본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 Cisco Smart Licensing(클라우드 기반 시스템)을 사용하여 Catalyst 스위치에서 소프트웨어 라이센스를 관리하는 방법에 대해 설명합니다.
Cisco Smart Licensing은 Cisco 제품 전체에서 모든 소프트웨어 라이센스를 관리하는 클라우드 기반 통합 라이센스 관리 시스템입니다. 이를 통해 고객은 Cisco 소프트웨어 라이센스를 구매, 구축, 관리, 추적 및 갱신할 수 있습니다. 또한 단일 사용자 인터페이스를 통해 라이센스 소유 및 사용에 대한 정보도 제공합니다.
이 솔루션은 Cisco 소프트웨어 자산 추적에 사용되는 온라인 Smart Account(Cisco Smart Licensing Portal)와 Smart Account 관리에 사용되는 Cisco CSSM(Smart Software Manager)으로 구성됩니다. CSSM은 라이센스 등록, 등록 취소, 이동, 전송 등 모든 라이센스 관리 관련 작업을 수행할 수 있는 곳입니다. 사용자는 Smart Account 및 특정 가상 어카운트에 대한 액세스 및 권한을 추가하고 부여할 수 있습니다.
Cisco Smart Licensing에 대한 자세한 내용은 다음을 참조하십시오.
a) Cisco Smart Licensing 홈 페이지
Cisco IOS® XE 17.3.2 이상에서 정책 방법을 사용하는 새로운 Smart Licensing에 대한 자세한 내용은 Catalyst 스위치의 정책을 사용하여 Smart Licensing을 참조하십시오.
Smart Licensing 및/또는 Smart Account 관리의 새로운 기능 새로운 관리자 교육 과정 및 녹음을 방문하여 신청하십시오.
Cisco 커뮤니티 - Cisco Smart Accounts/Smart Licensing 및 My Cisco Entitlement로 스마트 받기
Smart Account는 여기에서 생성할 수 있습니다. Smart Account
스마트 어카운트는 여기에서 관리할 수 있습니다. Smart Software Licensing
Cisco Smart Licensing을 구축하는 방법에는 다음과 같은 회사의 보안 프로필에 따라 활용할 수 있는 여러 가지가 있습니다.
직접 클라우드 액세스
Cisco 제품은 HTTPS를 사용하여 인터넷을 통해 직접 사용 정보를 안전하게 전송합니다. 추가 구성 요소가 필요하지 않습니다.
HTTPS 프록시를 통한 액세스
Cisco 제품은 HTTPS를 사용하여 HTTP 프록시 서버를 통해 사용 정보를 안전하게 전송합니다. 기존 프록시 서버를 사용하거나 Cisco Transport Gateway를 통해 구축할 수 있습니다. (자세한 내용은 여기를 클릭하십시오.)
온프레미스 라이센스 서버(Cisco Smart Software Manager 위성이라고도 함)
Cisco 제품은 인터넷을 통해 직접 사용하지 않고 온프레미스 서버로 사용 정보를 전송합니다. 한 달에 한 번 서버가 HTTPS를 통해 모든 장치에 대해 인터넷을 통해 전달되거나 수동으로 전송하여 데이터베이스를 동기화할 수 있습니다. CSSM On-prem(Satellite)은 VM(Virtual Machine)으로 사용할 수 있으며 여기에서 다운로드할 수 있습니다. 자세한 내용은 Smart Software Manager Satellite 페이지를 참조하십시오.
RTU(Right-To-Use) 또는 PAK(Product Activation Key)와 같은 레거시 라이센스를 Smart 라이센스로 변환하는 방법에는 두 가지가 있습니다. 준수해야 하는 방법에 대한 자세한 내용은 해당 Cisco 디바이스의 관련 릴리스 정보 및/또는 컨피그레이션 가이드를 참조하십시오.
