Problemen met Smart Licensing op Catalyst-platforms troubleshooten

Inleiding

In dit document wordt beschreven hoe Cisco Smart Licensing (cloudgebaseerd systeem) kan worden gebruikt om softwarelicenties op Catalyst-switches te beheren.

Wat is Cisco Smart Licensing?

Cisco Smart Licensing is een op de cloud gebaseerd uniform licentiebeheersysteem dat alle softwarelicenties voor Cisco-producten beheert. Hiermee kunt u softwarelicenties van Cisco aanschaffen, implementeren, beheren, volgen en vernieuwen. Daarnaast biedt het systeem via één gebruikersinterface informatie over het eigendom en gebruik van licenties.

De oplossing bestaat uit online Smart Accounts (bij Cisco Smart Licensing Portal) die worden gebruikt om Cisco-softwareactiva te volgen en de Cisco Smart Software Manager (CSSM), die wordt gebruikt om de Smart Accounts te beheren. CSSM is waar alle licentiemanagement gerelateerde taken, zoals registreren, uitschrijven, verplaatsen en overdragen van licenties kunnen worden uitgevoerd. Gebruikers kunnen worden toegevoegd en toegang en machtigingen krijgen voor de Smart Account en specifieke virtuele accounts.

Meer informatie over Cisco Smart Licensing vindt u op de volgende pagina’s:

a) Startpagina van Cisco Smart Licensing

b) Cisco Community - on-demand trainingen

Ga voor meer informatie over de nieuwe methode Smart Licensing using Policy in Cisco IOS® XE 17.3.2 en hoger naar Smart Licensing using Policy on Catalyst Switches .

Is Smart Licensing en/of Smart Account Administration nieuw voor u? Meld u aan voor de nieuwe trainingscursus voor beheerders, met opnames:
Cisco Community - Slimmer worden met Cisco Smart Accounts/Smart Licensing en Mijn Cisco-rechten.

Smart Accounts kunnen hier worden gemaakt: Smart Accounts

Smart Accounts kunnen hier worden beheerd: Smart Software-licentiëring

Implementatiemethoden voor Smart Licensing

Er bestaan verschillende methoden om Cisco Smart Licensing te implementeren, afhankelijk van het security profiel van een bedrijf. Hier volgen enkele voorbeelden:

Directe cloudtoegang

Cisco-producten verzenden gebruiksgegevens rechtstreeks en veilig via internet, op basis van HTTPS. Extra componenten zijn niet nodig.

Toegang via een HTTPS-proxy

Cisco-producten verzenden gebruiksgegevens veilig via een HTTP-proxyserver, op basis van HTTPS. U kunt een bestaande proxyserver gebruiken of deze implementeren via de Cisco Transport Gateway (klik hier voor meer informatie).

Lokale licentieserver (ook wel Cisco Smart Software Manager-satelliet)

Cisco-producten verzenden gebruiksgegevens naar een lokale server in plaats van rechtstreeks via internet. Eén keer per maand maakt de server via HTTPS contact met alle apparaten of de gegevens kunnen handmatig worden overgedragen om de database te synchroniseren. Een lokale CSSM-server (satelliet) is beschikbaar als VM (virtuele machine) en kan hier worden gedownload. Meer informatie vindt u op de pagina voor Smart Software Manager-satelliet.

Ondersteunde Cisco IOS XE-platforms

• Vanaf de release van Cisco IOS XE-versie 16.9.1 ondersteunen de Catalyst 3650/3850 en Catalyst 9000 Series switchplatforms de Cisco Smart Licensing-methode als de enige licentiemethode.
• Vanaf de release van Cisco IOS XE-versie 16.10.1 ondersteunen routerplatforms zoals ASR1K, ISR1K, ISR4K en virtuele routers (CSRv/ISRv) de Cisco Smart Licensing-methode als de enige licentiemethode.

Migratie van oudere licenties naar Smart Licenses

Er zijn twee methoden om een bestaande licentie te converteren, zoals Right-To-Use (RTU) of Product Activation Key (PAK) naar een Smart License. Raadpleeg voor meer informatie over welke methode moet worden gevolgd de relevante releasenotities en/of configuratiehandleiding voor het specifieke Cisco-apparaat.

Converteren via Device-Led Conversion (DLC)

• Device-Led Conversion (DLC) is een eenmalige methode waarbij het Cisco-product kan rapporteren welke licenties het gebruikt en de licenties automatisch worden gedeponeerd in hun bijbehorende Smart Account op de Cisco Smart Software Manager (CSSM). De DLC-procedure wordt rechtstreeks uitgevoerd via de opdrachtregelinterface (ook wel CLI genoemd) van het betreffende Cisco-apparaat.

• Het DLC-proces wordt alleen ondersteund op de Catalyst 3650/3850 platforms en bepaalde routerplatforms. Voor specifieke routermodellen raadpleegt u de handleiding voor de configuratie van de afzonderlijke platforms en de opmerkingen bij de release. Voorbeeld: DLC-procedure voor Catalyst 3850 met Fuji 16.9.x-release.

