Slimme licenties configureren met NSO
Inhoud
Inleiding
In dit document worden de verschillende Network Services Orchestrator (NSO)-licenties beschreven en wordt beschreven hoe deze kunnen worden geactiveerd met behulp van de Cisco Smart License®.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Hoe de NSO CLI te gebruiken
- Problemen oplossen NSO
- Basiskennis van Linux
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- NSO 6.x
- NSO 5.x
- NSO 4.5 en hoger
- NSO 4.4
- NSO 4.1/4.2/4.3
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
NSO-licenties
De door de NSO gebruikte licenties zijn als volgt:
| PID | Weergave op SSM | type | Beschrijving |
| R-NSO-K 9 | Topniveau | Vereist voor elk geval van NSO | |
| NSO-P-PAK | NSO-platformproductie | server | Vereist voor actieve node |
| NSO-HA-LIC-P | NSO-platform-productie-standby | server | Vereist voor Standby-node |
| NSO-DEV-P-PAK | NSO-platform-development-test | server | Vereist voor ontwikkelomgeving |
| NSO-PNF-() | NSO-netwerkelement | Netwerkelement |
Southbound Als het aangesloten apparaat een fysiek apparaat is |
| NSO-VNF-() | NSO-netwerkelement | Netwerkelement | Southbound Het aangesloten apparaat is een virtueel apparaat |
| NED-() |
Verschillend voor elke NED Voorbeeld: Cisco-ios-NED |
NED |
Voor NED. Het is noodzakelijk voor elk type van verschillende apparaten. Voorbeeld: NED-IOS-P: Voor IOS NED |
Slimme account en virtuele account
Elk product, inclusief NSO, vraagt de Cisco-server om een licentie te verwerven om zichzelf te activeren. In wezen controleert het of uw bedrijf het voldoende aantal licenties voor het product heeft gekocht en of ze beschikbaar zijn om te gebruiken.
Een smart account wordt toegewezen aan een organisatie. Neem bijvoorbeeld bedrijf A:
- Bedrijf A kan afdeling X, Y en Z hebben en ze willen hun licenties afzonderlijk beheren.
- Aan elke afdeling kan een virtueel account worden toegewezen.
Tokens kunnen worden gegenereerd voor elk virtueel account. We gebruiken het token om toegang te krijgen tot het virtuele account van het product.
Vanuit de Smart Software Manager wordt de licentiestatus in virtuele accounts als volgt weergegeven:
Configureren
Er kunnen verschillende methoden zijn voor de manier waarop de NSO verbinding maakt met de Smart Licensing-server en het hangt af van de omgeving waarin de NSO is geïnstalleerd. In dit document worden ook de verschillende integraties tussen de NSO en de Cisco-licentieservers beschreven.
Stap 1. Een token genereren
1. Meld u aan bij Cisco Smart Software Manager (CSSM) met de gebruikersnaam en/of de CCO-ID en selecteer de juiste virtuele account om een nieuwe token te maken. Klik op Licenties beheren om verder te gaan. Zoek de link in Cisco Software Central.
2. Klik op het tabblad Inventaris en selecteer een virtuele account waarmee u wilt werken.
3. Klik in CSSM op Nieuwe token.
Vul de vereiste informatie in. Houd er rekening mee dat de vervaldatum aangeeft hoe lang het token geldig is, dus gebruikers moeten het gemaakte token binnen de dagen gebruiken. Kort en lang moet worden afgewogen tussen gemak en beveiligingsrisico. Het gaat er ook niet om hoe lang de licenties geldig zullen zijn.
5. Het nieuw gemaakte token staat in de tabel.
6. Klik op de token-link om een pop-upvenster weer te geven. Kopieer de token uit het dialoogvenster naar uw klembord.
Stap 2. voorbereiding voor tokenregistratie
Hier zijn de registratiemethoden (direct / proxy / satelliet).
Als NSO of andere Cisco-producten slimme licenties nodig hebben, neem dan contact op met Cisco Smart Software Manager (of Cisco Cloud) om zichzelf te registreren.
Er zijn vier hoofdopties voor het instellen van een door Smart License ondersteunde omgeving:
Optie 1. Directe cloudtoegang
Met deze methode moet de NSO-server in staat zijn om rechtstreeks met Cisco Cloud te praten met https. Het gebruik van HTTP wordt echter niet aanbevolen om veiligheidsredenen.
Bij deze methode kan het registratieproces zonder speciale configuratie worden gestart.
Optie 2. Directe toegang tot de cloud via een HTTPS-proxy
Als u de HTTP(S)-proxyserver moet gebruiken om verbinding te maken met het web op internet, moet de slimme agent in NSO worden geconfigureerd met proxyserverinformatie.
