Problemen met slimme licenties oplossen met beleidsproblemen op de 9800
Inhoud
Inleiding
In dit document worden de geavanceerde stappen beschreven voor het oplossen van problemen met Smart Licensing Using Policy (SLUP) op de Catalyst 9800 Wireless LAN-controller.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Slimme licentieverlening met behulp van beleid (SLUP)
- Catalyst 9800 Wireless LAN Controller (WLC)
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Let op: opmerkingen in dit artikel bevatten nuttige suggesties of verwijzingen naar materiaal dat niet in het document wordt behandeld. Het wordt aanbevolen om elke noot te lezen.
-
Gebruik: Alle licenties op Cisco Catalyst Wireless Controllers worden niet afgedwongen. Dit betekent dat u geen licentiespecifieke bewerkingen hoeft te voltooien, zoals het registreren of genereren van sleutels voordat u de software en de licenties die eraan zijn gekoppeld, gaat gebruiken. Het licentiegebruik wordt op uw apparaat geregistreerd met tijdstempels en de vereiste workflows kunnen op een later tijdstip worden voltooid.
-
Rapporteer licentiegebruik aan CSSM: Er zijn meerdere opties beschikbaar voor rapportage van licentiegebruik. U kunt SSM On-Prem of Cisco Smart Licensing Utility (CSLU) gebruiken of gebruiksinformatie rechtstreeks aan CSSM melden. Voor air-gapped netwerken is ook een voorziening voor offline rapportage beschikbaar, waarbij u gebruiksgegevens downloadt en uploadt naar CSSM. Het gebruiksrapport is in XML-indeling met platte tekst.
- Direct verbinding maken met Cisco Smart Software Manager Cloud (CSSM)
- Verbonden met CSSM via On-Prem Smart Software Manager (On-Prem SSM)
Dit artikel behandelt niet alle scenario's voor slimme licenties op Catalyst 9800. Raadpleeg de handleiding voor slimme licenties met beleidsconfiguratie voor meer informatie. Dit artikel geeft echter een reeks nuttige opdrachten om problemen met directe verbinding en SSM On-Prem Smart Licensing met behulp van beleidskwesties op de Catalyst 9800 op te lossen.
Optie 1. Direct verbinding maken met Cisco Smart Licensing Cloud Servers (CSSM):
Optie 2. Verbinding via On-Prem Smart Software Manager (On-Prem SSM):
Opmerking: Alle opdrachten die in dit artikel worden genoemd, zijn alleen van toepassing op WLC's die versie 17.3.2 of hoger uitvoeren.
Rapportage over licentiegebruik
Bij SLP worden de meeste licenties niet afgedwongen en worden ze ingeschakeld op het apparaat wanneer het functie-/technologiepakket wordt geconfigureerd. De bijbehorende licentie(s) worden in het licentieoverzicht weergegeven als IN GEBRUIK.
9800-1#show license summary
Account Information:
Smart Account:
De enige 2 staten die beschikbaar zijn voor een licentie zijn IN GEBRUIK of NIET IN GEBRUIK. De status wordt uitsluitend bepaald door de configuratie en functies die worden toegepast op de Product Instance.
Voor elke licentie die in gebruik is, wordt een afzonderlijk RUM-rapport gemaakt. Er zijn staten als GESLOTEN, ACK en OPEN voor Rum-rapporten.
Optioneel: Bevestigd met een interne opdracht test licentie smart rum-report id opdracht:
Router(config)# service internal
Router# test license smart rum-report id
report_id:1624247687 state:SmartAgentRumStateOpen
Vanaf 17,9 versies: de opdracht License Rum ID All weergeven:
Smart Licensing Usage Report:
====================================
Report Id, State, Flag, Feature Name
1682489268 CLOSED P lic_c9800l_perf
1682489269 CLOSED P air-network-advantage
1682489270 CLOSED P air-dna-advantage
1682489271 CLOSED P air-network-advantage
1682489272 CLOSED P air-dna-advantage
1682489273 ACK N lic_c9800l_perf
RUM-rapporten
RUM-rapporten, of Resource Usage Measurement-rapporten zijn gegevensbestanden met informatie over licentiegebruik en apparaatidentiteit. Deze rapporten zijn beveiligingsrapporten die zijn opgeslagen in het apparaat en zijn door de hardware met zekerheid ondertekend.
