Inleiding
In dit document wordt beschreven hoe u kunt werken met Cisco Smart Licensing (cloudgebaseerd systeem) om problemen op te lossen en softwarelicenties op Nexus-switches te beheren.
Wat is Cisco Smart Licensing?
Een Cisco Smart Account is een beheerde gegevensopslagplaats die volledige zichtbaarheid en toegangscontrole biedt voor Cisco-softwarelicenties, rechten en productinstanties in het hele bedrijf
Is Smart Licensing en/of Smart Account Administration nieuw voor u?
Meld u aan voor de nieuwe trainingscursus voor beheerders, met opnames:
Ondersteunde Cisco Nexus-platforms
Nexus 3000 en 9000
NX-OS versies vóór 9.3(3) ondersteunen alleen traditionele licenties. NX-OS versies van 9.3(3) tot 10.1(2) ondersteunen zowel traditionele licenties als Smart Licensing, die in dit document worden behandeld. NX-OS versies na 10.1(2) ondersteunen alleen Smart Licensing Using Policy, wat verschilt van Smart Licensing. Raadpleeg in plaats daarvan deze handleiding voor versies die nieuwer zijn dan 10.1(2).
Nexus 7000
Smart Licensing wordt ondersteund op de Cisco Nexus 7000 met NX-OS 8.0(1) en nieuwer.
Ondersteunde methoden voor Smart-licenties op Nexus-Switches

