HSEC-licentie configureren op SD-WAN XE Edge Router

Inleiding

In dit document wordt beschreven hoe u HSECK9-licenties op SD-WAN XE Edge Router installeert en problemen oplost.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco Software-defined Wide Area Network (SD-WAN)
• Cisco IOS® XE Command Line Interface (CLI)
• Smart Licensing
• Cisco Software Central

Gebruikte componenten

Dit document is gebaseerd op deze software- en hardwareversies:

• Cisco Edge Router C1111-8PWE versie 17.6.3
• Cisco Edge Router c8000v 17.12.3
• Cisco Smart Software Manager (CSSM)
• Cisco vManage 20.12.3.1

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Concepten

Smart Licensing Using Policy maakt gebruik van een verscheidenheid aan nieuwe concepten, zoals:

• Typen licentiehandhaving
• Licentieduur
• autorisatiecode
• Doorvoerniveau waarvoor Smart Licensing Authorization Code (SLAC) is vereist - Routerplatforms die een SLAC nodig hebben
• Beleid
• Rapport meting hulpbronnengebruik (RUM-rapport) en rapportbevestiging
• vertrouwenscode

Ga voor meer informatie naar Smart Licensing Using Policy Concepts.

Opmerking: De in dit document beschreven processen voor de installatie van HSECK9-licenties zijn zowel van toepassing op fysieke als virtuele routers. Er is geen platformspecifiek installatieproces.

doorvoergedrag

• Alle ISR1000-reeksen, ISR4000-reeksen, C8200, C8300, CSR1000v, C8000v en ISRv standaard tot 250 Mbps als het product geen HSECK9-licentie heeft.
• Voor alle ISR1000-reeksen, ISR4000-reeksen, C8200, C8300, CSR1000v, C8000v en ISRv moet een HSECK9-licentie zijn geïnstalleerd als de doorvoer hoger moet zijn dan 250 Mbps.
• Alle ASR1000-reeksen hoeven geen HSECK9 te hebben voor >250 Mbps.
• Van alle C8500 wordt verwacht dat een HSECK9-licentie in de fabriek is geïnstalleerd. Zo niet, dan kan de HSECK9-licentie handmatig worden geïnstalleerd.
• Er is geen doorvoerconfiguratie in de door de controller beheerde modus. Met de HSECK9-licentieinstallatie kunnen de forwarding Cores/Packet Processor Engines automatisch de doorvoer vrijgeven.
• De maximale doorvoer na de HSECK9-licentieinstallatie is afhankelijk van de hardwaremogelijkheden van het platform. Bekijk het specifieke Platform Datasheet voor meer informatie.

Opmerking: vanaf 20.9.2 en 17.9.2a kunnen HSEC-licenties rechtstreeks vanuit vManage worden beheerd. Meer details zijn hier:
Cisco Catalyst SD-WAN handleiding aan de slag - HSEC-licenties beheren [Cisco SD-WAN] - Cisco

Opmerking: om de HSECK9-licentie in de router te activeren na de installatie, is een handmatige herlading vereist voor alle fysieke routers behalve de virtuele router C8000v.

Verificatie van de beschikbaarheid van licenties

Stap 1. Navigeer naar Cisco Software Central.

Stap 2. Klik op Smart Software Manager.

Stap 3. Selecteer Voorraad in het hoofdmenu.

Stap 4. Kies het juiste virtuele account.

Stap 5. Selecteer het tabblad Licenties onder de virtuele account.

Stap 6. Controleer of de licentie is toegevoegd en beschikbaar is met een positief saldo.

Als er geen licentie beschikbaar is of het saldo negatief (rood) is, open dan een kwestie bij Cisco Licensing Team.

Opmerking: in deze handleiding wordt ervan uitgegaan dat u al een HSECK9-licentie of Router US Export License voor Cisco DNA hebt gekocht en deze is toegevoegd aan een geldig virtueel account binnen een smart account.

