Inleiding

In dit document wordt beschreven hoe u Smart Licensing Using Policy (SLUP) op Catalyst 9800 WLC configureert en problemen oplost.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Slimme licentieverlening met behulp van beleid (SLUP)
• Catalyst 9800 Wireless LAN Controller (WLC)

• Cisco Networking-abonnement

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

1. Rechtstreekse verbinding met Cisco License Central
2. Verbonden met Cisco License Central via CSLU (Cisco Smart License Utility Manager)
3. Verbonden via Cisco License Central (On-Prem)

Dit artikel behandelt niet alle scenario's voor slimme licenties op Catalyst 9800. Raadpleeg de handleiding voor slimme licenties met beleidsconfiguratie voor meer informatie. Dit artikel geeft echter een reeks nuttige opdrachten om problemen met directe verbinding, CSLU en On-prem Smart Licensing met behulp van beleidskwesties op de Catalyst 9800 op te lossen.

Optie 1. Rechtstreekse verbinding met Cisco License Central:

Optie 2. Verbinding via CSLU:

Optie 3. Verbinding maken met Cisco License Central (On-Prem).

Opmerking: alle opdrachten die in dit artikel worden genoemd, zijn alleen van toepassing op WLC's die versie 17.3.2 of hoger uitvoeren.

Unified Licensing, Enforcement en SLUP

Unified Licensing, beschikbaar in Cisco Networking Abonnementen, introduceert licentiehandhaving voor on-premises klanten.

• Cisco IOS® XE 17.15.2 (december 2024) was de eerste ondersteunde versie voor uniforme licenties en introduceerde licentierapportage en nalevingsstatus per apparaat.
• Toekomstige Cisco IOS XE-releases introduceren handhaving op dag 0 voor niet-gelicentieerde toegangspunten en handhaving op dag N voor apparaten met verlopen licenties. Op apparaten die niet aan de vereisten voldoen, vindt handhaving plaats wanneer het software-image wordt bijgewerkt.

Het voltooien van de stappen in deze handleiding is van cruciaal belang om ervoor te zorgen dat uw apparaten correct zijn geconfigureerd met behulp van SLUP, zodat uw apparaten niet worden onderworpen aan handhaving bij een upgrade van de IOS XE-software-image van Cisco.

Controle van de naleving van toegangspunten bij Unified Licensing

Afbeelding 1: naleving van Web UI AP (niet-conform)

Informatie over de naleving van toegangspunten is beschikbaar op de controller (Meraki Dashboard, Catalyst Center 2.3.7.9) en op het apparaat (Web UI, CLI).

In figuur 1 ziet u een voorbeeld van informatie over de naleving van toegangspunten op de gebruikersinterface van het web. AP's die niet aan de vereisten voldoen, hebben een niet-conforme licentiestatus, met redenering op voorwaarde dat de AP 'nooit een licentie heeft'.

Nadat SLUP correct is geconfigureerd, geven uw toegangspunten een bijgewerkte status weer.

Afbeelding 1: Web UI AP Compliance (compatibel)

Traditionele licenties versus SLUP

De functie Smart Licensing Using Policy is geïntroduceerd in de Catalyst 9800 met de codeversie 17.3.2. De eerste versie van 17.3.2 mist het SLUP-configuratiemenu in de WLC WebUI, die werd geïntroduceerd met de versie van 17.3.3. De SLUP verschilt op een aantal manieren van traditionele slimme licenties:

• WLC communiceert nu met Cisco License Central via het smartreceiver.cisco.com domein, in plaats van het tools.cisco.com domein.
• In plaats van te registreren, vestigt de WLC nu vertrouwen met de Cisco-licentie Central of On-Prem.
• CLI-opdrachten zijn enigszins gewijzigd.
• Er is geen Smart Licensing Reservation (SLR) meer. In plaats daarvan kunt u uw gebruik periodiek handmatig rapporteren.

Configuratie

Direct Connect Cisco License Central

Zodra het token is gemaakt op de Cisco License Central, moeten deze opdrachten worden uitgevoerd om vertrouwen te wekken.