De status van de rapporten verandert tijdens de communicatie tussen de productinstantie en CSSM.
|
Toestand |
Beschrijving |
|
SmartAgentRumStateOpen |
Nieuw rapport gemaakt door Smart Agent op het apparaat |
| SmartAgentRumStateClosed | RUM-rapport verzonden naar CSSM (herladen zou ook de open rapporten naar gesloten status duwen) |
| SmartAgentRumStateUnacknowledged | RUM-rapport in afwachting van bevestiging van CSSM, poll-ID verstrekt |
| SmartAgentRumStateAcKNOWLEDGED | RUM-rapport verzonden naar CSSM en kreeg hiervoor erkenning |
De functie Smart Licensing Using Policy is geïntroduceerd in de Catalyst 9800 met de codeversie 17.3.2. De eerste versie van 17.3.2 mist het SLUP-configuratiemenu in de WLC webUI, die werd geïntroduceerd met de versie van 17.3.3. De SLUP verschilt op een aantal manieren van traditionele slimme licenties:
- WLC communiceert nu met CSSM via het smartreceiver.cisco.com domein, in plaats van de tools.cisco.com.
- In plaats van te registreren, vestigt de WLC nu vertrouwen met de CSSM of SSM On-Prem.
- CLI-opdrachten zijn enigszins gewijzigd.
- Smart Licensing Reservation (SLR) bestaat niet meer. In plaats daarvan kunt u uw gebruik periodiek handmatig rapporteren.
- De evaluatiemodus bestaat niet meer. De WLC blijft op volle capaciteit functioneren, zelfs zonder licentie. Het systeem is gebaseerd op eer en u wordt geacht uw licentiegebruik periodiek te rapporteren (automatisch of handmatig in het geval van netwerken met luchtgaping).
Opmerking: Als u een draadloze Cisco Catalyst 9800-CL-controller gebruikt, moet u weten dat u bekend bent met de verplichte ACK-vereiste die begint met Cisco IOS® XE Cupertino 17.7.1. Zie de vereisten voor RUM-rapportage en -bevestiging voor Cisco Catalyst 9800-CL Wireless Controller.
Problemen met 9800 Smart Licensing Communication oplossen met Direct Connected CSSM en SSM On-Prem Server
* Een gloednieuwe 9800-controller moet zich houden aan bepaalde procedures voor een slimme licentieworkflow om te worden voltooid.
1. Maak een token aan vanuit het CSSM-portaal en importeer het token om een trust-id op te stellen die nodig is om in de toekomst toestemming te krijgen voor rapportage over licentiegebruik. Deze waarde voor de trust-id is de sleutel voor CSSM om het rapport van de 9800-controller te valideren. Dit vertrouwde token zou periodiek worden vernieuwd en uitgewisseld als onderdeel van de rapportage van het gebruik van rum met cssm.
Opmerking: Vanaf Cisco IOS XE Cupertino 17.7.1 is een vertrouwenscode vereist. Vertrouwenscode wordt vastgesteld per serienummer en dus zou 9800 HA SSO-installatie 2 vertrouwenscode hebben geïnstalleerd.
vertrouwenscode
Een UDI-gebonden publieke sleutel, die de productinstantie gebruikt om:
-
Onderteken een RUM-rapport. Dit voorkomt manipulatie en zorgt voor authenticiteit van de gegevens.
-
Veilige communicatie met CSSM mogelijk maken.
Vanaf Cisco IOS XE Cupertino 17.7.1 wordt automatisch een vertrouwenscode verkregen in topologieën waar de productinstantie het verzenden van gegevens naar CSLU initieert en in topologieën waar de productinstantie zich in een air-gapped netwerk bevindt.
-
Een vertrouwenscode kan worden verkregen van CSSM met behulp van een ID-token.
Hier genereert u een ID-token in de CSSM Web UI om een vertrouwenscode te verkrijgen en deze op de productinstantie te installeren. U moet de in de fabriek geïnstalleerde vertrouwenscode overschrijven als er een is. Als een productinstantie rechtstreeks is verbonden met CSSM, gebruikt u deze methode om de productinstantie in staat te stellen op een veilige manier met CSSM te communiceren. Deze methode voor het verkrijgen van een vertrouwenscode is van toepassing op alle opties om rechtstreeks verbinding te maken met CSSM. Zie Direct verbonden met CSSM voor meer informatie.
