1. Introduction

1.1. O que é o Cisco Smart Licensing?

O Cisco Smart Licensing é um sistema de gerenciamento de licenças unificado baseado em nuvem que gerencia todas as licenças de software nos produtos da Cisco. Ele permite que os clientes comprem, implantem, gerenciem, rastreiem e renovem licenças de software da Cisco. Ele também fornece informações sobre a propriedade e o consumo da licença por meio de uma única interface de usuário

A solução é composta de Smart Accounts on-line (no Cisco Smart Licensing Portal) usadas para rastrear ativos de software da Cisco e do Cisco Smart Software Manager (CSSM), usado para gerenciar as Smart Accounts. O CSSM é onde todas as tarefas relacionadas ao gerenciamento de licenças, como registrar, cancelar o registro, mover e transferir licenças, podem ser executadas. Os usuários podem ser adicionados e receber acesso e permissões para a Smart Account e contas virtuais específicas.

Para saber mais sobre o Cisco Smart Licensing, visite:

a) Página inicial do Cisco Smart Licensing

b) Comunidade Cisco - Treinamento sob demanda.

Contas inteligentes podem ser criadas aqui: Contas inteligentes

Contas inteligentes podem ser gerenciadas aqui: Licenciamento de software inteligente

1.2. Métodos de implementação do Smart Licensing

Há vários métodos na implantação do Cisco Smart Licensing que podem ser aproveitados dependendo do perfil de segurança de uma empresa, como:

Acesso direto à nuvem

Os produtos da Cisco enviam informações de uso diretamente pela Internet com segurança usando HTTPS. Nenhum componente adicional é necessário.

Acesso por meio de um proxy HTTPS

Os produtos da Cisco enviam informações de uso através de um servidor proxy HTTP com segurança usando HTTPS. Um servidor proxy existente pode ser usado ou pode ser implantado através do Transport Gateway da Cisco. (clique aqui para obter mais informações).

Servidor de licença no local (também conhecido como satélite Cisco Smart Software Manager)

Os produtos da Cisco enviam informações de uso para um servidor local em vez de diretamente pela Internet. Uma vez por mês, o servidor atinge a Internet para todos os dispositivos via HTTPS ou pode ser transferido manualmente para sincronizar seu banco de dados. O CSSM no local (satélite) está disponível como máquina virtual (VM) e pode ser baixado aqui. Para obter mais informações, visite a página satélite do Gerenciador Inteligente de Software.

1.3. Plataformas IOS XE suportadas

• A partir da versão 16.9.1 do IOS XE, as plataformas dos switches das séries Catalyst 3650/3850 e Catalyst 9000 suportam o método Cisco Smart Licensing como o único método de licenciamento.
• A partir da versão 16.10.1 do IOS XE, plataformas de roteador como ASR1K, ISR1K, ISR4K e roteadores virtuais (CSRv / ISRv) suportam o método Cisco Smart Licensing como o único método de licenciamento.

1.4. Migração de licenças antigas para Smart Licenses

Há dois métodos para converter uma licença herdada, como a RTU (Right-To-Use, direito de uso) ou PAK (Product Ativation Key, chave de ativação do produto) em uma Smart License. Para obter detalhes sobre qual método precisa ser seguido, consulte as notas de versão relevantes e/ou o guia de configuração do dispositivo Cisco específico.

1.4.1. Conversão por meio da Conversão Led de Dispositivo (DLC)

• A Conversão de Led de Dispositivo (DLC) é um método único no qual o Produto Cisco pode relatar quais licenças ele está usando e as licenças são automaticamente depositadas em sua Conta inteligente correspondente no Cisco Smart Software Manager (CSSM). O procedimento de DLC é executado diretamente da CLI (Command Line Interface, interface de linha de comando) do dispositivo Cisco específico.

• O processo DLC é suportado somente no Catalyst 3650/3850 e nas plataformas de roteador selecionadas. Para modelos de roteador específicos, consulte o guia de configuração de plataforma individual e as notas de versão. Exemplo:procedimento DLC para Catalyst 3850 executando versões Fuji 16.9.x.

1.4.2. Convertendo através de Cisco Smart Software Manager (CSSM) ou Portal de registro de licença (LRP)

Método Cisco Smart Software Manager (CSSM):

1. Faça login no Cisco Smart Software Manager (CSSM) em https://software.cisco.com/

2. Navegue até Smart Software Licensing > Converter em Smart Licensing 

3. Selecione Converter licenças PAK ou Converter licenças

4. Localize a licença na tabela abaixo se estiver convertendo a licença PAK. Se estiver convertendo uma licença não PAK, use o "Assistente de Conversão de Licença" para obter instruções passo a passo.

