Configureren van slimme licenties voor IOS-routingplatforms voor ondernemingen

Inleiding

Dit document beschrijft de typen implementatie van Cisco Smart Licensing (SL) en de vereiste configuratie.

Voorwaarden

Vereisten

• Een slimme account met toegang tot het Cisco Smart Software Manager (CSSM)-portal
• Een apparaat met Cisco IOS® versie tussen 16.5.1 en 17.3.1
• Cisco Smart Software Manager-onprem server
• HTTPS-verbinding tussen het apparaat en de CSSM- of On-Prem-server

Opmerking:  Voor sommige implementaties is de Cisco Smart Software Manager On-Prem niet nodig. Het is een optionele component voor deze functie.

Voorzichtig: Smart Licensing is optioneel voor versies tussen 16.5.1 en 16.9.8. Voor fysieke apparaten met Cisco IOS® XE 16.10.1a tot Cisco IOS® XE 17.3.1 is slimme licentiëring verplicht. Vanaf 17.3.2 is Slimme licentiëring met behulp van beleid verplicht. Controleer voor virtuele apparaten en andere Cisco-platforms de releaseopmerkingen van de specifieke code.

Gebruikte componenten

Dit document is van toepassing op Cisco IOS XE Enterprise Routing-platforms.
De informatie in dit document is gebaseerd op de volgende hardware- en softwareversies:

• Cisco ASR 1001-X met Cisco IOS XE versie 16.9.4 en Cisco ISR4351 met Cisco IOS XE versie 16.12.1 
• Smart Software Manager-server met 8-202108 versie.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Soorten implementaties 

Er zijn vier belangrijke implementatieopties beschikbaar voor registratie en verbruik van Smart Licensing:

1. Directe CSSM-toegang
2. Direct CSM Access met proxy
3. SSM on-prem toegang
4. Specifieke licentiereservering (SLR)

Direct CSM-toegang

Met deze implementatieoptie kunt u gebruiksinformatie via het internet rechtstreeks via HTTPS naar Cisco overdragen.

Vanaf Cisco IOS XE 16.10.1a is slimme licentiëring standaard ingeschakeld en is dit het enige beschikbare licentiemodel. Voor deze plaatsing, wordt Layer 3 configuratie vereist, en bereikbaarheid naar tools.cisco.com in HTTPS poort (443) vanaf de juiste interface. DNS-configuratie is vereist.

Zodra de verbinding is bevestigd, worden de volgende stappen voor het registreren van de apparaten uitgevoerd:

Stap 1. Schakel slimme licentie op het apparaat in (optioneel). Vanaf 16.10.1a is deze standaard ingeschakeld.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

Opmerking:Deze opdracht maakt de vereiste service call-home mogelijk.

Stap 2. Configureer een DNS-server (Domain Name System) of een statische hostingang voor tools.cisco.com.

Router(config)#ip name-server X.X.X.X 
or
Router(config)#ip host tools.cisco.com X.X.X.X

Stap 3. Genereer een nieuw token van Cisco Smart Software Manager.

• Log in op Cisco Smart Software Manager op https://software.cisco.com/# en navigeer naar de sectie Smart Software Manager.
• Selecteer het tabblad Inventaris en selecteer Virtuele account in de vervolgkeuzelijst Virtuele account.
• Selecteer het tabblad Algemeen en selecteer vervolgens Nieuw token.

• Voer de token-beschrijving in en specificeer het aantal dagen dat de token actief moet zijn.
• Schakel Exportgecontroleerde functionaliteit toestaan in op de producten die met dit token zijn geregistreerd.Dit maakt het mogelijk om een hoge coderingslicentie aan te vragen in de geregistreerde apparaten.
• Selecteer Token maken. Selecteer Kopiëren nadat de token is gemaakt.

Stap 4. Wijzig de call-home configuratie (optioneel).

De standaardconfiguratie van het call-home profiel is voldoende om het apparaat te registreren. U kunt de huidige configuratie van het call-home profiel hier verifiëren:

Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email

Stap 5. Registreer het apparaat met CSM met het token.

Router#license smart register idtoken < token from CSSM portal > force

Opmerking: Het krachtsleutelwoord dwingt de registratiepoging onmiddellijk af. Als de registratieprocedure niet wordt gebruikt, kan dit meer tijd in beslag nemen.

Stap 6. Controleer dat het apparaat correct bij de CSM is geregistreerd.

