017 UTC 
 Communication Deadline: Nov 30 12:49:12 2017 UTC

VRF(Virtual Routing and Forwarding)를 통한 직접 CSSM 액세스

디바이스가 VRF를 사용하여 CSSM에 연결하는 경우 call-home 프로필 컨피그레이션에서 소스 VRF 및 소스 인터페이스를 구성해야 합니다. 이 구축을 구성하려면 Direct CSSM Access(직접 CSSM 액세스) 섹션에서 1-3단계를 수행해야 합니다. 그런 다음 올바른 VRF로 Call-Home 컨피그레이션을 수정하고 소스 인터페이스를 수정하여 CSSM URL에 연결합니다. 여기에서는 관리 인터페이스 GigabitEthernet0을 예로 들며, 이는 Mgmt-intf VRF에 있습니다.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

VRF에 할당된 올바른 인터페이스로 소스 HTTP 인터페이스를 구성합니다. 이 컨피그레이션은 HTTP 및 HTTPS 트래픽에 영향을 줍니다.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

특정 VRF에 대해 DNS를 구성합니다.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X

VRF 컨피그레이션이 완료되면 Direct CSSM Access(직접 CSSM 액세스) 섹션에서 5단계와 6단계로 계속할 수 있습니다.

프록시를 사용한 직접 CSSM 액세스 

CSSM에 대한 HTTPS 연결을 위해 프록시 서버가 필요한 경우 Direct CSSM Access(직접 CSSM 액세스) 섹션의 단계를 따르고 call-home 컨피그레이션 내에 http-proxy 명령을 포함해야 합니다.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080 

SSM 온프레미스 액세스

이 구축 유형을 사용하면 Cisco에서 호스팅하는 CSSM에 직접 연결하지 않고도 프레미스 내에서 제품 및 라이센스를 관리할 수 있습니다. 이를 구현하려면 네트워크에 SSM 온프레미스(On-Prem)가 설치되어 있어야 합니다. SSM 온프레미스 설치 단계는 이 문서의 범위에 포함되지 않습니다.

SSM 온프레미스 서버를 디바이스에 연결하는 컨피그레이션 단계는 다음과 같습니다.

1단계. 디바이스에서 Smart Licensing을 활성화합니다.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

참고: 이 명령은 필요한 서비스 Call-Home을 활성화합니다.

2단계. CSSM 온프레미스 서버와 통신할 수 있는지 확인합니다.

Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

참고: DNS 서버가 있는 경우 이 서버를 사용하여 온프레미스 서버 IP 주소를 이름으로 확인할 수 있습니다.

3단계. SSM On-Prem에서 새 토큰을 생성합니다.

3.1 SSM 서버에 로그인합니다.

3.2 토큰 생성

• 토큰 설명을 입력합니다. 토큰이 활성화되어야 하는 일 수를 지정합니다.
• 이 토큰에 등록된 제품에 대해 내보내기 제어 기능 허용 확인란을 활성화합니다.
• Create Token을 선택합니다.
• 토큰이 생성된 후 Copy를 선택하여 새로 생성된 토큰을 복사합니다.

4단계. 디바이스에서 call-home을 구성합니다.

On-Prem 서버의 IP(http://X.X.X.X/Transportgateway/services/DeviceRequestHandler)로 destination address http 명령을 변경하고 기본 명령을 제거해야 합니다.

Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end

5단계. SLA-TrustPoint 신뢰 지점에서 revocation-check none을 구성합니다.

Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none

6단계. SSM On-Prem에서 검색된 토큰으로 디바이스를 등록합니다.

Router#license smart register idtoken < token from SSM On-Prem portal > force

7단계. 디바이스가 SSM On-Prem에 올바르게 등록되었는지 확인합니다.

Router#show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLEDData Privacy:
 Sending Hostname: yes
 Callhome hostname privacy: DISABLED
 Smart Licensing hostname privacy: DISABLED
 Version privacy: DISABLED

Transport:
 Type: Callhome

Registration:
 Status: REGISTERED
 Smart Account: manudiaz
 Virtual Account: Default
 Export-Controlled Functionality: ALLOWED
 Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
 Last Renewal Attempt: None
 Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
 Registration Expires: Oct 19 04:35:44 2021 UTC

VRF 컨피그레이션을 통한 SSM 온프레미스 액세스

VRF를 사용하여 SSM 온프레미스(On-Prem)에 연결하는 경우, 디바이스에서 올바른 VRF에서 요청을 생성하도록 소스 VRF를 구성해야 합니다.

3단계까지 SSM 온프레미스 액세스 섹션의 단계를 수행합니다.