Cisco CSSM(Smart Software Manager) 방법:
1. https://software.cisco.com/에서 Cisco CSSM(Smart Software Manager)에 로그인합니다.
2. Smart Software Licensing > Convert to Smart Licensing으로 이동합니다.
3. Convert PAK(PAK 변환) 또는 Convert Licenses(라이센스 변환)를 선택합니다.
4. PAK 라이센스를 변환하는 경우 아래 표에서 라이센스를 찾습니다. 비 PAK 라이센스를 변환하는 경우 단계별 지침에 "License Conversion Wizard"를 사용합니다.
계정과 연결된 알려진 PAK 파일의 위치:
"라이센스 변환 마법사" 링크의 위치:
5. 원하는 라이센스 및 제품 조합을 찾습니다.
6. (조치에서)를 클릭합니다. 스마트 라이센싱으로 변환
7. 원하는 가상 어카운트, 라이센스를 선택하고 다음을 클릭합니다.
8. 선택 사항을 검토한 다음 라이센스 변환을 클릭합니다.
LRP(License Registration Portal) 방법:
1. LRP(License Registration Portal)에 로그인합니다. http://tools.cisco.com/SWIFT/LicensingUI/Home
2. Devices > Add Devices로 이동합니다.
3. 적절한 제품군 및 UDI(Unique Device Identifier) 제품 ID 및 일련 번호를 입력한 다음 확인을 클릭합니다. UDI 정보는 Cisco 디바이스의 CLI(Command Line Interface)에서 가져온 "show version" 또는 "show inventory"에서 얻을 수 있습니다.
4. 추가된 디바이스를 선택하고 라이센스를 Smart Licensing으로 변환
5. 적절한 가상 어카운트에 할당하고 변환할 라이센스를 선택하고 전송합니다.
팁: LRP 툴은 "PAKs or Tokens(PAK 또는 토큰)" 탭에서 라이센스/제품군을 조회하고 PAK/토큰 옆의 원 드롭다운을 클릭하고 "Convert to Smart Licensing(스마트 라이센스로 변환)"을 선택하여 사용할 수도 있습니다.
Global Licensing Operations(글로벌 라이센싱 운영) 부서는 여기에서 전 세계 컨택 센터에 연락할 수 있습니다.
다른 Catalyst 9000 모델과 마찬가지로, Cisco IOS XE 버전 16.9 기차와 이후 버전에서 Smart Licensing으로 Catalyst 9500 고성능 모델이 활성화되었습니다. 그러나 Catalyst 9500 고성능 모델의 경우 각 모델에는 고유한 라이센스 엔타이틀먼트 태그가 있습니다. 제품 및 마케팅 팀에서 C9500 플랫폼 엔타이틀먼트 태그를 통합하기로 결정한 이후 이 결정으로 C9500 고성능 모델의 동작이 특정 엔타이틀먼트 태그를 사용하는 것에서 일반 C9500 라이센스로 바뀌었습니다.
이러한 동작 변경 사항은 다음과 같은 결함으로 문서화됩니다.
다음은 C9500 고성능 모델에 대한 위에서 언급한 변경 라이센스 변경 전/후의 변경 사항입니다.
각 C9600 고성능 모델에는 고유한 엔타이틀먼트 태그가 있습니다.
모델 | 라이센스 |
C9500-32C | C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage |
C9500-32QC | C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage |
C9500-24Y4C | C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage |
C9500-48Y4C | C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage |
참고: Cisco IOS XE 버전 16.12.1 및 16.12.2에는 Cisco 버그 ID CSCvp30661, Cisco 버그 ID CSCvt01955의 결함이 있으며16.12.3 이상에서 해결됩니다.
Catalyst 9500 고성능 플랫폼에서는 일반 네트워크 라이센스 태그와 별도의 DNA 라이센스 태그를 사용합니다. 다음 표는 Cisco IOS XE 버전 16.12.3 이상에서 강조 표시된 자격 변경 사항을 보여줍니다.