Opmerking: Token Max. Het aantal toepassingen moet ten minste 2 zijn in een geval van WLC in HSSO.

configure terminal
ip http client source-interface 
ip http client secure-trustpoint 
license smart transport smart
license smart url default
exit
write memory
terminal monitor
license smart trust idtoken  all force

• De broninterface van de ip http-client specificeert de L3-interface waaruit licentiegerelateerde pakketten zullen worden gehaald.
• De opdracht ip http client secure-trustpoint geeft aan welk trustpoint/certificaat wordt gebruikt voor Cisco License Central-communicatie. De naam trustpoint kan worden gevonden met behulp van de opdracht crypto pki trustpoints tonen. Het wordt aanbevolen om een zelf ondertekend cert TP-zelfondertekend xxxxxxxxxxxx-certificaat of door de fabrikant geïnstalleerd certificaat (ook bekend als MIC, alleen beschikbaar op 9800-40, 9800-80 en 9800-L) te gebruiken, meestal CISCO_IDEVID_SUDI.
• Met de opdracht Terminalmonitor drukt de WLC de logboeken af naar de console en helpt u te bevestigen dat het vertrouwen met succes is ingesteld. Het kan worden uitgeschakeld met behulp van geen terminal monitor.
• Trefwoord alles in de laatste opdracht vertelt alle WLC's in het HSSO-cluster om het vertrouwen met de Cisco License Central te vestigen.
• Keyword force vertelt de WLC om een van de eerder gevestigde trusts te overschrijven en een nieuwe te proberen.

Opmerking: als de trust niet wordt ingesteld, probeert de 9800 het 1 minuut later opnieuw nadat de opdracht is uitgevoerd en probeert het dan een tijdje niet opnieuw. Voer de token-opdracht opnieuw in om een nieuwe vertrouwensinstelling te forceren.

Verbonden met CSLU

Cisco Smart License Utility Manager (CSLU) is een op Windows gebaseerde toepassing (ook beschikbaar op Linux) waarmee klanten licenties en de bijbehorende productinstanties vanuit hun locatie kunnen beheren in plaats van dat ze hun voor Smart Licensed geschikte productinstanties rechtstreeks moeten verbinden met Cisco License Central.

Deze sectie heeft alleen betrekking op de configuratie van de 9800 Wireless. Er zijn andere stappen die moeten worden uitgevoerd om licenties met CSLU te configureren (zoals CSLU installeren, CSLU-software configureren enzovoort), die worden behandeld in de configuratiehandleidingen . Of u nu een door een product geïnitieerde of door CSLU geïnitieerde communicatiemethode wilt implementeren of de bijbehorende reeks taken wilt voltooien.

Product-instantie gestart 

1. Zorg voor netwerkbereikbaarheid van de controller tot CSLU.
2. Zorg ervoor dat het transporttype is ingesteld op cslu: 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. Als u wilt dat CSLU door de controller wordt ontdekt, moet u de actie uitvoeren. Als u wilt dat CSLU wordt ontdekt met behulp van DNS, is geen actie vereist. Als u het wilt ontdekken met behulp van een URL, voert u deze opdracht in: 
   

   (config)#license smart url cslu http://:8182/cslu/v1/pi
   (config)#exit
   #copy running-config startup-config

door CSLU geïnitieerd 

Wanneer u CSLU-geïnitieerde communicatie configureert, is de enige vereiste actie het controleren op en zorgen voor netwerkbereikbaarheid naar CSLU vanaf de controller. 

Verbonden met Cisco License Central On-Prem

Configuratie met On-Prem Cisco License Central is vrij vergelijkbaar met directe verbinding. On-prem moet versie 8-202102 of nieuwer uitvoeren. Voor SLUP-releases (17.3.2 en hoger) wordt geadviseerd om de CSLU-URL en het transporttype te gebruiken. De URL kan worden verkregen via de On-prem webUI-interface onder Smart Licensing > Inventory > <Virtual Account> > General sectie.

configure terminal
 ip http client source-interface 
 ip http client secure-trustpoint 
 license smart transport cslu
 license smart url cslu http:///cslu/v1/pi/ (see previous paragraph on how to get exact URL)
 crypto pki trustpoint SLA-TrustPoint
  revocation-check none 
 exit
write memory
terminal monitor

On-prem Cisco License Central vereist niet het gebruik van een trust-token.