Localização dos arquivos PAK conhecidos associados à conta:

  

Localização do link "Assistente de Conversão de Licença":

5. Localize a combinação de licença e produto desejados

6. Clique em (em Ações): Converter em Smart Licensing

7. Selecione a conta virtual desejada, a licença e clique em Avançar

8. Revisar seleções e, em seguida, clicar em Converter licenças

1.4.3. Convertendo através do contato com o departamento de operações de licenciamento global (GLO) da Cisco

O departamento de Operações de Licenciamento Global pode ser contatado aqui em nossos centros de contato em todo o mundo.

1.5. Mudança de comportamento de alto desempenho do Catalyst 9500 de 16.9 para 16.12.3

Como outros modelos do Catalyst 9000, os modelos de alto desempenho do Catalyst 9500 foram habilitados com Smart Licensing no trem IOS XE versão 16.9 e posteriores. No entanto, para os modelos de alto desempenho do Catalyst 9500, cada modelo tinha sua própria marca de qualificação de licença específica. Posteriormente, foi decidido pelas equipes de produtos e marketing unificar as etiquetas de qualificação das plataformas C9500. Essa decisão alterou o comportamento nos modelos de alto desempenho do C9500, deixando de usar marcas de qualificação específicas para licenças genéricas do C9500.

Essa mudança de comportamento está documentada nos seguintes defeitos:

a) CSCvp30661

b) CSCvt01955

Abaixo estão as alterações de licença anteriores e posteriores às mencionadas para modelos de alto desempenho C9500:

1.5.1. IOS XE versão 16.11.x e inferior

Cada modelo de alto desempenho C9600 tem suas próprias marcas de qualificação:

Modelo	Licença
C9500-32C	C9500 32C NW Essentials Vantagem do C9500 32C NW C9500 32C DNA Essentials Vantagem do DNA C9500 32C
C9500-32QC	C9500 32QC NW Essentials Vantagem do C9500 32QC NW C9500 32QC DNA Essentials Vantagem do DNA C9500 32QC
C9500-24Y4C	C9500 24Y4C NW Essentials Vantagem do C9500 24Y4C NW C9500 24Y4C DNA Essentials Vantagem do DNA do C9500 24Y4C
C9500-48Y4C	C9500 48Y4C NW Essentials Vantagem do C9500 48Y4C NW C9500 48Y4C DNA Essentials Vantagem do DNA do C9500 48Y4C

Nota - As versões 16.12.1 e 16.12.2 do IOS XE têm os seguintes defeitos CSCvp30661, CSCvt01955 e são tratadas em 16.12.3a e posteriores.

1.5.2. IOS XE versão 16.12.3 e posteriores

As plataformas de alto desempenho do Catalyst 9500 agora usarão tags genéricas de licença de rede e tags separadas de licença do DNA. A tabela abaixo mostra as alterações de direitos destacadas no IOS XE versão 16.12.3 e posteriores:

Modelo	Licença
C9500-32C	Fundamentos da rede C9500 Vantagem da rede C9500 C9500 32C DNA Essentials Vantagem do DNA C9500 32C
C9500-32QC	Fundamentos da rede C9500 Vantagem da rede C9500 C9500 32QC DNA Essentials Vantagem do DNA C9500 32QC
C9500-24Y4C	Fundamentos da rede C9500 Vantagem da rede C9500 C9500 24Y4C DNA Essentials Vantagem do DNA do C9500 24Y4C
C9500-48Y4C	Fundamentos da rede C9500 Vantagem da rede C9500 C9500 48Y4C DNA Essentials Vantagem do DNA do C9500 48Y4C

Observação - as atualizações do IOS XE versões 16.12.1 e 16.12.2 exibirão esse comportamento de licença. As atualizações do IOS XE versões 16.9.x ,16.10.x, 16.11.x a 16.12.3 reconhecerão configurações de licença antigas.

1.5.3. Perguntas frequentes sobre alterações de alto desempenho do C9500

1.  Por que o suporte da Cisco aloca uma licença de rede genérica quando meu dispositivo está consumindo uma licença de rede específica para o dispositivo?

