Cisco IOS ®-XE Enterprise Routing Platform용 Smart Licensing 구성
목차
소개
이 문서에서는 Cisco SL(Smart Licensing) 구축 유형 및 필요한 컨피그레이션에 대해 설명합니다.
사전 요구 사항
요구 사항
- Cisco CSSM(Smart Software Manager) 포털에 액세스할 수 있는 Smart Account
- Cisco IOS®-XE 버전이 16.5.1~17.3.1 사이인 디바이스.
- Cisco Smart Software Manager 온프레미스 서버.
- 디바이스와 CSSM 또는 온프레미스 서버 간의 HTTPS 연결
사용되는 구성 요소
이 문서는 Cisco IOS®-XE Enterprise Routing Platform에 적용됩니다.
이 문서의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.
- Cisco IOS®-XE 버전 16.9.4이 포함된 Cisco ASR1001-X 및 Cisco IOS®-XE 버전 16.12.1이 포함된 Cisco ISR4351
- 8-202108 버전의 Smart Software Manager 서버
구축 유형
Smart Licensing 등록 및 사용에 사용할 수 있는 4가지 기본 구축 옵션이 있습니다.
- 직접 CSSM 액세스
- 프록시를 사용한 직접 CSSM 액세스
- SSM 온프레미스 액세스
- 특정 라이센스 예약(SLR)
직접 CSSM 액세스
이 구축 옵션을 사용하면 인터넷을 통해 HTTPS를 통해 Cisco로 직접 사용 정보를 전송할 수 있습니다.
Cisco IOS® XE 16.10.1a에서 스마트 라이센싱은 기본적으로 활성화되며 유일하게 사용할 수 있는 라이센싱 모델입니다. 이 구축에는 적절한 인터페이스에서 tools.cisco.com에 대한 레이어 3 컨피그레이션 및 HTTPS 포트(443)의 연결이 필요합니다. DNS 컨피그레이션이 필요합니다.
연결이 확인되면 디바이스를 등록하는 단계는 다음과 같습니다.
1단계. 디바이스에서 Smart 라이센스를 활성화합니다(선택 사항). 16.10.1에서 기본적으로 활성화됩니다.
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#license smart enable
2단계. tools.cisco.com에 대한 DNS(Domain Name System) 서버 또는 고정 호스트 항목을 구성합니다.
Router(config)#ip name-server X.X.X.X
or
Router(config)#ip host tools.cisco.com X.X.X.X
3단계. Cisco Smart Software Manager에서 새 토큰을 생성합니다.
- Cisco Smart Software Manager(https://software.cisco.com/)에 로그인하고 Smart Software Manager 섹션으로 이동합니다.
- Inventory(인벤토리) 탭을 선택하고 Virtual Account(가상 어카운트) 드롭다운 목록에서 Virtual Account(가상 어카운트)를 선택합니다.
- 일반 탭을 선택한 다음 새 토큰을 선택합니다.
- 토큰 설명을 입력하고 토큰이 활성 상태여야 하는 일 수를 지정합니다.
- 이 토큰에 등록된 제품에 대해 내보내기 제어 기능을 허용합니다. 등록된 장치에 높은 암호화 라이선스 요청을 허용합니다.
- Create Token을 선택합니다. 토큰을 만든 후 Copy(복사)를 선택합니다.
4단계. Call-Home 컨피그레이션을 변경합니다(선택 사항).
기본 call-home 프로필 컨피그레이션은 디바이스를 등록하기에 충분합니다. 다음과 같이 현재 call-home 프로필 컨피그레이션을 확인할 수 있습니다.
Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
5단계. 토큰을 사용하여 CSSM에 디바이스를 등록합니다.
Router#license smart register idtoken < token from CSSM portal > force
6단계. 디바이스가 CSSM에 올바르게 등록되었는지 확인합니다.
