Solucionar problemas de Smart Licensing nas plataformas Catalyst

Introdução

Este documento descreve como trabalhar com o Cisco Smart Licensing (sistema em nuvem) para gerenciar licenças de software nos switches Catalyst.

O que é Smart Licensing?

O Cisco Smart Licensing é um sistema de gerenciamento de licenças unificado em nuvem, que gerencia todas as licenças de software nos produtos da Cisco. Ele permite comprar, implantar, gerenciar, rastrear e renovar licenças de software da Cisco. Também fornece informações sobre propriedade e consumo de licença por meio de uma única interface do usuário

A solução é composta por Smart Accounts on-line (no Cisco Smart Licensing Portal) usadas para rastrear ativos de software da Cisco e pelo Cisco Smart Software Manager (CSSM), que é usado para gerenciar as Smart Accounts. No CSSM, podem ser realizadas todas as tarefas relacionadas ao gerenciamento de licenciamento, como registro, cancelamento de registro, movimentação e transferência de licenças. Os usuários podem ser adicionados e receber acesso e permissões para a Smart Account e Virtual Accounts específicas.

Para saber mais sobre o Cisco Smart Licensing, acesse:

a) Página inicial do Cisco Smart Licensing

b) Comunidade Cisco - Treinamentos sob demanda

Para obter mais informações sobre o novo Smart Licensing usando o método Policy no Cisco IOS® XE 17.3.2 e posterior, visite Smart Licensing usando Policy em Catalyst Switches

Novo em Smart Licensing e/ou administração de Smart Account? Visite e inscreva-se no novo curso de treinamento e gravação do administrador:
Comunidade Cisco - Obtenha inteligência com as Smart Accounts/Smart Licensing da Cisco e as qualificações do My Cisco

As Smart Accounts podem ser criadas aqui: Smart Accounts

As Smart Accounts podem ser gerenciadas aqui: Smart Software Licensing

Métodos de implementação do Smart Licensing

Há vários métodos de implantação do Cisco Smart Licensing que podem ser utilizados dependendo do perfil de segurança de uma empresa, como:

Acesso direto à nuvem

Os produtos da Cisco enviam informações de uso diretamente pela Internet com segurança usando HTTPS. Nenhum componente adicional é necessário.

Acesso por meio de um proxy HTTPS

Os produtos da Cisco enviam informações de uso por meio de um servidor proxy HTTP usando HTTPS. Um servidor proxy existente pode ser usado ou pode ser implantado através do Cisco Transport Gateway. (clique aqui para obter algumas informações adicionais).

Servidor de licença no local (também conhecido como satélite do Cisco Smart Software Manager)

Os produtos da Cisco enviam informações de uso para um servidor local, em vez de enviar diretamente pela Internet. Uma vez ao mês, o servidor acessa a Internet para todos os dispositivos via HTTPS ou pode ser transferido manualmente para sincronizar o banco de dados. O CSSM no local (satélite) está disponível como uma máquina virtual (VM) e pode ser baixado aqui. Para obter mais informações, acesse a página Satélite do Smart Software Manager.

Plataformas Cisco IOS XE suportadas

• A partir da versão 16.9.1 do Cisco IOS XE, as plataformas de switch das séries Catalyst 3650/3850 e Catalyst 9000 suportam o método Cisco Smart Licensing como o único método de licenciamento.
• Do Cisco IOS XE versão 16.10.1 em diante, plataformas de roteador como o ASR1K, ISR1K, ISR4K e roteadores virtuais (CSRv / ISRv) suportam o método de Licenciamento Inteligente da Cisco como o único método de licenciamento.

Migration from Legacy Licenses to Smart Licenses

Há dois métodos para converter uma licença antiga, como RTU (Right-To-Use, direito de uso) ou PAK (Product Ativation Key, chave de ativação do produto) em uma Smart License. Para obter detalhes sobre qual método precisa ser seguido, consulte as notas de versão relevantes e/ou o guia de configuração para o dispositivo Cisco específico.

Conversão por meio da DLC (Device Led Conversion)

• O DLC (Device Led Conversion) é um método único em que o Produto da Cisco pode relatar quais licenças ele usa e as licenças são automaticamente depositadas em sua Conta inteligente correspondente no Cisco Smart Software Manager (CSSM). O procedimento de DLC é realizado diretamente na interface de linha de comando (CLI) do dispositivo da Cisco específico.

• O processo de DLC é compatível apenas com o Catalyst 3650/3850 e as plataformas de roteador selecionadas. Para modelos específicos de roteador, consulte o guia de configuração da plataforma individual e as notas de versão. Exemplo:procedimento de DLC do Catalyst 3850 com as versões Fuji 16.9.x.

