Catalyst 플랫폼에서 Smart Licensing 문제 해결

소개

이 문서에서는 Cisco Smart Licensing(클라우드 기반 시스템)을 사용하여 Catalyst 스위치에서 소프트웨어 라이선스 관리를 작동하는 방법을 설명합니다.

Cisco Smart Licensing이란

Cisco Smart Licensing은 Cisco 제품 전체의 모든 소프트웨어 라이센스를 관리하는 클라우드 기반 통합 라이센스 관리 시스템으로, Cisco Software 라이센스를 구매, 구축, 관리, 추적 및 갱신할 수 있습니다. 이는 단일 사용자 인터페이스에서 라이선스 보유 및 사용에 관한 정보도 제공합니다.

이 솔루션은 Cisco 소프트웨어 자산을 추적하는 데 사용되는 온라인 Smart Account(Cisco Smart Licensing Portal)와 Smart Account 관리에 사용되는 Cisco Smart Software Manager(CSSM)로 구성됩니다. CSSM은 라이선스 등록, 등록 해제, 이동, 이전 등 라이선스 관리와 관련된 모든 작업을 수행할 수 있는 곳이다. 사용자에게 스마트 어카운트 및 특정 가상 어카운트에 대한 액세스 권한을 부여하고 추가할 수 있습니다.

Cisco 스마트 라이선싱에 대해 자세히 알아 보려면 다음을 방문하십시오.

a) Cisco 스마트 라이선싱 홈 페이지

b) Cisco Community - 온디맨드 교육

스마트 라이선싱 및/또는 스마트 어카운트 관리를 처음 사용하십니까? 새로운 관리자 교육 과정 및 녹화 과정을 방문하여 등록하십시오.
Cisco Community - Cisco Smart Accounts/Smart Licensing 및 Cisco License Central로 스마트하게 이용하십시오.

스마트 어카운트는 다음에서 생성할 수 있습니다. Smart Accounts

스마트 어카운트는 다음에서 관리할 수 있습니다. Smart Software Licensing

스마트 라이선싱 구현 방법

다음과 같은 회사의 보안 프로파일에 따라 활용할 수 있는 Cisco 스마트 라이선싱 구축에는 여러 가지 방법이 있습니다.

직접 클라우드 액세스

Cisco 제품은 안전하게 HTTPS를 사용하여 인터넷을 통해 직접 사용 정보를 전송합니다. 추가 구성 요소는 필요하지 않습니다.

HTTP 프록시를 통한 액세스

Cisco 제품은 HTTPS를 사용하여 HTTP 프록시 서버를 통해 사용량 정보를 안전하게 전송합니다. 기존 프록시 서버를 사용하거나 Cisco Transport Gateway를 통해 구축할 수 있습니다(자세한 내용은 여기를 클릭하십시오).

온프레미스 라이선스 서버(Cisco Smart Software Manager Statellite이라고도 함)

Cisco 제품은 사용 정보를 인터넷을 통해 직접 전송하지 않고 온프레미스 서버로 전송합니다. 한 달에 한 번 서버가 HTTPS를 통해 인터넷을 통해 모든 디바이스에 접속하거나 데이터베이스를 동기화하기 위해 수동으로 전송할 수 있습니다. CSSM 온프레미스(Satellite)는 VM(Virtual Machine)으로 사용할 수 있으며 다운로드할 수 있습니다. 자세한 내용은 Smart Software Manager Satellite 페이지를 방문하십시오.

지원되는 Cisco IOS XE 플랫폼

• Cisco IOS XE 버전 16.9.1 릴리스부터는 Catalyst 3650/3850 및 Catalyst 9000 시리즈 스위치 플랫폼이 유일한 라이선싱 방법으로 Cisco Smart Licensing 방법을 지원합니다.
• Cisco IOS XE 버전 16.10.1 릴리스부터는 ASR1K, ISR1K, ISR4K 및 가상 라우터(CSRv / ISRv)와 같은 라우터 플랫폼이 유일한 라이선싱 방법으로 Cisco Smart Licensing 방법을 지원합니다.

레거시 라이선스에서 스마트 라이선스로 마이그레이션

레거시 라이선스를 RTU(Right-To-Use) 또는 PAK(Product Activation Key)와 같은 두 가지 방법을 사용하여 스마트 라이선스로 변환할 수 있습니다. 수행해야 하는 방법에 대한 자세한 내용은 특정 Cisco 디바이스의 관련 릴리스 노트 및/또는 설정 가이드를 참조하십시오.

DLC(Device-Led Conversion)를 통한 변환

• DLC(Device-Led Conversion)는 Cisco 제품이 어떤 라이센스를 사용하는지 보고할 수 있으며, 라이센스가 CSSM(Cisco Smart Software Manager)의 해당 Smart Account에 자동으로 저장되는 일회성 방법입니다. DLC 절차는 특정 Cisco 디바이스의 CLI(Command Line Interface)에서 직접 수행됩니다.

• DLC 프로세스는 Catalyst 3650/3850 및 선택한 라우터 플랫폼에서만 지원됩니다. 특정 라우터 모델은 개별 플랫폼 설정 가이드 및 릴리스 노트를 참조하십시오. 예: Fuji 16.9.x 릴리스를 실행 중인 Catalyst 3850의 DLC 절차

CSSM(Cisco Smart Software Manager) 또는 LRP(License Registration Portal)를 통한 변환

CSSM(Cisco Smart Software Manager) 방법:

1. Cisco Software에서 CSSM(Cisco Smart Software Manager)에 로그인합니다.

2. 다음으로 이동 Smart Software Licensing(스마트 소프트웨어 라이센싱) > Convert to Smart Licensing(스마트 라이센싱으로 변환)을 선택합니다.