Wanneer optie 2 wordt gebruikt, moet de smart-agent worden geïnstrueerd om zijn registratieverzoek naar de proxyserver te sturen in plaats van rechtstreeks naar Cisco.
De configuratie is afhankelijk van de versie.
NSO 4.5 of hoger
Vanaf NSO 4.5 is het nu mogelijk om smart-licentieconfiguratie te configureren via ncs.conf. Als er een smart-licentieconfiguratie bestaat in zowel ncs.conf als NSO CDB, heeft de configuratie in ncs.conf voorrang.
Dit betekent dat de commando's zoals smart-license smart-agent override-url https://10.1.2.3/ niet van kracht worden als er een andere configuratie aanwezig is in ncs.conf. Bij het installeren van een NSO-systeem bevat ncs.conf standaard het volgende:
<smart-license>
<smart-agent>
<java-executable>DEFAULT</java-executable>
<java-options>DEFAULT</java-options>
<production-url>DEFAULT</production-url>
<alpha-url>DEFAULT</alpha-url>
<override-url>
<url>DEFAULT</url>
</override-url>
<proxy>
<url>DEFAULT</url>
</proxy>
</smart-agent>
</smart-license>Standaard betekent dat het de standaardwaarden gebruikt zoals gedefinieerd in $ install_dir/src/ncs/yang/tailf-ncs-smart-license.yang.
Als u in plaats daarvan bladeren in ncs.conf in NSO CDB wilt configureren, moet u het desbetreffende item uit ncs.conf verwijderen en /etc/init.d/ncs opnieuw laden.
NSO 4.4
Configureer de proxy-URL op dit pad.
Smart-License Smart-Agent proxy URL <proxy URL>
admin@ncs(config)# smart-license smart-agent proxy url https://10.10.10.10:8080 admin@ncs(config)#
In de standaardconfiguratie maakt NSO verbinding met https://tools.cisco.com/its/service/oddce/services/
Deze proxyconfiguratie stelt voor zowel HTTPS als HTTP automatisch in, dus als u de doel-URL wijzigt in HTTP voor gebruik van Satellite dat wordt uitgelegd bij optie 3. of 4., kan één configuratie beide gevallen nog steeds verwerken.
Optie 3. Toegang via bemiddeling via een on-premises Collector-Connected
In veel gevallen is het NSO-netwerk niet rechtstreeks verbonden met het internet. Anders dan optie 2. kan de Smart Software Manager Satellite worden geïntroduceerd; zodat NSO geen berichten rechtstreeks naar de Cisco Cloud hoeft uit te wisselen.
De productgegevens van Smart Software Manager Satellite vindt u hier.
Voor de installatie vindt u de installatiehandleiding in de koppeling.
Wanneer u deze methode gebruikt, NSOl praat met de satelliet in plaats van de Cisco Cloud.
Als u het doel wilt wijzigen, kunt u override-url wijzigen:
admin@ncs(config)# smart-license smart-agent override-url url https://10.1.2.3/ admin@ncs(config)#
Deze URL is te vinden in het administratieve web van Smart Software Manager Satellite.
Optie 4: Toegang via bemiddeling via een on-premises Collector-Disconnected
Vanuit het oogpunt van de NSO is deze methode precies hetzelfde met methode (3). Het verschil is alleen hoe te synchroniseren met Cisco Cloud van Smart Software Manager Satellite.
Stap 3. tokenregistratie
Nadat u de token hebt gebruikt, activeert u NSO met de gegenereerde token naar de Cisco-server. Het token wordt gebruikt op de NSO CLI om zich te registreren bij CSSM. Wanneer de opdracht wordt ingevoerd, wordt het registratieproces asynchroon gestart.
admin@ncs# smart-license register idtoken YWVlMmQ3ZjEtYT.... result Registration process in progress. Use the 'show license status' command to check the progress and result. admin@ncs#
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Vóór de registratie
Slimme licenties zijn altijd mogelijk. De uitvoer geeft aan dat NSO niet is geregistreerd en in EVAL-MODUS die binnen 89 dagen en 23 uur verloopt.
admin@ncs# show license status Smart Licensing is ENABLED Registration: Status: UNREGISTERED Export-Controlled Functionality: Allowed License Authorization: Status: EVAL MODE Evaluation Period Remaining: 89 days, 23 hr, 17 min, 36 sec Last Communication Attempt: NONE Next Communication Attempt: NONE Development mode: enabled admin@ncs#
De registratiestatus kan worden gecontroleerd met de opdracht Licentiestatus weergeven. Als de registratie nog steeds bezig is, toont de opdracht deze uitvoer en zegt; "REGISTRATIE IN BEHANDELING".
