Inleiding

In dit document wordt beschreven hoe u Smart Licensing Using Policy (SLUP) op Catalyst 9800 WLC configureert en problemen oplost.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Slimme licentieverlening met behulp van beleid (SLUP)
• Catalyst 9800 Wireless LAN Controller (WLC)

• Cisco Networking-abonnement

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Let op: opmerkingen in dit artikel bevatten nuttige suggesties of verwijzingen naar materiaal dat niet in het document wordt behandeld. Het wordt aanbevolen om elke noot te lezen.

1. Direct verbinding maken met Cisco Smart Software Manager Cloud (CSSM Cloud)
2. Verbonden met CSSM via CSLU (Cisco Smart License Utility Manager)
3. Verbonden met CSSM via On-Prem Smart Software Manager (On-Prem SSM)

Dit artikel behandelt niet alle scenario's voor slimme licenties op Catalyst 9800. Raadpleeg de handleiding voor slimme licenties met beleidsconfiguratie voor meer informatie. Dit artikel geeft echter een reeks nuttige opdrachten om problemen met directe verbinding, CSLU en On-prem SSM Smart Licensing met behulp van beleidskwesties op de Catalyst 9800 op te lossen.

Optie 1. Direct verbinding maken met Cisco Smart Licensing Cloud Servers (CSSM)

Optie 2. Verbinding via CSLU

Optie 3. Verbinding via On-Prem Smart Software Manager (On-Prem SSM)

Opmerking: alle opdrachten die in dit artikel worden genoemd, zijn alleen van toepassing op WLC's die versie 17.3.2 of hoger uitvoeren.

Unified Licensing, Enforcement en SLUP

Unified Licensing, beschikbaar in Cisco Networking Abonnementen, introduceert licentiehandhaving voor on-premises klanten.

• IOS XE 17.15.2 (december 2024) was de eerste ondersteunde versie voor uniforme licenties en introduceerde licentierapportage en nalevingsstatus per apparaat.
• Toekomstige IOS XE-releases introduceren handhaving op dag 0 voor niet-gelicentieerde toegangspunten en handhaving op dag N voor apparaten met verlopen licenties. Op apparaten die niet aan de vereisten voldoen, vindt handhaving plaats wanneer het software-image wordt bijgewerkt.

Het voltooien van de stappen in deze handleiding is van cruciaal belang om ervoor te zorgen dat uw apparaten correct zijn geconfigureerd met behulp van SLUP, zodat uw apparaten niet worden onderworpen aan handhaving bij een upgrade van de IOS XE-software-image.

Controle van de naleving van toegangspunten bij Unified Licensing

Afbeelding 1: naleving van Web UI AP (niet-conform)

Informatie over de naleving van toegangspunten is beschikbaar op de controller (Meraki Dashboard, Catalyst Center 2.3.7.9) en op het apparaat (Web UI, CLI).

In figuur 1 ziet u een voorbeeld van informatie over de naleving van toegangspunten op de gebruikersinterface van het web. AP's die niet aan de vereisten voldoen, hebben een niet-conforme licentiestatus, met redenering op voorwaarde dat de AP 'nooit een licentie heeft'.

Nadat SLUP correct is geconfigureerd, geven uw toegangspunten een bijgewerkte status weer.

Afbeelding 1: Web UI AP Compliance (compatibel)

Opmerking: als u SLUP met succes hebt geconfigureerd en nog steeds de status Non-Compliant op uw toegangspunten ziet, bevestigt u dan dat u voldoende licenties hebt gekocht en dat deze licenties zijn gedeponeerd in de juiste Smart Account (SA) en Virtual Account (VA).

Traditionele licenties versus SLUP

De functie Smart Licensing Using Policy is geïntroduceerd in de Catalyst 9800 met de codeversie 17.3.2. De eerste versie van 17.3.2 mist het SLUP-configuratiemenu in de WLC WebUI, die werd geïntroduceerd met de versie van 17.3.3. De SLUP verschilt op een aantal manieren van traditionele slimme licenties:

• WLC communiceert nu met CSSM via het smartreceiver.cisco.com domein, in plaats van het tools.cisco.com domein.
• In plaats van te registreren, vestigt de WLC nu vertrouwen met het CSSM of On-prem SSM.
• CLI-opdrachten zijn enigszins gewijzigd.
• Er is geen Smart Licensing Reservation (SLR) meer. In plaats daarvan kunt u uw gebruik periodiek handmatig rapporteren.