3. Convert PAK 또는 Convert Licenses를 선택합니다.

4. PAK 라이선스를 변환하려면 다음 표에서 라이선스를 찾습니다. 비 PAK 라이센스를 변환하고 단계별 지침에 License Conversion Wizard를 사용합니다.

어카운트와 관련된 알려진 PAK 파일의 위치:

  

라이센스 변환 마법사 링크 위치:

5. 원하는 라이선스 및 제품 조합 찾기.

6. 조치를 클릭합니다 Smart Licensing으로 변환.

7. 원하는 가상 어카운트, 라이선스를 선택하고 Next를 클릭합니다.

8. 선택 사항을 검토한 다음 라이선스 변환 클릭.

LRP(License Registration Portal) 방법:

1. LRP(License Registration Portal) SWIFT Licensing Home에 로그인합니다

2. 디바이스로 이동 > 디바이스 추가.

3. 적절한 제품군 및 고유한 디바이스 식별자(UDI) 제품 ID와 일련번호를 입력한 다음 OK를 클릭합니다. UDI 정보는 Cisco 디바이스의 CLI(Command Line Interface)에서 가져온 show version 또는 show inventory에서 가져올 수 있습니다.

4. 추가된 디바이스를 선택하고 라이선스를 스마트 라이선싱으로 변환.

5. 적절한 가상 어카운트에 할당한 후 변환할 라이선스를 선택하고 Submit을 클릭합니다.

팁: PAKs 또는 Tokens(토큰) 탭에서 라이센스/제품군을 조회하여 LRP 툴을 사용할 수도 있습니다. PAK/Token 옆에 있는 원 드롭다운을 클릭하고 Convert to Smart Licensing을 선택합니다.

변환 및 Cisco GLO(Global Licensing Operations) 부서에 문의

Global Licensing Operations 부서는 전 세계 컨택 센터의 이곳으로 문의할 수 있습니다.

16.9에서 16.12.3으로 Catalyst 9500 고성능 동작 변화

다른 Catalyst 9000 모델과 마찬가지로 Catalyst 9500 고성능 모델은 Cisco IOS XE 버전 16.9 이상의 Smart Licensing에서 활성화되었습니다. 그러나 Catalyst 9500 고성능 모델의 경우 각 모델에는 고유한 라이선스 엔타이틀먼트 태그가 있습니다. 나중에 제품 및 마케팅 팀에서 C9500 플랫폼 엔타이틀먼트 태그를 통합하기로 결정했습니다. 이 결정으로 C9500 고성능 모델의 동작이 특정 엔타이틀먼트 태그 사용에서 일반 C9500 라이선스로 변경되었습니다.

이러한 동작 변경 사항은 다음 결함에 문서화되어 있습니다.

a) Cisco 버그 ID CSCvp30661

b) Cisco 버그 ID CSCvt01955

아래는 위에서 언급한 C9500 고성능 모델의 라이선스 변경 전/후입니다.

Cisco IOS XE 버전 16.11.x 이하

각 C9600 고성능 모델에는 자체 엔타이틀먼트 태그가 있습니다.

모델	라이선스
C9500-32C	C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 32QC NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

참고: Cisco IOS XE 버전 16.12.1 및 16.12.2에는 Cisco 버그 ID CSCvp30661 및 Cisco 버그 ID CSCvt01955에 결함이 있습니다. 이러한 결함은 16.12.3a 이상에서 해결됩니다.

Cisco IOS XE 버전 16.12.3 이상

Catalyst 9500 고성능 플랫폼은 이제 일반 네트워크 라이선스 태그와 별도의 DNA 라이선스 태그를 사용합니다. 이 표에는 Cisco IOS XE 버전 16.12.3 이상에서 강조 표시된 엔타이틀먼트 변경 사항이 나와 있습니다.

모델	라이선스
C9500-32C	C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

참고: Cisco IOS XE 버전 16.12.1 및 16.12.2에서 업그레이드하면 이 라이센스 동작이 표시됩니다. Cisco IOS XE 버전 16.9.x, 16.10.x, 16.11.x에서 16.12.3으로 업그레이드하면 이전 라이선스 설정이 인식됩니다.

C9500 고성능 변경 FAQ

1.  내 디바이스에서 디바이스별 네트워크 라이선스를 사용하는 경우 Cisco에서 일반 네트워크 라이선스 할당을 지원하는 이유는 무엇입니까?

일반 태그는 네트워크 디바이스에 적합한 엔타이틀먼트 태그이므로 제공됩니다. 따라서 특정 C9500 고성능 모델이 아니라 전체 Cat9500 플랫폼에서 엔타이틀먼트 태그를 사용할 수 있습니다. 디바이스별 라이선스 태그를 요청하는 16.12.3 이전 이미지는 라이선싱 계층 구조의 일반 라이선스에 해당하므로 일반 라이선스 태그를 준수합니다.

2 .  스마트 어카운트에 두 개의 네트워크 태그가 표시되는 이유는 무엇입니까?

이 동작은 라이선싱 계층 구조로 인해 발생하며 디바이스별 라이선싱 태그를 사용하는 이전 이미지에서 디바이스를 실행할 때 발생합니다. 디바이스별 라이선스 태그를 요청하는 이전 이미지는 라이선스 계층 구조의 일반 라이선스에 포함되므로 더 구체적인 태그가 일반 라이선스 태그를 준수합니다.