Conversão através de Cisco Smart Software Manager (CSSM) ou Portal de Registro de Licenças (LRP)

Método do Cisco Smart Software Manager (CSSM):

1. Faça login no Cisco Smart Software Manager (CSSM) em https://software.cisco.com/

2. Navegue até Smart Software Licensing > Converter para Smart Licensing 

3. Escolha Converter PAK ou Converter licenças

4. Para converter uma licença PAK, localize a licença nesta tabela. Para converter uma licença não PAK, use o Assistente de conversão de licença para obter instruções passo a passo.

Local dos arquivos PAK conhecidos associados à conta:

  

Local do link "Assistente de conversão de licenças":

5. Localize a combinação desejada de licença e produto.

6. Clique em (em Ações): Converter em Smart Licensing.

7. Escolha Virtual Account, licença e clique em Avançar.

8. Revise as Seleções e clique em Converter Licenças.

Método do Portal de Registro de Licenças (LRP):

1. Faça login no Portal de Registro de Licenças (LRP) http://tools.cisco.com/SWIFT/LicensingUI/Home

2. Navegue até Devices > Add Devices.

3. Insira a família de produtos apropriada e o ID do produto com o identificador de dispositivo exclusivo (UDI) e o número de série, depois clique em Ok. As informações de UDI podem ser obtidas do comando show version ou show inventory obtido da interface de linha de comando (CLI) do dispositivo Cisco.

4. Escolha o dispositivo adicionado e Converter licenças em Smart Licensing

5. Atribua à Virtual Account apropriada, escolha as licenças a serem convertidas e clique em Enviar.

Dica: a ferramenta LRP também pode ser usada pesquisando a família de licença/produto na guia PAKs ou Tokens. Clique no círculo suspenso ao lado de PAK/Token e escolha Convert to Smart Licensing:

Converta e entre em contato com o departamento de operações de licenciamento global (GLO) da Cisco

O departamento de Global Licensing Operations pode ser contatado aqui em nossos contact centers em todo o mundo.

Alteração de comportamento de alto desempenho do Catalyst 9500 da versão 16.9 para a 16.12.3

Como outros modelos Catalyst 9000, os modelos de alto desempenho Catalyst 9500 foram ativados com o Smart Licensing no treinamento do Cisco IOS XE versão 16.9 e posteriores. Para os modelos de alto desempenho Catalyst 9500, no entanto, cada modelo tinha sua própria marca de qualificação de licença específica. Posteriormente, as equipes de produto e marketing decidiram unificar as marcas de qualificação das plataformas C9500. Essa decisão alterou o comportamento dos modelos de alto desempenho C9500, que deixaram de usar marcas de qualificação específicas para usar licenças genéricas do C9500.

Essa mudança de comportamento está documentada nestes defeitos:

a) ID de bug Cisco CSCvp30661

b) ID de bug Cisco CSCvt01955

Aqui estão o antes e o depois das alterações acima mencionadas nas alterações de licença para modelos de alto desempenho C9500:

Cisco IOS XE versão 16.11.x e anterior

Cada modelo de alto desempenho C9600 tem suas próprias marcas de qualificação.

Modelo	Licença
C9500-32C	C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

Observação: as versões 16.12.1 e 16.12.2 do Cisco IOS XE têm defeitos ID de bug Cisco CSCvp30661 e ID de bug Cisco CSCvt01955. Esses defeitos são abordados no 16.12.3a e em versões posteriores.

Cisco IOS XE versão 16.12.3 e posterior

As plataformas de alto desempenho Catalyst 9500 agora usam marcas de licença de rede genéricas e marcas de licença de DNA separadas. Esta tabela mostra as alterações de qualificação destacadas no Cisco IOS XE versão 16.12.3 e posterior:

Modelo	Licença
C9500-32C	C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 Network Essentials C9500 Network Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

Observação: as atualizações do Cisco IOS XE versões 16.12.1 e 16.12.2 exibem esse comportamento de licença. As atualizações do Cisco IOS XE versões 16.9.x, 16.10.x, 16.11.x para 16.12.3 reconhecem configurações de licença antigas.

Perguntas frequentes sobre alteração de alto desempenho do C9500

1. Por que o suporte da Cisco aloca uma licença de rede genérica, quando meu dispositivo está consumindo uma licença de rede específica do dispositivo?

As marcas genéricas são fornecidas porque são as marcas de qualificação corretas para o dispositivo de rede. Isso permite o uso das marcas de qualificação em toda a plataforma Cat9500, não apenas nos modelos específicos de alto desempenho C9500. As imagens anteriores à versão 16.12.3 que solicitam marcas de licença específicas do dispositivo estão em conformidade com as marcas de licença genéricas, já que as licenças mais específicas estão sob as licenças genéricas na hierarquia de licenciamento.