Omzetten via CSSM (Cisco Smart Software Manager) of LRP (License Registration Portal)

Methode met Cisco Smart Software Manager (CSSM):

1. Log in bij Cisco Smart Software Manager (CSSM) op https://software.cisco.com/.

2. Navigeer naar Smart Software Licensing > Converteren naar Smart Licensing.

3. Kies PAK converteren of licenties converteren.

4. Om een PAK-licentie om te zetten, zoekt u de licentie in deze tabel. Als u een niet-PAK-licentie wilt converteren, gebruikt u de wizard Licentieconversie voor stapsgewijze instructies.

Locatie van bekende PAK-bestanden gekoppeld aan account:

Locatie van link voor Wizard License Conversion (Licentie converteren):

5. Zoek de gewenste licentie en productcombinatie.

6. Klik (onder Acties): Converteren naar Smart Licensing.

7. Kies een virtuele account, licentie en klik op Volgende.

8. Controleer selecties en klik vervolgens op Licenties converteren.

LRP-methode (License Registration Portal):

1. Log in op het Licentieregistratieportaal (LRP) https://slexui.cloudapps.cisco.com/SWIFT/LicensingUI/Home/a>

2. Navigeer naar Apparaten > Apparaten toevoegen.

3. Voer de juiste Product Family and Unique Device Identifier (UDI) product-ID en het juiste serienummer in en klik vervolgens op OK. UDI-informatie kan worden verkregen uit de weergaveversie of de inventarisatie van de opdrachtregelinterface (CLI) van het Cisco-apparaat.

4. Kies het toegevoegde apparaat en converteer licenties naar slimme licenties.

5. Toewijzen aan de juiste virtuele account, licenties kiezen om te converteren en op Indienen klikken.

Tip: LRP-tool kan ook worden gebruikt door de licentie- / productfamilie op te zoeken op het tabblad PAK's of Tokens. Klik op de cirkel drop-down naast de PAK/Token en kies Converteren naar Smart Licensing:

Converteren via en contact opnemen met de afdeling Cisco Global Licensing Operations (GLO)

De GLO-afdeling kan hier worden bereikt in onze wereldwijde contactcenters.

Verandering in het gedrag tussen versies 16.9 en 16.12.3 van Catalyst 9500 High Performance

Net als andere Catalyst 9000 modellen bieden de Catalyst 9500 High Performance-modellen vanaf Cisco IOS XE-versie 16.9 ondersteuning voor Smart Licensing. Voor de Catalyst 9500 High Performance-modellen gold echter dat voor elk model een eigen en specifieke tag voor licentierechten werd gebruikt. Later besloten de product- en marketingteams om de C9500-platformrechtenlabels te verenigen. Deze beslissing heeft ertoe geleid dat voor C9500 High Performance-modellen niet meer wordt gebruikgemaakt van specifieke rechtentags, maar van generieke C9500 licenties.

Deze gedragsverandering is gedocumenteerd in deze defecten:

a) Cisco bug-ID CSCvp30661

b) Cisco bug-ID CSCvt01955

Hier is de voor en na van de bovengenoemde wijzigingen licentiewijzigingen voor C9500 High Performance-modellen:

Cisco IOS XE-versie 16.11.x en lager

Elk C9600 High Performance-model heeft eigen rechtentags.

Opmerking: Cisco IOS XE versies 16.12.1 en 16.12.2 hebben defecten Cisco bug ID CSCvp30661 en Cisco bug ID CSCvt01955. Deze gebreken worden behandeld in 16.12.3a en later.

Cisco IOS XE-versie 16.12.3 en hoger

Catalyst 9500 High Performance-platforms gebruiken nu generieke netwerklicentietags en afzonderlijke DNA-licentietags. Deze tabel toont de wijzigingen in rechten die worden gemarkeerd in Cisco IOS XE versie 16.12.3 en hoger:

Opmerking: upgrades van Cisco IOS XE versies 16.12.1 en 16.12.2 geven dit licentiegedrag weer. Upgrades van Cisco IOS XE versies 16.9.x, 16.10.x, 16.11.x naar 16.12.3 herkennen oude licentieconfiguraties.

Veelgestelde vragen over de wijziging voor C9500 High Performance

1. Waarom kent Cisco Support een algemene netwerklicentie toe wanneer mijn apparaat een apparaatspecifieke netwerklicentie gebruikt?

Er worden generieke tags gebruikt omdat dit de juiste rechtentags voor het netwerkapparaat zijn. Hierdoor kunnen de rechtentags worden gebruikt voor het hele Catalyst 9500 platform, niet alleen de specifieke C9500 High Performance-modellen. Oudere images dan versie 16.12.3 die om apparaatspecifieke licentietags vragen, zijn compliant met generieke licentietags aangezien de specifiekere licenties in de licentiehiërarchie onder de generieke licenties vallen.

2. Waarom verschijnen er soms twee netwerktags in het Smart Account?

Dit gedrag wordt veroorzaakt door de licentiehiërarchie en treedt op wanneer het apparaat wordt uitgevoerd op een oudere image die gebruikmaakt van apparaatspecifieke licentietags. Oudere images die om apparaatspecifieke licentietags vragen, zijn compliant met generieke licentietags aangezien de specifiekere tags in de licentiehiërarchie onder de generieke licenties vallen.

Configuratie

Basisconfiguratie

De exacte procedure voor het configureren van Smart Licensing is te vinden in de System Management Configuration Guide die beschikbaar is voor elke release/platform.