Router#show license status Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: CORE TAC Export-Controlled Functionality: Allowed Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC Last Renewal Attempt: None Next Renewal Attempt: Feb 28 12:54:22 2018 UTC Registration Expires: Sep 01 12:49:04 2018 UTC License Authorization: Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC Next Communication Attempt: Oct 01 12:54:28 2017 UTC Communication Deadline: Nov 30 12:49:12 2017 UTC
VRF(Virtual Routing and Forwarding)를 통한 직접 CSSM 액세스
디바이스에서 VRF를 사용하여 CSSM에 연결하는 경우 call-home 프로필 컨피그레이션에서 소스 VRF 및 소스 인터페이스를 구성해야 합니다. 이 구축을 구성하려면 Direct CSSM Access 섹션에서 1-3단계를 수행해야 합니다. 그런 다음 올바른 VRF 및 소스 인터페이스를 사용하여 call-home 컨피그레이션을 편집하여 CSSM URL에 연결합니다. 여기서는 관리 인터페이스 GigabitEthernet0을 사용합니다. 이 인터페이스는 Mgmt-intf VRF에 있습니다.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
VRF에 지정된 올바른 인터페이스로 소스 HTTP 인터페이스를 구성합니다. 이 컨피그레이션은 HTTP 및 HTTPS 트래픽에 영향을 미칩니다.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
특정 VRF에 대해 DNS를 구성합니다.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X
VRF 컨피그레이션이 완료되면 Direct CSSM Access(직접 CSSM 액세스) 섹션의 5단계와 6단계로 진행할 수 있습니다.
프록시를 사용한 직접 CSSM 액세스
CSSM에 대한 HTTPS 연결을 얻기 위해 프록시 서버가 필요한 경우 Direct CSSM Access 섹션의 단계를 따르고 call-home 컨피그레이션에 http-proxy 명령을 포함해야 합니다.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080
SSM 온프레미스 액세스
이 구축 유형을 사용하면 Cisco에서 호스팅하는 CSSM에 직접 연결하지 않고도 온프레미스에서 제품과 라이센스를 관리할 수 있습니다. 이를 구현하려면 네트워크에 SSM On-Prem이 이미 설치되어 있어야 합니다. SSM 온프레미스 설치 단계는 이 문서의 범위를 벗어납니다.
SSM On-Prem 서버를 디바이스와 연결하는 구성 단계는 다음과 같습니다.
1단계. 디바이스에서 Smart Licensing을 활성화합니다.
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#license smart enable
2단계. CSSM 온프레미스 서버와 통신할 수 있는지 확인합니다.
Router#ping X.X.X.X Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms
3단계. SSM 온프레미스에서 새 토큰을 생성합니다.
3.1 SSM 서버에 로그인
3.2 토큰 생성
- 토큰 설명을 입력합니다. 토큰이 활성 상태여야 하는 일 수 지정
- Allow export-controlled functionality on the products registered with this token(이 토큰에 등록된 제품에 대해 내보내기 제어 기능 허용) 확인란 활성화
- Create Token을 선택합니다.
- 토큰이 생성된 후 Copy(복사)를 선택하여 새로 생성된 토큰을 복사합니다.
4단계. 디바이스에서 Call-Home을 구성합니다.
On-Prem 서버(http://X.X.X.X/Transportgateway/services/DeviceRequestHandler)의 IP를 사용하여 목적지 주소 http 명령을 변경하고 기본 명령을 제거해야 합니다.
Router(config)#call-home Router(cfg-call-home)#profile CiscoTAC-1 Router(cfg-call-home-profile)#destination transport-method http Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService Router(cfg-call-home-profile)#active Router(cfg-call-home-profile)#exit Router(cfg-call-home)#contact-email-addr test@cisco.com Router(cfg-call-home)#service call-home Router(cfg-call-home)#end
5단계. SLA-TrustPoint 신뢰 지점에서 revocation-check none을 구성합니다.
Router#configure terminal Router(config)#crypto pki trustpoint SLA-TrustPoint Router(ca-trustpoint)#revocation-check none
6단계. SSM On-Prem에서 검색된 토큰에 디바이스를 등록합니다.
Router#license smart register idtoken < token from SSM On-Prem portal > force
7단계. 디바이스가 SSM 온프레미스 디바이스에 올바르게 등록되었는지 확인합니다.