As marcas genéricas são fornecidas, pois são as marcas de qualificação corretas para o dispositivo de rede. Isso permite o uso das marcas de qualificação em toda a plataforma Cat9500, não apenas nos modelos específicos de alto desempenho do C9500. As imagens anteriores à 16.12.3 que solicitam etiquetas de licença específicas do dispositivo estão em conformidade com as etiquetas de licença genérica, uma vez que as licenças mais específicas se enquadram nas licenças genéricas na hierarquia de licenciamento.

2.  Por que duas marcas de rede às vezes aparecem na Smart Account?

Esse comportamento é devido à hierarquia de licenciamento e acontece quando o dispositivo está sendo executado em uma imagem mais antiga que utiliza marcas de licenciamento específicas do dispositivo. As imagens mais antigas que solicitam etiquetas de licença específicas do dispositivo estão em conformidade com as etiquetas de licença genérica, pois as etiquetas mais específicas estão sob as licenças genéricas na hierarquia de licenciamento.

2. Configuração

2.1. Configuração básica

O procedimento exato de configuração do Smart Licensing pode ser encontrado no Guia de configuração de gerenciamento de sistema disponível para cada versão/plataforma.

Por exemplo: Guia de Configuração de Gerenciamento do Sistema, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 Switches)

2.2. Token de registro/ID do dispositivo

Antes de registrar o dispositivo, o Token precisa ser gerado. O token de registro, também conhecido como token de identificação do dispositivo, é um token exclusivo gerado a partir do portal de licenciamento inteligente ou do Cisco Smart Software Manager no local ao registrar inicialmente um dispositivo Cisco na Smart Account correspondente. Um token individual pode ser usado para registrar vários dispositivos Cisco, dependendo dos parâmetros usados durante a criação.

O token de registro também é necessário somente durante o registro inicial de um dispositivo Cisco, pois ele fornece as informações ao dispositivo para call-home para o back-end da Cisco e está vinculado à Smart Account correta. Depois que o dispositivo Cisco é registrado, o token não é mais necessário.

Para obter mais informações sobre tokens de registro e como eles são gerados, clique aqui para obter um guia geral. Para obter mais detalhes, consulte o guia de configuração do dispositivo Cisco específico.

2.3. Estados de registro e licença

Ao implantar e configurar o Smart Licensing, há vários estados possíveis em que um dispositivo da Cisco pode estar. Esses estados podem ser exibidos observando o show license all ou show license status da CLI (Command Line Interface, interface de linha de comando) do dispositivo Cisco.

Abaixo está uma lista de todos os estados e seu significado:

• Estado de avaliação (não identificado)
  • Este é um estado padrão do dispositivo quando inicializado pela primeira vez.
  • Normalmente, esse estado é visto quando um dispositivo da Cisco ainda não foi configurado para Smart Licensing ou registrado em uma Smart Account.
  • Nesse estado, todos os recursos estão disponíveis e o dispositivo pode alterar livremente os níveis de licença.
  • O período de avaliação é usado quando o dispositivo está no estado não identificado. O dispositivo não tentará se comunicar com a Cisco neste estado.
  • Serão 90 dias de uso e não 90 dias de calendário. Uma vez expirado, ele nunca é redefinido.
  • Há um período de avaliação para todo o dispositivo que não é por direito
  • Quando o período de avaliação expira no final de 90 dias, o dispositivo entra no modo EVAL EXPIRY, no entanto, não há impacto funcional ou interrupção na funcionalidade, mesmo após o recarregamento. Atualmente, não há aplicação.
  • O tempo de contagem regressiva é mantido durante as reinicializações.
  • O período de avaliação é usado se o dispositivo ainda não se registrou na Cisco e não recebeu as duas mensagens a seguir do back-end da Cisco:
    1. Resposta bem-sucedida a uma solicitação de registro
    2. Resposta bem-sucedida a uma solicitação de autorização de qualificação.

• Estado registrado
  • Este é o estado esperado após a conclusão bem-sucedida do registro.
  • O dispositivo da Cisco conseguiu se comunicar com êxito com uma Smart Account da Cisco e registrar-se.
  • O dispositivo recebe um certificado de ID válido por 1 ano que será usado para comunicações futuras
  • O dispositivo enviará uma solicitação ao CSSM para autorizar os direitos das licenças em uso no dispositivo
  • Dependendo da resposta do CSSM, o dispositivo entrará em autorizado ou fora de conformidade
  • O certificado de ID expira no final de um ano. Após 6 meses, o processo do agente de software tentará renovar o certificado. Se o agente não puder se comunicar com o Cisco Smart Software Manager, ele continuará tentando renovar o certificado de ID até a data de expiração (1 ano). No final de um ano, o agente retornará ao estado Não identificado e tentará ativar o período de Avaliação. O CSSM removerá a instância do produto de seu banco de dados.

