Cisco Smart Licensing - Catalyst 플랫폼의 문제 해결 단계 및 고려 사항
목차
1. 소개
1.1. Cisco Smart Licensing이란 무엇입니까?
Cisco Smart Licensing은 Cisco 제품 전체에서 모든 소프트웨어 라이센스를 관리하는 클라우드 기반 통합 라이센스 관리 시스템입니다. 이를 통해 고객은 Cisco 소프트웨어 라이센스를 구매, 구축, 관리, 추적 및 갱신할 수 있습니다.또한 단일 사용자 인터페이스를 통해 라이센스 소유 및 사용에 대한 정보도 제공합니다.
이 솔루션은 Cisco 소프트웨어 자산 추적에 사용되는 온라인 Smart Account(Cisco Smart Licensing Portal)와 Smart Account 관리에 사용되는 Cisco CSSM(Smart Software Manager)으로 구성됩니다.CSSM은 라이센스 등록, 등록 취소, 이동, 전송 등 모든 라이센스 관리 관련 작업을 수행할 수 있는 곳입니다.사용자는 Smart Account 및 특정 가상 어카운트에 대한 액세스 및 권한을 추가하고 부여할 수 있습니다.
Cisco Smart Licensing에 대한 자세한 내용은 다음을 참조하십시오.
a) Cisco Smart Licensing 홈 페이지
IOS-XE 17.3.2 이상에서 정책 방법을 사용하는 새로운 Smart Licensing에 대한 자세한 내용은 Catalyst 스위치의 정책을 사용하여 Smart Licensing을 참조하십시오.
Smart Licensing 및/또는 Smart Account 관리의 새로운 기능새로운 관리자 교육 과정 및 녹음을 방문하여 신청하십시오.
Cisco 커뮤니티 - Cisco Smart Accounts/Smart Licensing 및 My Cisco Entitlement로 스마트 받기
Smart Account는 여기에서 생성할 수 있습니다. Smart Account
스마트 어카운트는 여기에서 관리할 수 있습니다. Smart Software Licensing
1.2 스마트 라이센싱 구현 방법
Cisco Smart Licensing을 구축하는 방법에는 다음과 같은 회사의 보안 프로필에 따라 활용할 수 있는 여러 가지가 있습니다.
직접 클라우드 액세스
Cisco 제품은 HTTPS를 사용하여 인터넷을 통해 직접 사용 정보를 안전하게 전송합니다.추가 구성 요소가 필요하지 않습니다.
HTTPS 프록시를 통한 액세스
Cisco 제품은 HTTPS를 사용하여 HTTP 프록시 서버를 통해 사용 정보를 안전하게 전송합니다.기존 프록시 서버를 사용하거나 Cisco Transport Gateway를 통해 구축할 수 있습니다.(자세한 내용은 여기를 클릭하십시오.)
온프레미스 라이센스 서버(Cisco Smart Software Manager 위성이라고도 함)
Cisco 제품은 인터넷을 통해 직접 사용하지 않고 온프레미스 서버로 사용 정보를 전송합니다.한 달에 한 번 서버가 HTTPS를 통해 모든 장치에 대해 인터넷을 통해 전달되거나 수동으로 전송하여 데이터베이스를 동기화할 수 있습니다.CSSM On-prem(Satellite)은 VM(Virtual Machine)으로 사용할 수 있으며 여기에서 다운로드할 수 있습니다.자세한 내용은 Smart Software Manager Satellite 페이지를 참조하십시오.
1.3. 지원되는 IOS XE 플랫폼
- IOS XE 버전 16.9.1 릴리스부터는 Catalyst 3650/3850 및 Catalyst 9000 시리즈 스위치 플랫폼이 Cisco Smart Licensing 방법을 유일한 라이센싱 방법으로 지원합니다.
- IOS XE 버전 16.10.1 릴리스부터는 ASR1K, ISR1K, ISR4K 및 가상 라우터(CSRv/ISRv)와 같은 라우터 플랫폼이 Cisco Smart Licensing 방법을 유일한 라이센싱 방법으로 지원합니다.
1.4. 레거시 라이센스에서 Smart 라이센스로 마이그레이션
RTU(Right-To-Use) 또는 PAK(Product Activation Key)와 같은 레거시 라이센스를 Smart 라이센스로 변환하는 방법에는 두 가지가 있습니다.준수해야 하는 방법에 대한 자세한 내용은 해당 Cisco 디바이스의 관련 릴리스 정보 및/또는 컨피그레이션 가이드를 참조하십시오.
1.4.1. DLC(Device Led Conversion)를 통해 변환
- DLC(Device Led Conversion)는 Cisco 제품이 사용 중인 라이센스를 보고할 수 있으며 라이센스가 Cisco CSSM(Smart Software Manager)의 해당 Smart Account에 자동으로 예치되는 일회성 방법입니다. DLC 절차는 특정 Cisco 디바이스의 CLI(Command Line Interface)에서 직접 수행됩니다.