Router#show license status Smart Licensing is ENABLED Utility: Status: DISABLED Data Privacy: Sending Hostname: yes Callhome hostname privacy: DISABLED Smart Licensing hostname privacy: DISABLED Version privacy: DISABLED Transport: Type: Callhome Registration: Status: REGISTERED Smart Account: manudiaz Virtual Account: Default Export-Controlled Functionality: ALLOWED Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC Last Renewal Attempt: None Next Renewal Attempt: Sept 30 14:22:12 2021 UTC Registration Expires: Oct 19 04:35:44 2021 UTC
VRF 컨피그레이션을 사용한 SSM 온프레미스 액세스
VRF를 사용하여 SSM On-Prem에 연결하는 경우, 디바이스가 올바른 VRF에서 요청을 생성하도록 소스 VRF를 구성해야 합니다.
3단계까지 SSM On-Prem Access 섹션의 단계를 따릅니다.
1단계. SSM On-Prem에 연결할 수 있는 올바른 VRF 및 소스 인터페이스로 Call-Home 컨피그레이션을 편집합니다.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
2단계. VRF에 지정된 올바른 인터페이스로 소스 http-client 인터페이스를 구성합니다.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
3단계. 특정 VRF에 대해 DNS를 구성합니다.
SSM On-Prem 서버의 이름을 확인하기 위해 온프레미스 환경에서 DNS 서버를 구성할 수 있습니다.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X
이러한 변경 후 SSM On-Prem Access에서 5단계와 6단계를 계속할 수 있습니다.
특정 라이센스 예약(SLR)
SLR은 Cisco에 사용 정보를 직접 전달하지 않고 디바이스에 소프트웨어 라이센스를 구축할 수 있는 기능입니다. 이 기능은 매우 안전한 네트워크에서 특히 유용하며 Smart Licensing Portal이 있는 플랫폼에서 지원됩니다. 이 컨피그레이션 가이드에서는 사용자가 SLR을 사용하도록 요청했으며 사용 권한이 있다고 가정합니다.
디바이스에서 SLR을 구성하려면 라우터 측 및 CSSM 포털에서 다음 단계를 수행해야 합니다.
1단계. SLR용 라우터를 구성합니다. license smart reservation 명령을 입력하고 라이센스 스마트 예약 요청 로컬로 SLR 기능을 요청해야 합니다.
Router# enable Router# configure terminal Router(config)# license smart reservation Router(config)# exit Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX
CSSM에서 필요한 라이센스를 예약해야 합니다.
2단계. CSSM에 로그인합니다(https://software.cisco.com/#). Cisco 자격 증명을 사용하여 포털에 로그인해야 합니다.
3단계. Inventory(인벤토리) 탭을 선택합니다. Virtual Account(가상 어카운트) 드롭다운에서 Smart Account를 선택합니다.
4단계. Licenses(라이센스) 탭에서 License Reservation(라이센스 예약)을 선택합니다.
5단계. 요청 코드 입력 페이지에서 라우터에서 생성한 예약 요청 코드를 입력하거나 첨부하고 다음을 선택합니다.
6단계. Reserve a Specific License(특정 라이센스 예약) 상자를 선택하고 라이센스와 각 디바이스에 필요한 예약 라이센스 금액을 선택합니다.
7단계. Review and Confirm(검토 및 확인) 탭에서 Generate Authorization Code(인증 코드 생성)를 선택합니다.
8단계. 클립보드에 복사를 선택하여 코드를 복사하거나 파일로 다운로드합니다. 프로세스를 계속하려면 코드 또는 파일을 디바이스에 복사해야 합니다.
SLR을 구성하는 경우 권한 부여 코드 텍스트 파일을 다운로드하거나 설치할 수 있습니다. PLR(Permanent License Reservation)을 구성하는 경우 인증 코드를 복사하여 붙여넣을 수 있습니다.
9단계. 디바이스에 로그인하고 installation 명령을 사용하여 smart reservation install file bootflash:<SLR file> 를 설치합니다.
Router#enable Router#license smart reservation install file bootflash:
필요한 경우 디바이스에서 예약된 라이센스를 반환하고 등록되지 않은 상태로 돌아갈 수 있습니다. 반품 코드가 생성되며 제품 인스턴스를 제거하려면 CSSM에 입력해야 합니다.
Router#enable Router#license smart reservation return local
특정 라이센스 예약 업데이트
디바이스를 성공적으로 등록한 후 필요한 경우 다음과 같이 신규 기능 또는 라이센스로 예약을 업데이트할 수 있습니다.