Van Cisco IOS XE Cupertino 17.9.1 wordt automatisch een vertrouwenscode verkregen in topologieën waar CSLU het ophalen van gegevens uit de productinstantie initieert.
Als er een in de fabriek geïnstalleerde vertrouwenscode is, wordt deze automatisch overschreven. Een op deze manier verkregen vertrouwenscode kan worden gebruikt voor veilige communicatie met CSSM.
* Zorg ervoor dat de configuratie op 9800 voor slimme licenties intact is. 9800 gebruikt Smart als transport om te communiceren met CSSM.
Slim met CSSM
Device(config)#license smart transport smart
Device(config)#license smart url https://smartreceiver.cisco.com/licservice/license
Slim gebruik van proxy
license smart proxy { address address_hostname| port port_num}
Device(config)#license smart url default
Device(config)#license smart proxy address
SSM On-Prem
Device(config)#license smart transport cslu
Device(config)#license smart url cslu https://SSM-Onprem-FQDN-address>/cslu/v1/pi/ssmsfloodingslup2304-1
Zorg ervoor dat het opzoeken van het domein en de name-server bereikbaar zijn via de broninterface.
Device(config)#ip domain name
alle licentieopdrachten weergeven Retourneert transporttype en URL-gegevens geconfigureerd op 9800: Controleer of de configuratie absoluut is.
Slim vervoer
Type: Smart
URL: https://smartreceiver.cisco.com/licservice/license
Proxy:
Not Configured
VRF:
SSM On-Prem
Transport:
Type: cslu
Cslu address: https://SSM-Onprem-FQDN-address>/cslu/v1/pi/ssmsfloodingslup2304-1
* Als er een proxy is tussen 9800 en CSSM, moet u het vermelde IP-adres op de proxy toestaan voor naadloze communicatie.
Verbinding met slimme ontvanger testen
Gebruik de opdracht Curl:
- Curl https://smartreceiver.cisco.com/licservice/license
- Verwachte reactie: Dit is de Smart Receiver!
Verbinding met SSM On-Prem Server testen
Gebruik de opdracht Curl:
- Curl -v -k https://SSM-Onprem-FQDN-address>/cslu/v1/pi/ssmsfloodingslup2304-1
- Verwachte reactie: Dit is de Smart Receiver!
IP-adres ontvanger opzoeken
Gebruik deze opdracht nslookup:
- nslookup smartreceiver.cisco.com
Verwachte respons:
- Server: 171.70.168.183 ← Dit is de DNS-server
- Server: dns-sj.cisco.com ← Optioneel kan dit worden weergegeven
- Adres: 10.10.10.10#53
- Naam: smartreceiver.cisco.com
- Adres: 146 112 59 81
- Naam: smartreceiver.cisco.com
- Adres: 2a04:e4c7:fffe::f
Hoe lost uw systeem het IP op?
Gebruik de opdracht dig:
- smartreceiver.cisco.com + kort
Verwacht resultaat
- 146.112.59.81
Opmerking: De Smart Receiver component bij CSSM heeft vervangen oude tools.cisco.com en één aanspreekpunt voor Rum rapportage, registratie, facturering voor MSLA klanten.
IP HTTP-clientbroninterface <source-interface>
Deze opdracht markeert expliciet het bronpad naar CSSM.
ip http client secure-trustpoint SLA-TrustPoint
Zorg ervoor dat secure-trustpoint is geselecteerd als SLA-TrustPoint, aangezien dit is ondertekend door Licensing Root CA. Zowel SSM On-Prem als CSSM wordt vertrouwd door het licentiëren van het Root CA-certificaat.
CA-certificaat:
Status: beschikbaar
Certificaat Serienummer (hex): 01
Certificaatgebruik: handtekening
Emittent:
cn=Cisco Licensing Root CA
o=Cisco
Onderwerp:
cn=Cisco Licensing Root CA
o=Cisco
Geldigheidsdatum:
startdatum: 19:48:47 UTC Mei 30 2013
Einddatum: 19:48:47 UTC Mei 30 2038
Bijbehorende Trustpoints: Trustpool SLA-TrustPoint
Opslag: nvram: CiscoLicensi#1CA.cer
Licentie smart sync all is de opdracht om een nieuw Rum-rapport te starten vanaf de 9800-controller en XML-indeling. Wanneer deze opdracht wordt gegeven op de controller waar de vertrouwenscode niet is geïnstalleerd op de 17.9.x-versie, genereert deze eerst een verzoek voor de vertrouwenscode in plaats van het Rum-gebruiksrapport.