- DLC 프로세스는 Catalyst 3650/3850 및 선택한 라우터 플랫폼에서만 지원됩니다.특정 라우터 모델은 개별 플랫폼 컨피그레이션 가이드 및 릴리스 정보를 참조하십시오.예:Fuji 16.9.x 릴리스를 실행하는 Catalyst 3850의 DLC 절차.
1.4.2. 변환 Cisco CSSM(Smart Software Manager) 또는 LRP(License Registration Portal)
Cisco CSSM(Smart Software Manager) 방법:
1. https://software.cisco.com/에서 Cisco CSSM(Smart Software Manager)에 로그인합니다.
2. Smart Software Licensing > Convert to Smart Licensing으로 이동합니다.
3. Convert PAK(PAK 변환) 또는 Convert Licenses(라이센스 변환)를 선택합니다.
4. PAK 라이센스를 변환하는 경우 아래 표에서 라이센스를 찾습니다.비 PAK 라이센스를 변환하는 경우 단계별 지침에 "License Conversion Wizard"를 사용합니다.
계정과 연결된 알려진 PAK 파일의 위치:
"라이센스 변환 마법사" 링크의 위치:
5. 원하는 라이센스 및 제품 조합을 찾습니다.
6. (조치에서)를 클릭합니다.스마트 라이센싱으로 변환
7. 원하는 가상 어카운트, 라이센스를 선택하고 다음을 클릭합니다.
8. 선택 사항을 검토한 다음 라이센스 변환을 클릭합니다.
LRP(License Registration Portal) 방법:
1. LRP(License Registration Portal)에 로그인합니다. http://tools.cisco.com/SWIFT/LicensingUI/Home
2. Devices > Add Devices로 이동합니다.
3. 적절한 제품군 및 UDI(Unique Device Identifier) 제품 ID 및 일련 번호를 입력한 다음 확인을 클릭합니다.UDI 정보는 Cisco 디바이스의 CLI(Command Line Interface)에서 가져온 "show version" 또는 "show inventory"에서 얻을 수 있습니다.
4. 추가된 디바이스를 선택하고 라이센스를 Smart Licensing으로 변환
5. 적절한 가상 어카운트에 할당하고 변환할 라이센스를 선택하고 전송합니다.
1.4.3 . Cisco GLO(Global Licensing Operations) 부서에 연락하여 변환
Global Licensing Operations(글로벌 라이센싱 운영) 부서는 여기에서 전 세계 컨택 센터에 연락할 수 있습니다.
1.5. Catalyst 9500 고성능 동작 16.9에서 16.12.3으로 변경
다른 Catalyst 9000 모델과 마찬가지로, Catalyst 9500 고성능 모델은 IOS XE 버전 16.9 기차와 이후 버전에서 Smart Licensing으로 활성화되었습니다.그러나 Catalyst 9500 고성능 모델의 경우 각 모델에는 고유한 라이센스 엔타이틀먼트 태그가 있습니다.제품 및 마케팅 팀에서 C9500 플랫폼 엔타이틀먼트 태그를 통합하기로 결정한 이후이 결정으로 C9500 고성능 모델의 동작이 특정 엔타이틀먼트 태그를 사용하는 것에서 일반 C9500 라이센스로 바뀌었습니다.
이러한 동작 변경 사항은 다음과 같은 결함으로 문서화됩니다.
a) CSCvp30661
b) CSCvt01955
다음은 C9500 고성능 모델에 대한 위에서 언급한 변경 라이센스 변경 전/후의 변경 사항입니다.
1.5.1 IOS XE 버전 16.11.x 이하
각 C9600 고성능 모델에는 고유한 엔타이틀먼트 태그가 있습니다.
| 모델 | 라이센스 |
| C9500-32C | C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage |
| C9500-32QC | C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage |
| C9500-24Y4C | C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage |
| C9500-48Y4C | C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage |
1.5.2 IOS XE 버전 16.12.3 이상
Catalyst 9500 고성능 플랫폼에서는 일반 네트워크 라이센스 태그와 별도의 DNA 라이센스 태그를 사용합니다.아래 표에는 IOS XE 버전 16.12.3 이상에서 강조 표시된 자격 변경 사항이 나와 있습니다.
| 모델 | 라이센스 |
| C9500-32C | C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage |
| C9500-32QC | C9500 Network Essentials C9500 Network Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage |
| C9500-24Y4C | C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage |
| C9500-48Y4C | C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage |
1.5.3 C9500 고성능 변경 FAQ
1 . 내 장치에서 장치별 네트워크 라이센스를 사용하는 경우 Cisco에서 일반 네트워크 라이센스를 할당하는 이유는 무엇입니까?
일반 태그는 네트워크 디바이스에 적합한 자격 태그이므로 제공됩니다.이를 통해 특정 C9500 고성능 모델뿐만 아니라 전체 Cat9500 플랫폼에 엔타이틀먼트 태그를 사용할 수 있습니다.디바이스별 라이센스 태그를 요청하는 16.12.3 이전 이미지는 라이센스 계층의 일반 라이센스에 속하므로 일반 라이센스 태그를 준수합니다.
2 . Smart Account에 두 개의 네트워크 태그가 표시되는 이유는 무엇입니까?