1단계. Cisco Smart Software Manager(https://software.cisco.com/#)에 로그인합니다. Cisco에서 제공한 사용자 이름과 비밀번호를 사용하여 포털에 로그인해야 합니다.
2단계. Inventory(인벤토리) 탭으로 이동하고 Virtual Account(가상 어카운트) 드롭다운에서 Smart Account를 선택합니다.
3단계. Product Instances(제품 인스턴스) 탭에서 업데이트해야 하는 디바이스에 대한 Actions(작업)를 선택합니다.
4단계. Update Reserved Licenses를 선택합니다.
5단계. 업데이트할 라이센스를 선택합니다.
6단계. 다음을 선택합니다.
7단계. Review and Confirm(검토 및 확인) 탭에서 Generate Authorization Code(인증 코드 생성)를 선택합니다. Authorization Code 탭이 표시됩니다. 시스템은 생성된 인증 코드를 표시합니다.
8단계. 코드를 복사하거나 파일로 다운로드하려면 클립보드에 복사 옵션을 선택합니다. 코드 또는 파일을 디바이스에 복사해야 합니다.
9단계. 업데이트할 디바이스에 로그인합니다.
10단계. license smart reservation install file 명령을 실행합니다.
Router#enable Router#license smart reservation install file bootflash:
특정 라이센스 예약 등록 취소
디바이스에 대한 특정 라이센스 예약을 등록 취소하려면 CLI에서 라이센스 예약을 반환하고 CSSM에서 인스턴스를 제거해야 합니다.
1단계. 등록을 취소할 디바이스에 로그인합니다.
2단계. 라이센스 예약 권한 부여 코드를 제거하려면 license smart reservation return 명령을 사용합니다.
Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33
3단계. CSSM에 로그인합니다(https://software.cisco.com/#).
4단계. 재고 탭을 선택합니다. Virtual Account 드롭다운 목록에서 Smart Account를 선택합니다.
5단계. 제품 인스턴스 탭에서 등록을 취소할 디바이스에 대해 작업을 선택합니다.
6단계. 제거를 선택합니다.
7단계. 메시지가 표시되면 반환 코드를 입력합니다.
문제 해결
장치에서 확인할 수 없음 tools.cisco.com
올바른 VRF 또는 전역 경로 테이블에 대해 DNS 서버를 올바르게 구성했는지 확인합니다. 원하는 경우 고정 DNS 항목을 생성할 수도 있습니다.
Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8
라우터가 tools.cisco.com과 통신할 수 없습니다.
- 인터넷에 대한 기본 경로가 구성되어 있는지 확인합니다.
- 디바이스와 CSSM 사이에 방화벽 또는 프록시가 없는지 확인합니다.
- 포트 443 및 80이 차단되지 않았는지 확인
Router#telnet tools.cisco.com 443 Trying tools.cisco.com (72.163.4.38, 80)... Open
- VRF를 사용한 텔넷
Router#telnet tools.cisco.com 443 /vrf Mgmt-intf Trying tools.cisco.com (72.163.4.38, 443)... Open
"OUT OF COMPLIANCE" 상태의 라이센스
이 상태는 디바이스가 엔타이틀먼트를 사용하고 컴플라이언스(음수 잔액)에 있지 않을 때 발생합니다. 이는 Cisco 디바이스가 등록된 가상 어카운트에서 필요한 라이센스를 사용할 수 없을 때 발생합니다.
Router#show license all License Authorization: Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT Next Communication Attempt: Mar 26 03:12:31 2019 CDT Communication Deadline: Jun 23 15:06:30 2019 CDT
- 규정 준수/권한 부여 상태를 시작하려면 Smart Account에 올바른 라이센스 수 및 유형을 추가해야 합니다.
- 디바이스가 이 상태이면 매일 자동으로 권한 부여 갱신 요청을 보냅니다.
Smart Licensing 디버그
Call-Home 및 Smart Licensing 등록 문제를 해결하는 데 사용할 수 있는 일부 디버그는 다음과 같습니다.
- 디버그 call-home 추적
- 디버그 call-home 오류
- debug call-home smart-licensing all
- 디버그 ip http 클라이언트 모두
- debug crypto pki <모든 옵션>
- debug ssl openssl <all options>
추가 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
24-May-2022 |
최초 릴리스 |
피드백