Routermodus

Controleer of de router zich in de Controller-Managed-modus bevindt met een van de opdrachten.

show platform software device-mode
show version | include mode

Voorbeeld:

EdgeRouter# show platform software device-mode
Device Operating-mode: Controller-Managed
Device-mode bootup status:
8/03 00:44:16 System is green
Bootup Success

EdgeRouter# show version | in mode 
Router operating mode: Controller-Managed

Opmerking: Als de besturingsmodus resulteert in Autonomous, verplaats de router naar Controller-Managed met controller-mode enable opdracht.

Configureren

Online methode voor CSSM

Vervoerstype configureren en standaard CSSM-URL instellen

Stap 1. Het juiste transporttype en de juiste URL configureren.

EdgeRouter#config-transaction
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit
Commit complete.

Opmerking: Als er een sjabloon aan de router is gekoppeld: de slimme opdrachten voor Transport en URL worden ondersteund en kunnen worden geconfigureerd met een CLI-Add On Feature Template. Navigeer voor meer informatie naar Functiesjablonen voor CLI-invoegtoepassingen.

Stap 2. Controleer of de wijzigingen correct zijn doorgevoerd.

EdgeRouter# show lic tech support | begin Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: Smart <<<<<<<<<<<<<<<<<<<<<<<<<<<< This must be Smart
URL: https://smartreceiver.cisco.com/licservice/license <<<<<<<<<<<<<<< URL must be pointed to smartreceiver.cisco.com
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: True

Opmerking: de standaard-URL wordt automatisch geactiveerd en hoeft niet te worden gewijzigd.

Genereer een Product Instance Registration Token

Stap 1. Genereer een nieuwe token.

Navigeer binnen dezelfde virtuele account waar de licentie zich bevindt naar het tabblad Algemeen en klik op Nieuwe token.

Stap 2. Vul de nieuwe token informatie in.

Beschrijving: Korte beschrijving van waarvoor het token wordt gebruikt.
Vervallen na: Aantal dagen dat het token geldig is voor productregistraties.
Max. Aantal toepassingen: Token maximaal aantal toepassingen. Optioneel.

Zorg ervoor dat de optie Exportgecontroleerd toestaan is ingeschakeld. Anders mislukt de licentieregistratie en klikt u op Token maken.

Opmerking: De token vervalt wanneer de vervaldatum of het maximale gebruik is bereikt.

Opmerking: Ga voor meer informatie naar Cisco Export Trade.

Stap 3. Kopieer de token.

Kopieer de zojuist gegenereerde token naar het klembord; navigeer naar Acties > Kopiëren of navigeer handmatig in het kleine blauwe pictogram naast de tokenreeks.

Genereer een Trust Establishment tussen de Edge Router en CSSM

Om toestemming te geven voor het gebruik van een exportvergunning moet de Edge Router vertrouwen opbouwen met het CSSM. Voor de handshake gebruikt de Edge Router het token dat in de vorige stap op CSSM is gegenereerd.

license smart trust idtoken TOKEN local force

Voorbeeld:

EdgeRouter# license smart trust idtoken ZThjOTlmM2UtMjQ2ZC00YjI1LTgwNjctZGIxZjIzYjZiYmVmLTE2NjM0NjI1%0AMjgyNTh8YWNVeTFiZU03N0lCdTFadmJ4ejZBL0toR2Mva21odElrQmxDa1FN%0AcVI3cz0%3D%0A local force

Direct nadat het vertrouwen is gevestigd, tonen de logs de communicatie met CSSM.

EdgeRouter# show logging last 50
<snip>
*Aug 18 21:03:44.730: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair2 has been removed from key storage
*Aug 18 21:03:46.146: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair2 has been generated or imported by crypto-engine
*Aug 18 21:03:53.221: %SYS-6-PRIVCFG_ENCRYPT_SUCCESS: Successfully encrypted private config file
*Aug 18 21:03:56.107: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco Smart Software Manager (CSSM) restored
*Aug 18 21:03:56.347: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C1111-8PWE,S:FGL2149XXXX.