이러한 동작은 라이센싱 계층 구조 때문이며 디바이스별 라이센스 태그를 사용하는 이전 이미지에서 디바이스가 실행 중일 때 발생합니다.디바이스별 라이센스 태그를 요청하는 이전 이미지는 일반 라이센스 태그를 준수합니다. 더 구체적인 태그는 라이센스 계층의 일반 라이센스에 속하기 때문입니다.
2. 구성
2.1. 기본 구성
Smart Licensing을 구성하는 정확한 절차는 각 릴리스/플랫폼에 대해 제공되는 시스템 관리 컨피그레이션 가이드에서 확인할 수 있습니다.
예: 시스템 관리 컨피그레이션 가이드, Cisco IOS XE Fuji 16.9.x(Catalyst 9300 스위치)
2.2. 등록 토큰/장치 ID 토큰
장치를 등록하기 전에 토큰을 생성해야 합니다. 장치 ID 토큰이라고도 하는 등록 토큰은 스마트 라이선싱 포털 또는 해당 스마트 계정에 처음 Cisco 장치를 등록할 때 Cisco Smart Software Manager 온프레미에서 생성된 고유한 토큰입니다.생성 중에 사용된 매개변수에 따라 개별 토큰을 사용하여 여러 Cisco 디바이스를 등록할 수 있습니다.
등록 토큰은 Cisco 백엔드에 Call-Home을 제공하고 올바른 Smart Account에 연결되도록 디바이스에 정보를 제공하기 때문에 Cisco 디바이스를 처음 등록하는 동안에만 필요합니다.Cisco 디바이스를 등록한 후에는 토큰이 더 이상 필요하지 않습니다.
등록 토큰과 그 생성 방법에 대한 자세한 내용을 보려면 여기를 클릭하여 일반 가이드를 참조하십시오.자세한 내용은 특정 Cisco 디바이스의 컨피그레이션 가이드를 참조하십시오.
2.3 등록 및 라이센스 상태
Smart Licensing을 구축하고 구성하는 동안 Cisco 디바이스가 있을 수 있는 여러 가지 가능한 상태가 있습니다.이러한 상태는 show license all(라이센스 모두 표시)을 보거나 Cisco 디바이스의 CLI(Command Line Interface)에서 라이센스 상태를 표시하여 표시할 수 있습니다.
다음은 모든 상태와 그 의미를 정리한 목록입니다.
- 평가(확인되지 않음) 상태
- 이는 처음 부팅할 때 디바이스의 기본 상태입니다.
- 일반적으로 이 상태는 Cisco 디바이스가 아직 Smart Licensing에 대해 구성되지 않았거나 Smart Account에 등록되지 않은 경우에 표시됩니다.
- 이 상태에서는 모든 기능을 사용할 수 있으며 디바이스에서 라이센스 레벨을 자유롭게 변경할 수 있습니다.
- 평가 기간은 디바이스가 미확인 상태일 때 사용됩니다.디바이스가 이 상태에서 Cisco와 통신을 시도하지 않습니다.
- 사용량은 90일이 아니라 90일입니다. 만료된 후에는 재설정되지 않습니다.
- 전체 디바이스에 대한 평가 기간은 엔타이틀먼트당 다릅니다.
- 평가 기간이 90일이 끝날 때 만료되면 디바이스는 EVAL EXPIRY 모드로 전환되지만 다시 로드한 후에도 기능상 영향이나 기능 중단은 없습니다.현재 시행이 없습니다.
- 재부팅 시 카운트다운 시간이 유지됩니다.
- 평가 기간은 디바이스가 아직 Cisco에 등록되지 않았고 Cisco 백엔드에서 다음 두 메시지를 받지 못한 경우에 사용됩니다.
- 등록 요청에 성공적으로 응답
- 자격 권한 부여 요청에 성공적으로 응답했습니다.
- 등록 상태
- 등록을 성공적으로 완료한 후의 예상 상태입니다.
- Cisco 디바이스는 Cisco Smart Account와 성공적으로 통신하고 등록할 수 있었습니다.
- 장치는 향후 통신에 사용할 1년 동안 유효한 ID 인증서를 받습니다.
- 디바이스에서 사용 중인 라이센스에 대한 엔타이틀먼트를 승인하기 위한 요청을 CSSM에 보냅니다.
- CSSM 응답에 따라 디바이스가 Authorized 또는 Out of Compliance로 들어갑니다.
- ID 인증서는 1년 말에 만료됩니다.6개월 후 소프트웨어 에이전트 프로세스는 인증서를 갱신하려고 시도합니다.에이전트가 Cisco Smart Software Manager와 통신할 수 없는 경우 만료일(1년)까지 계속해서 ID 인증서를 갱신하려고 시도합니다. 1년이 끝나면 에이전트는 식별되지 않은 상태로 돌아가 평가 기간을 사용하도록 시도합니다.CSSM이 데이터베이스에서 제품 인스턴스를 제거합니다.
- 인증 상태
- 디바이스가 엔타이틀먼트를 사용 중이고 규정 준수(음수 잔액 없음)일 때 예상되는 상태입니다.