• Estado autorizado
  • Esse é o estado esperado quando o dispositivo está usando uma qualificação e está em conformidade (nenhum saldo negativo), 
  • A Virtual Account no CSSM tinha o tipo e o número corretos de licenças para autorizar o consumo das licenças do dispositivo
  • No final de 30 dias, o dispositivo enviará uma nova solicitação ao CSSM para renovar a autorização.
  • Tem um período de 90 dias após o qual (se não for renovado com êxito) é movido para o estado Autorizações expiradas.

• Estado fora de conformidade
  • Este é o estado quando o dispositivo está usando uma qualificação e não está em conformidade (saldo negativo), 
  • Esse estado é observado quando a licença não tem uma licença disponível na Virtual Account correspondente na qual o dispositivo da Cisco está registrado na Cisco Smart Account. 
  • Para entrar no estado Conformidade/Autorizado, um cliente deve adicionar o número e o tipo corretos de licenças à Smart Account
  • Quando estiver nesse estado, o dispositivo enviará automaticamente uma solicitação de renovação de autorização todos os dias
  • As licenças e os recursos continuarão a funcionar e não haverá impacto funcional

• Estado Expirado da Autorização
  • Este é o estado em que o dispositivo está usando uma qualificação não consegue se comunicar com a Cisco Smart Account associada por mais de 90 dias.
  • Isso é normalmente visto se o dispositivo Cisco perde o acesso à Internet ou não consegue se conectar ao tools.cisco.com após o registro inicial.
  • Os métodos on-line de licenciamento inteligente exigem que os dispositivos da Cisco comuniquem um mínimo a cada 90 dias para evitar esse status.
  • O CSSM devolverá todas as licenças em uso para este dispositivo de volta ao pool, pois ele não tem nenhuma comunicação por 90 dias
  • Enquanto estiver nesse estado, o dispositivo continuará tentando entrar em contato com a Cisco, a cada hora, para renovar a autorização de qualificação, até que o período de registro (certificado de id) expire
  • Se o agente de software restabelecer as comunicações com a Cisco e receber sua solicitação de autorização, ele processará essa resposta normalmente e entrará em um dos estados estabelecidos

3. Considerações e avisos

• Começando em 16.9.1 para switches e 16.10.1 para roteadores, um perfil padrão do Call-home chamado "CiscoTAC-1" é gerado para auxiliar na migração para o Smart Licensing.  Por padrão, esse perfil é configurado para o método de acesso direto à nuvem.               

#show call-home profile CiscoTAC-1
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
<snip>

• Ao utilizar um servidor Cisco Smart Software Manager no local, o endereço de destino na configuração ativa do call-home deve apontar para ele (diferencia maiúsculas de minúsculas!):

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https://
     
     /Transportgateway/services/DeviceRequestHandler

• Se o DNS precisar ser resolvido em um VRF, o DNS poderá ser configurado da seguinte maneira:

(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server [vrf <VRF>] <IP>

Como alternativa, se o DNS não estiver disponível, configure estaticamente o DNS local para o mapeamento IP (com base na resolução DNS local no dispositivo final) ou substitua o nome DNS na configuração do call-home pelo endereço IP. Consulte o exemplo para acesso direto à nuvem (para o Cisco Smart Software Manager no local use seu próprio nome DNS em vez de tools.cisco.com):  

(config)#ip host tools.cisco.com 173.37.145.8

• Se a comunicação com tools.cisco.com precisar ser originada da interface em VRF específico (por exemplo, Mgmt-vrf), a CLI a seguir precisa ser configurada: 

(config)#ip http client source-interface <VRF_INTERFACE>

• Um número diferente de licenças pode ser consumido dependendo da configuração do dispositivo Cisco, como com switches Catalyst em execução no StackWise ou no StackWise Virtual:

Switches compatíveis com pilha tradicional (por exemplo, série Catalyst 9300):

Licença de rede: 1 licença é consumida por switch na pilha

Licença de DNA: 1 licença é consumida por switch na pilha

Chassi modular (por exemplo, série Catalyst 9400):

Licença de rede: 1 licença é consumida por supervisor no chassi

Licença de DNA: 1 licença é consumida por chassi

Switches com suporte virtual fixo para pilha (por exemplo, série Catalyst 9500):