설정

기본 설정

스마트 라이선싱을 구성하는 정확한 절차는 각 릴리스/플랫폼에 사용 가능한 시스템 관리 설정 가이드에서 확인할 수 있습니다.

예: 시스템 관리 설정가이드, Cisco IOS XE Fuji 16.9.x(Catalyst 9300 Switches)

등록 토큰/디바이스 ID 토큰

디바이스를 등록하기 전에 토큰을 생성해야 합니다. 디바이스 ID 토큰이라고도 하는 등록 토큰은 Cisco 디바이스를 해당 스마트 어카운트에 처음 등록할 때 스마트 라이선싱 포털 또는 Cisco Smart Software Manager 온프레미스에서 생성되는 고유한 토큰입니다. 개별 토큰을 사용하여 생성 중에 사용된 매개변수에 따라 여러 Cisco 디바이스를 등록할 수 있습니다.

등록 토큰은 Cisco 디바이스를 Cisco 백엔드로 call-home하고 올바른 스마트 어카운트에 연결하기 위해 디바이스에 정보를 제공하므로 Cisco 디바이스를 처음 등록하는 동안에만 필요합니다. Cisco 디바이스가 등록된 후에는 토큰이 더 이상 필요하지 않습니다.

등록 토큰 및 생성 방법에 대한 자세한 내용은 Cisco 일반 가이드를 참조하십시오. 자세한 내용은 특정 Cisco 디바이스의 설정 가이드를 참조하십시오.

등록 및 라이선스 상태

스마트 라이선싱을 구축 및 구성하는 동안에는 Cisco 디바이스는 여러 가지 상태에 있을 수 있습니다. Cisco 디바이스의 CLI(Command Line Interface)에서 show license all 또는 show license status를 확인하여 이러한 상태를 표시할 수 있습니다.

다음은 모든 상태 및 설명의 목록입니다.

평가(미확인) 상태

• 평가는 디바이스가 처음 부팅될 때의 기본 상태입니다.
• 일반적으로 이 상태는 Cisco 디바이스가 아직 스마트 라이선싱용으로 구성되지 않았거나 스마트 어카운트에 등록되지 않은 경우 표시됩니다.
• 이 상태에서는 모든 기능을 사용할 수 있으며 디바이스에서 라이선스 레벨을 자유롭게 변경할 수 있습니다.
• 평가 기간은 디바이스가 미확인 상태일 때 사용됩니다. 디바이스는 이 상태에서 Cisco와의 통신을 시도하지 않습니다.
• 이 평가 기간은 90일이 아니라 90일 사용입니다. 평가 기간이 만료되면 재설정되지 않습니다.
• 전체 디바이스에 대해 하나의 평가 기간이 있습니다. 엔타이틀먼트 당 하나의 평가 기간이 아닙니다.
• 평가 기간이 90일 후에 만료되면 디바이스는 EVAL EXPIRY 모드로 전환됩니다. 그러나 다시 로드한 후에도 기능에 영향을 주거나 기능이 중단되지 않습니다. 현재 시행 중인 사항이 없습니다.
• 카운트다운 시간은 재부팅 시 유지됩니다.
• 디바이스가 Cisco에 아직 등록되지 않았고 Cisco 백엔드에서 다음 두 메시지를 수신하지 않은 경우 평가 기간이 사용됩니다.
  1. 등록 요청에 대한 성공적인 응답.
  2. 엔타이틀먼트 권한 부여 요청에 성공적으로 응답했습니다.

등록된 상태

• Registered는 등록이 성공적으로 완료된 후의 정상적인 상태입니다.
• 이 상태는 Cisco 디바이스가 Cisco 스마트 어카운트와 성공적으로 통신하고 등록할 수 있음을 나타냅니다.
• 디바이스는 향후 통신에 사용되는 1년 동안 유효한 ID 인증서를 받습니다.
• 디바이스가 CSSM에 요청을 전송하여 디바이스에서 사용 중인 라이선스에 대한 엔타이틀먼트 권한을 부여합니다.
• CSSM 응답에 따라 디바이스는 Authorized(인증됨) 또는 Out of Compliance(규정 준수 위반) 상태가 됩니다.
• ID 인증서는 1년이 지나면 만료됩니다. 6개월 후 소프트웨어 에이전트 프로세스는 인증서 갱신을 시도합니다. 에이전트가 CSSM과 통신할 수 없는 경우 만료일(1년)까지 ID 인증서를 계속해서 갱신합니다. 1년이 지나면 에이전트는 Un-Identified(확인되지 않음) 상태로 돌아가며 평가 기간을 활성화하려고 시도합니다. CSSM은 데이터베이스에서 제품 인스턴스를 제거합니다.

권한 부여된 상태

• Authorized는 디바이스가 엔타이틀먼트를 사용 중이며 규정 준수 상태(부정적인 균형)인 경우의 예상 상태입니다.
  
• 이 상태는 CSSM의 가상 어카운트에 이 디바이스에 대한 라이선스 사용을 인증할 수 있는 올바른 유형 및 라이선스 수가 있음을 나타냅니다.
• 30일이 지나면 디바이스는 CSSM에 새 요청을 전송하여 권한 부여를 갱신합니다.
• 이 상태의 기간은 90일입니다. 90일 후(성공적으로 갱신되지 않은 경우) 디바이스는 권한 부여 만료 상태로 전환됩니다.