Slim transport configureren via een HTTPS-proxy

Voer de volgende stappen uit om een proxyserver te gebruiken voor communicatie met Cisco License Central wanneer u de slimme transportmodus gebruikt:

configure terminal
  ip http client source-interface 
  ip http client secure-trustpoint 
  license smart transport smart
  license smart url default
  license smart proxy address 
  license smart proxy port 
exit
write memory
terminal monitor
license smart trust idtoken  all force

communicatiefrequentie

Het rapportageinterval dat u in CLI of GUI kunt configureren, heeft geen effect.

De 9800 WLC communiceert elke 8 uur met Cisco License Central of On-prem, ongeacht welk rapportageinterval is geconfigureerd via webinterface of CLI. Dit betekent dat nieuw aangesloten toegangspunten tot 8 uur nadat ze zich aanvankelijk hebben aangesloten, op Cisco License Central kunnen worden weergegeven.

U kunt uitzoeken wanneer licenties de volgende keer worden berekend en gerapporteerd met de opdracht Samenvatting van licentieluchtentiteiten weergeven. Deze opdracht maakt geen deel uit van de typische show tech of show licentie alle uitvoer:

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

Licentie Factory Reset

Catalyst 9800 WLC kan al zijn licentieconfiguratie en vertrouwensfabrieksreset hebben en nog steeds alle andere configuraties behouden. Hiervoor is een herlaadbeurt van de WLC nodig:

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

Het is belangrijk op te merken dat na een fabrieksreset van de licentie, u een uur moet wachten voordat u de WLC opnieuw licentieert als deze in de AirGap-modus staat.

In geval van RMA of vervanging van hardware

Als de 9800 WLC moet worden vervangen, moet het nieuwe apparaat worden geregistreerd bij Cisco License Central / On-prem en wordt het als een nieuw apparaat beschouwd. Het vrijgeven van het aantal licenties van het vorige apparaat vereist handmatige verwijdering onder Productinstanties:

Upgraden van specifieke licentieregistratie (SLR)

Oudere WLC-releases, eerder dan 17.3.2, gebruikten een speciale offline licentiemethode genaamd Specifieke licentieregistratie (SLR). Deze licentiemethode is afgeschreven in de releases met SLUP (17.3.2 en hoger).

Als u een 9800-controller die SLR gebruikte, upgradet naar een release post 17.3.2 of 17.4.1, wordt het aanbevolen dat u naar offline SLUP-rapportage gaat in plaats van te vertrouwen op de SLR-opdrachten. Sla het RUM-bestand voor licentiegebruik op en registreer dat bij het Smart Licensing Portal. Aangezien SLR niet meer bestaat in nieuwere releases, rapporteert dit het juiste aantal licenties en geeft het elke ongebruikte licentie vrij. Licenties worden niet meer geblokkeerd, maar het exacte aantal gebruikers wordt gerapporteerd.

Probleemoplossing

Internettoegang, poortcontroles en pings

In plaats van de tools.cisco.com die traditionele slimme licenties gebruikten, gebruikt de nieuwe SLUP het smartreceiver.cisco.com-domein om vertrouwen te vestigen. Op het moment van schrijven van dit artikel lost dit domein zich op tot meerdere verschillende IP-adressen. Niet al deze adressen zijn pingable. Pings mogen niet worden gebruikt als een internet bereikbaarheidstest van WLC. Het niet kunnen pingen van deze servers betekent niet dat ze niet goed werken.

In plaats van pings moet telnet over poort 443 worden gebruikt als bereikbaarheidstest. Telnet kan worden gecontroleerd op basis van het smartreceiver.cisco.com domein of rechtstreeks op basis van de IP-adressen van de server. Als het verkeer niet wordt geblokkeerd, moet de poort als open in de uitvoer worden weergegeven:

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]

Syslog

Als de opdracht Terminalmonitor is ingeschakeld terwijl de token wordt geconfigureerd, worden de relevante logs in de CLI afgedrukt door de WLC. Deze berichten kunnen ook worden verkregen als u de opdracht show logging uitvoert. Logs van een succesvol gevestigd vertrouwen ziet er als volgt uit:

WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.