- CSSM의 Virtual Account에 디바이스 라이센스 사용을 승인하는 올바른 유형 및 라이센스 수가 있습니다.
- 30일이 지나면 디바이스에서 CSSM에 새 요청을 보내 권한 부여를 갱신합니다.
- 90일 후(갱신되지 않은 경우)의 시간 범위가 승인 만료 상태로 이동됩니다.
- 규정 위반 상태
- 디바이스가 엔타이틀먼트를 사용 중이고 규정 준수(음수 잔액)에 있지 않은 경우,
- 이 상태는 디바이스에 Cisco 디바이스가 Cisco Smart Account에 등록된 해당 가상 어카운트에 사용 가능한 라이센스가 없는 경우 표시됩니다.
- 규정 준수/권한 부여 상태를 시작하려면 고객은 올바른 라이센스 수와 유형을 Smart Account에 추가해야 합니다.
- 이 상태에서는 디바이스에서 매일 자동으로 권한 부여 갱신 요청을 보냅니다.
- 라이센스와 기능은 계속 작동하며 기능적 영향을 미치지 않음
- 권한 부여 만료 상태
- 디바이스가 엔타이틀먼트를 사용 중인 상태가 90일 이상 연결된 Cisco Smart Account와 통신할 수 없는 상태입니다.
- 이는 일반적으로 Cisco 디바이스가 인터넷 액세스 권한을 상실하거나 초기 등록 후 tools.cisco.com에 연결할 수 없는 경우에 나타납니다.
- 스마트 라이센싱의 온라인 방법에서는 Cisco 장치가 이러한 상태를 방지하기 위해 90일마다 최소 통신해야 합니다.
- CSSM은 90일 동안 통신이 없었으므로 이 디바이스에 대해 사용 중인 모든 라이센스를 다시 풀로 반환합니다.
- 이 상태에서 디바이스는 등록 기간(id 인증서)이 만료될 때까지 1시간마다 Cisco에 연락하여 자격 인증을 갱신하려고 시도합니다
- 소프트웨어 에이전트가 Cisco와의 통신을 재설정하고 권한 부여 요청을 받으면 정상적으로 응답한 다음 설정된 상태 중 하나를 입력합니다.
3 . 고려 사항 및 주의 사항
- 스위치용 16.9.1 및 라우터용 16.10.1에서 시작하여 Smart Licensing으로 마이그레이션하는 데 도움이 되도록 기본 Call-home 프로필 "CiscoTAC-1"이 생성됩니다. 기본적으로 이 프로필은 Direct Cloud Access 방법에 대해 설정됩니다.
#show call-home profile CiscoTAC-1 Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default <snip>
- Cisco Smart Software Manager 온프레미스 서버를 사용할 경우 활성 Call-Home 컨피그레이션의 대상 주소가 해당 주소를 가리켜야 합니다(대/소문자 구분!).
(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler
- tools.cisco.com을 확인하려면 DNS가 필요합니다.DNS 서버 연결이 VRF에 있는 경우 적절한 소스 인터페이스 및 VRF가 다음 항목에 정의되어 있는지 확인합니다.
Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>
VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>] <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>
또는 DNS를 사용할 수 없는 경우 최종 디바이스의 로컬 DNS 확인을 기반으로 로컬 DNS를 IP에 매핑하도록 정적으로 구성하거나 call-home 컨피그레이션의 DNS 이름을 IP 주소로 바꿉니다.직접 클라우드 액세스에 대한 예는 예를 참조하십시오(Cisco Smart Software Manager 온프레미스에서 tools.cisco.com 대신 고유한 DNS 이름을 사용).
(config)#ip host tools.cisco.com 173.37.145.8
- tools.cisco.com과의 통신을 특정 VRF(예: Mgmt-vrf)의 인터페이스에서 시작해야 하는 경우 다음 CLI를 구성해야 합니다.
(config)#ip http client source-interface <VRF_INTERFACE>
- StackWise 또는 StackWise Virtual에서 실행되는 Catalyst 스위치와 같은 Cisco 디바이스의 컨피그레이션에 따라 다른 라이센스 수가 사용될 수 있습니다.
기존 스택 기반 지원 스위치(예: Catalyst 9300 시리즈):
네트워크 라이센스:스택에서 스위치당 1개의 라이센스 사용
DNA 라이센스:스택에서 스위치당 1개의 라이센스 사용
모듈형 섀시(예: Catalyst 9400 시리즈):
네트워크 라이센스:섀시의 수퍼바이저당 1개의 라이센스 사용
DNA 라이센스:섀시당 1개의 라이센스 사용
고정 스택 기반 가상 지원 스위치(예: Catalyst 9500 시리즈):
네트워크 라이센스:스택에서 스위치당 1개의 라이센스 사용
DNA 라이센스:스택에서 스위치당 1개의 라이센스 사용
- Smart Licensing에는 하나의 Call-Home 프로필만 활성화할 수 있습니다.
- 라이센스는 해당 기능이 구성된 경우에만 사용됩니다.