Ongeldige Trustcode verwerkt vanuit CSSM
VERTROUWENSCODE importeren:
Ontvangen op Sep 17 17:35:26 2024 UTC
<smartLicenseTrust><trustCode><udi>P:C9800-L-F-K9, S:FCL2630000P</udi><status><success>false</success><message>Hiervoor is al een vertrouwensverzoek verwerkt dat overeenkomt met een hogere trust-id device.</message><code>OLD_TRUST_ID</code><correlationID>null-null</correlationID></status></trustCode><signature>MEQCIAg71/hlcWxUiof8VstpmPhRH8jptPZPrvaSpsuwVgLAiAQ3IUVMuS8bOHwySOB/j/3RmG4uSDq/EbUp+vfrYD9nQ=</signatureLicense</smartLicense
CSSM verwacht dat de controller incrementele trustcode-id verzendt als beveiligingsdoel en de implicatie van ongeldige vertrouwenscode zou CSSM stoppen om de licentieaanvragen van de controller te verwerken. Dit zou uiteindelijk resulteren in licentiebeheer op het CSSM-licentiedashboard.
Geldige Trustcode Verwerkt vanuit CSSM
VERTROUWENSCODE importeren:
<smartLicenseTrust><trustCode><udi>P:C9800-L-F-K9, S:XXXXXXXXX</udi><customerInfo><smartAccount>Cisco Demo Internal Smart Account</smartAccount><virtualAccount>0Demo-HK-PartnerA</virtualAccount></customerInfo><piid>0eb1d627-bbed-46a8-9a4b-fc5b48a7c36b</piid><dateStamp>2024-09-10T07:21:30</dateStamp></subCA><trustId>110</trustId><status<>true</t><correlationullID xmqeurKOU0g=</signature></smartLicenseTrust>
communicatiefrequentie
Het rapportageinterval dat u in CLI of GUI kunt configureren, heeft geen effect.
De 9800 WLC communiceert elke 8 uur met CSSM of On-prem Smart Software Manager, ongeacht welk rapportageinterval is geconfigureerd via webinterface of CLI. Dit betekent dat pas aangesloten toegangspunten tot 8 uur na hun eerste toetreding op het CSSM kunnen verschijnen.
U kunt uitzoeken wanneer licenties de volgende keer worden berekend en gerapporteerd met de opdracht Samenvatting van licentieentiteiten weergeven. Dit commando maakt geen deel uit van de typische show tech of show licentie alle uitvoer:
opdracht overzicht vliegbrevetten tonen:
Last license report time........................: 10:00:07.753 UTC Mon Sep 16 2024
Upcoming license report time....................: 18:00:07.808 UTC Mon Sep 16 2024
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 1
No. of APs deleted with last report.............: 0
Nadat de trustcode succesvol is geïnstalleerd op de 9800-controller, is de volgende fase het genereren van het gebruiksrapport van de licentieactiviteit via Rum (Resource Measurement Unit) in XML-formaat. Licentie slimme synchronisatie alle / lokale opdracht zou initiëren of genereren of openen van nieuwe Rum meting op basis van AP beheerd in controller. De 9800 Smart Agent-component stuurt een API-oproep naar de licentiemodule om een nieuw Rum-rapport met licentiegegevens te verzamelen.
Alle opdracht License Rum ID tonen:
This command would list CLOSED, ACK and OPEN state of Rum report on the controller.