Logbestanden van een WLC zonder gedefinieerde DNS-server of met een niet-werkende DNS-server:

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

Controleer in dat geval of u een geldige DNS-server hebt geconfigureerd. Voel je vrij om elke openbare DNS-server IP beschikbaar te gebruiken:

ip name-server 

Logbestanden van een WLC met een functionerende DNS-server, maar zonder internettoegang:

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Packet Captures

Hoewel de communicatie tussen WLC en Cisco License Central/On-Prem is gecodeerd en via HTTPS verloopt, kan het vastleggen van pakketten onthullen waardoor het vertrouwen niet wordt gevestigd. De eenvoudigste manier om pakketopnames te verzamelen, is via de WLC-webinterface.

Ga naar Problemen oplossen > Pakketvastlegging. Een nieuw opnamepunt maken:

Controleer of het selectievakje Controlevlak is ingeschakeld. Verhoog de buffergrootte tot de maximale 100MB. Voeg de interface toe die moet worden vastgelegd. Slim licentieverkeer wordt standaard afkomstig uit de draadloze beheerinterface of uit de interface die is gedefinieerd met de opdracht ip http-client source-interface:

Start de opnamen en voer de licentie smart trust idtoken <token> all force-opdracht uit:

De pakketopnames van een trust-instelling moeten de volgende stappen bevatten:

1. TCP-sessie instellen met SYN-, SYN-ACK- en ACK-reeks
2. TLS-sessie-instelling met uitwisseling van zowel server- als clientcertificaten. Oprichting eindigt met het New Session Ticket-pakket
3. Versleutelde pakketuitwisseling (Application Data frames) waarbij WLC licentiegebruik rapporteert
4. TCP-sessiebeëindiging via FIN-PSH-ACK, FIN-ACK & ACK-reeks

Opmerking: de pakketopnames bevatten veel meer frames, waaronder meerdere TCP-vensterupdates en toepassingsgegevensframes.

Aangezien Cisco License Central Cloud 3 verschillende openbare IP-adressen gebruikt, kunt u deze wireshark-filters gebruiken om alle pakketopnames tussen WLC en Cisco License Central uit te filteren:

ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144 

Als u een On-Prem Cisco License Central gebruikt, filtert u naar het IP-adres van Cisco License Central:

ip.addr==

Voorbeeld: pakketopnames van een succesvolle trustvestiging met rechtstreeks aangesloten Cisco License Central met alle belangrijke pakketopnames gefilterd:

Opdrachten weergeven

Deze tonen opdrachten bevatten nuttige informatie over het instellen van vertrouwen:

show license status
show license summary
show license tech support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

De opdracht licentiegeschiedenis weergeven is een van de nuttigste opdrachten, omdat hiermee de werkelijke berichten kunnen worden weergegeven die zijn verzonden vanuit WLC en die zijn ontvangen van Cisco License Central.

Een succesvolle trust-instelling heeft zowel "REQUEST: Aug 23 10:18:08 2021 Central" als "RESPONSE: Aug 23 10:18:10 2021 Central" berichten afgedrukt. Als er niets is na de RESPONSE-regel, betekent dit dat de WLC geen reactie heeft ontvangen van de Cisco License Central.

Dit is een voorbeeld van een weergave van de uitvoer van de licentiegeschiedenis voor een succesvolle vertrouwensinstelling:

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

Debugs/bracTrace

Voer deze opdracht uit een paar minuten nadat een trustinstelling is geprobeerd met behulp van een licentie smart trust idtoken all force-opdracht. IOSRP-logs zijn zeer uitgebreid. Voeg | voeg "smart-agent" toe aan de opdracht om alleen logboeken voor slimme licenties te krijgen.

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

U kunt ook deze foutopsporingen uitvoeren en vervolgens de licentiecommando's opnieuw configureren om een nieuwe verbinding te forceren:

debug license events
debug license errors
debug license agent all

Veelvoorkomende problemen

WLC heeft geen internettoegang of firewall blokkeert/wijzigt verkeer

Geïntegreerde pakketopnames op de WLC zijn een eenvoudige manier om te zien of WLC iets terugkrijgt van de Cisco License Central of On-Prem. Als er geen reactie was, is de kans groot dat de firewall iets blokkeert.