Voorbeeld: Configuratiehandleiding voor systeembeheer, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 switches)

Registratietoken/apparaat-ID-token

Voordat u het apparaat registreert, moet een token worden gegenereerd. Het registratietoken, ook bekend als het apparaat-id-token, is een uniek token dat wordt gegenereerd vanuit het slimme licentieportaal of de Cisco Smart Software Manager on-prem bij de eerste registratie van een Cisco-apparaat op het bijbehorende slimme account. Met een afzonderlijk token kunnen meerdere Cisco-apparaten worden geregistreerd, afhankelijk van de parameters die bij het maken zijn gebruikt.

Het registratietoken is ook alleen vereist tijdens de eerste registratie van een Cisco-apparaat, aangezien het apparaat hiermee de benodigde informatie krijgt om via een call-home contact te maken met de Cisco-back-end en aan de juiste Smart Account kan worden gekoppeld. Nadat het Cisco-apparaat is geregistreerd, is het token niet langer vereist.

Voor meer informatie over registratie tokens en hoe ze worden gegenereerd, klik hier voor een algemene gids. Raadpleeg de configuratiehandleiding voor het specifieke Cisco-apparaat voor meer gedetailleerde informatie.

Registratie- en licentiestatussen

Tijdens het implementeren en configureren van Smart Licensing zijn er meerdere mogelijke toestanden waarin een Cisco-apparaat zich kan bevinden. U kunt de status weergeven met de opdracht show license all of show license status in de opdrachtregelinterface van het Cisco-apparaat.

Hier is een lijst van alle staten en hun beschrijving:

De status Evaluatie (niet-geïdentificeerd)

• Evaluatie is de standaardstatus van het apparaat wanneer het voor het eerst wordt opgestart.
• Meestal wordt deze status weergegeven wanneer een Cisco-apparaat nog niet is geconfigureerd voor Smart Licensing of is geregistreerd bij een Smart Account.
• In deze staat zijn alle functies beschikbaar en kan het apparaat vrij licentieniveaus wijzigen.
• De evaluatieperiode wordt gebruikt wanneer het apparaat de niet-geïdentificeerde status heeft. Het apparaat probeert in deze staat niet met Cisco te communiceren.
• Deze evaluatieperiode is 90 dagen in gebruik en niet 90 kalenderdagen. Na afloop van de evaluatieperiode wordt deze nooit meer gereset.
• Er is één evaluatieperiode voor het hele hulpmiddel; het is niet één evaluatieperiode per recht.
• Wanneer de evaluatieperiode aan het einde van 90 dagen afloopt, gaat het apparaat over naar de EVAL-vervalmodus. Er is echter geen functionele impact of verstoring van de functionaliteit, zelfs niet na herladen. Op dit moment is er geen handhaving.
• De afteltijd wordt bijgehouden bij reboots.
• De evaluatieperiode wordt gebruikt als het apparaat zich nog niet heeft geregistreerd bij Cisco en deze twee berichten van de Cisco-backend niet heeft ontvangen:
  1. Succesvolle reactie op een registratieaanvraag.
  2. Successful response to an entitlement authorization request (Geslaagde reactie op een aanvraag voor autorisatie van rechten).

De status Geregistreerd

• Ingeschreven is de verwachte staat nadat de registratie met succes is voltooid.
• Deze status geeft aan dat het Cisco-apparaat met succes heeft kunnen communiceren met een Cisco Smart-account en zich heeft geregistreerd.
• Het apparaat ontvangt een ID-certificaat, geldig voor een jaar, dat wordt gebruikt voor toekomstige communicatie.
• Het apparaat stuurt een verzoek naar CSSM om de rechten voor de licenties die op het apparaat worden gebruikt, toe te staan.
• Afhankelijk van de CSSM-respons voert het apparaat vervolgens de status Geautoriseerd of Niet-naleving in.
• Het ID-certificaat verloopt na één jaar. Na zes maanden probeert de softwareagent het certificaat te vernieuwen. Als de agent niet met het CSSM kan communiceren, blijft hij proberen het ID-certificaat te verlengen tot de vervaldatum (één jaar). Aan het einde van een jaar gaat de agent terug naar de niet-geïdentificeerde staat en probeert de evaluatieperiode in te schakelen. Het CSSM verwijdert de productinstantie uit de database.

De status Geautoriseerd

• Geautoriseerd is de verwachte staat wanneer het apparaat een recht gebruikt en in overeenstemming is (geen negatief saldo).
  
• Deze status geeft aan dat de virtuele account op CSSM het juiste type en aantal licenties had om het gebruik van de licenties voor dit apparaat toe te staan.
• Na 30 dagen stuurt het apparaat een nieuw verzoek naar CSSM om de autorisatie te verlengen.
• Deze staat heeft een tijdsspanne van 90 dagen. Na 90 dagen (indien niet met succes verlengd) wordt het apparaat verplaatst naar de status Verlopen autorisatie.

De status Niet compliant

• Out of Compliance is de staat waarin het apparaat een recht gebruikt en niet in Compliance (negatief saldo) is.
  