Waarschuwing: Als u een draadloze Cisco Catalyst 9800-CL-controller gebruikt, moet u weten dat u bekend bent met de verplichte ACK-vereiste die begint met Cisco IOS® XE Cupertino 17.7.1. Zie Rapportage- en bevestigingsvereisten voor Cisco Catalyst 9800-CL draadloze controller.

Configuratie

Direct Connect CSSM

Zodra het token is gemaakt op het CSSM, moeten deze opdrachten worden uitgevoerd om vertrouwen te wekken:

Opmerking: Token Max. Het aantal toepassingen moet ten minste 2 zijn in een geval van WLC in HSSO.

configure terminal
ip http client source-interface 
ip http client secure-trustpoint 
license smart transport smart
license smart url default
exit
write memory
terminal monitor
license smart trust idtoken  all force

• De broninterface van de ip http-client specificeert de L3-interface waaruit licentiegerelateerde pakketten zullen worden gehaald
• De opdracht ip http client secure-trustpoint geeft aan welk trustpoint/certificaat wordt gebruikt voor CSSM-communicatie. De naam van het trustpoint kan worden gevonden met de opdracht crypto pki trustpoints tonen. Het wordt aanbevolen om een zelf ondertekend cert TP-zelfondertekend xxxxxxxxxxxx-certificaat of door de fabrikant geïnstalleerd certificaat (ook bekend als MIC, alleen beschikbaar op 9800-40, 9800-80 en 9800-L) te gebruiken, meestal CISCO_IDEVID_SUDI.
• Met de opdracht Terminalmonitor drukt de WLC de logboeken af naar de console en helpt u te bevestigen dat het vertrouwen met succes is ingesteld. Het kan worden uitgeschakeld met behulp van geen terminal monitor.
• Trefwoord alles in de laatste opdracht vertelt alle WLC's in het HSSO-cluster om het vertrouwen met de CSSM te vestigen.
• Keyword force vertelt de WLC om een van de eerder gevestigde trusts te overschrijven en een nieuwe te proberen.

Opmerking: als de trust niet wordt ingesteld, probeert de 9800 het 1 minuut later opnieuw nadat de opdracht is uitgevoerd en probeert het dan een tijdje niet opnieuw. Voer de token-opdracht opnieuw in om een nieuwe vertrouwensinstelling te forceren.

Verbonden met CSLU

Cisco Smart License Utility Manager (CSLU) is een op Windows gebaseerde toepassing (ook beschikbaar op Linux) waarmee klanten licenties en de bijbehorende productinstanties vanuit hun locatie kunnen beheren in plaats van hun voor Smart Licensed geschikte productinstanties rechtstreeks te hoeven verbinden met Cisco Smart Software Manager (CSSM).

Deze sectie heeft alleen betrekking op de configuratie van de 9800 Wireless. Er zijn andere stappen die moeten worden uitgevoerd om licenties met CSLU te configureren (zoals CSLU installeren, CSLU-software configureren enzovoort), die worden behandeld in de configuratiehandleidingen . Of u nu een door een product geïnitieerde of door CSLU geïnitieerde communicatiemethode wilt implementeren of de bijbehorende reeks taken wilt voltooien.

Product-instantie gestart 

1. Zorgen voor netwerkbereikbaarheid van de controller naar CSLU 
2. Zorg ervoor dat het transporttype is ingesteld op cslu: 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. Als u wilt dat CSLU door de controller wordt ontdekt, moet u de actie uitvoeren. Als u wilt dat CSLU wordt ontdekt met behulp van DNS, is geen actie vereist. Als u het wilt ontdekken met behulp van een URL, voert u deze opdracht in: 
   

   (config)#license smart url cslu http://:8182/cslu/v1/pi
   (config)#exit
   #copy running-config startup-config

door CSLU geïnitieerd 

Wanneer u CSLU-geïnitieerde communicatie configureert, is de enige vereiste actie het controleren op en zorgen voor netwerkbereikbaarheid naar CSLU vanaf de controller. 