규정 준수 위반

• Out of Compliance는 디바이스가 엔타이틀먼트를 사용 중이며 규정 준수 상태가 아닌(부정적인 균형) 경우의 상태입니다.
  
• 이 상태는 Cisco 디바이스가 Cisco 스마트 어카운트에 등록된 해당 가상 어카운트에서 디바이스에 사용 가능한 라이선스가 없는 경우 표시됩니다.  
• Compliance/Authorized 상태가 되려면 사용자가 스마트 어카운트에 올바른 수와 유형의 라이선스를 추가해야 합니다.
• 디바이스가 Out of Compliance 상태에 있으면 매일 자동으로 권한 부여 갱신 요청을 전송합니다.
• 라이선스와 기능은 계속 작동하며 기능에 영향을 주지 않습니다.

권한 부여 만료 상태

• Authorization Expired는 디바이스가 엔타이틀먼트를 사용 중일 때 90일 넘게 연결된 Cisco 스마트 어카운트와 통신할 수 없는 상태입니다.
• 이 상태는 일반적으로 Cisco 디바이스가 인터넷에 액세스할 수 없거나 초기 등록 후 tool.cisco.com에 연결할 수 없는 경우 나타납니다.
• 스마트 라이선싱의 온라인 방법을 사용하려면 Cisco 디바이스에서 이 상태를 방지하기 위해 최소 90일마다 통신해야 합니다.
• CSSM은 디바이스와 90일 동안 통신하지 않았으므로 이 디바이스에 대해 사용 중인 모든 라이선스를 풀로 다시 반환합니다.
• 이 상태에 있는 동안 디바이스는 등록 기간(ID 인증서)이 만료될 때까지 계속해서 Cisco에 연락하여 자격 부여 갱신을 시도합니다.
• 소프트웨어 에이전트가 Cisco와의 통신을 다시 설정하고 권한 부여 요청을 받으면 해당 응답을 정상적으로 처리하고 설정된 상태 중 하나로 전환합니다.

고려 사항 및 주의 사항

스위치의 경우 16.9.1, 라우터의 경우 16.10.1부터 CiscoTAC-1이라는 기본 Call-Home 프로필이 생성되어 Smart Licensing으로의 마이그레이션을 지원합니다. 기본적으로 이 프로필은 Direct Cloud Access 방법에 대해 설정됩니다.               

#show call-home profile CiscoTAC-1 

Profile Name: CiscoTAC-1 

Profile status: ACTIVE 

Profile mode: Full Reporting 

Reporting Data: Smart Call Home, Smart Licensing 

Preferred Message Format: xml 

Message Size Limit: 3145728 Bytes 

Transport Method: http 

HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

Other address(es): default 

<snip>

Cisco Smart Software Manager 온프레미스 서버를 사용하는 경우 활성 Call-Home 설정의 대상 주소가 해당 주소를 가리켜야 합니다.(대/소문자 구분).

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler

Tools.cisco.com을 확인하려면 DNS가 필요합니다. DNS 서버 연결이 VRF에 있는 경우 적절한 소스 인터페이스와 VRF가 다음에 정의되어 있는지 확인합니다.

Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>

VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]     <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>

또는 DNS를 사용할 수 없는 경우 로컬 DNS-IP 매핑을 정적으로 구성하거나(엔드 디바이스의 로컬 DNS 확인 기반) call-home 설정의 DNS 이름을 IP 주소로 바꿉니다. 직접 클라우드 액세스에 대한 예를 참조하십시오(Cisco Smart Software Manager 온프레미스는 tools.cisco.com 대신 자체 DNS 이름 사용).  

(config)#ip host tools.cisco.com <x.x.x.x>

특정 VRF(예: Mgmt-vrf)의 인터페이스에서 tools.cisco.com으로의 통신을 시작해야 하는 경우 다음 CLI를 구성해야 합니다. 

(config)#ip http client source-interface <VRF_INTERFACE>

Cisco 디바이스 설정에 따라 StackWise 또는 StackWise Virtual에서 실행 중인 Catalyst 스위치와 같은 다른 라이선스가 사용될 수 있습니다.

기존 Stack-wise 지원 스위치(예: Catalyst 9300 시리즈):

네트워크 라이선스: 스택의 스위치당 1개의 라이선스가 사용됨

DNA 라이선스: 스택의 스위치당 1개의 라이선스가 사용됨

모듈형 섀시(예: Catalyst 9400 시리즈):

네트워크 라이선스: 섀시의 슈퍼바이저 당 1개의 라이선스가 사용됨

DNA 라이선스: 섀시당 1개의 라이선스가 사용됨

고정 Stack-wise 가상 지원 스위치(예: Catalyst 9500 시리즈):