<Nog steeds registreren...>
admin@ncs# show license status Smart Licensing is ENABLED Registration: Status: UNREGISTERED - REGISTRATION PENDING Initial Registration: First Attempt Pending Export-Controlled Functionality: Allowed License Authorization: Status: EVAL MODE Evaluation Period Remaining: 89 days, 23 hr, 16 min, 36 sec Last Communication Attempt: SUCCEEDED on Aug 3 09:41:56 2016 UTC Next Communication Attempt: NONE Development mode: enabled admin@ncs#
Na een tijdje wordt de registratie afgerond. Wanneer u de status GEREGISTREERD ziet, wordt het systeem geregistreerd bij CSSM.
<Geregistreerd!!>
admin@ncs# show license status Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: BU Production Test Virtual Account: TAC-Japan-Cloudorch Export-Controlled Functionality: Allowed Initial Registration: SUCCEEDED on Aug 4 05:29:52 2016 UTC Last Renewal Attempt: SUCCEEDED on Aug 4 05:30:03 2016 UTC Next Renewal Attempt: Jan 31 05:30:03 2017 UTC Registration Expires: Aug 4 05:24:56 2017 UTC Export-Controlled Functionality: Allowed License Authorization: License Authorization: Status: AUTHORIZED on Aug 4 05:30:05 2016 UTC Last Communication Attempt: SUCCEEDED on Aug 4 05:25:02 2016 UTC Next Communication Attempt: Sep 3 05:30:07 2016 UTC Communication Deadline: Aug 4 05:24:56 2017 UTC Development mode: enabled admin@ncs#
Gebruik (geautoriseerde status)
Welke licentie wordt gebruikt, kunt u zien met de opdracht Licentieoverzicht weergeven. In dit voorbeeld worden NSO-platform-productie, NSO-netwerk-element en cisco-ios-NED gebruikt in het systeem. De status Licentieautorisatie is "GEAUTORISEERD". Dit betekent dat alle componenten waarvoor licenties nodig zijn, correct werken onder een wettelijke staat.
admin@ncs# show license summary Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: COMPANY A Virtual Account: Network Department Last Renewal Attempt: None Next Renewal Attempt: Jan 31 05:33:02 2017 UTC License Authorization: Status: AUTHORIZED Last Communication Attempt: SUCCEEDED Next Communication Attempt: Sep 3 05:33:06 2016 UTC License Usage: License Entitlement Tag Count Status ---------------------------------------------------------------------------------------------------- ------------------------------------------ 348fbb21-7edf-42bb-baa7-198903058a54regid.2016-04. com.cisco.NSO-platform-production,4.2_348fbb21-7ed f-42bb-baa7-198903058a54 1 InCompliance 5d641fa0-757d-43b0-a926-166cb6e3cfddregid.2015-10. com.cisco.NSO-network-element,1.0_5d641fa0-757d-43 b0-a926-166cb6e3cfdd 3 InCompliance d9eca34d-1f6a-4595-ad74-9c0c57e03c27regid.2015-10. com.cisco.cisco-ios-NED,1.0_d9eca34d-1f6a-4595-ad7 4-9c0c57e03c27 1 InCompliance Development mode: disabled admin@ncs#
Dit is een uitvoer van de opdracht licentiegebruik weergeven in een ander voorbeeld. In dit voorbeeld wordt ook cisco-iosxr-NED toegevoegd en de status is OutOfCompliance. Dit geeft aan dat het registreren bij CSSM prima is, maar een licentie voor cisco-iosxr-NED is onvoldoende in de virtuele account. Vanwege de niet-nalevingsstatus van cisco-iosxr-NED is de algehele status OUT_OF_COMPLIANCE.