• Deze status is van toepassing als voor de licentie geen licentie beschikbaar is in de bijbehorende Virtual Account waarvoor het Cisco-apparaat is geregistreerd in de Cisco Smart Account.  
• Om de status Compliance / Authorized in te voeren, moet u het juiste aantal en type licenties toevoegen aan de Smart Account.
• Wanneer een apparaat zich in de staat van niet-naleving bevindt, verzendt het automatisch elke dag een verzoek tot verlenging van de autorisatie.
• Licenties en functies blijven werken en er is geen functionele impact.

De status Autorisatie verlopen

• Verlopen autorisatie is de staat waarin het apparaat een recht gebruikt en al meer dan 90 dagen niet kan communiceren met het bijbehorende Cisco Smart-account.
• Deze status wordt meestal weergegeven als het Cisco-apparaat geen toegang meer heeft tot internet of geen verbinding kan maken met tools.cisco.com na de eerste registratie.
• Voor online Smart Licensing-methoden moeten Cisco-apparaten minstens elke 90 dagen communiceren om deze status te voorkomen.
• CSSM retourneert alle in-use licenties voor dit apparaat terug naar de pool omdat het gedurende 90 dagen geen communicatie met het apparaat heeft gehad.
• In deze staat blijft het apparaat proberen om elk uur contact op te nemen met Cisco om de machtigingsprocedure te verlengen, totdat de registratieperiode (ID-certificaat) verloopt.
• Als de softwareagent de communicatie met Cisco opnieuw tot stand brengt en zijn verzoek om autorisatie ontvangt, verwerkt hij dat antwoord normaal en gaat hij een van de vastgestelde staten binnen.

Afwegingen en voorbehouden

Vanaf 16.9.1 voor switches en 16.10.1 voor routers wordt een standaard Call-home-profiel met de naam CiscoTAC-1 gegenereerd om te helpen bij het migreren naar Smart Licensing.  Dit profiel is standaard ingesteld voor de methode Direct Cloud Access.               

#show call-home profile CiscoTAC-1 

Profile Name: CiscoTAC-1 

Profile status: ACTIVE 

Profile mode: Full Reporting 

Reporting Data: Smart Call Home, Smart Licensing 

Preferred Message Format: xml 

Message Size Limit: 3145728 Bytes 

Transport Method: http 

HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

Other address(es): default 

<snip>

Wanneer u een lokale Cisco Smart Software Manager-server gebruikt, moet het bestemmingsadres onder de actieve call-home configuratie hiernaar verwijzen (hoofdlettergevoelig):

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler

DNS is vereist voor het omzetten van tools.cisco.com. Als de DNS-serverconnectiviteit zich in een VRF bevindt, moet u ervoor zorgen dat de juiste bron-interface en VRF zijn gedefinieerd:

Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>

VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]     <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>

Als DNS niet beschikbaar is, kunt u ook de lokale DNS-naar-IP-toewijzing statisch configureren (op basis van de lokale DNS-resolutie op uw eindapparaat) of de DNS-naam in de call-home-configuratie vervangen door een IP-adres. Zie het voorbeeld voor directe cloudtoegang (gebruik voor een lokale Cisco Smart Software Manager-server de eigen DNS-naam in plaats van tools.cisco.com):    

(config)#ip host tools.cisco.com <x.x.x.x>

Als de communicatie naar tools.cisco.com moet worden gestart vanuit de interface in een specifieke VRF (bijvoorbeeld Mgmt-vrf), moet deze CLI worden geconfigureerd: 

(config)#ip http client source-interface <VRF_INTERFACE>

Afhankelijk van de configuratie van het Cisco-apparaat kunnen verschillende licenties worden gebruikt, zoals bij Catalyst-switches die in StackWise of StackWise Virtual worden uitgevoerd:

Traditionele stapelsgewijze ondersteunde Switches (bijvoorbeeld Catalyst 9300-serie):

Netwerklicentie: 1 licentie wordt verbruikt per switch in de stapel

DNA-licentie: 1 licentie wordt verbruikt per switch in de stapel

Modulair chassis (bijvoorbeeld Catalyst 9400-serie):

Netwerklicentie: 1 licentie wordt verbruikt per supervisor in het chassis

DNA-licentie: 1 licentie wordt verbruikt per chassis

Vaste stapelsgewijze Virtual Support-Switches (bijvoorbeeld Catalyst 9500-reeks):

Netwerklicentie: 1 licentie wordt verbruikt per switch in de stapel

DNA-licentie: 1 licentie wordt verbruikt per switch in de stapel

• Er kan slechts één call-home profiel actief zijn voor Smart Licensing.
• Licenties worden alleen gebruikt als een bijbehorende functie wordt geconfigureerd.
• Cisco-apparaten die zijn geconfigureerd voor Smart Licensing moeten worden geconfigureerd met de juiste systeemtijd en -datum om ervoor te zorgen dat ze correct zijn gesynchroniseerd met de corresponderende Cisco Smart Account. Als het tijdsverschil te groot is, kan de registratie van het Cisco-apparaat mislukken. De klok moet handmatig worden ingesteld of geconfigureerd via een tijdprotocol zoals Network Time Protocol (NTP) of Precision Time Protocol (PTP). Voor de exacte stappen die nodig zijn om deze wijzigingen te implementeren, raadpleegt u de configuratiehandleiding voor het specifieke Cisco-apparaat.
• De Public Key Infrastructure (PKI)-sleutel die wordt gegenereerd tijdens de Cisco-apparaatregistratie, moet worden opgeslagen als deze niet automatisch wordt opgeslagen na registratie. Als het apparaat de PKI-sleutel niet kan opslaan, wordt een syslog gegenereerd die u vraagt om de configuratie op te slaan via de opdracht copy-running-config startup-config of write memory.
• Als de PKI-sleutel van het Cisco-apparaat niet correct wordt opgeslagen, kan de licentiestatus verloren gaan bij failovers of als opnieuw wordt geladen.    
• Smart Licensing ondersteunt standaard geen HTTPS Proxy SSL-certificaatonderschepping bij het gebruik van proxy's van derden voor de HTTPS Proxy-methode. Om deze functie te ondersteunen, kunt u SSL-interceptie op de proxy uitschakelen of handmatig de certificering importeren die door de proxy wordt verzonden.