Router#show license status 
Smart Licensing is ENABLED 

Registration: 
 Status: REGISTERED 
 Smart Account: TAC Cisco Systems, Inc. 
 Virtual Account: CORE TAC 
 Export-Controlled Functionality: Allowed 
 Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC 
 Last Renewal Attempt: None 
 Next Renewal Attempt: Feb 28 12:54:22 2018 UTC 
 Registration Expires: Sep 01 12:49:04 2018 UTC 

License Authorization: 
 Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC 
 Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC 
 Next Communication Attempt: Oct 01 12:54:28 2017 UTC 
 Communication Deadline: Nov 30 12:49:12 2017 UTC

Direct CSM Access met Virtual Routing and Forwarding (VRF)

Als het apparaat een VRF gebruikt om de CSM te bereiken, is het noodzakelijk om de bron VRF en de broninterface te configureren onder de configuratie van het call-home-profiel. Om deze implementatie te configureren moet u stap 1-3 volgen uit het gedeelte Direct CSM Access. Bewerk vervolgens de configuratie van de call-home met de juiste VRF en de broninterface om de CSM URL te bereiken. Hier wordt de beheerinterface Gigabit Ethernet0 gebruikt die in de Mgmt-intf VRF als voorbeeld is.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

Configureer de bron-HTTP-interface met de juiste interface die aan de VRF is toegewezen. Deze configuratie beïnvloedt in het verkeer HTTP en HTTPS.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

DNS configureren voor de specifieke VRF:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X

Zodra de VRF-configuratie is voltooid, kan deze worden voortgezet met stap 5 en 6 uit het gedeelte Direct CSM Access.

Direct CSM Access met proxy 

Als een proxyserver is vereist om HTTPS-verbinding met de CSSM te bereiken, moet hij de stappen in de sectie Direct CSSM Access volgen en de opdracht http-proxy opnemen in de configuratie van het startpunt.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080 

SSM on-prem toegang

Met dit implementatietype kunt u producten en licenties op uw locatie beheren zonder een directe verbinding met CSSM die wordt gehost door Cisco. Om dit te implementeren, moet u al een SSM On-Prem geïnstalleerd hebben in uw netwerk. De stappen voor het installeren van SSM On-Prem vallen buiten het bereik van dit document.

De configuratie stappen om de SSM On-Prem server aan te sluiten op een apparaat zijn:

Stap 1. Schakel slimme licentiëring op het apparaat in.

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

Opmerking: Met deze opdracht kunt u de gewenste service call-home inschakelen.

Stap 2. Zorg ervoor dat u kunt communiceren met uw CSM On-Prem Server.

Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

Opmerking: Als u een DNS-server hebt, kunt u deze gebruiken om uw IP-adres van de On-Prem-server op te lossen in een naam.

Stap 3. Genereer een nieuw token vanuit SSM On-Prem.

3.1 Log in op de SSM-server.

3.2 Token maken

• Voer de beschrijving van de token in. Geef op hoeveel dagen de token actief moet zijn.
• Schakel het aanvinkvakje Allow export-managed functionaliteit in op de producten die zijn geregistreerd met dit token.
• Selecteer Token maken.
• Nadat het token is gemaakt, selecteert u Kopiëren om het nieuwe token te kopiëren.

Stap 4. Configureer de call-home op het apparaat.

Het is vereist om de bestemming adres http opdracht te wijzigen met het IP van de On-Prem server (http://X.X.X.X/Transportgateway/services/DeviceRequestHandler) en de standaard te verwijderen.

Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end

Stap 5. Configureer de herroeping-controle op de SLA-TrustPoint trustpoint.

Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none

Stap 6. Registreer het apparaat met de token die u van SSM On-Prem hebt ontvangen.

Router#license smart register idtoken < token from SSM On-Prem portal > force

Stap 7. Controleer dat het apparaat correct bij de SSM On-Prem is geregistreerd.

Router#show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLEDData Privacy:
 Sending Hostname: yes
 Callhome hostname privacy: DISABLED
 Smart Licensing hostname privacy: DISABLED
 Version privacy: DISABLED

Transport:
 Type: Callhome

Registration:
 Status: REGISTERED
 Smart Account: manudiaz
 Virtual Account: Default
 Export-Controlled Functionality: ALLOWED
 Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
 Last Renewal Attempt: None
 Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
 Registration Expires: Oct 19 04:35:44 2021 UTC

SSM onbeperkt toegang tot IP-telefoon met VRF-configuratie

Als u een VRF gebruikt om SSM On-Prem te bereiken, moet u de bron VRF configureren zodat het apparaat het verzoek van de juiste VRF genereert.