2. Por que duas tags de rede às vezes aparecem na Smart Account?

Esse comportamento se dá devido à hierarquia de licenciamento e ocorre quando o dispositivo está sendo executado em uma imagem mais antiga, que utiliza marcas de licenciamento específicas do dispositivo. As imagens mais antigas que solicitam marcas de licença específicas do dispositivo estão em conformidade com as marcas de licença genéricas, pois as marcas mais específicas se enquadram nas licenças genéricas na hierarquia de licenciamento.

Configuração

Configuração básica

O procedimento exato sobre como configurar o Smart Licensing pode ser encontrado no Guia de configuração de gerenciamento de sistema disponível para cada versão/plataforma.

Por exemplo: guia de configuração de gerenciamento do sistema, Cisco IOS XE Fuji 16.9.x (switches Catalyst 9300)

Token de registro/Token de ID do dispositivo

Antes de registrar o dispositivo, o token precisa ser gerado. O token de registro, também conhecido como token de id de dispositivo, é um token exclusivo gerado a partir do portal de licenciamento inteligente ou do Cisco Smart Software Manager no local quando registra inicialmente um dispositivo Cisco para a Smart Account correspondente. Um token individual pode ser usado para registrar vários dispositivos da Cisco, dependendo dos parâmetros usados durante a criação.

O token de registro também é necessário apenas durante o registro inicial de um dispositivo da Cisco, pois fornece as informações para que o dispositivo ligue para o back-end da Cisco e seja vinculado à Smart Account correta. Depois que o dispositivo Cisco é registrado, o token não é mais necessário.

Para obter mais informações sobre tokens de registro e como eles são gerados, clique aqui para obter um guia geral. Para obter mais detalhes, consulte o guia de configuração do dispositivo da Cisco específico.

Estados de registro e de licença

Ao implantar e configurar o Smart Licensing, há vários estados possíveis em que um dispositivo Cisco pode estar. Esses estados podem ser exibidos observando os comandos show license all ou show license status na interface de linha de comando (CLI) do dispositivo da Cisco.

Aqui está uma lista de todos os estados e suas descrições:

Estado de avaliação (não identificado)

• Avaliação é o estado padrão do dispositivo quando é inicializado pela primeira vez.
• Geralmente, esse estado é visto quando um dispositivo Cisco ainda não foi configurado para Smart Licensing ou registrado em uma Smart Account.
• Nesse estado, todos os recursos estão disponíveis e o dispositivo pode alterar livremente os níveis de licença.
• O período de avaliação é usado quando o dispositivo está no estado não identificado. O dispositivo não tenta se comunicar com a Cisco nesse estado.
• Esse período de avaliação é de 90 dias de uso e não de 90 dias corridos. Quando o período de avaliação expira, ele nunca é redefinido.
• Há um período de avaliação para todo o dispositivo; não é um período de avaliação por qualificação.
• Quando o período de avaliação expira ao final de 90 dias, o dispositivo entra no modo EXPIRAÇÃO DE AVALIAÇÃO. No entanto, não há impacto funcional ou interrupção na funcionalidade, mesmo após o recarregamento. No momento, não há aplicação em vigor.
• O tempo de contagem regressiva é mantido entre as reinicializações.
• O período de avaliação será usado se o dispositivo ainda não tiver se registrado na Cisco e não tiver recebido essas duas mensagens do back-end da Cisco:
  1. Resposta com sucesso a uma solicitação de registro.
  2. Resposta com sucesso a uma solicitação de autorização de qualificação.

Estado registrado

• Registrado é o estado esperado após a conclusão bem-sucedida do registro.
• Esse estado indica que o dispositivo Cisco conseguiu se comunicar com êxito com uma Conta inteligente da Cisco e se registrar.
• O dispositivo recebe um certificado de identificação, válido por um ano, que é usado para comunicações futuras.
• O dispositivo envia uma solicitação ao CSSM para autorizar as qualificações para as licenças que estão em uso no dispositivo.
• Dependendo da resposta do CSSM, o dispositivo entra no estado Autorizado ou Fora de conformidade.
• O certificado de ID expira ao final de um ano. Após seis meses, o processo do Agente de software tenta renovar o certificado. Se o agente não puder se comunicar com o CSSM, ele continuará tentando renovar o certificado de ID até a data de expiração (um ano). Ao final de um ano, o agente volta ao estado Não Identificado e tenta habilitar o período de Avaliação. O CSSM remove a instância do produto de seu banco de dados.

• Estado Autorizado
• Autorizado é o estado esperado quando o dispositivo está usando um direito e está em conformidade (sem saldo negativo).
  