모델 | 라이센스 |
C9500-32C | C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage |
C9500-32QC | C9500 Network Essentials C9500 Network Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage |
C9500-24Y4C | C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage |
C9500-48Y4C | C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage |
참고: Cisco IOS XE 버전 16.12.1 및 16.12.2에서 업그레이드하면 이 라이센스 동작이 표시됩니다. Cisco IOS XE 버전 16.9.x, 16.10.x, 16.11.x에서 16.12.3으로 업그레이드하면 기존 라이센스 컨피그레이션이 인식됩니다.
1. 내 장치에서 장치별 네트워크 라이센스를 사용하는 경우 Cisco에서 일반 네트워크 라이센스를 할당하는 이유는 무엇입니까?
일반 태그는 네트워크 디바이스에 적합한 자격 태그이므로 제공됩니다. 이를 통해 특정 C9500 고성능 모델뿐만 아니라 전체 Cat9500 플랫폼에 엔타이틀먼트 태그를 사용할 수 있습니다. 디바이스별 라이센스 태그를 요청하는 16.12.3 이전 이미지는 라이센스 계층의 일반 라이센스에 속하므로 일반 라이센스 태그를 준수합니다.
2 . Smart Account에 두 개의 네트워크 태그가 표시되는 이유는 무엇입니까?
이러한 동작은 라이센싱 계층 구조 때문이며 디바이스별 라이센스 태그를 사용하는 이전 이미지에서 디바이스가 실행 중일 때 발생합니다. 디바이스별 라이센스 태그를 요청하는 이전 이미지는 일반 라이센스 태그를 준수합니다. 더 구체적인 태그는 라이센스 계층의 일반 라이센스에 속하기 때문입니다.
Smart Licensing을 구성하는 정확한 절차는 각 릴리스/플랫폼에 대해 제공되는 시스템 관리 컨피그레이션 가이드에서 확인할 수 있습니다.
예: 시스템 관리 컨피그레이션 가이드, Cisco IOS XE Fuji 16.9.x(Catalyst 9300 스위치)
장치를 등록하기 전에 토큰을 생성해야 합니다. 장치 ID 토큰이라고도 하는 등록 토큰은 스마트 라이선싱 포털 또는 해당 스마트 계정에 처음 Cisco 장치를 등록할 때 Cisco Smart Software Manager 온프레미에서 생성된 고유한 토큰입니다. 생성 중에 사용된 매개변수에 따라 개별 토큰을 사용하여 여러 Cisco 디바이스를 등록할 수 있습니다.
등록 토큰은 Cisco 백엔드에 Call-Home을 제공하고 올바른 Smart Account에 연결되도록 디바이스에 정보를 제공하기 때문에 Cisco 디바이스를 처음 등록하는 동안에만 필요합니다. Cisco 디바이스를 등록한 후에는 토큰이 더 이상 필요하지 않습니다.
등록 토큰과 그 생성 방법에 대한 자세한 내용을 보려면 여기를 클릭하여 일반 가이드를 참조하십시오. 자세한 내용은 특정 Cisco 디바이스의 컨피그레이션 가이드를 참조하십시오.
Smart Licensing을 구축하고 구성하는 동안 Cisco 디바이스가 있을 수 있는 여러 가지 가능한 상태가 있습니다. 이러한 상태는 show license all(라이센스 모두 표시)을 보거나 Cisco 디바이스의 CLI(Command Line Interface)에서 라이센스 상태를 표시하여 표시할 수 있습니다.
다음은 모든 상태와 그 의미를 정리한 목록입니다.
#show call-home profile CiscoTAC-1 Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default <snip>
(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler
Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>
VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>] <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>
또는 DNS를 사용할 수 없는 경우 최종 디바이스의 로컬 DNS 확인을 기반으로 로컬 DNS를 IP에 매핑하도록 정적으로 구성하거나 call-home 컨피그레이션의 DNS 이름을 IP 주소로 바꿉니다. 직접 클라우드 액세스에 대한 예를 참조하십시오(Cisco Smart Software Manager 온프레미스에서 tools.cisco.com 대신 고유한 DNS 이름을 사용).