Verbonden met SSM On-Prem

Configuratie met On-Prem SSM is vrij vergelijkbaar met directe verbinding. On-prem moet versie 8-202102 of nieuwer uitvoeren. Voor SLUP-releases (17.3.2 en hoger) wordt geadviseerd om de CSLU-URL en het transporttype te gebruiken. De URL kan worden verkregen via de On-prem webUI-interface onder Smart Licensing > Inventory > <Virtual Account> > General sectie.

configure terminal
 ip http client source-interface 
 ip http client secure-trustpoint 
 license smart transport cslu
 license smart url cslu http:///cslu/v1/pi/ (see previous paragraph on how to get exact URL)
 crypto pki trustpoint SLA-TrustPoint
  revocation-check none 
 exit
write memory
terminal monitor

On-prem SSM vereist niet het gebruik van een trust-token.

Opmerking: Als u het bericht %PKI-3-CRL_FETCH_FAIL: CRL fetch for trustpoint SLA-TrustPoint niet hebt ontvangen, is dit omdat u geen herroeping hebt geconfigureerd en geen controle hebt ingesteld onder de SLA-TrustPoint. Dit is het trustpoint dat wordt gebruikt voor Smart Licensing. In het geval van On-prem is het certificaat op de licentieserver meestal een zelf ondertekend certificaat waarvoor CRL-verificatie niet mogelijk is, vandaar de vereiste om geen intrekkingscontroles te configureren.

Slim transport configureren via een HTTPS-proxy

Opmerking: Geverifieerde proxy's worden nog niet ondersteund vanaf code release 17.9.2. Als u geverifieerde proxy's in uw infrastructuur gebruikt, kunt u overwegen de Cisco Smart License Utility Manager (CSLU) te gebruiken, omdat deze dit type servers ondersteunt.

Voer de volgende stappen uit om een proxyserver te gebruiken voor communicatie met CSSM wanneer u de slimme transportmodus gebruikt:

configure terminal
  ip http client source-interface 
  ip http client secure-trustpoint 
  license smart transport smart
  license smart url default
  license smart proxy address 
  license smart proxy port 
exit
write memory
terminal monitor
license smart trust idtoken  all force

communicatiefrequentie

Het rapportageinterval dat u in CLI of GUI kunt configureren, heeft geen effect.

De 9800 WLC communiceert elke 8 uur met CSSM of On-prem Smart Software Manager, ongeacht welk rapportageinterval is geconfigureerd via webinterface of CLI. Dit betekent dat pas aangesloten toegangspunten tot 8 uur na hun eerste toetreding op het CSSM kunnen verschijnen.

U kunt uitzoeken wanneer licenties de volgende keer worden berekend en gerapporteerd met de opdracht Samenvatting van licentieluchtentiteiten weergeven. Deze opdracht maakt geen deel uit van de typische show tech of show licentie alle uitvoer:

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

Licentie Factory Reset

Catalyst 9800 WLC kan al zijn licentieconfiguratie en vertrouwensfabrieksreset hebben en nog steeds alle andere configuraties behouden. Hiervoor is een herlaadbeurt van de WLC nodig:

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

Het is belangrijk op te merken dat na een fabrieksreset van de licentie, u een uur moet wachten voordat u de WLC opnieuw licentieert als deze in de AirGap-modus staat.

In geval van RMA of vervanging van hardware

Als de 9800 WLC moet worden vervangen, moet het nieuwe apparaat worden geregistreerd bij CSSM/On-prem Smart Software Manager en wordt het als een nieuw apparaat beschouwd. Het vrijgeven van het aantal licenties van het vorige apparaat vereist handmatige verwijdering onder Productinstanties:

Upgraden van specifieke licentieregistratie (SLR)

Oudere WLC-releases, eerder dan 17.3.2, gebruikten een speciale offline licentiemethode genaamd Specifieke licentieregistratie (SLR). Deze licentiemethode is afgeschreven in de releases met SLUP (17.3.2 en hoger).