Workflow voor gebruikers van slimme licenties

Status van smartlicentieproduct

geregistreerd

Licenties

Verzoek of verlenging

vernieuwing

Registratie- en licentiestatussen
Terwijl Smart Licensing is ingesteld, zijn er meerdere mogelijke toestanden waarin een Cisco-apparaat zich kan bevinden. Deze statussen kunnen worden weergegeven door "alle licenties weer te geven of de licentiestatus weer te geven" vanuit de Command Line Interface (CLI) van het Cisco-apparaat.
Hier is een lijst van alle staten en hun betekenis:
De status Evaluatie (niet-geïdentificeerd)
- Dit is een standaardstatus van het apparaat wanneer het voor het eerst wordt opgestart.
- Dit is doorgaans de status wanneer een Cisco-apparaat nog niet is geconfigureerd voor Smart Licensing of geregistreerd voor een Smart Account.
- In deze status zijn alle functies beschikbaar en kan het apparaat licentieniveaus onbeperkt wijzigen.
- De evaluatieperiode wordt gebruikt wanneer het apparaat de niet-geïdentificeerde status heeft. Het apparaat probeert in deze staat niet met Cisco te communiceren.
- Dit is 90 dagen gebruik en niet 90 kalenderdagen. Zodra het is verlopen, wordt het nooit gereset.
- Er geldt één evaluatieperiode voor het hele apparaat, niet per recht
- Wanneer de evaluatieperiode na 90 dagen verloopt, wordt op het apparaat de EVAL EXPIRY-modus ingeschakeld, maar dit heeft geen enkele impact op de functionaliteit, ook niet na opnieuw laden. Momenteel is er geen handhaving geïmplementeerd.
- De afteltijd wordt bijgehouden bij reboots.
- De evaluatieperiode wordt gebruikt als het apparaat zich nog niet heeft geregistreerd bij Cisco en deze twee berichten van de Cisco-backend niet heeft ontvangen:
- Successful response to a registration request (Geslaagde reactie op een registratieaanvraag)
- Successful response to an entitlement authorization request (Geslaagde reactie op een aanvraag voor autorisatie van rechten).
De status Geregistreerd
- Dit is de verwachte status nadat de registratie is voltooid.
- Het Cisco-apparaat heeft kunnen communiceren met een Cisco Smart Account en zich kunnen registreren.
- Het apparaat ontvangt een ID-certificaat dat 1 jaar geldig is en wordt gebruikt voor toekomstige communicatie.
- Het apparaat stuurt een verzoek naar CSSM om de rechten voor de op het apparaat gebruikte licenties toe te staan.
- Op basis van de CSSM-respons voert het apparaat vervolgens Geautoriseerde of Out-of-Compliance in
- Het ID-certificaat verloopt na één jaar. Na 6 maanden probeert de softwareagent het certificaat te vernieuwen. Als de Agent niet kan communiceren met de Cisco Smart Software Manager, blijft de Agent proberen het ID-certificaat te vernieuwen tot de vervaldatum (1 jaar). Aan het einde van een jaar gaat de agent terug naar de niet-geïdentificeerde staat en probeert de evaluatieperiode in te schakelen. De CSSM verwijdert de productinstantie uit de database.
De status Geautoriseerd
- Dit is de verwachte staat wanneer het apparaat een recht gebruikt en in overeenstemming is (geen negatief saldo),
- De virtuele account op CSSM had het juiste type en aantal licenties om het gebruik van de apparaatlicenties toe te staan.
- Na 30 dagen stuurt het apparaat een nieuw verzoek naar CSSM om de autorisatie te verlengen.
- Deze status heeft een tijdspanne van 90 dagen waarna (indien niet verlengd) wordt overgegaan naar de status Autorisatie verlopen.
Staat buiten naleving
- Dit is de staat waarin het apparaat een recht gebruikt en niet voldoet aan de nalevingsvoorwaarden (negatief saldo).
- Deze status is van toepassing als voor de licentie geen licentie beschikbaar is in de bijbehorende Virtual Account waarvoor het Cisco-apparaat is geregistreerd in de Cisco Smart Account.
- Om de status Compliance / Authorized in te voeren, moet u het juiste aantal en type licenties toevoegen aan de Smart Account.
- Wanneer het apparaat in deze toestand verkeert, verzendt het automatisch elke dag een verzoek tot verlenging van de autorisatie.
- Licenties en functies blijven werken en er is geen functionele impact.
De status Autorisatie verlopen
- Dit is de staat waarin het apparaat een recht gebruikt dat al meer dan 90 dagen niet kan communiceren met de Cisco Smart Account die is gekoppeld.
- Dit gebeurt doorgaans als het Cisco-apparaat geen toegang meer heeft tot internet of geen verbinding meer kan maken met tools.cisco.com na de eerste registratie.
- Voor online Smart Licensing-methoden moeten Cisco-apparaten minstens elke 90 dagen communiceren om deze status te voorkomen.
- CSSM retourneert alle in gebruik zijnde licenties voor dit apparaat terug naar de pool omdat het 90 dagen geen communicatie heeft gehad.
- Terwijl in deze toestand het apparaat blijft proberen om Cisco te contacteren, elk uur, om de machtiging te verlengen, totdat de registratieperiode (id-certificaat) verloopt.
- Licenties en functies blijven werken en er is geen functionele impact.
- Als de softwareagent de communicatie met Cisco opnieuw tot stand brengt en op zijn verzoek om autorisatie ontvangt, verwerkt hij die antwoorden normaal en gaat hij een van de vastgestelde staten in.
Ondersteunde methoden voor Nexus en Config
Methode-1 (directe cloudtoegang )
Basisconfiguratie:
switch# show run callhome
!Command: show running-config callhome
!Running configuration last done at: Wed Jun 22 16:14:37 2022
!Time: Wed Jun 22 16:16:28 2022
version 9.3(4) Bios:version 07.67
callhome
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
switch# show license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: ldap_user_test
Virtual Account: Default
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Jun 22 16:15:41 2022 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Dec 19 16:15:41 2022 UTC
Registration Expires: Jun 22 16:13:53 2023 UTC
License Authorization:
Status: AUTHORIZED on Jun 22 16:15:44 2022 UTC
Last Communication Attempt: SUCCEEDED on Jun 22 16:15:44 2022 UTC
Next Communication Attempt: Jul 22 16:15:43 2022 UTC
Communication Deadline: Sep 20 16:12:55 2022 UTC
Smart License Conversion:
Automatic Conversion Enabled: False
Status: Not started
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/nx-os/licensing/guide/b_Cisco_NX-OS_Licensing_Guide/m-smart-licensing-for-cisco-nexus-3000-and-9000-series-switches.html
Methode-2 (Toegang via een HTTP-proxy)
switch# show run callhome
version 9.3(4) Bios:version 07.67
call home
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
transport http proxy server X.X.X.X port 80
transport http use-vrf management
transport http proxy enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
Methode-3 (on-prem – online )
switch# show run callhome
version 9.3(4) Bios:version 07.67
callhome
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://10.106.41.xx/Transportgateway/services/DeviceRequestHandlerend
transport http use-vrf management
enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
Methode-4 (on-prem – offline )