How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

Bij het gebruik van de Transport Gateway HTTP Proxy, moet het IP-adres worden gewijzigd van tools.cisco.com naar de Proxy zoals in dit voorbeeld:

VAN
       bestemmingsadres http https://tools.cisco.com/its/service/oddce/services/DDCEService
in
       bestemmingsadres http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler 

U vindt het IP-adres van Transport Gateway door naar de HTTP-instellingen te gaan en onder de URL’s voor HTTP-services te kijken in de grafische gebruikersinterface van Cisco Transport Gateway.

Zie de configuratiehandleiding voor de Cisco Transport Gateway hier voor meer informatie.

Problemen oplossen

Wanneer u een Cisco-apparaat migreert naar een softwareversie met Smart Licensing, kunt u dit stroomschema gebruiken als algemene gids voor alle drie de methoden (Direct Cloud Access, HTTPS Proxy en Cisco Smart Software Manager On-Prem).

                  Apparaat geüpgraded of geleverd met een softwarerelease die Smart Licensing ondersteunt (zie sectie 1.3 voor een lijst met ondersteunde Cisco IOS XE-releases).  

Deze stappen om problemen op te lossen concentreren zich voornamelijk op een scenario waarin het apparaat zich niet registreert. 

Apparaat wordt niet geregistreerd  

Na de eerste configuratie moet een token, dat wordt gegenereerd in CSSM of een lokale Cisco Smart Software Manager-server, via de opdrachtregelinterface worden geregistreerd op het apparaat om Smart Licensing in te schakelen:

license smart register idtoken <TOKEN>

Deze actie genereert deze gebeurtenissen:

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result 

!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) 

%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine 

%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration 

!
! Call-home start registration process
! 

%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. 

!
! Smart Licensing process connects with CSSM and check entitlement.
! 

%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed 

%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> 

%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved 

%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized 

%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>

Voer deze CLI uit om de configuratie van call-home te controleren:

#show call-home profile all 

  

Profile Name: CiscoTAC-1 

    Profile status: ACTIVE 

    Profile mode: Full Reporting 

    Reporting Data: Smart Call Home, Smart Licensing 

    Preferred Message Format: xml 

    Message Size Limit: 3145728 Bytes 

    Transport Method: http 

    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

    Other address(es): default 

  

    Periodic configuration info message is scheduled every 1 day of the month at 09:15 

  

    Periodic inventory info message is scheduled every 1 day of the month at 09:00 

  

    Alert-group               Severity 

    ------------------------  ------------ 

    crash                     debug 

    diagnostic                minor 

    environment               warning 

    inventory                 normal 

  

    Syslog-Pattern            Severity 

    ------------------------  ------------ 

    APF-.-WLC_.*              warning 

    .*                        major

Voer deze CLI uit om de status van Smart Licensing te controleren:

#show license summary 

Smart Licensing is ENABLED 

  

Registration: 

  Status: REGISTERED 

  Smart Account: TAC Cisco Systems, Inc. 

  Virtual Account: Krakow LAN-SW 

  Export-Controlled Functionality: ALLOWED 

  Last Renewal Attempt: None 

  Next Renewal Attempt: Nov 22 21:24:32 2019 UTC 

  

License Authorization: 

  Status: AUTHORIZED 

  Last Communication Attempt: SUCCEEDED 

 Next Communication Attempt: Jun 25 21:24:37 2019 UTC 

  

License Usage: 

  License                 Entitlement tag               Count Status 

  ----------------------------------------------------------------------------- 

  C9500 Network Advantage (C9500 Network Advantage)         1 AUTHORIZED 

  C9500-DNA-40X-A         (C9500-40X DNA Advantage)         1 AUTHORIZED

Als het apparaat niet wordt geregistreerd (en als de status anders dan GEREGISTREERD is), duidt Niet compliant op een probleem in CSSM, zoals een ontbrekende licentie in Smart Virtual Account, onjuiste toewijzing (bijvoorbeeld als een token uit een andere virtuele account is gebruikt waar geen licenties beschikbaar zijn), enzovoort.  

Controleer de volgende items:  

1. Controleer de configuratie-instellingen en de gebruikelijke storingsscenario's.

Zie sectie 2.1 voor basisconfiguratiestappen. Zie ook sectie 5 voor veelvoorkomende faalscenario's die in het veld worden waargenomen.