(config)#ip host tools.cisco.com <x.x.x.x>
(config)#ip http client source-interface <VRF_INTERFACE>
기존 스택 기반 지원 스위치(예: Catalyst 9300 시리즈):
네트워크 라이센스: 스택에서 스위치당 1개의 라이센스 사용
DNA 라이센스: 스택에서 스위치당 1개의 라이센스 사용
모듈형 섀시(예: Catalyst 9400 시리즈):
네트워크 라이센스: 섀시의 수퍼바이저당 1개의 라이센스 사용
DNA 라이센스: 섀시당 1개의 라이센스 사용
고정 스택 기반 가상 지원 스위치(예: Catalyst 9500 시리즈):
네트워크 라이센스: 스택에서 스위치당 1개의 라이센스 사용
DNA 라이센스: 스택에서 스위치당 1개의 라이센스 사용
How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint.
The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.
Device#conf t
Device(config)#crypto pki trustpoint LicRoot
Device(ca-trustpoint)#enrollment terminal
Device(ca-trustpoint)#revocation-check none
Device(ca-trustpoint)#exit
Device(config)#crypto pki authenticate LicRoot
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: XXXXXXXX
Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
Cisco 장치를 Smart Licensing 지원 소프트웨어 버전으로 마이그레이션할 때 다음 순서도를 세 가지 방법(Direct Cloud Access, HTTPS Proxy 및 Cisco Smart Software Manager On-prem)의 모든 일반 가이드로 사용할 수 있습니다.
Smart Licensing을 지원하는 소프트웨어 릴리스와 함께 업그레이드된 디바이스(지원되는 Cisco IOS XE 릴리스 목록은 섹션 1.3 참조).
아래의 트러블슈팅 단계는 주로 '디바이스 등록 실패'라는 시나리오에 집중합니다.
초기 컨피그레이션 후 CSSM/Cisco Smart Software Manager 온프레미에서 생성된 Smart Licensing을 활성화하려면 CLI를 통해 디바이스에 등록해야 합니다.
license smart register idtoken <TOKEN>
이렇게 하면 다음 이벤트가 생성됩니다.
! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result !
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine %PKI-4-NOCONFIGAUTOSAVE: Configuration was modified. Issue "write memory" to save new IOS PKI configuration !
! Call-home start registration process
! %CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. !
! Smart Licensing process connects with CSSM and check entitlement.
! %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed %SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> %SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved %SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized %SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>
call-home 컨피그레이션을 확인하려면 다음 CLI를 실행합니다.
#show call-home profile all Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default Periodic configuration info message is scheduled every 1 day of the month at 09:15 Periodic inventory info message is scheduled every 1 day of the month at 09:00 Alert-group Severity ------------------------ ------------ crash debug diagnostic minor environment warning inventory normal Syslog-Pattern Severity ------------------------ ------------ APF-.-WLC_.* warning .* major
Smart Licensing 상태를 확인하려면 다음 CLI를 실행합니다.
#show license summary Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: Krakow LAN-SW Export-Controlled Functionality: ALLOWED Last Renewal Attempt: None Next Renewal Attempt: Nov 22 21:24:32 2019 UTC License Authorization: Status: AUTHORIZED Last Communication Attempt: SUCCEEDED Next Communication Attempt: Jun 25 21:24:37 2019 UTC License Usage: License Entitlement tag Count Status ----------------------------------------------------------------------------- C9500 Network Advantage (C9500 Network Advantage) 1 AUTHORIZED C9500-DNA-40X-A (C9500-40X DNA Advantage) 1 AUTHORIZED
디바이스가 등록하지 못한 경우(그리고 상태가 REGISTERED와 다른 경우), Out-of-Compliance는 Smart Virtual Account에 누락된 라이센스, 잘못된 매핑(예: 라이센스를 사용할 수 없는 다른 가상 어카운트의 토큰이 사용된 경우) 등과 같은 CSSM에 대한 문제를 가리킵니다. 다음 항목을 확인합니다.