네트워크 라이선스: 스택의 스위치당 1개의 라이선스가 사용됨

DNA 라이선스: 스택의 스위치당 1개의 라이선스가 사용됨

• Smart Licensing에 대해 하나의 call-home 프로파일만 활성화할 수 있습니다.
• 라이선스는 해당 기능이 구성된 경우에만 사용됩니다.
• 스마트 라이선스용으로 구성된 Cisco 디바이스는 해당 Cisco 스마트 어카운트와 제대로 동기화되도록 올바른 시스템 시간 및 날짜로 구성해야 합니다. Cisco 디바이스의 시간 오프셋이 너무 멀면 디바이스를 등록하지 못할 수 있습니다. 시계는 NTP(Network Time Protocol) 또는 PTP(Precision Time Protocol)와 같은 타이밍 프로토콜을 통해 수동으로 설정하거나 구성해야 합니다. 이러한 변경 사항을 구현하는 데 필요한 정확한 단계는 특정 Cisco 디바이스의 설정 가이드를 참조하십시오.
• Cisco 디바이스 등록 중에 생성된 PKI(Public Key Infrastructure) 키는 등록 후 자동으로 저장되지 않는 경우 저장해야 합니다. 디바이스가 PKI 키를 저장하지 못하면 copy running-config startup-config 또는 write memory 명령을 통해 설정을 저장하라는 프롬프트가 표시되는 시스템 로그가 생성됩니다.
• Cisco 디바이스의 PKI 키가 제대로 저장되지 않으면 장애 조치 또는 재로드 시 라이선스 상태가 손실될 수 있습니다.    
• 스마트 라이선싱은 HTTPS 프록시 방법에 대해 서드파티 프록시를 사용할 때 HTTPS 프록시 SSL 인증서 인터셉트를 지원하지 않습니다. 이 기능을 지원하려면 프록시에서 SSL 인터셉를 비활성화하거나 프록시에서 전송한 인증서를 수동으로 가져올 수 있습니다.

How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

전송 게이트웨이 HTTP 프록시를 사용하는 경우 다음 예와 같이 IP 주소를 tools.cisco.com에서 프록시로 변경해야 합니다.

       대상 주소 http https://tools.cisco.com/its/service/oddce/services/DDCEService
수신
       대상 주소 http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler 

전송 게이트웨이 IP 주소는 HTTP 설정으로 이동하여 Cisco Transport Gateway GUI의 HTTP Service URL(HTTP 서비스 URL) 아래에서 확인할 수 있습니다.

자세한 내용은 Cisco Transport Gateway의 컨피그레이션 가이드를 참조하십시오.

문제 해결

Cisco 디바이스를 스마트 라이선싱이 활성화된 소프트웨어 버전으로 마이그레이션할 때 이 순서도를 세 가지 방법(Direct Cloud Access, HTTPS Proxy, Cisco Smart Software Manager 온프레미스) 모두에 대한 일반 가이드로 사용할 수 있습니다.

                  디바이스가 업그레이드되거나 Smart Licensing을 지원하는 소프트웨어 릴리스와 함께 제공됨(지원되는 Cisco IOS XE 릴리스 목록은 섹션 1.3 참조)  

문제 해결을 위한 이 단계에서는 주로 디바이스 등록 실패 시나리오에 중점을 둡니다. 

디바이스 등록 실패  

초기 설정 후 스마트 라이선싱을 활성화하려면 CSSM/Cisco Smart Software Manager 온프레미스에서 생성되는 토큰을 CLI를 통해 디바이스에 등록해야 합니다.

license smart register idtoken <TOKEN>

이 작업은 다음 이벤트를 생성합니다.

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result 

!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) 

%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine 

%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration 

!
! Call-home start registration process
! 

%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. 

!
! Smart Licensing process connects with CSSM and check entitlement.
! 

%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed 

%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> 

%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved 

%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized 

%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>

call-home 설정을 확인하려면 다음 CLI를 실행합니다.

#show call-home profile all 

  

Profile Name: CiscoTAC-1 

    Profile status: ACTIVE 

    Profile mode: Full Reporting 

    Reporting Data: Smart Call Home, Smart Licensing 

    Preferred Message Format: xml 

    Message Size Limit: 3145728 Bytes 

    Transport Method: http 

    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

    Other address(es): default 

  

    Periodic configuration info message is scheduled every 1 day of the month at 09:15 

  

    Periodic inventory info message is scheduled every 1 day of the month at 09:00 

  

    Alert-group               Severity 

    ------------------------  ------------ 

    crash                     debug 

    diagnostic                minor 

    environment               warning 

    inventory                 normal 

  

    Syslog-Pattern            Severity 

    ------------------------  ------------ 

    APF-.-WLC_.*              warning 

    .*                        major

스마트 라이선싱 상태를 확인하려면 다음 CLI를 실행합니다.

#show license summary 

Smart Licensing is ENABLED 

  

Registration: 

  Status: REGISTERED 

  Smart Account: TAC Cisco Systems, Inc. 

  Virtual Account: Krakow LAN-SW 

  Export-Controlled Functionality: ALLOWED 

  Last Renewal Attempt: None 

  Next Renewal Attempt: Nov 22 21:24:32 2019 UTC 

  

License Authorization: 

  Status: AUTHORIZED 

  Last Communication Attempt: SUCCEEDED 

 Next Communication Attempt: Jun 25 21:24:37 2019 UTC 

  

License Usage: 

  License                 Entitlement tag               Count Status 

  ----------------------------------------------------------------------------- 

  C9500 Network Advantage (C9500 Network Advantage)         1 AUTHORIZED 

  C9500-DNA-40X-A         (C9500-40X DNA Advantage)         1 AUTHORIZED

디바이스 등록에 실패한 경우(및 상태가 REGISTERED(등록됨)와 다른 경우) 컴플라이언스 미준수는 스마트 가상 어카운트의 라이선스 누락, 잘못된 매핑(예: 다른 가상 어카운트의 토큰이 라이선스를 사용할 수 없는 경우) 등의 문제를 암시합니다.  

다음 항목을 확인합니다:  

1. 구성 설정 및 일반적인 오류 시나리오를 확인합니다.

기본 설정 단계는 섹션 2.1을 참조하십시오. 필드에서 관찰되는 일반적인 장애 시나리오에 대해서는 섹션 5도 참조하십시오.