Verifieer de succesteller voor het opzetten van vertrouwen

Controleer of de succesteller van de vertrouwensinstelling toeneemt. Dit betekent dat de licentienemer CSSM kan bereiken.

EdgeRouter# show lic tech support | begin Communication Statistics
Communication Statistics:
=======================
Communication Level Allowed: DIRECT
Overall State: <empty>
Trust Establishment:
Attempts: Total=1, Success=1, Fail=0 Ongoing Failure: Overall=0 Communication=0 <<<<<<<<<<
Last Response: OK on Aug 18 21:03:56 2022 UTC
Failure Reason: <none>
Last Success Time: Aug 18 21:03:56 2022 UTC
Last Failure Time: Aug 18 21:00:43 2022 UTC
<snip>

Opmerking: Als de tellerstappen mislukken, navigeert u naar het gedeelte Problemen oplossen in dit document.

autorisatie aanvragen

Op dit moment is de trust gevestigd, maar de HSECK9-licentie is nog niet in gebruik. Dit gebeurt omdat het nodig is om de routeraanvraag bij CSSM in het licentiegebruik te maken. Voer de autorisatieaanvraag uit om de licentie op te halen.

EdgeRouter# license smart authorization request add hseck9 local

Logboeken:

EdgeRouter# show logging | include SMART
*Aug 18 21:11:41.553: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 18 21:11:41.641: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

In het gebeurtenissenlogboek voor slimme licenties wordt de informatie over de licentieaanvraag opgeslagen voor het geval er meer informatie nodig is.

EdgeRouter# show lic eventlog 0
**** Event Log ****
2022-08-18 21:11:41.538 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><dateStamp>2022-08-18T21:17:45</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feac79ca9112704623118db58bbc2c-09b6eebc91ae833f</correlationID></status></authorizationCode><signature>MEUCIBuNw8+ogfZmJAbsRa+8B+F0wnDZLrv5RXm822rN/he5AiEAtfzzFV9L3dqht4sUYDxRvnUHF2KYi+vFv2vivDF6rIs=</signature></smartLicenseAuthorization>"
2022-08-18 21:11:41.552 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-18 21:11:41.641 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.641 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:12:06.119 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><status><success>false</success><message>last update already confirmed</message><code>last update already confirmed</code><correlationID>62feac7c4be974f92eefc15a640f938b-f08787827763ca37</correlationID></status></authorizationCode><signature>MEUCIQDhI8x+Rzf7wyibdohvYY6q9/8puukf8SuJ4ok48d4y5QIgdl5/z/7rLu+LEd5gK9kgOxA2Vb+vnJUcTOVPo3/R0pc=</signature></smartLicenseAuthorization>"

Controleer of de activering is geslaagd

Er zijn een aantal commando's om te controleren of de licentie nu beschikbaar is en correct is geactiveerd.

show license tech support | begin License Usage
show license authorization
show license summary
show license usage

Voorbeeld:

EdgeRouter# show license tech support | begin License Usage 
License Usage
=============
Handle: 1
License: hseck9
Entitlement Tag: regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844
Description: hseck9
Count: 1
Version: 1.0
Status: IN USE(15)               <<<<<<<<<<<<<<<<<<<<<<
Status time: Aug 18 21:11:41 2022 UTC
Request Time: Aug 18 21:11:41 2022 UTC
Export status: RESTRICTED - ALLOWED
Feature Name: hseck9
Feature Description: hseck9
Enforcement type: EXPORT RESTRICTED
License type: Perpetual
Measurements:
ENTITLEMENT:
Interval: 00:15:00
Current Value: 1

EdgeRouter# show license authorization 
Overall status:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Status: SMART AUTHORIZATION INSTALLED on Aug 18 21:11:41 2022 UTC   <<<<<<<<<<<<<<<
Last Confirmation code: 0cde51c5