1단계. 올바른 VRF 및 SSM 온프레미스(On-Prem)에 연결할 수 있는 소스 인터페이스를 사용하여 Call-Home 컨피그레이션을 수정합니다.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

2단계. VRF에 할당된 올바른 인터페이스로 소스 http-client 인터페이스를 구성합니다.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

3단계. 특정 VRF에 대한 DNS를 구성합니다.

SSM 온프레미스 서버의 이름을 확인하도록 온프레미스 환경에서 DNS 서버를 구성할 수 있습니다.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X

이러한 변경 후 SSM 온프레미스 액세스에서 5단계와 6단계를 계속할 수 있습니다.

특정 라이센스 예약(SLR)

SLR은 사용 정보를 Cisco에 직접 전달하지 않고 디바이스에 소프트웨어 라이센스를 구축할 수 있게 해주는 기능입니다. 이 기능은 매우 안전한 네트워크에서 특히 유용하며, Smart Licensing Portal이 있는 플랫폼에서 지원됩니다.  이 컨피그레이션 가이드에서는 사용자가 SLR을 요청했고 사용할 권한이 있는 것으로 가정합니다.

참고: SLR은 기본적으로 활성화되어 있지 않습니다. 이 기능을 구체적으로 요청해야 합니다. 

참고: SLR 및 라이센스 지원은 Cisco IOS® XE 16.11.1a 이상 릴리스에서 지원됩니다.

디바이스에서 SLR을 구성하려면 라우터측 및 CSSM 포털에서 다음 단계를 수행해야 합니다

1단계. SLR용 라우터를 구성합니다. license smart reservation 명령을 입력하고 license smart reservation request local로 SLR 기능을 요청해야 합니다.

참고: 등록이 HA 플랫폼에서 수행되는 경우 라이센스 스마트 예약 요청 모두를 사용해야 합니다.

Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
  Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX

참고: SLR은 기본적으로 활성화되어 있지 않습니다. 이 기능을 구체적으로 요청해야 합니다.

참고: 라이센스 예약 요청을 취소하려면 license smart reservation cancel 명령을 실행합니다.

CSSM에서 필요한 라이센스를 예약해야 합니다.

2단계. CSSM에 로그인합니다(https://software.cisco.com/#). Cisco 자격 증명으로 포털에 로그인해야 합니다.

3단계. Inventory(인벤토리) 탭을 선택합니다. Virtual Account(가상 어카운트) 드롭다운에서 Smart Account를 선택합니다.

4단계. Licenses(라이센스) 탭에서 License Reservation(라이센스 예약)을 선택합니다.

5단계. Enter Request Code(요청 코드 입력) 페이지에서 라우터에서 생성한 예약 요청 코드를 입력하거나 첨부하고 Next(다음)를 선택합니다.

6단계. Reserve a Specific License(특정 라이센스 예약) 상자를 선택하고 각 디바이스에 필요한 라이센스 및 예약된 라이센스 금액을 선택합니다.

7단계. Review and Confirm(검토 및 확인) 탭에서 Generate Authorization Code(인증 코드 생성)를 선택합니다.

참고: 특정 장치에 대한 SLR 코드를 생성한 후 코드를 설치할 때까지 권한 부여 코드 파일이 유효합니다. 설치에 실패할 경우 Cisco GLO(Global License Operations)에 문의하여 새 인증 코드를 생성해야 합니다. 여기서 GLO에 문의할 수 있습니다.

8단계. 코드를 복사하려면 [클립보드에 복사]를 선택하거나 파일로 다운로드합니다. 이 프로세스를 계속하려면 코드나 파일을 장치에 복사해야 합니다.

SLR을 구성하는 경우 인증 코드 텍스트 파일을 다운로드하거나 설치할 수 있습니다. PLR(Permanent License Reservation)을 구성하는 경우 인증 코드를 복사하여 붙여넣을 수 있습니다.

9단계. 디바이스에 로그인하고 installation 명령 license smart reservation install file bootflash:<SLR file>를 사용합니다.

Router#enable
Router#license smart reservation install file bootflash:

 필요한 경우 디바이스에 예약된 라이센스를 반환하고 등록되지 않은 상태로 돌아갈 수 있습니다. 반품 코드가 생성되며 제품 인스턴스를 제거하려면 CSSM에 입력해야 합니다.

Router#enable
Router#license smart reservation return local

특정 라이센스 예약 업데이트

디바이스를 성공적으로 등록한 후, 필요한 경우 다음과 같이 새 기능 또는 라이센스로 예약을 업데이트할 수 있습니다.

1단계. https://software.cisco.com/#에서 Cisco Smart Software Manager에 로그인합니다. Cisco에서 제공한 사용자 이름 및 비밀번호를 사용하여 포털에 로그인해야 합니다.