• Esse estado indica que a Virtual Account no CSSM tinha o tipo e o número corretos de licenças para autorizar o consumo das licenças para esse dispositivo.
• Ao final de 30 dias, o dispositivo envia uma nova solicitação ao CSSM para renovar a autorização.
• Esse estado tem um período de 90 dias. Após 90 dias (se não for renovado com êxito), o dispositivo passa para o estado Autorização expirada.

Estado Fora de conformidade

• Fora de conformidade é o estado em que o dispositivo está usando um direito e não está em conformidade (saldo negativo).
  
• Esse estado é visto quando o dispositivo não tem uma licença disponível na Virtual Account correspondente em que o dispositivo Cisco está registrado na Cisco Smart Account. 
• Para entrar no estado Conformidade/Autorizado, você deve adicionar o número e o tipo corretos de licenças à Conta inteligente.
• Quando um dispositivo está no estado Fora de conformidade, ele envia automaticamente uma solicitação de renovação de autorização todos os dias.
• Licenças e recursos continuam a operar e não há impacto funcional.

Estado de Autorização expirada

• Autorização expirada é o estado em que o dispositivo está usando um direito e não consegue se comunicar com a Conta inteligente da Cisco associada há mais de 90 dias.
• Esse estado geralmente é visto se o dispositivo Cisco perde o acesso à Internet ou não consegue se conectar a tools.cisco.com após o registro inicial.
• Os métodos on-line de Smart Licensing exigem que os dispositivos da Cisco se comuniquem, no mínimo, a cada 90 dias para evitar esse status.
• O CSSM retorna todas as licenças em uso para este dispositivo de volta ao pool, já que ele não tem nenhuma comunicação com o dispositivo há 90 dias.
• Enquanto estiver nesse estado, o dispositivo continua tentando entrar em contato com a Cisco a cada hora para renovar a autorização de qualificação, até que o período de registro (certificado de ID) expire.
• Se o Agente de software restabelecer a comunicação com a Cisco e receber sua solicitação de autorização, ele processará essa resposta normalmente e entrará em um dos estados estabelecidos.

Considerações e avisos

Começando em 16.9.1 para switches e 16.10.1 para roteadores, um perfil Call-home padrão chamado CiscoTAC-1 é gerado para ajudar na migração para o Smart Licensing.    Por padrão, esse perfil é configurado para o método de acesso direto à nuvem.               

#show call-home profile CiscoTAC-1
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
<snip>

Ao utilizar um servidor local do Cisco Smart Software Manager, o endereço de destino na configuração ativa do call-home deve apontar para ele (diferencia maiúsculas de minúsculas!):

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https://
     
     /Transportgateway/services/DeviceRequestHandler

O DNS é necessário para resolver tools.cisco.com. Se a conectividade do servidor DNS estiver em um VRF, assegure-se de que a interface de origem e o VRF apropriados estejam definidos:

Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>

VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]     <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>

Como alternativa, se o DNS não estiver disponível, configure estaticamente o DNS local para o mapeamento de IP (com base na resolução de DNS local no dispositivo final) ou substitua o nome DNS na configuração do call-home pelo endereço IP. Consulte o exemplo para acesso direto à nuvem (para o Cisco Smart Software Manager no local use seu próprio nome DNS em vez de tools.cisco.com):  

(config)#ip host tools.cisco.com <x.x.x.x>

Se a comunicação para tools.cisco.com precisar ser originada da interface em um VRF específico (por exemplo, Mgmt-vrf), esta CLI deverá ser configurada: 

(config)#ip http client source-interface <VRF_INTERFACE>

Um número diferente de licenças pode ser consumido com base na configuração do dispositivo Cisco, como com os switches Catalyst que são executados no StackWise ou no StackWise Virtual:

Switches tradicionais compatíveis com pilha (por exemplo, série Catalyst 9300):

Licença de rede: 1 licença é consumida por switch na pilha

Licença do DNA: uma licença é consumida por switch na pilha

Chassi modular (por exemplo, série Catalyst 9400):

Licença de rede: 1 licença é consumida por supervisor no chassi

Licença do DNA: 1 licença é consumida por chassi

Switches Fixos Virtuais Compatíveis com Stack (por exemplo, série Catalyst 9500):