Authorizations:
Router US Export Lic. for DNA (DNA_HSEC):
Description: U.S. Export Restriction Compliance license for DNA based Routers
Total available count: 1
Enforcement type: EXPORT RESTRICTED
Term information:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Authorization type: SMART AUTHORIZATION INSTALLED  <<<<<<<<<<<<<
License type: PERPETUAL
Term Count: 1

Purchased Licenses:
No Purchase Information Available


Edge# show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
hseck9 (DNA_HSEC) 1 IN USE     <<<<<<<<<<

Offline methode naar CSSM

Voor netwerken met een air-gapped netwerk waar internettoegang niet is toegestaan, kan de installatie van de exportvergunning worden uitgevoerd met een lokale reservering van een SLAC op het CSSM. 

Opmerking: voor deze methode is geen transporttype of een geldige slimme Uniform Resource Locator (URL) vereist. 

Genereer een lokale licentiereservering

Navigeer in hetzelfde virtuele account waarin de licentie zich bevindt naar Product Instanties > Licentie-afgedwongen functies autoriseren.

De Edge Router UDI-informatie ophalen

Voor de lokale licentiereservering is de unieke apparaatidentificatie (UDI) van de Edge Router vereist, voer de show license udi opdracht uit om de product-ID (PID) en het serienummer (SN) te verkrijgen.

EdgeRouter# show license udi
UDI: PID:C1111-8PWE,SN:FGL2149XXXX

Vul de Edge Router UDI in het reserveringsformulier in

Selecteer Eén apparaat en vul de SN en PID van de Edge Router in. Klik op Next (Volgende).

Selecteer het aantal licenties dat u wilt reserveren

Aangezien het een Single Device is, is de gereserveerde licentie één, typ het nummer in het vak. Zorg ervoor dat het aantal niet groter is dan de beschikbare.

Selecteer het type licentieapparaat 

Het apparaattype kan Digital Network Architecture (Cisco DNA) On-Prem of DNA Cloud zijn. Dit is afhankelijk van het soort licentie dat je hebt gekocht.

Genereer de autorisatiecode

Controleer de configuratie en klik op Autorisatiecode genereren.

Download de SLAC

De SLAC kan worden gedownload als een bestand of gekopieerd naar het klembord.

Kopieer de SLAC naar de Edge Router

Er zijn drie opties om het SLAC-bestand naar de Edge Router te kopiëren.

• Met een USB-drive.

EdgeRouter# show file systems | include usb|Size
Size(b)        Free(b)  Type Flags Prefixes
15598043136 15596658688 disk  rw     usb0:

EdgeRouter# dir usb0:
Directory of usb0:/

5 -rwx 1557 Aug 19 2022 00:43:30 +00:00 AuthorizationCode_SN_FGL2149XXXX.txt

15598043136 bytes total (15596658688 bytes free)

EdgeRouter# copy usb0:AuthorizationCode_SN_FGL2149XXXX.txt bootflash:
Destination filename [AuthorizationCode_SN_FGL2149XXXX.txt]? 
Copy in progress...C
1557 bytes copied in 0.020 secs (77850 bytes/sec)

• Navigeer met vManage through Control Connections naar Bestanden overdragen tussen een Edge-router en vManage voor meer informatie.
• SCP/FTP/TFTP aan de servicekant.

Installeer de SLAC

Gebruik Smart Import om het SLAC-bestand in bootflash te installeren.

EdgeRouter# license smart import bootflash:AuthorizationCode_SN_FGL2149XXXX.txt
Import Data Successful
Last Confirmation code UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Confirmation code: aaa6b57e

Logboeken.