2단계. Inventory(인벤토리) 탭으로 이동하고 Virtual Account(가상 어카운트) 드롭다운에서 Smart Account를 선택합니다.

3단계. Product Instances(제품 인스턴스) 탭에서 업데이트해야 할 디바이스에 대한 Actions(작업)를 선택합니다.

4단계. Update Reserved Licenses(예약된 라이센스 업데이트)를 선택합니다.

5단계. 업데이트할 라이센스를 선택합니다.

6단계. 다음을 선택합니다.

7단계. Review and Confirm(검토 및 확인) 탭에서 Generate Authorization Code(인증 코드 생성)를 선택합니다. Authorization Code(인증 코드) 탭이 표시됩니다. 시스템에서 생성된 인증 코드를 표시합니다.

8단계. [클립보드에 복사] 옵션을 선택하여 코드를 복사하거나 파일로 다운로드합니다. 코드 또는 파일을 장치에 복사해야 합니다.

9단계. 업데이트할 디바이스에 로그인합니다.

10단계. license smart reservation install file 명령을 실행합니다.

Router#enable
Router#license smart reservation install file bootflash:

특정 라이센스 예약 등록 취소

디바이스에 대한 특정 라이센스 예약을 등록 취소하려면 CLI에서 라이센스 예약을 반환하고 CSSM에서 인스턴스를 제거해야 합니다.

1단계. 등록을 취소할 디바이스에 로그인합니다.

2단계. 라이센스 예약 권한 부여 코드를 제거하려면 license smart reservation return 명령을 사용합니다.

Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
    CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33

3단계. CSSM에 로그인합니다(https://software.cisco.com/#).

4단계. Inventory(인벤토리) 탭을 선택합니다. Virtual Account(가상 어카운트) 드롭다운 목록에서 Smart Account를 선택합니다.

5단계. Product instance(제품 인스턴스) 탭에서 등록을 취소할 디바이스에 대해 Actions(작업)를 선택합니다.

6단계. 제거를 선택합니다.

7단계. 프롬프트가 표시되면 반환 코드를 입력합니다.

문제 해결

장치에서 tools.cisco.com을 확인할 수 없습니다.

 올바른 VRF 또는 전역 경로 테이블에 대해 DNS 서버를 올바르게 구성했는지 확인합니다. 원하는 경우 고정 DNS 항목을 생성할 수도 있습니다.

Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8 

참고: tools.cisco.com에 연결하는 데 사용되는 ip 주소는 72.163.4.38 및 173.37.145.8입니다. 그건 변할 수 있어요 DNS에서 확인된 IP 주소는 동일하거나 변경될 수 있습니다. 수동 컨피그레이션 전에 로컬 장비에 확인하십시오.

라우터가 tools.cisco.com과 통신할 수 없습니다.

• 인터넷에 대한 기본 경로가 구성되어 있는지 확인합니다.
• 디바이스와 CSSM 간에 방화벽 또는 프록시가 없는지 확인합니다.
• 포트 443 및 80이 차단되지 않았는지 확인합니다.

Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open

• VRF를 사용하는 텔넷

Router#telnet tools.cisco.com 443 /vrf Mgmt-intf 
Trying tools.cisco.com (72.163.4.38, 443)... Open

"규정 준수 위반" 상태의 라이선스

이 상태는 디바이스가 엔타이틀먼트를 사용하고 컴플라이언스(음수 균형)를 준수하지 않을 때 발생합니다. 이는 Cisco 디바이스가 등록된 Virtual Account에서 필요한 라이센스를 사용할 수 없을 때 발생합니다.

Router#show license all

License Authorization:
  Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
  Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
  Next Communication Attempt: Mar 26 03:12:31 2019 CDT
  Communication Deadline: Jun 23 15:06:30 2019 CDT

• Compliance/Authorized(컴플라이언스/권한 부여) 상태로 들어가려면 올바른 라이센스 수 및 유형을 Smart Account에 추가해야 합니다
• 디바이스가 이 상태이면 매일 자동으로 권한 부여 갱신 요청을 보냅니다

Smart Licensing 디버깅

Call-home 및 Smart Licensing 등록 문제를 해결하는 데 사용할 수 있는 일부 디버깅은 다음과 같습니다.

• call-home 추적 디버그
• debug call-home 오류
• call-home smart-licensing 모두 디버그
• 모두 ip http 클라이언트 디버그
• debug crypto pki <all options>
• ssl openssl < 모든 옵션 > 디버그

추가 정보

Cisco 엔터프라이즈 라우팅 플랫폼용 Cisco Smart Licensing 가이드