Licença de rede: 1 licença é consumida por switch na pilha

Licença do DNA: uma licença é consumida por switch na pilha

• Apenas um perfil de call-home pode estar ativo para o Smart Licensing.
• As licenças só serão consumidas se um recurso correspondente estiver configurado.
• Os dispositivos Cisco configurados para Smart Licensing devem ser configurados com a hora e a data corretas do sistema para garantir que estejam sincronizados corretamente com a Cisco Smart Account correspondente. Se a diferença de tempo do dispositivo da Cisco for muito grande, o dispositivo pode não ser registrado. O relógio deve ser ajustado manualmente ou configurado por meio de um protocolo de cronometragem, como o Network Time Protocol (NTP) ou o Precision Time Protocol (PTP). Para obter as etapas exatas necessárias para implementar essas alterações, consulte o guia de configuração do dispositivo Cisco específico.
• A chave de Public Key Infrastructure (PKI) gerada durante o registro do dispositivo Cisco deve ser salva se não for salva automaticamente após o registro. Se o dispositivo não salvar a chave PKI, um syslog será gerado para solicitar que você salve a configuração por meio do comando copy running-config startup-config ou write memory.
• Se a chave PKI do dispositivo da Cisco não for salva corretamente, o estado da licença poderá se perder em failovers ou recarregamentos.  
• O Smart Licensing não oferece suporte à interceptação de certificado SSL do Proxy HTTPS por padrão ao usar proxies de terceiros para o método Proxy HTTPS. Para oferecer suporte a esse recurso, você pode desativar a interceptação SSL no proxy ou importar manualmente a certificação enviada pelo proxy.

How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

Ao usar o Proxy HTTP do Transport Gateway, o endereço IP deve ser alterado de tools.cisco.com para o Proxy, como neste exemplo:
       endereço de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService
PARA
       endereço de destino http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler 

O endereço IP do Transport Gateway pode ser encontrado navegando até as Configurações de HTTP e procurando nos URLs de serviço HTTP na GUI do Cisco Transport Gateway.

Para obter mais informações, consulte o guia de configuração do Cisco Transport Gateway aqui.

Troubleshooting

Ao migrar um dispositivo Cisco para uma versão de software habilitada para Smart Licensing, você pode usar este fluxograma como um guia geral para todos os três métodos (Direct Cloud Access, HTTPS Proxy e Cisco Smart Software Manager On-site).

                  Dispositivo atualizado ou enviado com a versão de software que suporta Smart Licensing (consulte a seção 1.3 para obter uma lista de versões suportadas do Cisco IOS XE). 

Essas etapas para solucionar problemas concentram-se principalmente em um cenário em que o dispositivo não consegue se registrar. 

O dispositivo não registra  

Após a configuração inicial, para habilitar o Smart Licensing, o Token, que é gerado no CSSM / Cisco Smart Software Manager no local, precisa ser registrado no dispositivo via CLI:

license smart register idtoken <TOKEN>

Esta ação gera estes eventos:

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result
!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds)
%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration
!
! Call-home start registration process
!
%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode.
!
! Smart Licensing process connects with CSSM and check entitlement.
!
%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed
%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN>
%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved
%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized
%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>

Para verificar a configuração do call-home, execute este CLI:

#show call-home profile all

Profile Name: CiscoTAC-1
    Profile status: ACTIVE
    Profile mode: Full Reporting
    Reporting Data: Smart Call Home, Smart Licensing
    Preferred Message Format: xml
    Message Size Limit: 3145728 Bytes
    Transport Method: http
    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
    Other address(es): default

    Periodic configuration info message is scheduled every 1 day of the month at 09:15

    Periodic inventory info message is scheduled every 1 day of the month at 09:00

    Alert-group               Severity
    ------------------------  ------------
    crash                     debug
    diagnostic                minor
    environment               warning
    inventory                 normal

    Syslog-Pattern            Severity
    ------------------------  ------------
    APF-.-WLC_.*              warning
    .*                        major

Para verificar o status do Smart Licensing, execute esta CLI:

#show license summary
Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: TAC Cisco Systems, Inc.
  Virtual Account: Krakow LAN-SW
  Export-Controlled Functionality: ALLOWED
  Last Renewal Attempt: None
  Next Renewal Attempt: Nov 22 21:24:32 2019 UTC

License Authorization:
  Status: AUTHORIZED
  Last Communication Attempt: SUCCEEDED
  Next Communication Attempt: Jun 25 21:24:37 2019 UTC

License Usage:
  License                 Entitlement tag               Count Status
  -----------------------------------------------------------------------------
  C9500 Network Advantage (C9500 Network Advantage)         1 AUTHORIZED
  C9500-DNA-40X-A         (C9500-40X DNA Advantage)         1 AUTHORIZED

Se o dispositivo não registrar (e se o Status for diferente de REGISTRADO), a falta de conformidade aponta para um problema no CSSM, como falta de licença na Smart Virtual Account, mapeamento incorreto (por exemplo, um token de uma Virtual Account diferente foi usado quando as licenças não estão disponíveis) e assim por diante.  Verifique estes itens: 

1. Verificar definições de configuração e cenários de falha comuns 

Consulte a seção 2.1 para obter as etapas de configuração básica. Além disso, consulte a seção 5 para ver cenários de falha comuns observados no campo.