EdgeRouter# show logging | include SMART
*Aug 19 05:42:45.309: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 19 05:42:45.362: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

EdgeRouter# show license eventlog 0
**** Event Log ****

2022-08-19 05:42:45.293 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>0ceadf0a-3145-4779-8cbb-743c5a234a05</piid><dateStamp>2022-08-19T05:43:11</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62ff22ec38ab5858bde12581a2589b39-bde12581a2589b39</correlationID></status></authorizationCode><signature>MEUCIQDrUe11CPAsnjonKRmUe40arqPiY/q/UfTGSJ1IdmkkrAIgF8G2zoHIxz04IVO2J7ZHA1M51+QMvLzUGyZsfvwK5tk=</signature></smartLicenseAuthorization>"
2022-08-19 05:42:45.308 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.333 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.334 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-19 05:42:45.362 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.362 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"

Controleren of de installatie succesvol is

Gebruik dezelfde opdracht als in de online methode om te controleren of de licentie correct is geïnstalleerd.

show license authorization
show license summary
show license tech support | begin License Usage 

Als de installatie correct is, wordt de licentie in de virtuele account automatisch verhoogd in gebruik teller en verlaagt de beschikbaar om te gebruiken teller.

Ook op het tabblad Product Instances wordt de UDI-informatie van de Edge Router weergegeven. Klik op de vermelding voor meer informatie over de licentiekenmerken.

vManage-werkstroommethode

Vanaf 20.9.2 biedt vManage de mogelijkheid om een HSECK9-licentie te installeren met behulp van Workflows. 

Opmerking: Deze methode werkt alleen met Router US Export Lic. voor DNA-licenties; apparaatspecifieke HSEC-licenties zoals ISR4300_HSEC of ISR4400_HSEC werken niet meer. Ga voor meer informatie over het converteren van een Device Specific HSEC-licentie naar Cisco DNA HSEC naar de sectie Restricties voor het beheren van HSEC-licenties.

Online workflow

Licenties synchroniseren met CSSM

1.- Navigeer in vManage GUI naar Hoofdmenu > Werkstromen > HSEC-licenties synchroniseren en installeren.

2.- Klik op de knop Let's Do it in het pop-upvenster.

3.- Selecteer de taak Licenties synchroniseren en klik op Volgende.

4.- Selecteer Online modus en klik op Volgende.

5- Voer uw Cisco CSSM-referenties in en klik op Volgende.

6.- Controleer het HSEC License Sync Overzicht en klik op Volgende.

7.- vManage maakt verbinding met de cloud en vraagt alle beschikbare virtuele accounts op. Selecteer in de vervolgkeuzelijst de virtuele account die een geldige en positieve HSEC-licentie bevat.

Opmerking: De inloggegevens die in stap 6 zijn ingevoerd, moeten een beheerdersrol hebben in de Smart Account en Virtual Account waarin de HSEC-licenties worden gestort.

8.- Selecteer het apparaat waarop de HSEC-licentie moet worden geïnstalleerd.

Opmerking: alleen apparaten die compatibel zijn met HSEC worden weergegeven.

9.- Controleer het overzicht van de aanvraag en klik op Synchroniseren.

10.- Klik op HSEC-toewijzingsstatus controleren om de SLAC-reservering in realtime te verifiëren.

11.- Zodra de licentie is opgehaald van het CSSM en is opgeslagen in vManage, wordt de status weergegeven als Succes.

Gehaalde licenties installeren

1.- Navigeer in vManage GUI naar Hoofdmenu > Werkstromen > HSEC-licenties synchroniseren en installeren.

2.- Selecteer de taak Licenties installeren.

3.- Selecteer het apparaat waarvoor de HSEC-licenties zijn opgehaald.

4.- Controleer het installatieoverzicht en klik op Installeren.

5.- Klik op HSEC-toewijzingsstatus controleren om de installatiestatus in realtime te controleren.

6.- vManage communiceert met de router, stuurt de SLAC naar de router en installeert deze. De uiteindelijke status moet succes zijn.

7.- Klik op het pictogram Actie om meer gedetailleerde logs van de HSEC-installatie weer te geven.

Offline workflow

Licenties synchroniseren met CSSM

1.- Navigeer in vManage GUI naar Hoofdmenu > Werkstromen > HSEC-licenties synchroniseren en installeren.

2.- Klik op de knop Let's Do it in het pop-upvenster.

3.- Selecteer de taak Licenties synchroniseren en klik op Volgende.