Volg de stappen in het gedeelte SSM On-Prem Access tot stap 3.

Stap 1. Bewerk de call-home configuratie met de juiste VRF en de bron interface waar u SSM on-Prem kunt bereiken:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

Stap 2. Configureer de bron-http-client interface met de juiste interface die aan de VRF is toegewezen:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

Stap 3. Configureer DNS voor de specifieke VRF.

U kunt een DNS-server in uw On-Prem-omgeving configureren om de naam van uw SSM On-Prem-server op te lossen:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X

U kunt na deze wijzigingen doorgaan met stap 5 en 6 van SSM On-Prem Access.

Specifieke licentiereservering (SLR)

SLR is een functie waarmee u een softwarelicentie op een apparaat kunt implementeren zonder rechtstreeks gebruiksinformatie met Cisco te communiceren. Deze functionaliteit is vooral handig in zeer veilige netwerken en wordt ondersteund op platforms die Smart Licensing Portal hebben.  Deze configuratiehandleiding gaat ervan uit dat u SLR hebt aangevraagd en dat u hiervoor toestemming hebt gekregen.

Opmerking: SLR is standaard niet ingeschakeld. U moet deze functionaliteit specifiek aanvragen. 

Opmerking: SLR en de licentietransacties worden ondersteund in Cisco IOS XE 16.1.1a en latere releases.

Om SLR in het apparaat te configureren, moet u deze stappen uitvoeren vanaf de routerzijde en via het CSSM-portal

Stap 1. Configureer de router voor SLR. U moet de opdracht voor slimme reservering van licenties invoeren en de SLR-functie aanvragen met de lokale aanvraag voor slimme reservering van licenties.

Opmerking: Als de registratie wordt gedaan in een HA-platform, moet u gebruik maken van licentie smart reservering.

Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
  Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX

Opmerking: SLR is standaard niet ingeschakeld. U moet deze functionaliteit specifiek aanvragen.

Opmerking: Als u de aanvraag voor de licentiereservering wilt annuleren, voert u de opdracht Licentie slimme reservering annuleren uit.

Op de CSSM is het vereist om de benodigde licenties te reserveren.

Stap 2. Meld u aan bij CSM op https://software.cisco.com/#. U moet inloggen op het portal met uw Cisco-referenties.

Stap 3. Selecteer het tabblad Inventaris. Selecteer in de vervolgkeuzelijst Virtuele account uw slimme account.

Stap 4. Selecteer op het tabblad Licenties de optie Licentiereservering.

Stap 5. Voer op de pagina Voer de code voor het aanvraagformulier in of voeg de code voor het reserveringsverzoek toe die u via de router hebt gegenereerd en selecteer Volgende.

Stap 6. Controleer het vakje Reserveer een specifieke licentie en selecteer de licentie en het bedrag van de gereserveerde licentie die voor elk apparaat is vereist.

Stap 7. Selecteer op het tabblad Beoordeling en bevestiging de optie Generate Authorisation Code.

Opmerking: Nadat u de SLR-code voor een specifiek apparaat hebt gegenereerd, is het autorisatiecode-bestand geldig totdat u de code installeert. Als de installatie mislukt, moet u contact opnemen met Cisco Global License Operations (GLO) om een nieuwe autorisatiecode te maken. U kunt contact opnemen met GLO.

Stap 8. Selecteer Kopiëren naar het klembord om de code te kopiëren of downloaden als een bestand. U moet de code of het bestand naar uw apparaat kopiëren om door te gaan met het proces.

Als u SLR configureert, kunt u het tekstbestand voor de autorisatiecode downloaden of installeren. Als u Permanent License Reservation (PLR) configureert, kunt u de autorisatiecode kopiëren en plakken.

Stap 9. Log in op uw apparaat en gebruik de installatie commando licentie smart reservering installeer bestand bootflash:<SLR bestand>.

Router#enable
Router#license smart reservation install file bootflash:

 Indien nodig kunt u de licenties die in het apparaat zijn gereserveerd, retourneren en teruggaan naar een niet-geregistreerde status. Er wordt een retourcode gegenereerd en deze moet in CSSM worden ingevoerd om de productinstantie te verwijderen.

Router#enable
Router#license smart reservation return local

Een specifieke licentiereservering bijwerken

Nadat u een apparaat met succes registreert, kunt u indien nodig de reservering bijwerken met een nieuwe functie of licentie:

Stap 1. Meld u aan bij Cisco Smart Software Manager op https://software.cisco.com/#. U moet inloggen op de portal met de door Cisco opgegeven gebruikersnaam en wachtwoord.