2. 기본 연결을 확인합니다.

디바이스가 tools.cisco.com(직접 액세스의 경우) 또는 Cisco Smart Software Manager 온프레미스 서버에 연결하고 TCP 포트를 열 수 있는지 확인하십시오. 

#show run all | in destination address http 

  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 

! 

! check connectivity 

! 

#telnet tools.cisco.com 443 /source-interface gi0/0 

Trying tools.cisco.com (x.x.x.x, 443)... Open 

[Connection to tools.cisco.com closed by foreign host]

이러한 명령으로 문제가 해결되지 않으면 라우팅 규칙, 소스 인터페이스 및 방화벽 설정을 다시 확인하십시오.

다음 섹션을 참조하십시오. 3. DNS 및 HTTP 세부 정보를 구성하는 방법에 대한 추가 지침에 대해서는 이 문서의 고려 사항 및 주의 사항. 

3. Smart License 설정을 확인합니다.

다음의 출력을 수집합니다.

#show tech-support license

및 수집된 설정/로그를 검증합니다(추가 조사를 위해 Cisco TAC 케이스를 열 경우 이 출력 첨부).  

4. 디버그를 활성화합니다.

스마트 라이선싱 프로세스에 대한 추가 정보를 수집하려면 이 디버그를 활성화합니다.

#debug call-home smart-licensing [all | trace | error] 

#debug ip http client [all | api | cache | error | main | msg | socket]

내부 디버그의 경우 이진 추적을 활성화하고 읽습니다.

! enable debug 

#set platform software trace ios [switch] active R0 infra-sl debug 

! 

! read binary traces infra-sl process logs 

#show platform software trace message ios [switch] active R0

일반적인 실패 시나리오

이 섹션에서는 Cisco 디바이스 등록 중 또는 이후에 발생할 수 있는 몇 가지 일반적인 실패 시나리오를 설명합니다.

시나리오 1:  스위치 등록 "실패 이유: 제품이 이미 등록됨"

show license all의 SNIP:

등록:

  상태: 등록되지 않음 - 등록 실패

    내보내기 제어 기능: NotAllowed

  초기 등록: 2018/10/22/14:25:31 EST에 실패

   실패 이유: 제품이 이미 등록됨

  다음 등록 시도: 2018/10/22/14:45:34 EST

다음 단계:

- Cisco 디바이스를 다시 등록해야 합니다.

- Cisco 디바이스가 CSSM에 표시되는 경우 force 매개변수를 사용해야 합니다.(즉, license smart register idtoken <TOKEN> force)

참고: 실패 사유는 다음과 같이 표시될 수도 있습니다.
      - 실패 이유: <X>udiSerialNumber:<SerialNumber>,udiPid:<Product>를 포함하는 제품 및 sudi가 이미 등록되었습니다.
      - 실패 이유: 기존 제품 인스턴스에 소비가 있으며 Force 플래그가 False임

시나리오 2: 스위치 등록: "실패 이유: 지금 요청을 처리할 수 없습니다. 다시 시도하십시오."

show license all의 SNIP:

등록:

  상태: 등록 - 등록이 진행 중입니다.

    내보내기 제어 기능: NotAllowed

  초기 등록: 2018/10/24/15:55:26 EST에 실패

    실패 이유: 요청을 지금 처리할 수 없습니다. 다시 시도하여 주십시오.

  다음 등록 시도: 2018/10/24/16:12:15 EST

다음 단계:

- 문제에 대한 추가 정보를 얻으려면 섹션 4에서 설명한 대로 디버그를 활성화합니다.

- 스마트 라이선싱에서 CSSM으로 새 토큰을 생성하고 다시 시도하십시오.  

시나리오 3: 실패 이유: "장치 날짜 1526135268653이 허용 한도 초과로 오프셋되었습니다."

show license all의 SNIP:

등록:

  상태: 등록 - 등록이 진행 중입니다.

    내보내기 제어 기능: NotAllowed

  초기 등록: 2018/11/11/17:55:46 EST에 실패

        실패 이유: {"timestamp":["The device date '1526135268653' is offset beyond the allowed tolerance limit."]}

  다음 등록 시도: 2018/11/11/18:12:17 EST

가능한 로그 확인:

%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: 인증서 체인 검증에 실패했습니다.   인증서(SN : XXXXXX)은(는) 아직 유효하지 않습니다. 유효 기간은 2018-12-12:43Z에 시작됩니다.

다음 단계:

- Cisco 디바이스 시계가 올바른 시간을 표시하는지 확인합니다(시계 표시).

- 가능하면 시계가 올바르게 설정되도록 NTP(Network Time Protocol)를 구성합니다.

- NTP가 가능하지 않은 경우, 수동으로 설정한 시계(clock set)가 올바른지(show clock), clock calendar-valid가 설정되어 있는지 확인하여 신뢰할 수 있는 시간 소스로 설정되었는지 확인합니다.

참고: 기본적으로 시스템 시계는 신뢰할 수 없습니다. Clock calendar-valid가 필요합니다.

시나리오 4: 스위치 등록: "실패 이유: 통신 전송을 사용할 수 없습니다."

show license all의 SNIP:

등록: 상태: 등록되지 않음 - 등록 실패

  내보내기 제어 기능: 허용되지 않음

초기 등록: 2019/03/09/21:42:02 CST에 실패

   실패 이유: 통신 전송을 사용할 수 없습니다.