4.- Selecteer Offline-modus en klik op Volgende.

5.- Bekijk het procesoverzicht zorgvuldig en klik op Volgende.

6.- Selecteer de optie Downloadproces en klik op Volgende.

7.- Filter in de zoekbalk het apparaat waarvoor de licentie moet worden geïnstalleerd.

8.- Bekijk de samenvatting van de taak en klik op HSEC Device File (HSEC-apparaatbestand downloaden) (.SUDI)

9.- Er wordt een automatische download van het licentiegebruik gestart.

10.- Klik op Cisco Smart Software Manager openen of ga naar: Cisco Software Central.

11.- Navigeer in de geselecteerde Smart Account naar Cisco Software Central > Smart Software Licensing en klik op Rapporten > Gebruiksgegevens > Gebruiksgegevens uploaden....

12.- Klik in het pop-upvenster Gebruiksgegevens uploaden op Bladeren en selecteer het zojuist gedownloade bestand en klik op Gegevens uploaden.

13.- Het systeem begint het bestand te verwerken. Het duurt ongeveer 5 tot 10 minuten om te voltooien. Klik vervolgens op Downloaden.

Opmerking: Als u het ACK-bestand wilt genereren, moet de Rapportagestatus "Geen fouten" zijn. Als er een fout is opgetreden, klikt u op het pictogram Uitvouwen om meer informatie over de fout te verkrijgen. Open indien nodig een Cisco TAC-case.

14.- Het systeem genereert het ACK-bestand en het downloadt het automatisch.

15.- Navigeer in vManage GUI opnieuw naar Hoofdmenu > Werkstromen > HSEC-licenties synchroniseren en installeren > Licenties synchroniseren > Offline > Volgende > Uploadproces.

16.- Klik op Kies een bestand of sleep het gedownloade bestand in het vak en klik op Uploaden.

17.- Controleer het overzicht van de taak en klik op Uploaden.

Gehaalde licenties installeren

1.- Ga terug naar de werkstroombibliotheek Licenties synchroniseren en installeren en klik op Licenties installeren.

2.- Selecteer in de lijst het apparaat waarvoor de licentieautorisatie is gemaakt en klik op Volgende.

3.- Bekijk het taakoverzicht en klik op Installeren.

4.- Wacht tot het proces is voltooid, de status van de installatie moet Succesvol zijn.

5.- Klik op het pictogram Actie om meer gedetailleerde logs van de HSEC-installatie weer te geven.

De HSECK9-licentie retourneren

Gedrag van retourcode

Het doel van deze taak is om de licentie van de router te verwijderen en deze als positief aantal terug te sturen naar de HSECK9-licentiepool in het CSSM-portaal.

Opmerking: Als het genereren van de retourcode mislukt, opent u een TAC-case om de licentie handmatig van de router en het CSSM-portaal te verwijderen.

Genereer de retourcode

De retourcode is vereist om de gereserveerde licentie in CSSM te valideren tegen de lokale autorisatie van de router en deze daarna te verwijderen.

EdgeRouter# license smart authorization return local online 
Authorization already returned with this code:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CCKUTq-Qg2Ytw-ZhSLq5-bDFw7e-VvWgf2-QwwBed-3MaRcT-fFfGcn-X6e  <<<< Copy the string

Opmerking: de opdracht "licentie smart authorisation return local online" werkt voor beide reserveringsmethoden, online of offline. Het commando "license smart authorisation return local offline" werkt niet in de controller-managed mode (SD-WAN mode). Dit geldt voor zowel fysieke als virtuele routers.

Verwijder de reservering

Navigeer in de CSSM naar Product Instanties > Acties > Verwijderen. Plak de zojuist gekopieerde retourcode van de router en klik op Reservering verwijderen.

De melding dat de licentiereservering is verwijderd, verschijnt direct daarna. Dit geeft aan dat de licentie wordt teruggestuurd naar de licentiepool; het aantal licenties neemt toe in 1.

Activering - Is opnieuw laden vereist?