1719005447 OPEN N air-network-advantage
1719005448 OPEN N air-dna-advantage
Licentie weergeven Rum ID 1719005447 Details opdracht:
U kunt details krijgen van de licentie die in Rumid is gerapporteerd. Deze opdracht trekt de software_identifier_tag, het belangrijkste overeenkomende element in de CSSM-database om een licentietype van een productinstantie te valideren.
regid.2018-06.com.cisco.DNA_NWStack,1.0_e7244e71-3ad5-4608-8bf0-d12f67c80896
Gegevens Smart Licensing-gebruiksrapport:
=======================================
Verslag-ID: 1719005447
Metrische naam: RECHT
Naam van de functie: air-network-advantage
Metrische waarde: regid.2018-06.com.cisco.DNA_NWStack,1.0_e7244e71-3ad5-4608-8bf0-d12f67c80896
UDI: PID: C9800-L-F-K9, SN: FCL2630000P
ID vorig verslag: 1719005445, ID volgend verslag: 0
Staat: OPEN, Staat Wijzigen Reden: Geen
Reden dichtbij: geen
Begintijd: Sep 10 10:00:08 2024 UTC, Eindtijd: Sep 16 16:15:08 2024 UTC
Opslagstatus: BESTAAN
Transactie-ID: 0
Transactiebericht: <geen>
* Nu wordt het Rum-rapport gegenereerd. In de OPEN-status moet het met succes worden ingediend bij CSSM om de ACK van het CSSM te ontvangen.
A) Verify which licenses are activated/in use
- show version
- show license summary
- show license usage <<< it would also indicate which licenses are Perpetual vs Subscription
C) Verify if enforced/export controlled license is authorized:
- show license authorization
D) Verify what messages were sent to/received from SSM On-Prem/CSSM
- show license history message
E) Check for errors
- show license eventlog
F) Collect detailed information/counters:
- show license tech support
G) Collect license tech support file
- show tech-support license
Fouten gemeld in de uitvoer van het eventlog en/of het showlogboek van de licentie
"Communicatiefout met het Cisco Smart License Utility (CSLU): geen gedetailleerde informatie gegeven"
Deze fout kan worden waargenomen wanneer de HTTPS-communicatie met On-Prem niet tot stand is gebracht. Mogelijke redenen:
- Een specifieke VRF wordt gebruikt voor communicatie met OnPrem. De HTTP-clientbroninterface moet handmatig worden geconfigureerd
- Intrekkingscontrole is NIET uitgeschakeld in de SLA-Trustpoint-configuratie
- Een ander trustpoint is ingesteld als de standaard voor crypto-signalering (bijvoorbeeld: op de SIP-gateway)
"HTTP Server Error 502: Bad Gateway"
Deze fout wordt momenteel onderzocht door het On-Prem ontwikkelteam. In de meeste gevallen is er geen service-impact waargenomen.
Meestal 10 seconden later, SAEVT_COMM_RESTORE.
Voorbeeld:
9 juli 13:15:29.902: %SMART_LIC-3-COMM_FAILED: Communicatiefout met het Cisco Smart License Utility (CSLU): HTTP Server Error 502: Bad Gateway
9 jul 13:15:39.881: %SMART_LIC-5-COMM_HERSTELD: Communicatie met Cisco Smart License Utility (CSLU) hersteld
"HTTP-serverfout 404: niet gevonden"
Deze fout wordt waargenomen op het Cisco IOS XE-apparaat wanneer er een poging was om de vertrouwenscode te installeren terwijl de transport-URL naar de On-Prem (CSLU) wees.
Het commando "license smart trust ditoken <token> [all|local]" wordt ALLEEN gebruikt wanneer het apparaat rechtstreeks met CSSM communiceert.
OPMERKING: Afhankelijk van het platform kan dit bericht ook betekenen dat de instelling "Apparaat valideren" is ingeschakeld in het paneel CSLU-instellingen in de On-Prem-beheerwerkruimte. Controleer of het apparaat dat u probeert te registreren, zich bevindt op het tabblad "Beleid gebruiken SL" van de On-Prem-server. Als de apparaten zich niet in dat tabblad bevinden, moet u deze schakelaar uitschakelen. Probeer het apparaat vervolgens opnieuw te synchroniseren met de On-Prem-server. Voor een beeld van deze instelling, zie het einde van dit artikel.
SAEVT_INIT_CRYPTO success="Fout" error="Crypto-initialisatie is niet voltooid"
Deze fout kan kort na het opstarten van het systeem worden waargenomen. Na ongeveer 30 seconden is de crypto-initialisatie voltooid - in een dergelijk geval is er geen service-impact.