- Smart Licensing에 대해 구성된 Cisco 장치는 해당 Cisco Smart Account와 올바르게 동기화되도록 올바른 시스템 시간 및 날짜에 구성해야 합니다.Cisco 디바이스의 시간 오프셋이 너무 멀리 떨어져 있으면 디바이스를 등록하지 못할 수 있습니다.클럭은 NTP(Network Time Protocol) 또는 PTP(Precision Time Protocol)와 같은 타이밍 프로토콜을 통해 수동으로 설정하거나 구성해야 합니다. 이러한 변경 사항을 구현하는 데 필요한 정확한 단계는 특정 Cisco 디바이스의 컨피그레이션 가이드를 참조하십시오.
- Cisco 디바이스 등록 중에 생성된 PKI(Public Key Infrastructure) 키가 등록 후 자동으로 저장되지 않으면 저장해야 합니다.디바이스에서 PKI 키를 저장하지 못하면 "copy running-config startup-config" 또는 "write memory"를 통해 컨피그레이션을 저장하라는 syslog가 생성됩니다.
- Cisco 디바이스의 PKI 키가 제대로 저장되지 않은 경우 장애 조치 또는 재로드 시 라이센스 상태가 손실될 수 있습니다.
- 스마트 라이선싱은 HTTPS 프록시 메서드에 타사 프록시를 사용할 때 기본적으로 HTTPS 프록시 SSL 인증서 가로채기를 지원하지 않습니다.이 기능을 지원하려면 프록시에서 SSL 가로채기를 비활성화하거나 프록시에서 전송된 인증을 수동으로 가져올 수 있습니다.
How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint.
The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.
Device#conf t
Device(config)#crypto pki trustpoint LicRoot
Device(ca-trustpoint)#enrollment terminal
Device(ca-trustpoint)#revocation-check none
Device(ca-trustpoint)#exit
Device(config)#crypto pki authenticate LicRoot
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: XXXXXXXX
Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
- 전송 게이트웨이 HTTP 프록시를 사용할 때 IP 주소를 tools.cisco.com에서 프록시로 다음과 같이 변경해야 합니다.
목적지 주소 http https:// tools.cisco.com/its/service/oddce/services/DDCEService
받는 사람
대상 주소 http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler - 전송 게이트웨이 IP 주소는 HTTP 설정으로 이동하여 Cisco Transport Gateway GUI의 HTTP 서비스 URL에서 확인하면 찾을 수 있습니다.
- 자세한 내용은 여기에서 Cisco Transport Gateway에 대한 다음 컨피그레이션 가이드를 참조하십시오.
4. 문제 해결
Cisco 장치를 Smart Licensing 지원 소프트웨어 버전으로 마이그레이션할 때 다음 순서도를 세 가지 방법(Direct Cloud Access, HTTPS Proxy 및 Cisco Smart Software Manager On-prem)의 모든 일반 가이드로 사용할 수 있습니다.
Smart Licensing을 지원하는 소프트웨어 릴리스와 함께 업그레이드된 디바이스(지원되는 IOS-XE 릴리스 목록은 섹션 1.3 참조).
아래의 트러블슈팅 단계는 주로 '디바이스 등록 실패'라는 시나리오에 집중합니다.
4.1 디바이스 등록 실패
초기 컨피그레이션 후 CSSM/Cisco Smart Software Manager 온프레미에서 생성된 Smart Licensing을 활성화하려면 CLI를 통해 디바이스에 등록해야 합니다.
license smart register idtoken <TOKEN>
이렇게 하면 다음 이벤트가 생성됩니다.
! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result !
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine %PKI-4-NOCONFIGAUTOSAVE: Configuration was modified. Issue "write memory" to save new IOS PKI configuration !
! Call-home start registration process
! %CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. !
! Smart Licensing process connects with CSSM and check entitlement.
! %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed %SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> %SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved %SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized %SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>
call-home 컨피그레이션을 확인하려면 다음 CLI를 실행합니다.
#show call-home profile all
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
Periodic configuration info message is scheduled every 1 day of the month at 09:15
Periodic inventory info message is scheduled every 1 day of the month at 09:00
Alert-group Severity
------------------------ ------------
crash debug
diagnostic minor
environment warning
inventory normal
Syslog-Pattern Severity
------------------------ ------------
APF-.-WLC_.* warning
.* major
Smart Licensing 상태를 확인하려면 다음 CLI를 실행합니다.
#show license summary Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: Krakow LAN-SW Export-Controlled Functionality: ALLOWED Last Renewal Attempt: None Next Renewal Attempt: Nov 22 21:24:32 2019 UTC License Authorization: Status: AUTHORIZED Last Communication Attempt: SUCCEEDED Next Communication Attempt: Jun 25 21:24:37 2019 UTC License Usage: License Entitlement tag Count Status ----------------------------------------------------------------------------- C9500 Network Advantage (C9500 Network Advantage) 1 AUTHORIZED C9500-DNA-40X-A (C9500-40X DNA Advantage) 1 AUTHORIZED
디바이스가 등록되지 않은 경우(그리고 상태가 위에서 설명한 것과 다른 경우)규정 위반 시 Smart Virtual Account의 누락된 라이센스, 잘못된 매핑(예: 라이센스를 사용할 수 없는 다른 가상 어카운트의 토큰이 사용됨 등)과 같은 CSSM에 대한 문제가 발생합니다.