2. Verificar a conectividade básica

Verifique se o dispositivo pode acessar (e abrir a porta TCP) tools.cisco.com (em caso de acesso direto) ou o servidor local do Cisco Smart Software Manager: 

#show run all | in destination address http
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
!
! check connectivity
!
#telnet tools.cisco.com 443 /source-interface gi0/0
Trying tools.cisco.com (x.x.x.x, 443)... Open
[Connection to tools.cisco.com closed by foreign host]

Se esses comandos não funcionarem, verifique novamente as regras de roteamento, a interface de origem e as configurações de firewall.

Consulte a seção: 3. Considerações e avisos neste documento para obter mais diretrizes sobre como configurar detalhes de DNS e HTTP. 

3. Verificar configurações da Licença inteligente

Colete a saída de:

#show tech-support license

e valide a configuração/registros coletados (atribua essa saída se decidir abrir o caso do Cisco TAC para investigação adicional). 

4. Habilitar depurações

Ative essas depurações para coletar informações adicionais sobre o processo do Smart Licensing.

#debug call-home smart-licensing [all | trace | error]
#debug ip http client [all | api | cache | error | main | msg | socket]

Para depurações internas, ative e leia os rastreamentos binários:

! enable debug
#set platform software trace ios [switch] active R0 infra-sl debug
!
! read binary traces infra-sl process logs
#show platform software trace message ios [switch] active R0

Cenários comuns de falha

Esta seção descreve alguns cenários de falha comuns que podem ocorrer durante ou após o registro de um dispositivo Cisco:

Cenário #1: Registro do switch "Motivo da falha: produto já registrado"

Corte de "show license all":

Registro:

  Status: NÃO REGISTRADO – FALHA NO REGISTRO

  Funcionalidade de exportação controlada: não permitida

  Registro inicial: FALHOU em 22 de outubro 14:25:31 2018 EST

   Motivo da falha: produto já registrado

  Próxima tentativa de registro: 22 de outubro 14:45:34 2018 EST

Próximas etapas:

- O dispositivo Cisco deve ser registrado novamente.

- Se o dispositivo Cisco for visto no CSSM, o parâmetro force deverá ser usado (isto é, license smart register idtoken <TOKEN> force).

Observação: o motivo da falha também pode ser mostrado como:
   - Motivo da falha: o produto <X> e o sudi que contêm udiSerialNumber:<SerialNumber>,udiPid:<Product> já foram registrados.
   - Motivo da falha: a instância do produto existente tem Consumo e o Sinalizador de Imposição é Falso

Cenário #2: Registro de switch "Motivo da falha: não foi possível processar sua solicitação no momento. Tente novamente"

Corte de "show license all":

Registro:

  Status: REGISTRANDO - REGISTRO EM ANDAMENTO

  Funcionalidade de exportação controlada: não permitida

  Registro inicial: FALHOU em 24 de outubro 15:55:26 2018 EST

  Motivo da falha:  Não é possível processar a solicitação no momento. Tente novamente

  Próxima tentativa de registro: 24 de outubro 16:12:15 2018 EST

Próximas etapas:

- Ative as depurações, conforme mencionado na seção 4 para obter mais informações sobre o problema. 

- Gere um novo token no CSSM no Smart Licensing e tente novamente. 

Cenário #3: Motivo da Falha "O 1526135268653 de Data do Dispositivo está Deslocado além do Limite de Tolerância Permitido

Corte de "show license all":

Registro:

  Status: REGISTRANDO - REGISTRO EM ANDAMENTO

  Funcionalidade de exportação controlada: não permitida

  Registro inicial: FALHOU em novembro 117:55:46 2018 EST

    Motivo da falha: {"timestamp":["A data do dispositivo '1526135268653' está deslocada além do limite de tolerância permitido."]}

  Próxima tentativa de registro: 11 de novembro 18:12:17 2018 EST

Possíveis registros vistos:

%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: falha na validação da cadeia de certificados.  O certificado (SN: XXXXXX) ainda não é válido. O período de validade começa em 12-12-2018:43Z

Próximas etapas:

- Verifique se o relógio do dispositivo Cisco está mostrando a hora correta (show clock).

- Configure o Network Time Protocol (NTP), se possível, para garantir que o relógio esteja ajustado corretamente.

- Se o NTP não for possível, verifique se o relógio (clock set) definido manualmente está correto (show clock) e configurado como uma fonte de tempo confiável, verificando se o calendário de relógio válido está configurado

Observação: por padrão, o relógio do sistema não é confiável. Calendário de relógio válido é necessário.

Cenário #4: registro do switch "Motivo da falha: transporte de comunicação não disponível".

Corte de "show license all":

Registro: Status: NÃO REGISTRADO - FALHA NO REGISTRO

Funcionalidade de exportação controlada: não permitida

Registro inicial: FALHOU em 09 de março 21:42:02 2019 CST

   Motivo da falha: transporte de comunicação não disponível.