1. 컨피그레이션 설정 및 일반 오류 시나리오를 확인합니다.
기본 컨피그레이션 단계는 섹션 2.1을 참조하십시오. 또한 섹션 5에서 확인된 일반적인 실패 시나리오도 살펴봅니다.
2. 기본 연결을 확인합니다.
디바이스가 tools.cisco.com(직접 액세스 시) 또는 Cisco Smart Software Manager 온프레미스 서버에 연결(및 TCP 포트 열기)할 수 있는지 확인합니다.
#show run all | in destination address http destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService ! ! check connectivity ! #telnet tools.cisco.com 443 /source-interface gi0/0 Trying tools.cisco.com (x.x.x.x, 443)... Open [Connection to tools.cisco.com closed by foreign host]
위의 작업이 작동하지 않을 경우 라우팅 규칙, 소스 인터페이스 및 방화벽 설정을 다시 확인하십시오.
HTTP(TCP/80)는 사용되지 않으며 권장되는 프로토콜은 HTTPS(TCP/443)입니다.
섹션을 참조하십시오. DNS 및 HTTP 세부 정보를 구성하는 방법에 대한 자세한 지침은 이 문서의 "고려 사항 및 주의 사항"을 참조하십시오.
3. Smart License 설정 확인
다음에 대한 출력을 수집합니다.
#show tech-support license
수집된 컨피그레이션/로그 검증(추가 조사를 위해 Cisco TAC 케이스를 열 경우 이 출력을 첨부합니다.)
4. 디버그 사용
다음 디버그를 활성화하여 Smart Licensing 프로세스에 대한 추가 정보를 수집합니다(디버그를 활성화한 후에는 포인트 4.1에서 설명한 CLi를 통해 라이센스를 다시 등록해야 함).
#debug call-home smart-licensing [all | trace | error] #debug ip http client [all | api | cache | error | main | msg | socket]
내부 디버깅의 경우 이진 추적을 활성화하고 읽습니다.
! enable debug #set platform software trace ios [switch] active R0 infra-sl debug ! ! read binary traces infra-sl process logs #show platform software trace message ios [switch] active R0
다음은 Cisco 디바이스 등록 중 또는 이후에 발생할 수 있는 몇 가지 일반적인 실패 시나리오입니다.
"show license all" 스냅샷:
등록:
상태: 등록되지 않음 - 등록 실패
내보내기 제어 기능: 허용되지 않음
초기 등록: 2018년 10월 22일 14:25:31 EST 실패
실패 이유: 제품이 이미 등록됨
다음 등록 시도: 2018년 10월 22일 14:45:34 EST
다음 단계:
- Cisco 디바이스를 다시 등록해야 합니다.
- Cisco 디바이스가 CSSM(Cisco Smart Software Manager)에 표시되는 경우 "force" 매개변수를 사용해야 합니다(예: "license smart register idtoken <TOKEN> force")
참고: 실패 사유도 다음과 같이 표시될 수 있습니다.
- 실패 이유: udiSerialNumber:<SerialNumber>,udiPid:<Product> 제품이 이미 등록되어 있습니다.
- 실패 이유: 기존 제품 인스턴스에 소비가 있으며 강제 플래그가 false입니다.
"show license all" 스냅샷:
등록:
상태: 등록 중 - 등록 진행 중
내보내기 제어 기능: 허용되지 않음
초기 등록: 2018년 10월 24일 15:55:26 EST 실패
실패 이유: 지금 요청을 처리할 수 없습니다. 다시 시도하여 주십시오
다음 등록 시도: 2018년 10월 24일 16:12:15 EST
다음 단계:
- 섹션 4에 설명된 대로 디버깅을 활성화하여 문제에 대한 더 많은 정보를 얻을 수 있습니다.