Voorbeeld:
2021-06-25 10:09:23.378 UTC SAEVT_INIT_SYSTEM_INIT
2021-06-25 10:09:24.383 UTC SAEVT_INIT_CRYPTO success="Fout" error="Crypto-initialisatie is niet voltooid"
2021-06-25 10:09:54.383 UTC SAEVT_INIT_CRYPTO success="Waar"
Als de initialisatie van de crypto enkele minuten/uren niet is voltooid, controleer dan of de NTP-configuratie aanwezig is en/of klokken worden gesynchroniseerd. Het opslaan van de actieve configuratie helpt om de crypto-initialisatie opnieuw te starten.
Het wordt aanbevolen om verder te onderzoeken met Cisco TAC als het probleem aanhoudt.
SAEVT_UTILITY_RUM_FAIL error="[HOST_NOT_FOUND] Apparaathost is niet gevonden"
Hoogstwaarschijnlijk is de instelling "Apparaat valideren" ingesteld in het paneel CSLU-instellingen in de beheerwerkruimte van On-Prem.
Deze instelling helpt ervoor te zorgen dat de RUM-rapporten van bekende productinstanties worden ontvangen.
SAEVT_COMM_FAIL error="Kan serverhostnaam/domeinnaam niet oplossen"
Deze fout duidt op een connectiviteitsprobleem dat kan ontstaan met DNS-resolutie. U moet ervoor zorgen dat het apparaat de bestemmings-URL kan oplossen. Meestal is de opdracht ip host <url> <ipassociated> verkeerd geconfigureerd. Controleer dit punt.
Waarschijnlijk zou je communicatiefouten vinden.
Communicatiestatistieken:
=======================
Toegestaan communicatieniveau: indirect
Algemene toestand: <leeg>
Vertrouwensinstelling:
Pogingen: Totaal=30, Succes=0, Falen=30 Aanhoudend Falen: Algemeen=30 Communicatie=30 <<<<<<<<<
Laatste antwoord: GEEN ANTWOORD op 12 feb 10:52:56 2023 GMT <<<<<<<<<<<<<
Reden van mislukking: <geen>
Laatste succestijd: <geen>
Laatste keer mislukt: Feb 12 10:52:56 2023 GMT
Communicatieniveau Toegestaan als INDIRECT betekent dat de vereiste vertrouwenscode niet met succes is geïnstalleerd op de 9800-controller.
Opmerking: CSSM is de bron van de waarheid van alle licentiegegevens.
* Als het basiscommunicatieprobleem tussen 9800 en CSSM wordt beperkt door de test uit te voeren, schakelt u foutopsporing in op bepaalde modules die betrokken zijn bij slimme licentiecommunicatie. Het inschakelen van debug op 9800 zou de CPU voor een bepaald tijdsinterval pieken en moet daarom deze acties uitvoeren buiten kantooruren.
debuggen
* Er zijn 4 modules die betrokken zijn bij slimme licentiecommunicatie van 9800 naar CSSM of SSM On-Prem
1. Crypto-module
PKI:
Crypto PKI Msg debugging is on
Crypto PKI Trans debugging is on
Crypto PKI callbacks debugging is on
Crypto PKI Validation Path debugging is on
2. HTTP-module
HTTP-server:
HTTP Server transaction debugging is on
HTTP Server tokens debugging is on
HTTP Server EZSetup debugging is on
HTTP Server URL debugging is on
HTTP Server Authentication debugging is on
HTTP Server Side Includes debugging is on
HTTP Application Inout debugging is on
HTTP Application Detail debugging is on
HTTP Server Error debugging is on
HTTP SSL Error debugging is on
HTTP CTC trace debug debugging is on
HTTP CTC error debug debugging is on
HTTP SESSION debugging is on
HTTP TPS Trace debugging is on
HTTP TPS Error debugging is on
HTTP WSMAN debugging is on
3. Openssl-module
SSL OpenSSL:
TLS state debugging is on
TLS msg debugging is on
TLS errors debugging is on
4. De slimme licentiemodule wordt een slimme agent genoemd, inclusief de transportgateway
Licentie:
License IPC communication debugging is on
License Events debugging is on
License warnings and errors debugging is on
Syslogs:
identiteitscontrole van de server en SAN-validatie op het certificaat. Trustpoint-validatie van de crypto SSL-bibliotheek.