Possíveis registros vistos:

%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: falha ao habilitar o call-home do Agente Inteligente para Licenciamento: o comando não pôde habilitar o Smart Call Home devido a um perfil de usuário ativo existente. Se você estiver usando um perfil de usuário diferente do perfil CiscoTAC-1 para enviar dados ao servidor SCH na Cisco, insira reporting smart-licensing-data no modo de perfil para configurar esse perfil para o licenciamento inteligente. Para obter mais detalhes sobre o SCH, consulte http://www.cisco.com/go/smartcallhome
%SMART_LIC-3-AGENT_REG_FAILED: Falha do Agente Inteligente para Registro de Licenciamento com o Cisco Smart Software Manager ou satélite: transporte de comunicação não disponível.
%SMART_LIC-3-COMM_FAILED: Falha de comunicação com o Cisco Smart Software Manager ou satélite: transporte de comunicação não disponível.

Próximas etapas:

- Verifique se o call-home está habilitado com o serviço call-home na saída show running-config do dispositivo Cisco.

- Verifique se o perfil de call-home correto está ativo.

- Verifique se reporting smart-licensing-data está configurado no perfil de call-home ativo.

Cenário #5: Autorização de licença de switch "Motivo da falha: falha ao enviar mensagem HTTP do Call Home".

Corte de "show license all":

Autorização de licença:

  Status: FORA DE CONFORMIDADE em Jul 26 09:24:09 2018 UTC

  Última tentativa de comunicação: FALHOU em 2 de agosto 14:26:23 2018 UTC

    Motivo da falha: falha ao enviar mensagem Call Home HTTP.

  Próxima tentativa de comunicação: agosto 02 14:26:53 2018 UTC

  Prazo para comunicação: 25 de outubro 09:21:38 2018 UTC

Os possíveis registros são vistos:

%CALL_HOME-5-SL_MESSAGE_FAILED: falha ao enviar a mensagem do Smart Licensing para: https://<ip>/its/service/oddce/services/DDCEService (ERR 205: solicitação anulada)

%SMART_LIC-3-COMM_FAILED:Falha de comunicação com o Cisco Smart Software Manager ou satélite: falha ao enviar mensagem HTTP do Call Home.

%SMART_LIC-3-AUTH_RENEW_FAILED:Renovação de autorização com o Cisco Smart Software Manager ou satélite: Mensagem de comunicação envia erro para UDI PID:XXX, SN: XXX

Próximas etapas:

- Verifique se o dispositivo Cisco pode fazer ping em tools.cisco.com.

- Se o DNS não estiver configurado, configure um servidor DNS ou uma instrução de host ip para o IP nslookup local para tools.cisco.com.

- Tente executar telnet do dispositivo Cisco para tools.cisco.com na porta TCP 443 (porta usada por HTTPS).

- Verifique se a interface de origem do cliente HTTPs está definida e correta.

- Verifique se o URL/IP no perfil do call home está definido corretamente no dispositivo Cisco através do comando show call-home profile all.

- Verifique se o ip route está apontando para o próximo salto correto.

- Certifique-se de que a porta TCP 443 não esteja sendo bloqueada no dispositivo Cisco, no caminho para o servidor Smart Call Home ou no Cisco Smart Software Manager no local (satélite).

- Certifique-se de que a instância correta de Virtual Routing and Forwarding (VRF) esteja configurada em call-home, se aplicável.

Cenário #6: Motivo da Falha "Campo Número de Série de Certificado de Id Ausente; Campo Número de Série de Certificado de Assinatura Ausente; Dados Assinados e Certificado Não Correspondem" Log

Esse comportamento é visto ao trabalhar com um servidor local CSSM cujo certificado de criptografia tenha expirado, conforme documentado na ID de bug Cisco CSCvr41393. Esse é o comportamento esperado, pois o CSSM local deve ter permissão para sincronizar e renovar seu certificado a fim de evitar um problema de sincronização de certificação com qualquer dispositivo de registro.

Corte de "show license all":

Registro:
  Status: NÃO REGISTRADO
  Smart Account: conta de exemplo
  Funcionalidade de exportação controlada: PERMITIDA

Autorização de licença:
 Status: MODO DE AVALIAÇÃO
 Período de avaliação restante: 65 dias, 18 horas, 43 minutos, 0 segundos

Possíveis registros vistos:

Esse erro é visto em show logging ou show license eventlog:
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Campo de número de série de certificado de ID ausente; Campo de número de série de certificado de assinatura ausente; Dados e certificado assinados não correspondem"

Próximas etapas:

- Verifique se o dispositivo Cisco tem conectividade IP com o servidor local CSSM.
- Se estiver usando HTTPS, confirme se o C-Name de certificação está sendo usado na configuração do call-home dos dispositivos.
- Se um servidor DNS não estiver disponível para resolver o C-Name de certificação, configure uma instrução de host ip estático para mapear o nome de domínio e o endereço IP.