- Smart Licensing의 CSSM에서 새 토큰을 생성하고 다시 시도하십시오.
"show license all" 스냅샷:
등록:
상태: 등록 중 - 등록 진행 중
내보내기 제어 기능: 허용되지 않음
초기 등록: 2018년 11월 117일:55:46 EST
실패 이유: {"timestamp":["디바이스 날짜 '1526135268653'이 허용된 허용 한도 이상으로 오프셋되었습니다."]}
다음 등록 시도: 2018년 11월 11일 18:12:17 EST
가능한 로그 표시:
%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: 인증서 체인 유효성 검사에 실패했습니다. 인증서(SN: XXXXXX)이(가) 아직 유효하지 않습니다. 유효 기간은 2018-12-12:43Z에서 시작
다음 단계:
- Cisco 디바이스 클럭이 올바른 시간을 표시하는지 확인합니다(show clock).
- 가능한 경우 NTP(Network Time Protocol)를 구성하여 클럭이 올바르게 설정되었는지 확인합니다.
- NTP를 사용할 수 없는 경우 "clock calendar-valid"가 구성되어 있는지 확인하여 수동으로 설정된 시계(시계 세트)가 올바르고(시계 표시) 신뢰할 수 있는 시간 소스로 구성되었는지 확인합니다.
참고: 기본적으로 시스템 클럭은 신뢰할 수 없습니다. "clock calendar-valid"가 필요합니다.
"show license all" 스냅샷:
등록: 상태: 등록되지 않음 - 등록 실패
내보내기 제어 기능: 허용되지 않음
초기 등록: 2019년 3월 9일 21:42:02 CST 실패
실패 이유: 통신 전송을 사용할 수 없습니다.
가능한 로그 표시:
%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: 라이센스용 Smart Agent에서 Call-Home을 활성화하지 못했습니다. 기존 활성 사용자 프로필로 인해 Smart Call Home을 사용하도록 설정하지 못했습니다. "CiscoTAC-1" 프로필 이외의 사용자 프로필을 사용하여 Cisco의 SCH 서버로 데이터를 보내는 경우 프로필 모드에서 "reporting smart-licensing-data"를 입력하여 스마트 라이센싱을 위한 프로필을 구성하십시오. SCH에 대한 자세한 내용은 http://www.cisco.com/go/smartcallhome을 참조하십시오.
%SMART_LIC-3-AGENT_REG_FAILED: Cisco Smart Software Manager 또는 위성을 통한 라이센싱용 Smart Agent 등록 실패: 통신 전송을 사용할 수 없습니다.
%SMART_LIC-3-COMM_FAILED: Cisco Smart Software Manager 또는 위성과의 통신 장애: 통신 전송을 사용할 수 없습니다.
다음 단계:
- Cisco 디바이스의 "show running-config" 출력에서 "service call-home"을 사용하여 Call-home이 활성화되었는지 확인합니다.
- 올바른 call-home 프로필이 활성 상태인지 확인합니다.
- "reporting smart-licensing-data"가 활성 call-home 프로필 아래에 구성되었는지 확인합니다.
"show license all" 스냅샷:
라이센스 권한 부여:
상태: 2018년 7월 26일 09:24:09 UTC 규정 위반
마지막 통신 시도: 2018년 8월 02일 UTC 14:26:23 FAILED
실패 이유: Call Home HTTP 메시지를 보내지 못했습니다.
다음 통신 시도: 2018년 8월 02일 UTC 14:26:53
통신 기한: 2018년 10월 25일 09:21:38 UTC
가능한 로그는 다음과 같습니다.