Wat is een ID-token?
Gebruikt om producten veilig te registreren op een Smart Account en Virtual Account
ID-tokens zijn organisatiekenmerken die worden gebruikt om de identiteit vast te stellen wanneer een product wordt geregistreerd.
Hoe ID-token te genereren vanuit CSSM
https://software.cisco.com/software/csws/ws/platform/home?locale=en_US#
Licenties beheren -> Voorraad -> Algemeen -> Nieuwe token -> Token maken
Problemen oplossen
Wanneer een Cisco-apparaat wordt gemigreerd naar een softwareversie met Smart Licensing, kan dit stroomschema worden gebruikt als algemene handleiding voor alle drie de methoden (Direct Cloud Access, HTTPS Proxy en Cisco Smart Software Manager On-prem).
werkstroom

Bekende problemen
- Het probleem om N9K-C9348GC-FXP geregistreerd te krijgen voor slimme licenties.
1. Fout - Verzend geen HTTP-oproep naar huis
[+] Bel naar home configs
Switch# show running-config callhome
version 9.3(5) Bios:version 07.68
callhome
email-contact abc@example.com
phone-contact +919XXXXXXXXX
streetaddress ST3, RD 4, Bangalore
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
[+] Bevestigde bereikbaarheid naar tools.cisco.com.
DC-DMZ(config)# ping tools.cisco.com vrf management
PING tools.cisco.com (72.163.4.38): 56 data bytes
64 bytes from 72.163.4.38: icmp_seq=0 ttl=232 time=237.581 ms
64 bytes from 72.163.4.38: icmp_seq=1 ttl=232 time=237.859 ms
64 bytes from 72.163.4.38: icmp_seq=2 ttl=232 time=237.562 ms
64 bytes from 72.163.4.38: icmp_seq=3 ttl=232 time=237.413 ms
64 bytes from 72.163.4.38: icmp_seq=4 ttl=232 time=237.995 ms
DC-DMZ(config)# telnet tools.cisco.com 443 vrf management
Trying 2001:420:1101:5::a...
Trying 72.163.4.38...
Connected to tools.cisco.com.
Escape character is '^]'.
^CConnection closed by foreign host.
+ HTTP-broninterface is geconfigureerd voor interface vlan 27, gewijzigd in mgmt0
2. Fout - Responsgegevens van SCH-server niet ontleden
++ HTTP wordt niet langer ondersteund om de backend van Cisco te bereiken; HTTPS wordt alleen ondersteund. De huidige configuratie is verwijderd en het bestemmingsadres is bijgewerkt om HTTPS te gebruiken.
Previous config
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable
New config added
(config)#callhome
(config-callhome)#enable
(config-callhome)# destination-profile CiscoTAC-1 transport-method http
(config-callhome no destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
(config-callhome destination-profile CiscoTAC-1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
3. Fout - Het verzenden van een HTTP-bericht van Call Home mislukt (IPC Connect met Call Home – Quo Vadis Root CA wordt niet vastgesteld)
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
4. Fout - Gebrek aan DNS-reactie veroorzaakt Callhome MTS-berichten vastgelopen
Cisco Bug ID CSCvv67469