Als u een 9800-controller die SLR gebruikte, upgradet naar een release post 17.3.2 of 17.4.1, wordt het aanbevolen dat u naar offline SLUP-rapportage gaat in plaats van te vertrouwen op de SLR-opdrachten. Sla het RUM-bestand voor licentiegebruik op en registreer dat bij het Smart Licensing Portal. Aangezien SLR niet meer bestaat in nieuwere releases, rapporteert dit het juiste aantal licenties en geeft het elke ongebruikte licentie vrij. Licenties worden niet meer geblokkeerd, maar het exacte aantal gebruikers wordt gerapporteerd.

Probleemoplossing

Internettoegang, poortcontroles en pings

In plaats van de tools.cisco.com die traditionele slimme licenties gebruikten, gebruikt de nieuwe SLUP het smartreceiver.cisco.com-domein om vertrouwen te vestigen. Op het moment van schrijven van dit artikel lost dit domein zich op tot meerdere verschillende IP-adressen. Niet al deze adressen zijn pingable. Pings mogen niet worden gebruikt als een internet bereikbaarheidstest van WLC. Het niet kunnen pingen van deze servers betekent niet dat ze niet goed werken.

In plaats van pings moet telnet over poort 443 worden gebruikt als bereikbaarheidstest. Telnet kan worden gecontroleerd op basis van het smartreceiver.cisco.com domein of rechtstreeks op basis van de IP-adressen van de server. Als het verkeer niet wordt geblokkeerd, moet de poort als open in de uitvoer worden weergegeven:

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]

Syslog

Als de opdracht Terminalmonitor is ingeschakeld terwijl de token wordt geconfigureerd, worden de relevante logs in de CLI afgedrukt door de WLC. Deze berichten kunnen ook worden verkregen als u de opdracht show logging uitvoert. Logs van een succesvol gevestigd vertrouwen ziet er als volgt uit:

WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.

Logbestanden van een WLC zonder gedefinieerde DNS-server of met een niet-werkende DNS-server:

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

Controleer in dat geval of u een geldige DNS-server hebt geconfigureerd. Voel je vrij om elke openbare DNS-server IP beschikbaar te gebruiken:

ip name-server 

Logbestanden van een WLC met een functionerende DNS-server, maar zonder internettoegang:

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Packet Captures

Hoewel de communicatie tussen WLC en CSSM/On-prem SSM is gecodeerd en via HTTPS verloopt, kan het uitvoeren van pakketopnames onthullen waardoor het vertrouwen niet wordt gevestigd. De eenvoudigste manier om pakketopnames te verzamelen, is via de WLC-webinterface.

Ga naar Problemen oplossen > Pakketvastlegging. Een nieuw opnamepunt maken:

Controleer of het selectievakje Controlevlak is ingeschakeld. Verhoog de buffergrootte tot de maximale 100MB. Voeg de interface toe die moet worden vastgelegd. Slim licentieverkeer wordt standaard afkomstig uit de draadloze beheerinterface of uit de interface die is gedefinieerd met de opdracht ip http-client source-interface:

Start de opnamen en voer de licentie smart trust idtoken <token> all force-opdracht uit:

De pakketopnames van een trust-instelling moeten de volgende stappen bevatten:

1. TCP-sessie instellen met SYN-, SYN-ACK- en ACK-reeks
2. TLS-sessie-instelling met uitwisseling van zowel server- als clientcertificaten. Oprichting eindigt met het New Session Ticket-pakket
3. Versleutelde pakketuitwisseling (Application Data frames) waarbij WLC licentiegebruik rapporteert
4. TCP-sessiebeëindiging via FIN-PSH-ACK, FIN-ACK & ACK-reeks

Opmerking: de pakketopnames bevatten veel meer frames, waaronder meerdere TCP-vensterupdates en toepassingsgegevensframes.

Aangezien CSSM Cloud 3 verschillende openbare IP-adressen gebruikt, kunt u deze wireshark-filters gebruiken om alle pakketopnames tussen WLC en CSSM uit te filteren:

ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144 

Als u een on-prem SSM gebruikt, filtert u voor het SSM IP-adres:

ip.addr==

Voorbeeld: pakketopnames van een succesvolle trustinstelling met direct aangesloten CSSM met alle belangrijke pakketopnames gefilterd:

Opdrachten weergeven

Deze tonen opdrachten bevatten nuttige informatie over het instellen van vertrouwen:

show license status
show license summary
show tech-support license
show license tech-support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

De opdracht licentiegeschiedenis weergeven is een van de nuttigste opdrachten, omdat deze de werkelijke berichten kan weergeven die zijn verzonden vanuit WLC en die zijn ontvangen van CSSM.