Is het waar dat op 8500-gebaseerde platforms een herladen vereist is om HSEC te activeren?

Ja, de 8500-platformfamilie vereist een herlading in de autonome of controllermodus.

Is een herladen nodig voor C8000v na activering van HSEC?

Nee, het is niet nodig. De licentie blijft als 'niet-in-gebruik' volgens het ontwerp op C8000v, maar het apparaat krijgt onbeperkte doorvoer onmiddellijk na de hsec-installatie.

Is een herladen voor CSR1000v na activering van HSEC?

Nee, na activering van hsec hoeft de CSR1000v niet opnieuw te worden geladen.

Is het herlaadgedrag hetzelfde voor SD-WAN- en niet-SD-WAN-modi?

Nee, de SD-WAN- en niet-SD-WAN-modi met betrekking tot de HSEC-inschakeling zijn heel verschillend.

In de SD-WAN-modus is opnieuw laden vereist om HSEC in te schakelen/te activeren, terwijl in de niet-SD-WAN-modus de CLI-licentiefunctie hsec opdracht inschakelt/activeert op het apparaat. Een herladen is niet nodig op CSR1000v- en C8000V-platforms in de SD-WAN-modus.

Is het ook waar voor de deactivering van de HSEC-licentie?

De HSEC-licentie kan worden verwijderd in de niet-SD-WAN-modus (Autonoom), maar de HSEC-licentie kan niet worden verwijderd terwijl de functie in gebruik is. De gebruiker is verplicht om de HSEC-licentie uit te schakelen / te deactiveren met CLI geen licentiefunctie hsec-opdracht en het apparaat opnieuw te laden voor de licentie in de 'not-in-use'-status en vervolgens de verwijderingsopdracht te starten. De HSEC-licentie verwijderen in de SD-WAN-modus wordt niet ondersteund omdat de functie niet kan worden uitgeschakeld. De gebruiker heeft echter een optie om naar de autonome modus te gaan en te verwijderen als een tijdelijke oplossing voor bekende uitdagingen met de moduswijzigingen. Open een TAC-case om advies te krijgen over het retourneren van de licentie naar de CSSM in SD-WAN-modus.

Opmerking: Ga voor meer informatie naar: Veelgestelde vragen over HSEC-licenties voor SD-WAN.

Verificatie van de beschikbaarheid van licenties

Verifiëren 

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Nuttige opdrachten

De verificatieprocedure wordt in elke stap beschreven voor de online of offline methoden. 

show license tech support
show license status
show license authorization
show license summary
show license history message
show license eventlog 
license smart clear event log
license smart sync local
license smart factory reset

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Smart Licensing Using Policy is gebaseerd op veilige bidirectionele communicatie tussen de Edge Router en het CSSM via internet, om bevestigingen en handdrukken uit te wisselen die de registratie en licentieophalen bevorderen.

Er zijn veel voorkomende scenario's die niet toelaten dat berichten correct worden uitgewisseld tussen apparaten.

Veelvoorkomende problemen

DNS-resolutie werkt niet

Om smartreceiver.com te bereiken, moet de Edge Router een domeinnaam kunnen oplossen. Anders wordt de URL niet vertaald naar een routeerbaar IP en mislukt de communicatie. Deze fout wordt normaal weergegeven na de poging tot het instellen van een trust.

*Aug 18 20:45:10.345: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart License Utility (CSLU) : Unable to resolve server hostname/domain name

Zorg voor IP-connectiviteit met het internet.

ping 8.8.8.8

Ping een URL om te controleren of DNS werkt of niet als Internet Control Message Protocol (ICMP) wordt geblokkeerd door een extern apparaat met het gebruik van telnet naar een URL plaats.

ping cisco.com
telnet cisco.com 80

Als de test mislukt, configureert u een DNS-server en schakelt u DNS-resolutie in.

ip domain lookup
ip name-server 8.8.8.8

Als het niet mogelijk is om een externe DNS-server te configureren, configureert u de lokale DNS-resolutie in de router.