2. Controleer de basisconnectiviteit.

Controleer of het apparaat de TCP-poort kan bereiken (en openen) naar tools.cisco.com (in geval van directe toegang) of naar de on-premise server van Cisco Smart Software Manager: 

#show run all | in destination address http 

  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 

! 

! check connectivity 

! 

#telnet tools.cisco.com 443 /source-interface gi0/0 

Trying tools.cisco.com (x.x.x.x, 443)... Open 

[Connection to tools.cisco.com closed by foreign host]

Als deze opdrachten niet werken, controleert u de routeringsregels, de bron-interface en de firewall-instellingen.

Opmerking: HTTP (TCP/80) wordt afgekeurd en het aanbevolen protocol is HTTPS (TCP/443).

Zie rubriek: 3. Overwegingen en kanttekeningen in dit document voor verdere richtlijnen voor het configureren van DNS- en HTTP-details. 

3. Controleer de instellingen voor Smart License.

Verzamel de output van:

#show tech-support license

en valideer de verzamelde configuratie/logboeken (voeg deze output toe als u besluit een Cisco TAC-case te openen voor nader onderzoek).  

4. Schakel foutopsporingen in.

Schakel deze foutopsporingsfuncties in om aanvullende informatie over het proces voor slimme licenties te verzamelen.

Opmerking: na het inschakelen van debugs, moet u proberen de licentie opnieuw te registreren via CLi zoals vermeld in punt 4.1.

#debug call-home smart-licensing [all | trace | error] 

#debug ip http client [all | api | cache | error | main | msg | socket]

Voor interne debug-informatie schakelt u binaire traces in en leest u deze:

! enable debug 

#set platform software trace ios [switch] active R0 infra-sl debug 

! 

! read binary traces infra-sl process logs 

#show platform software trace message ios [switch] active R0

Scenario’s met veelvoorkomende fouten

In deze sectie worden enkele veelvoorkomende storingsscenario's beschreven die kunnen worden ervaren tijdens of na een Cisco-apparaatregistratie:

Scenario #1: Switch Registratie "Mislukking Reden: Product al geregistreerd"

Fragment van "show license all":

Registratie:

  Status: NIET GEREGISTREERD - REGISTRATIE MISLUKT

  Exportgestuurde functionaliteit: niet toegestaan

  Eerste registratie: MISLUKT op 22 okt 14:25:31 2018 EST

   Reden voor mislukking: product al geregistreerd

  Volgende Registratiepoging: Okt 22 14:45:34 2018 EST

Volgende stappen:

- Het Cisco-apparaat moet opnieuw worden geregistreerd.

- Als het Cisco-apparaat wordt weergegeven in de CSSM, moet de parameter force worden gebruikt (dat wil zeggen, licentie smart register idtoken <TOKEN> kracht).

Opmerking: de reden voor het falen kan ook worden weergegeven als:
   - Reden van storing: het product <X> en sudi met udiSerialNumber:<SerialNumber>, udiPid:<Product> is al geregistreerd.
   - Reden voor mislukking: bestaande productinstantie heeft verbruik en Force Flag is false

Scenario #2: Switch Registratie "Mislukking Reden: Uw aanvraag kan nu niet worden verwerkt. Please try again"

Fragment van "show license all":

Registratie:

  Status: INSCHRIJVEN - INSCHRIJVING BEZIG

  Exportgestuurde functionaliteit: niet toegestaan

  Eerste registratie: MISLUKT op 24 okt 15:55:26 2018 EST

    Reden voor fout: Uw aanvraag kon nu niet worden verwerkt. Probeer het opnieuw

  Volgende Registratiepoging: Okt 24 16:12:15 2018 EST

Volgende stappen:

- Inschakelen van debugs zoals vermeld in sectie 4 om meer inzicht te krijgen in het probleem.

- Genereer een nieuw token in CSSM in Smart Licensing en probeer het nog een keer.  

Scenario #3: Reden van de storing "De apparaatdatum 1526135268653 wordt gecompenseerd boven de toegestane tolerantiegrens

Fragment van "show license all":

Registratie:

  Status: INSCHRIJVEN - INSCHRIJVING BEZIG

  Exportgestuurde functionaliteit: niet toegestaan

  Eerste registratie: MISLUKT op Nov 1117:55:46 2018 EST

        Reden voor fout: {"timestamp":["The device date '1526135268653' is offset beyond the allowed tolerance limit."]}

  Volgende Registratiepoging: Nov 11 18:12:17 2018 EST

Mogelijke logboekregistraties:

%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: Certificaatketenvalidatie is mislukt.  Het certificaat (SN: XXXXXX) is nog niet geldig. Validity period starts on 2018-12-12:43Z

Volgende stappen:

- Controleer of de klok van het Cisco-apparaat de juiste tijd weergeeft (de klok weergeven).

- Configureer indien mogelijk het Network Time Protocol (NTP) om ervoor te zorgen dat de klok correct is ingesteld.

- Als NTP niet mogelijk is, controleert u of de handmatig ingestelde klok (klokset) correct is (klokweergave) en is geconfigureerd als een vertrouwde tijdbron door te controleren of de klok geldig is geconfigureerd

Opmerking: standaard is de systeemklok niet vertrouwd. Klokkalender-geldig is vereist.