Een succesvolle trust-instelling heeft zowel "REQUEST: Aug 23 10:18:08 2021 Central" als "RESPONSE: Aug 23 10:18:10 2021 Central" berichten afgedrukt. Als er niets is na de RESPONSE-regel, betekent dit dat de WLC geen reactie van de CSSM heeft ontvangen.

Dit is een voorbeeld van een weergave van de uitvoer van de licentiegeschiedenis voor een succesvolle vertrouwensinstelling:

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

Debugs/bracTrace

Voer deze opdracht uit een paar minuten nadat een trustinstelling is geprobeerd met behulp van een licentie smart trust idtoken all force-opdracht. IOSRP-logs zijn zeer uitgebreid. Voeg | voeg "smart-agent" toe aan de opdracht om alleen logboeken voor slimme licenties te krijgen.

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

U kunt ook deze foutopsporingen uitvoeren en vervolgens de licentiecommando's opnieuw configureren om een nieuwe verbinding te forceren:

debug license events
debug license errors
debug license agent all

Veelvoorkomende problemen

WLC heeft geen internettoegang of firewall blokkeert/wijzigt verkeer

Geïntegreerde pakketopnames op de WLC zijn een eenvoudige manier om te zien of WLC iets terugkrijgt van de CSSM of On-prem SSM. Als er geen reactie was, is de kans groot dat de firewall iets blokkeert.

De opdracht licentiegeschiedenis weergeven drukt een leeg antwoord af 1 seconde nadat het verzoek is verzonden als er geen antwoord is ontvangen van de CSSM Cloud of On-prem SSM.

Dit kan er bijvoorbeeld toe leiden dat je gelooft dat er een leeg antwoord is ontvangen, maar in werkelijkheid was er helemaal geen antwoord:

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

Opmerking: er is momenteel een uitbreidingsverzoek Cisco bug ID CSCvy84684 dat maakt show licentie geschiedenis bericht print een lege reactie wanneer er geen reactie. Dit is om de uitvoer van de opdracht Licentiegeschiedenis weergeven te verbeteren

Onbekende CA-waarschuwing bij pakketopnamen

Communicatie met CSSM of On-prem SSM vereist een fatsoenlijk certificaat aan de 9800-kant. Het kan zelf ondertekend zijn, maar het kan niet ongeldig of verlopen zijn. In een dergelijk geval toont een pakketopname een TLS-waarschuwing voor een onbekende CA die door CSSM wordt verzonden wanneer het 9800 HTTP-clientcertificaat is verlopen.

Slimme licenties maken gebruik van de ip http-clientconfiguratie, die verschilt van de ip http-server die de WLC-webinterface gebruikt. Dit betekent dat deze opdrachten correct moeten worden geconfigureerd:

ip http client source-interface 
ip http client secure-trustpoint 

De naam trustpoint kan worden gevonden met het commando show crypto pki trustpoints. Het wordt aanbevolen om een zelf ondertekend cert TP-zelfondertekend xxxxxxxxxxxx-certificaat of door de fabrikant geïnstalleerd certificaat (MIC) te gebruiken dat meestal CISCO_IDEVID_SUDI wordt genoemd en alleen beschikbaar is op 9800-80, 9800-40 en 9800-L.

Het is belangrijk op te merken dat apparaten die TLS-interceptie uitvoeren, zoals een firewall met de SSL-decoderingsfunctie, kunnen voorkomen dat de C9800 een succesvolle handshake maakt met de Cisco-licentieserver, omdat het HTTPS-certificaat dat wordt gepresenteerd het firewallcertificaat is in plaats van het Cisco-licentieservercertificaat.

Opmerking: zorg ervoor dat u zowel de source-interface als de secure-trustpoint-opdrachten configureert. Een source-interface commando is nodig, zelfs als WLC heeft slechts één L3-interface.

Gerelateerde informatie

• Smart Licensing met Air Gap-modus op de 9800
• Cisco Technical Support en downloads