EdgeRouter# config-transaction
EdgeRouter(config)# ip host smartreceiver.com A.B.C.D
EdgeRouter(config)# commit

Opmerking: Als u wilt weten welke IP's reageren op smartreceiver.com, voert u een opdracht nslookup uit vanaf een Windows- of Linux-machine.

Opmerking: lokale DNS-resolutie wordt niet aanbevolen omdat de IP-adressen van de responder in de loop van de tijd kunnen veranderen en Cisco de wijziging niet meldt.

Veelvoorkomende foutmeldingen worden weergegeven in het gebeurtenissenlogboek van Smart Licensing (SL).

EdgeRouter# show license eventlog 0
**** Event Log ****

2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

SD-WAN-tunnel blokkeert DNS

Een soortgelijk probleem doet zich voor als de impliciete ACL in de SD-WAN-tunnel inkomende DNS-reacties blokkeert.

EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

Zorg ervoor dat op het moment van registratie de DNS-service is toegestaan.

EdgeRouter# show sdwan running-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns <<<<<<<<<<<<<<<<<< MUST be allowed
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit

Transport-URL is niet correct

Voor greenfield (verse) installaties is het standaardtransporttype Cisco Smart Licensing Utility (CSLU).

EdgeRouter# show license tech support | include Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: cslu         <<<<<<<<<<<<<<<<<<
Cslu address: <empty>
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: False

Veelvoorkomende fouten in logs.

EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed info

Opmerking: CSLU wordt niet ondersteund in Cisco SD-WAN (Cisco vManage) en CSLU kan niet worden gebruikt om licentiegebruik te rapporteren voor routeringsproductinstanties die worden beheerd door Cisco vManage. Ga voor meer informatie naar Cisco Smart License Utility (CSLU).

Configureer handmatig de standaard URL en het transporttype voor de slimme agent en probeer het vertrouwen dat met de token is ingesteld opnieuw.

EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit

SD-WAN-tunnel blokkeert HTTPS

Smart Licensing communicatie is gebaseerd op Hypertext Transfer Protocol Secure (HTTPS) poort 443, dus als de SD-WAN tunnel inkomende HTTPS reacties blokkeert, de registratie, autorisatie aanvraag en RUM meldingen mislukken.

De veelvoorkomende fout in log en eventlog.

*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Zorg ervoor dat de HTTPS-service is toegestaan in de SD-WAN-tunnel op het moment van registratie. Zo niet, sta het toe en probeer de Trust Establishment met het token opnieuw.

EdgeRouter# show sdwan runnning-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns 
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https <<<<<<<<<<<<<<<<<< MUST be allowed
no allow-service snmp
no allow-service bfd
exit

Externe firewall blokkeert CSSM-URL, IP's of poort 443

Als de sitearchitectuur een firewall gebruikt om het verkeer te regelen, moet u ervoor zorgen dat poort 443 naar smartreceiver.cisco.com niet wordt geblokkeerd. Neem contact op met uw firewallteam of internetprovider (ISP) om dit verder te controleren.

Van de router.

EdgeRouter# telnet smartreceiver.com 443        
Trying smartreceiver.com (X.X.X.X, 443)...Open

Van een Service VRF-host.

ericgar@cisco$ telnet smartreceiver.cisco.com 443
Trying X.X.X.X...
Connected to smartreceiver.cisco.com.   
Escape character is '^]'.

Meerdere interfaces naar het internet

In sommige scenario's waar er meer dan één interface is, mislukt de communicatie met CSSM; de HTTP-broninterface kan worden gewijzigd in een beschikbare interface in de router.

EdgeRouter# config-transaction
EdgeRouter(config)# ip http client source-interface INTERFACE
EdgeRouter(config)# commit

Gerelateerde informatie

• Slim licentiebeleid gebruiken voor Cisco Enterprise Routing Platforms
• Licenties voor slimme licenties beheren met behulp van het beleid SD-WAN
• Technische ondersteuning en documentatie – Cisco Systems