Scenario #4: Switch Registratie "Mislukking Reden: Communicatie Vervoer niet beschikbaar."

Fragment van "show license all":

Inschrijving: Status: NIET INGESCHREVEN - INSCHRIJVING MISLUKT

Exportgestuurde functionaliteit: niet toegestaan

Eerste registratie: MISLUKT op Mrt 09 21:42:02 2019 CST

   Reden van storing: Communicatie transport niet beschikbaar.

Mogelijke logboekregistraties:

%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: Het oproepen naar huis vanuit Smart Agent for Licensing kan niet worden ingeschakeld: De opdracht Smart Call Home kan niet worden ingeschakeld vanwege een bestaand actief gebruikersprofiel. Als u een ander gebruikersprofiel dan het CiscoTAC-1-profiel gebruikt om gegevens naar de SCH-server in Cisco te verzenden, voert u de rapportage van smart-licensing-gegevens in onder de profielmodus om dat profiel voor slimme licenties te configureren. Kijk voor meer informatie over SCH op http://www.cisco.com/go/
%SMART_LIC-3-AGENT_REG_FAILED: Slimme agent voor licentieregistratie met Cisco Smart Software Manager of satelliet is mislukt: communicatietransport niet beschikbaar.
%SMART_LIC-3-COMM_FAILED: Communicatiefout met de Cisco Smart Software Manager of satelliet: Communicatie transport niet beschikbaar.

Volgende stappen:

- Controleer of call-home is ingeschakeld met service call-home in de uitvoer voor actieve configuratie van het Cisco-apparaat.

- Zorg ervoor dat het juiste call-home profiel actief is.

- Controleer of de rapportage van smart-licensing-gegevens is geconfigureerd onder het actieve call-home-profiel.

Scenario #5: Switch Licentie Autorisatie "Mislukking Reden: Falen om Call Home HTTP Bericht te Verzenden."

Fragment van "show license all":

Autorisatie van licentie:

  Status: OUT OF COMPLIANCE op Jul 26 09:24:09 2018 UTC

  Laatste communicatiepoging: MISLUKT op Aug 02 14:26:23 2018 UTC

    Reden van mislukking: het verzenden van het HTTP-bericht van Call Home is mislukt.

  Volgende Communicatiepoging: Aug 02 14:26:53 2018 UTC

  Communicatietermijn: Okt 25 09: 21: 38 2018 UTC

Mogelijke logboekregistraties:

%CALL_HOME-5-SL_MESSAGE_FAILED: Smart Licensing-bericht niet verzonden naar: https://<ip>/its/service/oddce/services/DDCEService (ERR 205: verzoek afgebroken)

%SMART_LIC-3-COMM_FAILED: Communicatiefout met de Cisco Smart Software Manager of satelliet: HTTP-bericht voor oproep naar startpunt niet verzonden.

%SMART_LIC-3-AUTH_RENEW_FAILED: Autorisatieverlenging met de Cisco Smart Software Manager of satelliet: Fout bij verzenden communicatiebericht voor udi PID: XXX, SN: XXX

Volgende stappen:

- Controleer of het Cisco-apparaat tools.cisco.com kan pingen.

- Als DNS niet is geconfigureerd, configureert u een DNS-server of een IP-hostinstructie voor de lokale IP-opzoeking voor tools.cisco.com.

- Probeer telnet van het Cisco-apparaat naar tools.cisco.com op TCP-poort 443 (poort gebruikt door HTTPS).

- Controleer of de HTTPs-client-broninterface is gedefinieerd en correct is.

- Controleer of de URL/IP in het profiel van het startpunt van de oproep correct is ingesteld op het Cisco-apparaat via het profiel van het startpunt van de oproep tonen.

- Controleer of de ip-route naar de juiste volgende hop wijst.

- Zorg ervoor dat TCP-poort 443 niet wordt geblokkeerd op het Cisco-apparaat, het pad naar Smart Call Home Server of de Cisco Smart Software Manager on-prem (satelliet).

- Zorg ervoor dat de juiste Virtual Routing and Forwarding (VRF)-instantie is geconfigureerd onder call-home, indien van toepassing.

Scenario #6: Fout Reden "Gebrek aan ID CERT Serienummer Veld; Gebrek aan Signing CERT Serienummer Veld; Ondertekende gegevens en certificaat komen niet overeen" Log

Dit gedrag wordt gezien bij het werken met een CSSM on-premise server waarvan het crypto certificaat is verlopen, zoals gedocumenteerd in Cisco bug ID CSCvr41393. Dit gedrag wordt verwacht omdat de CSSM on-prem toestemming moet krijgen om zijn certificaat te synchroniseren en te vernieuwen om een probleem met de synchronisatie van certificaten met registratieapparaten te voorkomen.