16 september 16:29:12.236: Server identiteitscontrole met host: 10.106.43.37
16 sep 16:29:12.236: Serveridentiteit om te verifiëren is ip-adres 10.106.43.37 len 12
16 sep 16:29:12.329: CRYPTO_PKI: (A645F) Controleer op identieke certs
16 september 16:29:12.329: CRYPTO_PKI(Cert Lookup) issuer="cn=Cisco Licensing Root CA, o=Cisco" serienummer= 0F 42 40
16 sep 16:29:12.329: CRYPTO_PKI: (A645F) Geschikte trustpoints zijn: SLA-TrustPoint, Trustpool6,
16 september 16:29:12.329: CRYPTO_PKI: (A645F) Proberen certificaat te valideren met behulp van SLA-TrustPoint-beleid
16 september 16:29:12.329: CRYPTO_PKI: (A645F) SLA-TrustPoint gebruiken om certificaat te valideren
16 september 16:29:12.345: SSL_connect: SSL onderhandeling succesvol afgerond
16 september 16:29:12.345: SSL_connect: SSL onderhandeling succesvol afgerond
Zodra het gebruiksrapport is ingediend bij CSSM, moet u de opdracht voor het bijwerken van de licentiegeschiedenis weergeven zien:
Verzoeken zouden componenten hebben zoals UDI_SERIAL_NUMBER, hostname, software_tag_identifier die aangeven welke licentiemodellen worden gebruikt door 9800 controller en request_type als "LICENSE_USAGE"
Er zijn meerdere licentietypen aanwezig:
1. ID_TOKEN_TRUST
2. TRUST_SYNC
3. LICENTIE_GEBRUIK
Rapportage over gebruik:
VERZOEK: Sep 16 16:30:16 2024 UTC
"{\"sender_info\":{\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.8.6_rel/15\",\"production\":true,\"additional_info\":\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\",\"TELEMETRY\",\"CSLU_V1 "]},\"timestamp\":1726504244391,\"nonce\":\"13980553869667320622\",\"sudi\":{\"udi_pid\":\"C9800-L-F-K9\",\"udi_serial_number\":\"FCL2630000P\"},\"product_instance_identifier\":\"\"\"\"software_tag identifier\":\"regid.2019-06.com.cisco.C9800_L_F_K9,1.0_9529f872-1b08-4cac-9279-71c391233fc2\"},\"device_list\":[{\"sudi\":{\"udi_pid\":\"C9800-L-F-K9\",\"udi_serial_number\":\"FCL2630000P\",\"software_tag_identifier\" "regid.2019-06.com.cisco.C9800_L_F_K9,1.0_9529f872-1b08-4cac-9279-71c391233fc2\",\"product_instance_identifier\":\"\"\",\"product_version\":\"17.12.02\",\"hostnaam\":\"renjith-eap-test\",\"rol\":\"Active\",\"request_type\":\"TRUST_TOKEN\",\"request_line_id\":1,\"smart_license\":
Rapportage over gebruik:
VERZOEK: Sep 16 16:30:16 2024 UTC
"{\"sender_info\":{\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.8.6_rel/15\",\"production\":true,\"additional_info\":\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\",\"TELEMETRY\",\"CSLU_V1 "]},\"timestamp\":1726504153254,\"nonce\":\"10743401694998030696\",\"sudi\":{\"udi_pid\":\"C9800-L-F-K9\",\"udi_serial_number\":\"FCL2630000P\"},\"product_instance_identifier\":\"\"\"\"software_tag identifier\":\"regid.2019-06.com.cisco.C9800_L_F_K9,1.0_9529f872-1b08-4cac-9279-71c391233fc2\"},\"device_list\":[{\"sudi\":{\"udi_pid\":\"C9800-L-F-K9\",\"udi_serial_number\":\"FCL2630000P\",\"software_tag_identifier\" "regid.2019-06.com.cisco.C9800_L_F_K9,1.0_9529f872-1b08-4cac-9279-71c391233fc2\",\"product_instance_identifier\":\"\"\",\"product_version\":\"17.12.02\",\"hostname\":\"renjith-eap-test\",\"role\":\"Active\",\"request_type\":\"TRUST_SYNC\ ,\"request_line_id\":1,\"smart_license\":
Rapportage over gebruik:
VERZOEK: Sep 16 16:30:16 2024 UTC