De opdracht licentiegeschiedenis weergeven drukt een leeg antwoord af 1 seconde nadat het verzoek is verzonden als er geen antwoord is ontvangen van de Cisco License Central Cloud of On-prem.

Dit kan er bijvoorbeeld toe leiden dat je gelooft dat er een leeg antwoord is ontvangen, maar in werkelijkheid was er helemaal geen antwoord:

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

Opmerking: er is momenteel een uitbreidingsverzoek Cisco bug ID CSCvy84684 dat maakt show licentie geschiedenis bericht print een lege reactie wanneer er geen reactie. Dit is om de uitvoer van de opdracht Licentiegeschiedenis weergeven te verbeteren

Onbekende CA-waarschuwing bij pakketopnamen

Communicatie met Cisco License Central of On-prem vereist een fatsoenlijk certificaat aan de 9800-kant. Het kan zelf ondertekend zijn, maar het kan niet ongeldig of verlopen zijn. In een dergelijk geval toont een pakketopname een TLS-waarschuwing voor een onbekende CA die door Cisco License Central wordt verzonden wanneer het 9800 HTTP-clientcertificaat is verlopen.

Slimme licenties maken gebruik van de ip http-clientconfiguratie, die verschilt van de ip http-server die de WLC-webinterface gebruikt. Dit betekent dat deze opdrachten correct moeten worden geconfigureerd:

ip http client source-interface 
ip http client secure-trustpoint 

De naam trustpoint kan worden gevonden met het commando show crypto pki trustpoints. Het wordt aanbevolen om een zelf ondertekend cert TP-zelfondertekend xxxxxxxxxxxx-certificaat of door de fabrikant geïnstalleerd certificaat (MIC) te gebruiken dat meestal CISCO_IDEVID_SUDI wordt genoemd en alleen beschikbaar is op 9800-80, 9800-40 en 9800-L.

Het is belangrijk op te merken dat apparaten die TLS-interceptie uitvoeren, zoals een firewall met de SSL-decoderingsfunctie, kunnen voorkomen dat de C9800 een succesvolle handshake maakt met de Cisco-licentieserver, omdat het HTTPS-certificaat dat wordt gepresenteerd het firewallcertificaat is in plaats van het Cisco-licentieservercertificaat.

Opmerking: zorg ervoor dat u zowel de source-interface als de secure-trustpoint-opdrachten configureert. Een source-interface commando is nodig, zelfs als WLC heeft slechts één L3-interface.

Gerelateerde informatie

• Smart Licensing met Air Gap-modus op de 9800
• Cisco Technical Support en downloads

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
15.0	05-Jun-2026	Alt tekst, Vervang verwijzingen naar "Cisco Smart Software Manager (SSM)" door "Cisco License Central."
14.0	04-Nov-2025	Een show-opdracht in het gedeelte Problemen oplossen opgelost
13.0	28-Jul-2025	Toegevoegd een opmerking over airgap licentie na een fabriek reset
12.0	22-Jul-2025	Opdracht voor configuratie van DNS-server toegevoegd
11.0	20-Aug-2024	Eén URL vastgesteld
10.0	01-Mar-2024	hercertificering
9.0	12-Jan-2023	Meer informatie over ondersteuning voor geverifieerde proxies
8.0	15-Dec-2022	CSLU en 17.7 details toegevoegd
7.0	20-May-2022	Opdrachten voor foutopsporing toegevoegd
6.0	26-Apr-2022	Een sectie over proxy toegevoegd
5.0	14-Jan-2022	Vereiste versie toegevoegd aan prem
4.0	12-Jan-2022	een opmerking toegevoegd over on-prem CSSM
3.0	05-Oct-2021	een kleine opmerking toegevoegd rond on-prem SSM
2.0	02-Sep-2021	Kleine wijzigingen in de opmaak
1.0	02-Sep-2021	Eerste vrijgave