가능한 로그 확인:

%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: Smart Agent가 라이선싱을 위해 call-home을 활성화하지 못함 : 명령이 기존 활성 사용자 프로파일로 인해 스마트 call-home을 활성화하는 데 실패했습니다. Cisco의 SCH 서버로 데이터를 전송하기 위해 CiscoTAC-1 프로파일 이외의 사용자 프로파일을 사용하는 경우, 프로파일 모드에서 reporting smart-licensing-data를 입력하여 스마트 라이선싱을 위한 프로파일을 설정하십시오. SCH에 대한 자세한 내용은 Cisco.com을 참조하십시오.
%SMART_LIC-3-AGENT_REG_FAILED: Cisco Smart Software Manager 또는 Satellite에 대한 Smart Agent for Licensing 등록 실패: 통신 전송을 사용할 수 없습니다.
%SMART_LIC-3-COMM_FAILED: Cisco Smart Software Manager 또는 Satellite와의 통신 장애 : 통신 전송을 사용할 수 없습니다.

다음 단계:

- Cisco 디바이스의 show running-config 출력에서 call-home이 service call-home으로 활성화되어 있는지 확인합니다.

- 올바른 call-home 프로파일이 활성 상태인지 확인합니다.

- 활성 call-home 프로파일 아래에 reporting smart-licensing-data가 설정되어 있는지 확인합니다.

시나리오 5: 스위치 라이센스 권한 부여: "실패 이유: Call Home HTTP 메시지를 전송하지 못했습니다."

show license all의 SNIP:

라이선스 인증:

  상태: 2018/07/26/09:24:09 UTC에 규정 준수 위반

  마지막 통신 시도: 2018/08/02/14:26:23 UTC에 실패

    실패 이유: Call Home HTTP 메시지를 보내지 못했습니다.

  다음 통신 시도: 2018/08/02/14:26:53 UTC

  통신 마감일: 2018/10/25/09:21:38 UTC

가능한 로그가 표시됩니다.

%CALL_HOME-5-SL_MESSAGE_FAILED: 스마트 라이선싱 메시지 전송 실패: https://<ip>/its/service/oddce/services/DDCEService(ERR 205 : 요청이 중단됨)

% SMART_LIC-3-COMM_FAILED: Cisco Smart Software Manager 또는 Satellite와의 통신 실패: Call Home HTTP 메시지를 보내지 못했습니다.

%SMART_LIC-3-AUTH_RENEW_FAILED: Cisco Smart Software Manager 또는 Satellite를 통한 권한 부여 갱신: udi PID: XXX, SN에 대한 통신 메시지 전송 오류: XXX

다음 단계:

- Cisco 디바이스에서 tool.cisco.com을 ping할 수 있는지 확인합니다.

- DNS가 설정되지 않은 경우 tool.cisco.com에 대해 로컬 nslookup IP에 대한 DNS 서버 또는 ip host 명령문을 구성합니다.

- Cisco 디바이스에서 TCP 포트 443(HTTPS에서 사용하는 포트)를 통해 tool.cisco.com으로 Telnet을 시도합니다.

- HTTP 클라이언트 소스 인터페이스가 정의되어 있고 올바른지 확인합니다.

- show call-home profile all을 통해 Cisco 디바이스에서 call Home 프로파일의 URL/IP가 올바르게 설정되었는지 확인합니다.

- IP 경로가 올바른 다음 홉을 가리키고 있는지 확인합니다.

- TCP 포트 443이 Cisco 디바이스, Smart Call Home 서버에 대한 경로 또는 Cisco Smart Software Manager 온프레미스(Satellite)에서 차단되지 않았는지 확인합니다.

- 해당하는 경우 올바른 VRF(Virtual Routing and Forwarding) 인스턴스가 call-home 아래에 구성되어 있는지 확인합니다.

시나리오 #6: 실패 이유: "Id 인증서 일련 번호 누락 필드; 누락된 서명 인증서 일련번호 필드; 서명된 데이터 및 인증서가 일치하지 않음" 로그

이 동작은 Cisco 버그 ID CSCvr41393에 설명된 대로 암호화 인증서가 만료된 CSSM 온-프레미스 서버에서 작업할 때 나타납니다. 이는 모든 등록 디바이스에서 인증 동기화 문제를 방지하려면 CSSM 온-프레미스에서 인증서를 동기화하고 갱신할 수 있어야 하므로 예상되는 동작입니다.

show license all의 SNIP:

등록:
  상태: 등록되지 않음
    스마트 어카운트 어카운트 예
    내보내기 제어 기능: 허용됨

라이선스 인증:
 상태: 평가 모드
  남은 평가 기간: 65일, 18시간, 43분, 0초

가능한 로그 확인:

이 오류는 show logging 또는 show license eventlog에서 표시됩니다.
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="ID 인증서 일련 번호 필드 누락; 누락된 서명 인증서 일련번호 필드; 서명된 데이터와 인증서가 일치하지 않습니다."

다음 단계:

- Cisco 디바이스에서 CSSM 온프레미스 서버에 대한 IP 연결이 있는지 확인합니다.
- HTTPS를 사용하는 경우 디바이스의 call-home 설정에서 인증 C-Name이 사용되고 있는지 확인합니다.
- DNS 서버를 사용하여 인증 C-Name을 확인할 수 없는 경우 도메인 이름과 IP 주소를 매핑하도록 고정 IP 호스트 명령문을 구성합니다.