{"sender_info":{"connect_info":{"name":"C_agent","version":"5.8.6_rel/15","production":true,"additional_info":"","capabilities":["UTILITY","DLC","AppHA","MULTITIER","EXPORT_2","OK_TRY_AGAIN","POLICY_USE","TELEMETRY","CSLU_V1"]},"timestamp":1726504216022,"nonce":"77709655117429624","sudi":{"udi_pid":"C9800-L-F-K9","udi_serial_number":"FCL2630000P"},"product_instance_identifier":""","software_tag_identifier":"regid.2019-06.com.cisco.C9800_L_F_K9,1.0_9529f872-1b08-4cac-9279 1c391233fc2"},"device_list":[{"sudi":{"udi_pid":"C9800-L-F-K9","udi_serial_number":"FCL2630000P"},"software_tag_identifier":"regid.2019-06.com.cisco.C9800_L_F_K9,1.0_9529f872-1b08-4cac-9279-71c391233fc2","product instance_identifier":"","product_version":"17.12.02","hostname":"renjith-eap-test","role":"Active","request_type":"LICENSE_USAGE","request_line_id":1,"smart_license":
* Het is belangrijk om de reactie van CSSM of SSM On-Prem te begrijpen:
Foutresponspakket:
ANTWOORD: Sep 16 16:30:16 2024 UTC
{
"status": "MISLUKT",
"message_code": "FOUT BIJ HET VERBRUIKEN VAN LICENTIES",
"Bericht": "",
"Nonce": "77709655117429624"
}
De fout geeft aan dat er al een vermelding voor de controller in de CSSM- of SSM On-Prem-licentieserver is geweest die de toevoeging van een nieuwe record in de database ontkent. Men moet het actieve of stabiele record verwijderen uit CSSM of SSM On-Prem en het Rum-rapport opnieuw indienen.
Geldige reactie Poll_id:
ANTWOORD: Sep 16 16:29:14 2024 UTC
{
"Sender_info": {
"connect_info": {
"naam": "CSLU_V1",
"versie": "v1",
"productie": waar,
"additional_info": "",
"Capaciteiten": [
"NUT",
"DLC",
"AppHA",
"MULTITIER",
"EXPORT_2",
"OK_TRY_AGAIN",
"POLICY_USAGE",
"CSLU_V1"
"CSLU_V2"
"TELEMETRIE"
]
}
"timestamp": 1726504153302,
"nonce": "10743401694998030696",
"sudi": {
"udi_pid": "C9800-L-F-K9",
"udi_serienummer": "FCL2630000P"
}
"product_instance_identifier": "",
"software_tag_identifier": "regid.2019-06.com.cisco.C9800_L_F_K9,1.0_9529f872-1b08-4cac-9279-71c391233fc2"
}
"status": "COMPLEET",
"license_data": [
{
"status": "OK_POLL",
"request_line_id": 1
"sudi": {
"udi_pid": "C9800-L-F-K9",
"udi_serienummer": "FCL2630000P"
}
"poll_id": 5583279046281676962,
"poll_interval": 86739,
"smart_license": ""
}
]
}
* Hoe poll_id te valideren wordt opgeslagen in 9800 lokale database en hoe vaak het peilt om een ACK te krijgen voor het ingediende Rum-rapport.
Testopdracht om te bevestigen dat u moet worden geactiveerd via de interne service.
conf t
service internal
exit
test license smart conversion list-poll-info
Poll Request Information:
PollID | Type | Delta | Poll Time
5583279046281676962 | TRUST_SYNC | 86673 | Sep 17 17:33:05 2024 UTC
* Zoals u kunt begrijpen uit de uitleg dat de eerste verzoeken die door de 9800-controller worden ingediend, altijd een Trust-codetoken zijn en zonder deze, zou de 9800-controller nooit een nieuw Rum-gebruiksrapport genereren en daarom kan de licentiegebruikswijziging niet worden ingediend op CSSM.
* Een voorbeeld vraagt poll_id voor License_use.
test license smart conversion list-poll-info
Poll Request Information:
PollID | Type | Delta | Poll Time
5583279046281677674 | LICENSE_USAGE | 87656 | Sep 17 17:33:05 2024 UTC
* als er al een ACK is verwerkt in de CSSM- of SSM On-Prem-database, kunt u de slimme agent op de 9800-controller dwingen om ten vroegste ACK te pollen en te krijgen zonder te wachten op de genoemde tijd
in de poll_id-cyclus.
test license smart conversion sched_poll 5583279046281676962 ?
<0-4294967295> delta Time in Seconds
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
23-Jan-2025
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)