admin@ncs # show license usage
License Authorization Status : OUT_OF_COMPLIANCE as of Oc 24 06:14:11 2016 UTC
NSO-platform-production (regid.2016-04.com.cisco.NSO-platform-production, 1.0_d1445dab-9d96-4593-99f2-6f633b8a759c)
Description : API unavailable
Count : 1
Version : 1.0
Status : InCompliance
NSO-network-element (regid.2015-10.com.cisco.NSO-network-element, 1.0_5d641fa0-757d-43b0-a926-166cb6e3cfdd)
Description : API unavailable
Count : 3
Version : 1.0
Status : InCompliance
cisco-ios-NED (regid.2015-10.com.cisco.cisco-ios-NED, 1.0_d9eca34d-1f6a-4595-ad74-9c0c57e03c27)
Description : API unavailable
Count : 1
Version : 1.0
Status : InCompliance
cisco-iosxr-NED (regid.2015-10.com.cisco.cisco.cisco-iosxr-NED, 1.0_9956fc34-cbed-4d13-a1ea-6a36f4e40a99)
Description : API unavailable
Count : 1
Version : 1.0
Status : OutOfCompliance
Problemen oplossen
Probeer foutopsporing in te schakelen voor de functie voor slimme licenties. Wanneer debug is ingeschakeld, wordt het debug-log gegenereerd in het bestand dat is opgegeven in /smart-license/smart-agent/stdout-capture/file. smart license debug genereert veel logs en het wordt aanbevolen om het debug uit te schakelen na het verzamelen van gegevens.
Foutopsporing inschakelen
admin@ncs# debug smart_lic all
ok
admin@ncs#
Foutopsporing uitschakelen
admin@ncs# no debug smart_lic all
ok
admin@ncs#
Configuratie van slim licentielog
admin@ncs# show running-config smart-license
smart-license smart-agent stdout-capture disabled
smart-license smart-agent stdout-capture file ./logs/ncs-smart-licensing.log
admin@ncs#
Slim licentielogboek inschakelen
admin@ncs(config)# smart-license smart-agent stdout-capture enabled
admin@ncs(config)# commit
Commit complete.
admin@ncs(config)#
CSSM On-Prem SSL-certificaat vernieuwen
Voor klanten die on-prem CSSM hebben, kan NSO geen verbinding maken met de server als het SSL-certificaat is verlopen.
Hier zijn de stappen om het probleem op te lossen door een onprem.crt-bestand te genereren:
1. Verzamel het nieuwe certificaat van de CSSM-server met behulp van openssl (poort normaal gebruikt is 443):
openssl s_client -showcerts -connect <>:443 | openssl x509 -out onprem.crt 2. Zoek de map op om het certificaat te importeren. De standaarddirectory is /etc/pki/ca-trust/extracted/java/cacerts. Om het te vinden, hier is een opdracht om te zoeken naar de cacerts mappen in het systeem, en een voorbeeld van de uitvoer:
[root@localhost /]# find / -name cacerts 2>/dev/null | xargs -I {} ls -l {}
-r--r--r--. 1 root root 156478 Jun 26 08:02 /etc/pki/ca-trust/extracted/java/cacerts
lrwxrwxrwx. 1 root root 40 Aug 25 2022 /etc/pki/java/cacerts -> /etc/pki/ca-trust/extracted/java/cacerts
lrwxrwxrwx. 1 root root 21 Jun 15 04:52 /etc/java/java-17-openjdk/java-17-openjdk-17.0.15.0.6-3.el9.x86_64/lib/security/cacerts -> /etc/pki/java/cacerts
[root@localhost /]# 3. Laad het certificaat. Het standaardwachtwoord voor de keystore is gewijzigd:
sudo keytool -import -alias ssm_onprem -file onprem.crt -keystore /etc/pki/ca-trust/extracted/java/cacerts3.1 (Optioneel) Voer deze opdracht uit om te bevestigen dat het certificaat correct is geladen:
root@Ubuntu-24-9:/home/nso# keytool -list -keystore /etc/ssl/certs/java/cacerts -storepass changeit -alias ssm_onprem
Warning: use -cacerts option to access cacerts keystore
ssm_onprem, Aug 4, 2025, trustedCertEntry,
Certificate fingerprint (SHA-256): F7:00:C9:74:34:57:5E:BE:70:A7:0E:D2:9B:A8:2D:44:F1:CE:14:55:C3:D9:06:3F:83:68:95:A1:C6:B5:7F:26
root@Ubuntu-24-9:/home/nso# 4. Start de slimme agent opnieuw op (in configuratiemodus):
admin@ncs(config)# smart-license smart-agent restart
result Started5. Herregistratie van het certificaat:
admin@ncs# license smart deregister
ok
admin@ncs# license smart register idtoken TOKEN
Registration process in progress. Use the 'show license status' command to check the progress and result.
admin@ncs# 6. Om te bevestigen dat de registratie succesvol was met de opdracht Toon licentie samenvatting waarvan de uitvoer in dit artikel wordt weergegeven.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
5.0 |
04-Aug-2025
|
Bijgewerkte auteursnamen, opmaak, grammatica en verbeterde schrijfstijl. |
4.0 |
01-Aug-2024
|
Eerste versie - belangrijke problemen met opmaak en stijl zijn gecorrigeerd. |
1.0 |
06-Jun-2017
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)