1. 컨피그레이션 설정 및 일반 오류 시나리오를 확인합니다.
기본 컨피그레이션 단계는 섹션 2.1을 참조하십시오.또한 섹션 5에서 확인된 일반적인 실패 시나리오도 살펴봅니다.
2. 기본 연결을 확인합니다.
디바이스가 tools.cisco.com(직접 액세스하는 경우) 또는 Cisco Smart Software Manager 온프레미스 서버에 연결(및 TCP 포트 열기)할 수 있는지 확인합니다.
#show run all | in destination address http destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService ! ! check connectivity ! #telnet tools.cisco.com 443 /source-interface gi0/0 Trying tools.cisco.com (173.37.145.8, 443)... Open [Connection to tools.cisco.com closed by foreign host]
위의 작업이 작동하지 않을 경우 라우팅 규칙, 소스 인터페이스 및 방화벽 설정을 다시 확인하십시오.
HTTP(TCP/80)는 사용되지 않으며 권장되는 프로토콜은 HTTPS(TCP/443)입니다.
섹션을 참조하십시오.DNS 및 HTTP 세부 정보를 구성하는 방법에 대한 자세한 지침은 이 문서의 "고려 사항 및 주의 사항"을 참조하십시오.
3. Smart License 설정 확인
다음에 대한 출력을 수집합니다.
#show tech-support license
수집된 컨피그레이션/로그 검증(추가 조사를 위해 Cisco TAC 케이스를 열 경우 이 출력을 첨부합니다.)
4. 디버그 사용
다음 디버그를 활성화하여 Smart Licensing 프로세스에 대한 추가 정보를 수집합니다(디버그를 활성화한 후에는 포인트 4.1에서 설명한 CLi를 통해 라이센스를 다시 등록해야 함).
#debug call-home smart-licensing [all | trace | error] #debug ip http client [all | api | cache | error | main | msg | socket]
내부 디버깅의 경우 이진 추적을 활성화하고 읽습니다.
! enable debug #set platform software trace ios [switch] active R0 infra-sl debug ! ! read binary traces infra-sl process logs #show platform software trace message ios [switch] active R0
5. 일반적인 실패 시나리오
다음은 Cisco 디바이스 등록 중 또는 이후에 발생할 수 있는 몇 가지 일반적인 실패 시나리오입니다.
시나리오 #1:스위치 등록 "실패 사유:이미 등록된 제품"
"show license all" 스냅샷:
등록:
상태: 등록되지 않음 - 등록 실패
내보내기 제어 기능:허용되지 않음
초기 등록:2018년 10월 22일 14:25:31 EST 실패
실패 이유:제품이 이미 등록됨
다음 등록 시도:2018년 10월 22일 14:45:34 EST
다음 단계:
- Cisco 디바이스를 다시 등록해야 합니다.
- Cisco 디바이스가 CSSM(Cisco Smart Software Manager)에 표시되는 경우 "force" 매개변수를 사용해야 합니다(예:"license smart register idtoken <TOKEN> force")
시나리오 #2:스위치 등록 "실패 사유:지금 요청을 처리할 수 없습니다.다시 시도하십시오."
"show license all" 스냅샷:
등록:
상태:등록 중 - 등록 진행 중
내보내기 제어 기능:허용되지 않음
초기 등록:2018년 10월 24일 15:55:26 EST 실패
실패 이유: 지금 요청을 처리할 수 없습니다.다시 시도하십시오.
다음 등록 시도:2018년 10월 24일 16:12:15 EST
다음 단계:
- 섹션 4에 설명된 대로 디버깅을 활성화하여 문제에 대한 더 많은 정보를 얻을 수 있습니다.
- Smart Licensing의 CSSM에서 새 토큰을 생성하고 다시 시도하십시오.
시나리오 #3:실패 사유 "디바이스 날짜 1526135268653이 허용된 허용 한도 이상으로 오프셋됩니다.
"show license all" 스냅샷:
등록:
상태:등록 중 - 등록 진행 중
내보내기 제어 기능:허용되지 않음
초기 등록:2018년 11월 117일:55:46 EST
실패 이유: {"timestamp":["디바이스 날짜 '1526135268653'이 허용된 허용 한도 이상으로 오프셋되었습니다."]}
다음 등록 시도:2018년 11월 11일 18:12:17 EST
가능한 로그 표시:
%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID:인증서 체인 유효성 검사에 실패했습니다. 인증서(SN:XXXXXX)이(가) 아직 유효하지 않습니다.유효 기간은 2018-12-12:43Z에서 시작
다음 단계:
- Cisco 디바이스 클럭이 올바른 시간을 표시하는지 확인합니다(show clock).
- 가능한 경우 NTP(Network Time Protocol)를 구성하여 클럭이 올바르게 설정되었는지 확인합니다.
