Configurar o Smart Licensing para plataformas de roteamento empresarial IOS
Contents
Introdução
Este documento descreve os tipos de implantação do Cisco Smart Licensing (SL) e a configuração necessária.
Pré-requisitos
Requisitos
- Uma Smart Account com acesso ao portal Cisco Smart Software Manager (CSSM)
- Um dispositivo com versão do Cisco IOS® entre 16.5.1 e 17.3.1
- Servidor local do Cisco Smart Software Manager
- Conectividade HTTPS entre o dispositivo e o servidor CSSM ou Local
Componentes Utilizados
Este documento se aplica às plataformas de roteamento corporativo do Cisco IOS XE.
As informações neste documento são baseadas nas seguintes versões de hardware e software:
- Cisco ASR1001-X com Cisco IOS XE versão 16.9.4 e Cisco ISR4351 com Cisco IOS XE versão 16.12.1.
- Servidor Smart Software Manager com versão de 8 202108.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Tipos de implantação
Há quatro principais opções de implantação disponíveis para registro e consumo do Smart Licensing:
- Acesso direto ao CSSM
- Acesso direto ao CSSM com proxy
- Acesso Local SSM
- Reserva de licença específica (SLR)
Acesso direto ao CSSM
Essa opção de implantação permite transferir informações de uso pela Internet diretamente para a Cisco via HTTPS.
No Cisco IOS XE 16.10.1a, o Smart Licensing é ativado por padrão e é o único modelo de licenciamento disponível. Para essa implantação, é necessária a configuração da camada 3 e o acesso a tools.cisco.com na porta HTTPS (443) a partir da interface apropriada. A configuração DNS é necessária.
Depois que a conectividade for confirmada, as etapas para registrar os dispositivos são:
Etapa 1. Habilite a Smart License no dispositivo (Opcional). A partir do 16.10.1a, é ativado por padrão.
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#license smart enable
Etapa 2. Configurar um servidor Domain Name System (DNS) ou uma entrada de host estática para tools.cisco.com.
Router(config)#ip name-server X.X.X.X
or
Router(config)#ip host tools.cisco.com X.X.X.X
Etapa 3. Gere um novo token a partir do Cisco Smart Software Manager.
- Faça login no Cisco Smart Software Manager em https://software.cisco.com/# e navegue até a seção Smart Software Manager .
- Selecione a guia Inventory e selecione Virtual Account na lista suspensa Virtual Account.
- Selecione a guia Geral e, em seguida, selecione Novo token.
- Insira a descrição do token e especifique o número de dias em que o token deve estar ativo.
- Habilite Permitir funcionalidade controlada por exportação nos produtos registrados com este token.Isso permite a solicitação de licença de criptografia alta nos dispositivos registrados.
- Selecione Create Token. Depois que o token for criado, selecione Copy.
Etapa 4. Alterar a configuração do call-home (Opcional).
A configuração padrão do perfil do call-home é suficiente para registrar o dispositivo. Você pode verificar a configuração atual do perfil do call-home aqui:
Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
Etapa 5. Registre o dispositivo com o CSSM com o token.
Router#license smart register idtoken < token from CSSM portal > force
Note: A palavra-chave force força a tentativa de registro imediatamente. Se não for utilizado, o procedimento de registro pode demorar mais tempo.
Etapa 6. Verifique se o dispositivo foi registrado corretamente com o CSSM.
Router#show license status Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: CORE TAC Export-Controlled Functionality: Allowed Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC Last Renewal Attempt: None Next Renewal Attempt: Feb 28 12:54:22 2018 UTC Registration Expires: Sep 01 12:49:04 2018 UTC License Authorization: Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC Next Communication Attempt: Oct 01 12:54:28 2017 UTC Communication Deadline: Nov 30 12:49:12 2017 UTC
Acesso direto ao CSSM com Virtual Routing and Forwarding (VRF)
Se o dispositivo usar um VRF para acessar o CSSM, será necessário configurar o VRF de origem e a interface de origem na configuração do perfil do call-home. Para configurar essa implantação, você deve seguir as etapas de 1 a 3 da seção Acesso direto ao CSSM. Em seguida, edite a configuração do call-home com o VRF correto e a interface de origem para acessar o URL do CSSM. Aqui é usada a interface de gerenciamento GigabitEthernet0 que está no VRF Mgmt-intf como exemplo.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
Configure a interface HTTP de origem com a interface correta atribuída ao VRF. Essa configuração influencia o tráfego HTTP e HTTPS.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
Configure o DNS para o VRF específico:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X
Depois que a configuração do VRF for concluída, as etapas 5 e 6 da seção Acesso direto ao CSSM poderão continuar.
Acesso direto ao CSSM com proxy
Se um servidor proxy for necessário para obter conectividade HTTPS com o CSSM, ele deverá seguir as etapas da seção Acesso direto ao CSSM e incluir o comando http-proxy na configuração do call-home.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080
Acesso Local SSM
Esse tipo de implantação permite que você gerencie produtos e licenças em suas instalações sem uma conexão direta com o CSSM hospedado pela Cisco. Para implementar isso, você já deve ter um SSM no local instalado em sua rede. As etapas para instalar o SSM no local estão fora do escopo deste documento.