%CALL_HOME-5-SL_MESSAGE_FAILED: Smart Licensing 메시지를 다음으로 보내지 못했습니다. https://<ip>/its/service/oddce/services/DDCEService(ERR 205: 요청이 중단됨)
%SMART_LIC-3-COMM_FAILED: Cisco Smart Software Manager 또는 위성을 통한 통신 실패: Call Home HTTP 메시지를 보내지 못했습니다.
%SMART_LIC-3-AUTH_RENEW_FAILED: Cisco Smart Software Manager 또는 위성을 통한 인증 갱신: udi PID:XXX, SN에 대한 통신 메시지 전송 오류: XXX
다음 단계:
- Cisco 디바이스가 tools.cisco.com에 ping할 수 있는지 확인합니다.
- DNS가 구성되지 않은 경우 tools.cisco.com에 대한 로컬 nslookup IP에 대해 DNS 서버 또는 "ip host" 문을 구성합니다.
- Cisco 디바이스에서 TCP 포트 443의 tools.cisco.com으로 텔넷 시도(HTTPS에서 사용)
- HTTPs 클라이언트 소스 인터페이스가 정의되고 올바른지 확인
- Call Home 프로필의 URL/IP가 Cisco 디바이스에서 "show call-home profile all"을 통해 올바르게 설정되었는지 확인합니다.
- IP 경로가 올바른 다음 홉을 가리키는지 확인합니다.
- TCP 포트 443이 Cisco 디바이스, Smart Call Home Server 경로 또는 Cisco Smart Software Manager on-prem(위성)에서 차단되지 않는지 확인합니다.
- 올바른 VRF(Virtual Routing and Forwarding) 인스턴스가 call-home(해당되는 경우)에서 구성되었는지 확인합니다.
이 동작은 Cisco 버그 ID CSCvr41393에 기술된 대로 암호화 인증서가 만료된 CSSM 온프레미스 서버를 사용하여 작업할 때 나타납니다. 이는 CSSM 온프레미스에서 인증서를 동기화 및 갱신하여 등록 디바이스에서 인증 동기화 문제를 방지해야 하기 때문에 예상되는 동작입니다.
"show license all" 스냅샷:
등록:
상태: 등록되지 않음
Smart Account: 계정 예
내보내기 제어 기능: 허용
라이센스 권한 부여:
상태: 평가 모드
남은 평가 기간: 65일, 18시간, 43분, 0초
가능한 로그 표시:
"show logging" 또는 "show license eventlog"에서 다음 오류가 표시됩니다.
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Missing Id cert serial number field; 서명 인증서 일련 번호 필드가 없습니다. 서명된 데이터와 인증서가 일치하지 않습니다."
다음 단계:
- Cisco 디바이스가 CSSM 온프레미스 서버에 IP 연결을 설정했는지 확인
- HTTPS를 사용하는 경우 인증 C-Name이 디바이스 Call-Home 컨피그레이션에서 사용되고 있는지 확인합니다.
- DNS 서버를 사용하여 인증 C-Name을 확인할 수 없는 경우 도메인 이름과 IP 주소를 매핑하도록 정적 "ip host" 문을 구성합니다.
- CSSM 온프레미스의 인증서 상태가 여전히 유효한지 확인
- CSSM 온프레미스 인증서가 만료된 경우 Cisco 버그 ID CSCvr41393에 설명된 해결 방법 중 하나를 따르십시오.
참고: 기본적으로 HTTPS는 SSL 핸드셰이크 중에 서버 ID 확인을 수행하여 URL 또는 IP가 서버에서 제공한 인증서와 동일한지 확인합니다. 호스트 이름과 IP가 일치하지 않으면 DNS 항목 대신 IP 주소를 사용할 때 문제가 발생할 수 있습니다. DNS가 가능하지 않거나 고정 ip 호스트 문이 있는 경우 "no http secure server-identity-check"를 구성하여 이 인증 검사를 비활성화할 수 있습니다.