- NTP를 사용할 수 없는 경우 "clock calendar-valid"가 구성되어 있는지 확인하여 수동으로 설정된 시계(시계 세트)가 올바르고(시계 표시) 신뢰할 수 있는 시간 소스로 구성되었는지 확인합니다.
시나리오 #4:스위치 등록 "실패 사유:통신 전송을 사용할 수 없습니다."
"show license all" 스냅샷:
등록:상태:등록되지 않음 - 등록 실패
내보내기 제어 기능:허용되지 않음
초기 등록:2019년 3월 9일 21:42:02 CST 실패
실패 이유:통신 전송을 사용할 수 없습니다.
가능한 로그 표시:
%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE:라이센스용 Smart Agent에서 Call-Home을 활성화하지 못했습니다.기존 활성 사용자 프로필로 인해 Smart Call Home을 사용하도록 설정하지 못했습니다."CiscoTAC-1" 프로필 이외의 사용자 프로필을 사용하여 Cisco의 SCH 서버로 데이터를 보내는 경우 프로필 모드에서 "reporting smart-licensing-data"를 입력하여 스마트 라이센싱을 위한 프로필을 구성하십시오.SCH에 대한 자세한 내용은 http://www.cisco.com/go/smartcallhome을 참조하십시오.
%SMART_LIC-3-AGENT_REG_FAILED:Cisco Smart Software Manager 또는 위성을 통한 라이센싱용 Smart Agent 등록 실패:통신 전송을 사용할 수 없습니다.
%SMART_LIC-3-COMM_FAILED:Cisco Smart Software Manager 또는 위성과의 통신 장애:통신 전송을 사용할 수 없습니다.
다음 단계:
- Cisco 디바이스의 "show running-config" 출력에서 "service call-home"을 사용하여 Call-home이 활성화되었는지 확인합니다.
- 올바른 call-home 프로필이 활성 상태인지 확인합니다.
- "reporting smart-licensing-data"가 활성 call-home 프로필 아래에 구성되었는지 확인합니다.
시나리오 #5:스위치 라이센스 권한 부여 "실패 사유:Call Home HTTP 메시지를 보내지 못했습니다."
"show license all" 스냅샷:
라이센스 권한 부여:
상태:2018년 7월 26일 09:24:09 UTC 규정 위반
마지막 통신 시도:2018년 8월 02일 UTC 14:26:23 FAILED
실패 이유:Call Home HTTP 메시지를 보내지 못했습니다.
다음 통신 시도:2018년 8월 02일 UTC 14:26:53
통신 기한:2018년 10월 25일 09:21:38 UTC
가능한 로그는 다음과 같습니다.
%CALL_HOME-5-SL_MESSAGE_FAILED:Smart Licensing 메시지를 다음으로 보내지 못했습니다.https://<ip>/its/service/oddce/services/DDCEService(ERR 205:요청이 중단됨)
%SMART_LIC-3-COMM_FAILED: Cisco Smart Software Manager 또는 위성을 통한 통신 실패:Call Home HTTP 메시지를 보내지 못했습니다.
%SMART_LIC-3-AUTH_RENEW_FAILED: Cisco Smart Software Manager 또는 위성을 통한 인증 갱신:udi PID:XXX, SN에 대한 통신 메시지 전송 오류:XXX
다음 단계:
- Cisco 디바이스에서 tools.cisco.com에 ping을 수행할 수 있는지 확인합니다.
- DNS가 구성되지 않은 경우 tools.cisco.com에 대한 로컬 nslookup IP에 대해 DNS 서버 또는 "ip host" 문을 구성합니다.
- Cisco 디바이스에서 tools.cisco.com(TCP 포트 443)으로 텔넷 시도(HTTPS에서 사용)
- HTTPs 클라이언트 소스 인터페이스가 정의되고 올바른지 확인
- Call Home 프로필의 URL/IP가 Cisco 디바이스에서 "show call-home profile all"을 통해 올바르게 설정되었는지 확인합니다.
- IP 경로가 올바른 다음 홉을 가리키는지 확인합니다.
- TCP 포트 443이 Cisco 디바이스, Smart Call Home Server 경로 또는 Cisco Smart Software Manager on-prem(위성)에서 차단되지 않는지 확인합니다.
- 올바른 VRF(Virtual Routing and Forwarding) 인스턴스가 call-home(해당되는 경우)에서 구성되었는지 확인합니다.
시나리오 #6:실패 사유 "ID 인증서 일련 번호 필드 없음;서명 인증서 일련 번호 필드가 없습니다.서명된 데이터 및 인증서가 "로그"와 일치하지 않습니다.
이 동작은 암호화 인증서가 CSCvr41393에 기술된 대로 만료된 CSSM 온프레미스 서버로 작업할 때 나타납니다. CSSM 온프레미스에서 인증서 동기화 및 갱신을 허용하여 등록된 디바이스에서 인증 동기화 문제를 방지해야 하기 때문에 예상되는 동작입니다.