As etapas de configuração para conectar o servidor SSM Local com um dispositivo são:
Etapa 1. Habilite o Smart Licensing no dispositivo.
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#license smart enable
Etapa 2. Verifique se você consegue se comunicar com o servidor CSSM no local.
Router#ping X.X.X.X Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms
Etapa 3. Gere um novo token a partir do SSM On-Prem.
3.1 Faça login no Servidor SSM.
3.2 Criação de token
- Digite a descrição do token. Especifique o número de dias em que o token deve estar ativo.
- Marque a caixa de seleção Permitir funcionalidade controlada por exportação nos produtos registrados com este token.
- Selecione Create Token.
- Depois que o token for criado, selecione Copy para copiar o token recém-criado.
Etapa 4. Configurar o call-home no dispositivo.
É necessário alterar o comando destination address http com o IP do servidor On-Prem (http://X.X.X.X/Transportgateway/services/DeviceRequestHandler) e remover o padrão.
Router(config)#call-home Router(cfg-call-home)#profile CiscoTAC-1 Router(cfg-call-home-profile)#destination transport-method http Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService Router(cfg-call-home-profile)#active Router(cfg-call-home-profile)#exit Router(cfg-call-home)#contact-email-addr test@cisco.com Router(cfg-call-home)#service call-home Router(cfg-call-home)#end
Etapa 5. Configure revocation-check none no ponto de confiança SLA-TrustPoint.
Router#configure terminal Router(config)#crypto pki trustpoint SLA-TrustPoint Router(ca-trustpoint)#revocation-check none
Etapa 6. Registre o dispositivo com o token recuperado do SSM no local.
Router#license smart register idtoken < token from SSM On-Prem portal > force
Etapa 7. Verificar se o dispositivo foi registrado corretamente com o SSM On-Prem.
Router#show license status Smart Licensing is ENABLED Utility: Status: DISABLEDData Privacy: Sending Hostname: yes Callhome hostname privacy: DISABLED Smart Licensing hostname privacy: DISABLED Version privacy: DISABLED Transport: Type: Callhome Registration: Status: REGISTERED Smart Account: manudiaz Virtual Account: Default Export-Controlled Functionality: ALLOWED Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC Last Renewal Attempt: None Next Renewal Attempt: Sept 30 14:22:12 2021 UTC Registration Expires: Oct 19 04:35:44 2021 UTC
Acesso local ao SSM com configuração VRF
Se você usar um VRF para acessar o SSM On-Prem, você deve configurar o VRF de origem para que o dispositivo gere a solicitação do VRF correto.
Siga as etapas na seção Acesso Local do SSM até a Etapa 3.
Etapa 1. Edite a configuração do call-home com o VRF correto e a interface de origem onde você pode acessar o SSM On-Prem:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
Etapa 2. Configurar a interface de origem http-client com a interface correta atribuída ao VRF:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
Etapa 3. Configurar o DNS para o VRF específico.
Você pode configurar um servidor DNS no seu ambiente local para resolver o nome do seu servidor SSM local:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X
Você pode continuar com as etapas 5 e 6 do SSM On-Prem Access após essas alterações.
Reserva de licença específica (SLR)
O SLR é um recurso que permite implantar uma licença de software em um dispositivo sem comunicar diretamente as informações de uso à Cisco. Essa funcionalidade é especialmente útil em redes altamente seguras e é suportada em plataformas que têm o Smart Licensing Portal. Este guia de configuração pressupõe que você tenha solicitado e sido autorizado a usar o SLR.
Para configurar o SLR no dispositivo, é necessário executar essas etapas a partir do lado do roteador e do portal CSSM
Etapa 1. Configurar o roteador para SLR. Você deve inserir o comando license smart reservation e solicitar o recurso SLR com license smart reservation request local.
Router# enable Router# configure terminal Router(config)# license smart reservation Router(config)# exit Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX
No CSSM, é necessário reservar as licenças necessárias.
Etapa 2. Efetue login no CSSM em https://software.cisco.com/#. Você deve fazer login no portal com suas credenciais da Cisco.
Etapa 3. Selecione a guia Inventário. No menu suspenso Virtual Account, selecione sua Smart Account.
Etapa 4. Na guia Licenses, selecione License Reservation.
Etapa 5. Na página Enter Request Code, insira ou anexe o código de solicitação de reserva gerado do roteador e selecione Next.
Etapa 6. Marque a caixa Reserve a Specific License e selecione a licença e a quantidade de licença reservada necessária para cada dispositivo.
Etapa 7. Na guia Revisar e Confirmar, selecione Gerar Código de Autorização.
Etapa 8. Selecione Copy to Clipboard para copiar o código ou Download como um arquivo. Você precisa copiar o código ou arquivo para o dispositivo para continuar o processo.
Se você configurar o SLR, poderá baixar ou instalar o arquivo de texto do código de autorização. Se você configurar a Reserva de Licença Permanente (PLR), poderá copiar e colar o código de autorização.