Fragment van "show license all":

Registratie:
  Status: NIET INGESCHREVEN
  Smart Account: Voorbeeldaccount
  Exportgestuurde functionaliteit: toegestaan

Autorisatie van licentie:
 Status: EVAL MODE
 Resterende evaluatieperiode: 65 dagen, 18 uur, 43 minuten, 0 seconden

Mogelijke logboekregistraties:

Deze fout wordt weergegeven onder logboekregistratie weergeven of licentielicentie weergeven:
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Gebrek aan veld voor een zeker ID-serienummer; Ontbrekend veld voor het ondertekenen van een bepaald serienummer; Ondertekende gegevens en certificaat komen niet overeen"

Volgende stappen:

- Controleer of het Cisco-apparaat IP-connectiviteit heeft met de CSSM on-premise server.
- Als u HTTPS gebruikt, moet u bevestigen dat de certificerings-C-naam wordt gebruikt in de configuratie voor thuisbellen.
- Als er geen DNS-server beschikbaar is om de C-naam van de certificering op te lossen, configureert u een statische IP-hostinstructie om de domeinnaam en het IP-adres toe te wijzen.

- Controleer of de status van het certificaat op CSSM on-premise nog steeds geldig is.
- Als het CSSM on-premise-certificaat is verlopen, gebruikt u een van de oplossingen die zijn beschreven in Cisco bug ID CSCvr41393

Opmerking: standaard voert HTTPS een identiteitscontrole van de server uit tijdens de SSL-handshake om te controleren of de URL of het IP-adres hetzelfde is als het opgegeven certificaat van de server. Dit kan problemen veroorzaken wanneer er IP-adressen worden gebruikt in plaats van een DNS-vermelding als de hostnaam en IP niet overeenkomen. Als DNS niet mogelijk is, of een statische ip-hostinstructie, kan er geen http secure server-identity-check worden geconfigureerd om deze certificeringscontrole uit te schakelen.

Scenario #7: Switch Licentie Autorisatie "Mislukking Reden: Wachten op antwoord" 

Fragment van "show license all":

Autorisatie van licentie:
 Status: OUT OF COMPLIANCE op Jul 26 09:24:09 2018 UTC
 Laatste Communicatie Poging: HANGENDE op Aug 02 14:34:51 2018 UTC
  Reden voor mislukking: wachten op antwoord
 Volgende Communicatiepoging: Aug 02 14:53:58 2018 UTC
 Communicatietermijn: Okt 25 09: 21: 39 2018 UTC

Mogelijke logboekregistraties:

%PKI-3-CRL_FETCH_FAIL: CRL fetch for trustpoint SLA-TrustPoint mislukt Reden: Socket is niet geselecteerd. Time-out: 5 (time-out verbinding)
%PKI-3-CRL_FETCH_FAIL: CRL fetch for trustpoint SLA-TrustPoint mislukt Reden: Socket is niet geselecteerd. Time-out: 5 (time-out verbinding)

Volgende stappen:

- Om dit probleem te verhelpen, moet de SLA-TrustPoint worden geconfigureerd als geen onder de actieve configuratie

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revocation-check none

Wat is een CRL?

Een CRL (Certificate Revocation List) is een lijst met ingetrokken certificaten. De CRL wordt gemaakt en digitaal ondertekend door de certificeringsinstantie (CA) die de certificaten oorspronkelijk heeft uitgegeven. De CRL bevat ook informatie over de uitgiftedatum en verloopdatum van elk certificaat. Meer informatie over CRL’s vindt u hier.

Scenario #8: Licentie in "OUT OF COMPLIANCE" Status

Fragment van "show license all":

Autorisatie van licentie:
 Status: OUT OF COMPLIANCE op Jul 26 09:24:09 2018 UTC
 Laatste Communicatie Poging: HANGENDE op Aug 02 14:34:51 2018 UTC
  Reden voor mislukking: wachten op antwoord
 Volgende Communicatiepoging: Aug 02 14:53:58 2018 UTC
 Communicatietermijn: Okt 25 09: 21: 39 2018 UTC

Mogelijke logboekregistraties:

%SMART_LIC-3-OUT_OF_COMPLIANCE: Een of meer rechten worden niet nageleefd.

Volgende stappen:

- Controleer of Token van de juiste Smart Virtual Account is gebruikt.

- Verifieer hier het aantal beschikbare licenties.

Scenario #9: Switch Licentie Autorisatie "Mislukking Reden: Gegevens en handtekening komen niet overeen "

Fragment van "show license all":

Autorisatie van licentie:

 Status: Goedgekeurd op Mar 12 09:17:45 2020 EDT

 Laatste communicatiepoging: MISLUKT op 12 maart 09:17:45 2020 EDT

  Reden van mislukking: gegevens en handtekening komen niet overeen

 Volgende Communicatiepoging: Mrt 12 09:18:15 2020 EDT

 Communicatietermijn: 09 mei 21:22:43 2020 EDT

Mogelijke logboekregistraties:

%SMART_LIC-3-AUTH_RENEW_FAILED: Autorisatieverlenging met de Cisco Smart Software Manager (CSSM): Fout ontvangen van Smart Software Manager: gegevens en handtekening komen niet overeen met udi PID: C9000, SN: XXXXXXXXXXX

Volgende stappen:

- Registreer de switch bij Licentie smart deregister.

- Registreer vervolgens de switch met een nieuw token met licentie smart register idtoken <TOKEN> force.

Referenties

1) Startpagina van Cisco Smart Licensing

2) Cisco Community: on-demand trainingen

3) Smart Account – beheerportal: Smart Software-licentiëring

4) Smart Account – nieuwe accounts maken: Smart Accounts

5) Configuratiehandleiding (voorbeeld) - Configuratiehandleiding voor systeembeheer, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 switches)