- 온프레미스의 CSSM에서 인증서 상태를 확인할 수 있습니다.
- CSSM 온프레미스 인증서가 만료된 경우 Cisco 버그 ID CSCvr에 문서화된 해결 방법 중 하나를 사용합니다41393

참고: 기본적으로 HTTPS는 SSL 핸드셰이크 중에 서버 ID 검사를 수행하여 URL 또는 IP가 서버에서 제공한 인증서와 동일한지 확인합니다. 이로 인해 호스트 이름과 IP가 일치하지 않으면 DNS 항목 대신 IP 주소를 사용할 때 문제가 발생할 수 있습니다. DNS를 사용할 수 없거나 고정 IP 호스트 명령문이 없는 경우 이 인증 확인을 비활성화하도록 no http secure server-identity-check를 설정할 수 있습니다.

시나리오 #7: 스위치 라이센스 권한 부여: "실패 이유: 회신을 기다리는 중입니다." 

show license all의 SNIP:

라이선스 인증:
 상태: 2018/07/26/09:24:09 UTC에 규정 준수 위반
 마지막 통신 시도: 2018/08/02/14:34:51 UTC에 보류 중
  실패 이유: 응답을 기다리는 중
 다음 통신 시도: 2018/08/02/14:53:58 UTC
 통신 마감일: 2018/10/25/09:21:39 UTC

가능한 로그가 표시됩니다.

%PKI-3-CRL_FETCH_FAIL: 트러스트포인트 SLA-TrustPoint에 대한 CRL 가져오기 실패 이유: 소켓을 선택하지 못했습니다. 시간 초과: 5(연결 시간 초과)
%PKI-3-CRL_FETCH_FAIL: 트러스트포인트 SLA-TrustPoint에 대한 CRL 가져오기 실패 이유: 소켓을 선택하지 못했습니다. 시간 초과: 5(연결 시간 초과)

다음 단계:

- 이 문제를 해결하려면 실행 중인 설정에서 SLA-TrustPoint를 none으로 구성해야 합니다.

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revocation-check 없음

CRL이란?

CRL(Certificate Revocation List)은 폐기된 인증서의 목록입니다. CRL은 처음에 인증서를 발급한 CA(인증 기관)에 의해 생성되고 디지털로 서명됩니다. CRL에는 각 인증서가 발급된 날짜 및 만료 날짜가 포함됩니다. CRL 관련 추가 정보는 여기에서 확인할 수 있습니다.

시나리오 #8: "규정 준수 위반" 상태의 라이선스

show license all의 SNIP:

라이선스 인증:
 상태: 2018/07/26/09:24:09 UTC에 규정 준수 위반
 마지막 통신 시도: 2018/08/02/14:34:51 UTC에 보류 중
  실패 이유: 응답을 기다리는 중
 다음 통신 시도: 2018/08/02/14:53:58 UTC
 통신 마감일: 2018/10/25/09:21:39 UTC

가능한 로그가 표시됩니다.

%SMART_LIC-3-OUT_OF_COMPLIANCE: 하나 이상의 자격이 규정을 준수하지 않습니다.

다음 단계:

- 적절한 스마트 가상 어카운트의 토큰이 사용되었는지 확인합니다.

- 사용 가능한 라이선스의 양을 여기에서 확인합니다.

시나리오 #9: 스위치 라이센스 권한 부여: "실패 이유: 데이터와 서명이 일치하지 않습니다."

show license all의 SNIP:

라이선스 인증:

 상태: 2020/03/12/09:17:45 EDT에 인증됨

 마지막 통신 시도: 2020/03/12/09:17:45 EDT에 실패함

  실패 이유: 데이터 및 서명이 일치하지 않습니다.

 다음 통신 시도: 2020/03/12/09:18:15 EDT

 통신 마감일: 2020/05/09/21:22:43 EDT

가능한 로그가 표시됩니다.

%SMART_LIC-3-AUTH_RENEW_FAILED: CSSM(Cisco Smart Software Manager)의 권한 부여 갱신 : Smart Software Manager에서 수신된 오류: 데이터 및 서명이 udi PID:C9000, SN:XXXXXXXXXXX에 대해 일치하지 않습니다.

다음 단계:

- License smart deregister를 사용하여 스위치를 등록 취소합니다.

- 그런 다음 license smart register idtoken <TOKEN> force가 포함된 새 토큰을 사용하여 스위치를 등록합니다.

참조

• Cisco Smart Licensing 홈페이지
• Cisco 커뮤니티 - 온디맨드 교육.
• Smart Account - 관리 포털: Smart Software Licensing
• Smart Account - 새 어카운트 생성: Smart Accounts
• 컨피그레이션 가이드(예) - 시스템 관리 컨피그레이션 가이드, Cisco IOS XE Fuji 16.9.x(Catalyst 9300 스위치)

개정 이력

개정	게시 날짜	의견
6.0	26-May-2026	My Cisco Entitlements를 Cisco License Central로 변경했습니다. 서식이 업데이트되었습니다.
5.0	17-Feb-2026	최신 상태를 유지하며 업데이트된 메소드 정보 및 서식 업데이트에 대한 링크를 강조 표시합니다.
4.0	09-Jul-2024	업데이트된 브랜딩 요구 사항, 스타일 요구 사항, 기계 번역, Gerunds, 하이퍼링크 및 서식.
3.0	25-May-2023	업데이트된 브랜딩 요구 사항, 스타일 요구 사항, 기계 번역, GERUNDS 및 서식.
2.0	11-May-2022	제목을 편집했습니다. 섹션 번호를 제거했습니다. 자리 표시자 텍스트("x.x.x")를 사용하도록 일부 IP 주소를 변경했습니다.
1.0	31-May-2019	최초 릴리스