"show license all" 스냅샷:
등록:
상태:등록되지 않음
Smart Account:계정 예
내보내기 제어 기능:허용
라이센스 권한 부여:
상태:평가 모드
남은 평가 기간:65일, 18시간, 43분, 0초
가능한 로그 표시:
"show logging" 또는 "show license eventlog"에서 다음 오류가 표시됩니다.
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Missing Id cert serial number field;서명 인증서 일련 번호 필드가 없습니다.서명된 데이터와 인증서가 일치하지 않습니다."
다음 단계:
- Cisco 디바이스가 CSSM 온프레미스 서버에 IP 연결을 설정했는지 확인
- HTTPS를 사용하는 경우 인증 C-Name이 디바이스 Call-Home 컨피그레이션에서 사용되고 있는지 확인합니다.
- DNS 서버를 사용하여 인증 C-Name을 확인할 수 없는 경우 도메인 이름과 IP 주소를 매핑하도록 정적 "ip host" 문을 구성합니다.
- CSSM 온프레미스의 인증서 상태가 여전히 유효한지 확인
- CSSM 온프레미스 인증서가 만료된 경우 CSCvr41393에 설명된 해결 방법 중 하나를 따르십시오.
시나리오 #7:스위치 라이센스 권한 부여 "실패 사유:회신 대기 중"
"show license all" 스냅샷:
라이센스 권한 부여:
상태:2018년 7월 26일 09:24:09 UTC 규정 위반
마지막 통신 시도:PENDING on 8월 02일 2018년 8월 14시 34분 51초 UTC
실패 이유:회신 대기 중
다음 통신 시도:2018년 8월 02일 UTC 14:53:58
통신 기한:2018년 10월 25일 09:21:39 UTC
가능한 로그는 다음과 같습니다.
%PKI-3-CRL_FETCH_FAIL:신뢰 지점 SLA-TrustPoint에 대한 CRL 가져오기 실패 이유:소켓을 선택하지 못했습니다.시간 초과:5(연결 시간 초과)
%PKI-3-CRL_FETCH_FAIL:신뢰 지점 SLA-TrustPoint에 대한 CRL 가져오기 실패 이유:소켓을 선택하지 못했습니다.시간 초과:5(연결 시간 초과)
다음 단계:
- 이 문제를 해결하려면 실행 중인 컨피그레이션에서 SLA-TrustPoint를 none으로 구성해야 합니다.
show running-config
<생략>
crypto pki trustpoint SLA-TrustPoint
revocation-check 없음
CRL이란?
CRL(Certificate Revocation List)은 폐기된 인증서 목록입니다.CRL은 원래 인증서를 발급한 CA(Certificate Authority)에 의해 생성 및 디지털 서명됩니다.CRL에는 각 인증서가 발급된 날짜 및 만료될 날짜가 포함됩니다.CRL에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
시나리오 #8:"OUT OF COMPLIANCE" 상태의 라이센스
"show license all" 스냅샷:
라이센스 권한 부여:
상태:2018년 7월 26일 09:24:09 UTC 규정 위반
마지막 통신 시도:PENDING on 8월 02일 2018년 8월 14시 34분 51초 UTC
실패 이유:회신 대기 중
다음 통신 시도:2018년 8월 02일 UTC 14:53:58
통신 기한:2018년 10월 25일 09:21:39 UTC
가능한 로그는 다음과 같습니다.
%SMART_LIC-3-OUT_OF_COMPLIANCE:하나 이상의 엔타이틀먼트가 규정을 준수하지 않음
다음 단계:
- 적절한 Smart Virtual Account의 토큰이 사용되었는지 확인합니다.
시나리오 #9:스위치 라이센스 권한 부여 "실패 사유:데이터와 서명이 일치하지 않습니다.
"show license all" 스냅샷:
라이센스 권한 부여:
상태:AUTHORIZED on 3월 12 일 09:17:45 20 EDT
마지막 통신 시도:3월 12일 실패 09:17:45 2020 EDT
실패 이유:데이터와 서명이 일치하지 않습니다.
다음 통신 시도:3월 12일 09:18:15 2020 EDT
통신 기한:5월 09일 21:22:43 2020 EDT
가능한 로그는 다음과 같습니다.
%SMART_LIC-3-AUTH_RENEW_FAILED:Cisco CSSM(Smart Software Manager)을 통한 인증 갱신:Smart Software Manager에서 오류 수신:데이터 및 서명이 udi PID:C9000,SN:XXXXXXXXX에 대해 일치하지 않습니다.
다음 단계:
- "License smart deregister"로 스위치 등록 취소
- 그런 다음 "license smart register idtoken <TOKEN> force"라는 새 토큰을 사용하여 스위치를 등록합니다.
6. 참조
1) Cisco Smart Licensing 홈 페이지
3) Smart Account - 관리 포털: Smart Software Licensing
4) Smart Account - 새 어카운트 생성: Smart Account
5) 컨피그레이션 가이드(예) - 시스템 관리 컨피그레이션 가이드, Cisco IOS XE Fuji 16.9.x(Catalyst 9300 스위치)
Revision History
| Revision | Publish Date | Comments |
|---|---|---|
1.0 |
31-May-2019 |
Initial Release |
피드백