Stap 2. Navigeer naar het tabblad Inventaris en selecteer uw slimme account in de vervolgkeuzelijst Virtuele account.

Stap 3. Selecteer op het tabblad Product de optie Handelingen voor het apparaat dat u moet bijwerken.

Stap 4. Selecteer Gereserveerde licenties bijwerken.

Stap 5. Selecteer de licentie die u wilt bijwerken.

Stap 6. Selecteer Volgende.

Stap 7. Selecteer op het tabblad Beoordeling en bevestiging de optie Generate Authorisation Code. Het tabblad Autorisatiecode wordt weergegeven. Het systeem toont de autorisatiecode die wordt gegenereerd.

Stap 8. Selecteer de optie Kopiëren naar klembord om de code te kopiëren of als bestand te downloaden. U moet de code of het bestand naar uw apparaat kopiëren.

Stap 9. Log in op het apparaat dat u wilt bijwerken.

Stap 10. Start de opdracht voor installatie van installatiebestanden voor de licentie smart reservation.

Router#enable
Router#license smart reservation install file bootflash:

Registreer een specifiek licentiereservering

Als u een specifieke licentiereservering voor een apparaat wilt deregistreren, moet u de licentiereservering in de CLI retourneren en de instantie uit CSSM verwijderen.

Stap 1. Log in op het apparaat dat u wilt deregistreren.

Stap 2. Gebruik de opdracht voor slimme reservering van de licentie om de autorisatiecode van de licentiereservering te verwijderen.

Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
    CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33

Stap 3. Meld u aan bij CSM op https://software.cisco.com/#.

Stap 4. Selecteer het tabblad Inventaris. Selecteer in de vervolgkeuzelijst Virtuele account uw slimme account.

Stap 5. Selecteer Handelingen in het tabblad Productinstantie voor het apparaat dat u wilt deactiveren.

Stap 6. Selecteer Verwijderen.

Stap 7. Voer de retourcode in als hierom wordt gevraagd.

Problemen oplossen

Apparaat kan geen oplossing bieden voor tools.cisco.com

 Controleer of u een DNS-server correct hebt geconfigureerd voor de juiste VRF- of globale routetabel. Indien gewenst, kunt u ook een statische DNS-ingang maken:

Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8 

Opmerking:  De IP-adressen 72.163.4.38 en 173.37.145.8 worden gebruikt om tools.cisco.com te bereiken. Die kunnen veranderen zoals opgelost door DNS. Vraag voordat u de handleiding gaat configureren een bevestiging met de lokale apparatuur.

De router kan niet communiceren met tools.cisco.com

• Zorg ervoor dat een standaardroute naar internet is geconfigureerd.
• Zorg ervoor dat er geen firewall of proxy is tussen het apparaat en CSSM.
• Zorg ervoor dat de poorten 443 en 80 niet worden geblokkeerd.

Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open

• Telnet met VRF.

Router#telnet tools.cisco.com 443 /vrf Mgmt-intf 
Trying tools.cisco.com (72.163.4.38, 443)... Open

Licentie met de status "OUT OF COMPLIANCE"

Deze toestand treedt op wanneer het apparaat een recht gebruikt en niet in overeenstemming is met de voorschriften (negatief saldo). Dit gebeurt wanneer een vereiste licentie niet beschikbaar is in de virtuele account waarmee het Cisco-apparaat is geregistreerd.

Router#show license all

License Authorization:
  Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
  Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
  Next Communication Attempt: Mar 26 03:12:31 2019 CDT
  Communication Deadline: Jun 23 15:06:30 2019 CDT

• Om de status Compliance / Authorised in te voeren, moet u het juiste aantal en type licenties toevoegen aan de Smart Account
• Wanneer het apparaat zich in deze staat bevindt, wordt er elke dag automatisch een verzoek om verlenging van de autorisatie verzonden

Smart Licensing-debugs

Enkele debugs die kunnen worden gebruikt om problemen op te lossen met call-home en slimme licentieregistratie problemen zijn:

• debug-startvertraging
• debug call-home fout
• debug call-home smart-licentiëring alles
• debug ip http client alle
• debug crypto pki <alle opties>
• debug ssl openssl <alle opties>

Aanvullende informatie

Cisco slimme licentiegids voor Cisco Enterprise Routing-platforms