- Verifique se o status do certificado no CSSM local ainda é válido.
- Se o certificado CSSM no local tiver expirado, use uma das soluções documentadas na ID de bug Cisco CSCvr41393

Observação: por padrão, o HTTPS executa uma verificação de identidade do servidor durante o handshake SSL para verificar se o URL ou IP é o mesmo que o certificado fornecido do servidor. Isso pode causar problemas ao usar endereços IP em vez de uma entrada DNS se o nome do host e o IP não coincidirem. Se o DNS não for possível, ou uma instrução de host ip estático, nenhuma verificação de identidade de servidor segura http pode ser configurada para desabilitar essa verificação de certificação.

Cenário #7: Autorização de licença de switch "Motivo da falha: aguardando resposta" 

Corte de "show license all":

Autorização de licença:
 Status: FORA DE CONFORMIDADE em Jul 26 09:24:09 2018 UTC
 Última tentativa de comunicação: PENDENTE em 2 de agosto 14:34:51 2018 UTC
  Motivo da falha: aguardando resposta
 Próxima tentativa de comunicação: agosto 02 14:53:58 2018 UTC
 Prazo para comunicação: 25 de outubro 09:21:39 2018 UTC

Os possíveis registros são vistos:

%PKI-3-CRL_FETCH_FAIL: Falha na busca de CRL para SLA-TrustPoint de ponto confiável Motivo: falha ao selecionar soquete. Tempo limite : 5 (Tempo limite da conexão esgotado)
%PKI-3-CRL_FETCH_FAIL: Falha na busca de CRL para SLA-TrustPoint de ponto confiável Motivo: falha ao selecionar soquete. Tempo limite : 5 (Tempo limite da conexão esgotado)

Próximas etapas:

- Para corrigir esse problema, o SLA-TrustPoint deve ser configurado como nenhum na configuração de execução

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revocation-check none

O que é CRL?

Lista de revogação de certificado (CRL) é uma lista de certificados revogados. A CRL é criada e assinada digitalmente pela autoridade de certificação (CA) que emitiu originalmente os certificados. A CRL contém as datas de quando cada certificado foi emitido e quando ele expira. Mais informações sobre CRL estão disponíveis aqui.

Cenário #8: Licença com status "FORA DE CONFORMIDADE"

Corte de "show license all":

Autorização de licença:
 Status: FORA DE CONFORMIDADE em Jul 26 09:24:09 2018 UTC
 Última tentativa de comunicação: PENDENTE em 2 de agosto 14:34:51 2018 UTC
  Motivo da falha: aguardando resposta
 Próxima tentativa de comunicação: agosto 02 14:53:58 2018 UTC
 Prazo para comunicação: 25 de outubro 09:21:39 2018 UTC

Os possíveis registros são vistos:

%SMART_LIC-3-OUT_OF_COMPLIANCE: uma ou mais qualificações estão fora de conformidade.

Próximas etapas:

- Verifique se o Token da Smart Virtual Account correta foi usado. 

- Verifique a quantidade de licenças disponíveis aqui.

Cenário #9: Autorização de licença de switch "Motivo da falha: os dados e a assinatura não coincidem "

Corte de "show license all":

Autorização de licença:

 Status: AUTORIZADO em Mar 12 09:17:45 2020 EDT

 Última tentativa de comunicação: FALHOU em 09:17:45 de março de 2020 EDT

  Motivo da falha: os dados e a assinatura não correspondem

 Próxima tentativa de comunicação: 12 de março 09:18:15 2020 EDT

 Prazo para comunicação: 9 de maio 21:22:43 2020 EDT

Os possíveis registros são vistos:

%SMART_LIC-3-AUTH_RENEW_FAILED: Renovação de autorização com o Cisco Smart Software Manager (CSSM): erro recebido do Smart Software Manager: os dados e a assinatura não correspondem para UDI PID:C9000,SN:XXXXXXXXX

Próximas etapas:

- Cancele o registro do switch com o cancelamento inteligente de registro da licença.

- Em seguida, registre o switch usando um novo token com a licença smart register idtoken <TOKEN> force.

Referências

1) Página inicial do Cisco Smart Licensing

2) Comunidade da Cisco – Treinamento sob demanda.

3) Smart Account – portal de gerenciamento: Smart Software Licensing

4) Smart Account – criar novas contas:  Smart Accounts

5) Guia de configuração (exemplo) – Guia de configuração de gerenciamento do sistema, Cisco IOS XE Fuji 16.9.x (Switches Catalyst 9300)