"show license all" 스냅샷:
라이센스 권한 부여:
상태: 2018년 7월 26일 09:24:09 UTC 규정 위반
마지막 통신 시도: PENDING on 8월 02일 2018년 8월 14시 34분 51초 UTC
실패 이유: 회신 대기 중
다음 통신 시도: 2018년 8월 02일 UTC 14:53:58
통신 기한: 2018년 10월 25일 09:21:39 UTC
가능한 로그는 다음과 같습니다.
%PKI-3-CRL_FETCH_FAIL: 신뢰 지점 SLA-TrustPoint에 대한 CRL 가져오기 실패 이유: 소켓을 선택하지 못했습니다. 시간 초과: 5(연결 시간 초과)
%PKI-3-CRL_FETCH_FAIL: 신뢰 지점 SLA-TrustPoint에 대한 CRL 가져오기 실패 이유: 소켓을 선택하지 못했습니다. 시간 초과: 5(연결 시간 초과)
다음 단계:
- 이 문제를 해결하려면 실행 중인 컨피그레이션에서 SLA-TrustPoint를 none으로 구성해야 합니다.
show running-config
<생략>
crypto pki trustpoint SLA-TrustPoint
revocation-check 없음
CRL이란?
CRL(Certificate Revocation List)은 폐기된 인증서 목록입니다. CRL은 원래 인증서를 발급한 CA(Certificate Authority)에 의해 생성 및 디지털 서명됩니다. CRL에는 각 인증서가 발급된 날짜 및 만료될 날짜가 포함됩니다. CRL에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
"show license all" 스냅샷:
라이센스 권한 부여:
상태: 2018년 7월 26일 09:24:09 UTC 규정 위반
마지막 통신 시도: PENDING on 8월 02일 2018년 8월 14시 34분 51초 UTC
실패 이유: 회신 대기 중
다음 통신 시도: 2018년 8월 02일 UTC 14:53:58
통신 기한: 2018년 10월 25일 09:21:39 UTC
가능한 로그는 다음과 같습니다.
%SMART_LIC-3-OUT_OF_COMPLIANCE: 하나 이상의 엔타이틀먼트가 규정을 준수하지 않음
다음 단계:
- 적절한 Smart Virtual Account의 토큰이 사용되었는지 확인합니다.
"show license all" 스냅샷:
라이센스 권한 부여:
상태: AUTHORIZED on 3월 12 일 09:17:45 20 EDT
마지막 통신 시도: 3월 12일 실패 09:17:45 2020 EDT
실패 이유: 데이터와 서명이 일치하지 않습니다.
다음 통신 시도: 3월 12일 09:18:15 2020 EDT
통신 기한: 5월 09일 21:22:43 2020 EDT
가능한 로그는 다음과 같습니다.
%SMART_LIC-3-AUTH_RENEW_FAILED: Cisco CSSM(Smart Software Manager)을 통한 인증 갱신: Smart Software Manager에서 오류 수신: 데이터 및 서명이 udi PID:C9000,SN:XXXXXXXXX에 대해 일치하지 않습니다.
다음 단계:
- "License smart deregister"로 스위치 등록 취소
- 그런 다음 "license smart register idtoken <TOKEN> force"라는 새 토큰을 사용하여 스위치를 등록합니다.
1) Cisco Smart Licensing 홈 페이지
3) Smart Account - 관리 포털: Smart Software Licensing
4) Smart Account - 새 어카운트 생성: Smart Account
5) 컨피그레이션 가이드(예) - 시스템 관리 컨피그레이션 가이드, Cisco IOS XE Fuji 16.9.x(Catalyst 9300 스위치)
개정 | 게시 날짜 | 의견 |
---|---|---|
2.0 |
11-May-2022 |
제목을 편집했습니다. 섹션 번호를 제거했습니다. 자리 표시자 텍스트("x.x.x.x")를 사용하도록 일부 IP 주소를 변경했습니다. |
1.0 |
31-May-2019 |
최초 릴리스 |