Etapa 9. Faça login no dispositivo e use o comando de instalação license reserva inteligente install file bootflash:<arquivo SLR>.
Router#enable Router#license smart reservation install file bootflash:
Se necessário, você pode devolver as licenças reservadas no dispositivo e voltar a um estado não registrado. Um código de retorno é gerado e deve ser inserido no CSSM para remover a instância do produto.
Router#enable Router#license smart reservation return local
Atualizar uma reserva de licença específica
Depois de registrar um dispositivo com êxito, se necessário, você pode atualizar a reserva com um novo recurso ou licença:
Etapa 1. Faça login no Cisco Smart Software Manager em https://software.cisco.com/#. Você deve fazer login no portal com o nome de usuário e a senha fornecidos pela Cisco.
Etapa 2. Navegue até a guia Inventory e selecione sua Smart Account no menu suspenso Virtual Account.
Etapa 3. Na guia Product Instances, selecione Actions para o dispositivo que você precisa atualizar.
Etapa 4. Selecione Update Reserved Licenses.
Etapa 5. Selecione a licença que deseja atualizar.
Etapa 6. Selecione Próximo.
Etapa 7. Na guia Revisar e Confirmar, selecione Gerar Código de Autorização. A guia Código de autorização é exibida. O sistema exibe o código de autorização que é gerado.
Etapa 8. Selecione a opção Copy to Clipboard para copiar o código ou baixá-lo como um arquivo. Você precisa copiar o código ou arquivo para o seu dispositivo.
Etapa 9. Faça login no dispositivo que deseja atualizar.
Etapa 10. Execute o comando license smart reservation install file.
Router#enable Router#license smart reservation install file bootflash:
Cancelar o registro de uma reserva de licença específica
Para cancelar o registro de uma reserva de licença específica para um dispositivo, você deve retornar a reserva de licença na CLI e remover a instância do CSSM.
Etapa 1. Efetue login no dispositivo cujo registro você deseja cancelar.
Etapa 2. Para remover o código de autorização de reserva de licença, use o comando license smart reservation return.
Router#license smart reservation return local This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly. Do you want to continue? [yes/no]: yes Enter this return code in Cisco Smart Software Manager portal: UDI: PID:ISR4351/K9,SN:FDO210305DQ CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33
Etapa 3. Efetue login no CSSM em https://software.cisco.com/#.
Etapa 4. Selecione a guia Inventário. Na lista suspensa Virtual Account, selecione sua Smart Account.
Etapa 5. Na guia Product instance, para o dispositivo cujo registro você deseja cancelar, selecione Actions.
etapa 6. Selecione Remover.
Etapa 7. Quando solicitado, insira o código de retorno.
Troubleshooting
O dispositivo não pode resolver tools.cisco.com
Verifique se você configurou corretamente um servidor DNS para o VRF correto ou a tabela de rota global. Se preferir, você também pode criar uma entrada DNS estática:
Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8
O roteador não consegue se comunicar com tools.cisco.com
- Verifique se uma rota padrão para a Internet está configurada.
- Certifique-se de que não haja um firewall ou proxy entre o dispositivo e o CSSM.
- Certifique-se de que as portas 443 e 80 não estejam bloqueadas.
Router#telnet tools.cisco.com 443 Trying tools.cisco.com (72.163.4.38, 80)... Open
- Telnet com VRF.
Router#telnet tools.cisco.com 443 /vrf Mgmt-intf Trying tools.cisco.com (72.163.4.38, 443)... Open
Licença no status "FORA DE CONFORMIDADE"
Esse estado ocorre quando o dispositivo usa uma autorização e não está em conformidade (saldo negativo). Isso ocorre quando uma licença necessária não está disponível na Virtual Account com a qual o dispositivo Cisco está registrado.
Router#show license all License Authorization: Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT Next Communication Attempt: Mar 26 03:12:31 2019 CDT Communication Deadline: Jun 23 15:06:30 2019 CDT
- Para entrar no estado Conformidade/Autorizado, você deve adicionar o número e o tipo corretos de licenças à Conta inteligente
- Quando o dispositivo está nesse estado, ele envia automaticamente uma solicitação de renovação de autorização todos os dias
Depurações do Smart Licensing
Algumas depurações que podem ser usadas para solucionar problemas de registro de call-home e licenciamento inteligente são:
- debug call-home trace
- debug call-home error
- debug call-home smart-licensing all
- debug ip http client all
- debug crypto pki <todas as opções>
- debug ssl openssl <todas as opções>
Informações adicionais
Guia de licenciamento inteligente da Cisco para plataformas de roteamento empresarial da Cisco
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
3.0 |
29-Aug-2024
|
Título, Requisitos de marca, Tradução automática, Requisitos de estilo, Ortografia e formatação atualizados. |
2.0 |
27-Jun-2023
|
Texto Alt adicionado.
Título, Requisitos de marca, Tradução automática, Requisitos de estilo, Ortografia e formatação atualizados. |
1.0 |
24-May-2022
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)