Licença de rede: 1 licença é consumida por switch na pilha

Licença de DNA: 1 licença é consumida por switch na pilha

• Apenas um perfil de call-home pode estar ativo para o Smart Licensing.
• As licenças só são consumidas se um recurso correspondente estiver configurado.
• Os dispositivos da Cisco configurados para Smart Licensing precisam ser configurados com a hora e a data corretas do sistema para garantir que estejam sincronizados corretamente com a Conta inteligente da Cisco correspondente. Se o deslocamento de tempo do dispositivo Cisco estiver muito distante dele, o dispositivo pode falhar no registro. O relógio precisará ser definido ou configurado manualmente por meio de um protocolo de temporização, como o Network Time Protocol (NTP) ou o Precision Time Protocol (PTP). Para obter as etapas exatas necessárias para implementar essas alterações, consulte o guia de configuração do dispositivo Cisco específico.
• A chave PKI (Public Key Infrastructure, Infraestrutura de Chave Pública) gerada durante o registro do dispositivo Cisco precisa ser salva se não for salva automaticamente após o registro. Se o dispositivo não salvar a chave PKI, um syslog será gerado para salvar a configuração por meio de "copy running-config startup-config" ou "write memory".
• Se a chave PKI do dispositivo Cisco não for salva corretamente, o estado da licença poderá ser perdido em failover ou recarregado.  
• O Smart Licensing não suporta interceptação de certificado SSL do Proxy HTTPS por padrão ao usar proxies de terceiros para o método de Proxy HTTPS. Para suportar este recurso, você pode desativar a interceptação SSL no Proxy ou importar manualmente a certificação enviada do Proxy.

How to Manually Import Certification as a TrustPoint:
Note, the certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

• Ao usar o Proxy HTTP do Transport Gateway, o endereço IP precisa ser alterado de tools.cisco.com para o Proxy, como o seguinte:
         endereço de destino https:// tools.cisco.com/its/service/oddce/services/DDCEService
                PARA
         endereço de destino http https:// <TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler 
• O endereço IP do Transport Gateway pode ser encontrado navegando para as Configurações HTTP e olhando sob as URLs do Serviço HTTP na GUI do Cisco Transport Gateway.
  
  • Para obter mais informações, consulte o seguinte guia de configuração do Cisco Transport Gateway aqui.

4. Troubleshooting

Ao migrar um dispositivo da Cisco para uma versão de software habilitada para Smart Licensing, o fluxograma a seguir pode ser usado como um guia geral para todos os três métodos (Direct Cloud Access, HTTPS Proxy e Cisco Smart Software Manager On-loco).

                  Dispositivo atualizado ou fornecido com versão de software que suporta Smart Licensing (consulte a seção 1.3 para obter a lista de versões suportadas do IOS-XE). 

As etapas de solução de problemas a seguir concentram-se principalmente em um cenário em que o 'dispositivo falha ao se registrar'. 

4.1. Falha no registro do dispositivo 

Após a configuração inicial, para habilitar o Smart Licensing, o Token, que é gerado no CSSM / Cisco Smart Software Manager no local, precisa ser registrado no dispositivo via CLI:

license smart register idtoken <TOKEN>

Isso deve gerar os seguintes eventos:

!
! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result
!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds)
%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration
!
! Call-home start registration process
!
%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode.
!
! Smart Licensing process connects with CSSM and check entitlement.
!
%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed
%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN>
%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved
%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized
%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>

Para verificar a configuração do call-home, execute o seguinte CLI:

#show call-home profile all

Profile Name: CiscoTAC-1
    Profile status: ACTIVE
    Profile mode: Full Reporting
    Reporting Data: Smart Call Home, Smart Licensing
    Preferred Message Format: xml
    Message Size Limit: 3145728 Bytes
    Transport Method: http
    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
    Other address(es): default

    Periodic configuration info message is scheduled every 1 day of the month at 09:15

    Periodic inventory info message is scheduled every 1 day of the month at 09:00

    Alert-group               Severity
    ------------------------  ------------
    crash                     debug
    diagnostic                minor
    environment               warning
    inventory                 normal

    Syslog-Pattern            Severity
    ------------------------  ------------
    APF-.-WLC_.*              warning
    .*                        major

Para verificar o status do Smart Licensing, execute o seguinte CLI:

#show license summary
Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: TAC Cisco Systems, Inc.
  Virtual Account: Krakow LAN-SW
  Export-Controlled Functionality: ALLOWED
  Last Renewal Attempt: None
  Next Renewal Attempt: Nov 22 21:24:32 2019 UTC

License Authorization:
  Status: AUTHORIZED
  Last Communication Attempt: SUCCEEDED
  Next Communication Attempt: Jun 25 21:24:37 2019 UTC

License Usage:
  License                 Entitlement tag               Count Status
  -----------------------------------------------------------------------------
  C9500 Network Advantage (C9500 Network Advantage)         1 AUTHORIZED
  C9500-DNA-40X-A         (C9500-40X DNA Advantage)         1 AUTHORIZED

Caso o dispositivo não se registre (e o status é diferente de REGISTRADO como mostrado acima; observe que a não conformidade aponta para um problema no CSSM, como a falta de licença na Smart Virtual Account, mapeamento incorreto (ou seja, token de conta virtual diferente foi usado quando as licenças não estão disponíveis, etc.), verifique o seguinte: 

1. Verifique as configurações e os cenários de falha comuns 

Consulte a seção 2.1 para obter as etapas básicas de configuração. Veja também na seção 5 os cenários de falha comuns observados no campo.

2. Verificar a conectividade básica

Verifique se o dispositivo pode acessar (e abrir a porta TCP) a tools.cisco.com (no caso de acesso direto) ou ao servidor local do Cisco Smart Software Manager: 

#show run all | in destination address http
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
!
! check connectivity
!
#telnet tools.cisco.com 443 /source-interface gi0/0
Trying tools.cisco.com (173.37.145.8, 443)... Open
[Connection to tools.cisco.com closed by foreign host]

Caso o procedimento acima não funcione, verifique duas vezes suas regras de roteamento, interface de origem e configurações de firewall.

Observe que o HTTP (TCP/80) está sendo substituído e o protocolo recomendado é HTTPS (TCP/443).

Consulte a seção: "3. Considerações e avisos" neste documento para obter mais diretrizes sobre como configurar detalhes de DNS e HTTP. 

3. Verificar configurações de Smart License

Colete a saída de:

#show tech-support license

e valide a configuração/registros coletados (anexe essa saída caso decida abrir o caso do Cisco TAC para investigação posterior). 

4. Ativar depurações

Habilite as depurações a seguir para coletar informações adicionais sobre o processo de Smart Licensing (observe que, depois de habilitar as depurações, você precisa tentar registrar a licença novamente por meio do CLi mencionado no ponto 4.1):

#debug call-home smart-licensing [all | trace | error]
#debug ip http client [all | api | cache | error | main | msg | socket]

Para depurações internas, habilite e leia rastreamentos binários:

! enable debug
#set platform software trace ios [switch] active R0 infra-sl debug
!
! read binary traces infra-sl process logs
#show platform software trace message ios [switch] active R0

5. Cenários de falha comuns

A seguir estão alguns cenários de falha comuns que podem ocorrer durante ou após o registro de um dispositivo Cisco:

Cenário 1: Registro do switch "Motivo da falha: Produto já registrado"

Código de "show license all":

Registro:

  Status: NÃO REGISTRADO - FALHA NO REGISTRO

  Funcionalidade controlada pela exportação: Não permitido

  Registro inicial: FALHA em 22 de outubro 14:25:31 2018 EST

   Motivo da falha: Produto já registrado

  Próxima tentativa de registro: 22 de outubro 14:45:34 2018 EST

Próximas etapas:

- O dispositivo Cisco precisará ser registrado novamente.

- Se o dispositivo Cisco for visto no Cisco Smart Software Manager (CSSM), o parâmetro "force" (força) precisará ser usado (por exemplo, "license smart register idtoken <TOKEN> force")

         NOTA: o motivo da falha também pode ser mostrado da seguinte forma:

                  - Motivo da falha: O produto <X> e o sudi contendo udiSerialNumber:<SerialNumber>,udiPid:<Product> já foram registrados.

                  - Motivo da falha: A instância de produto existente tem consumo e o sinalizador Force é falso

Cenário 2: Registro do switch "Motivo da falha: Não foi possível processar sua solicitação no momento. Tente novamente"

Código de "show license all":

Registro:

  Status: REGISTRO - REGISTRO EM ANDAMENTO

  Funcionalidade controlada pela exportação: Não permitido

  Registro inicial: FALHA em 24 de outubro 15:55:26 2018 EST

  Motivo da falha: Não foi possível processar sua solicitação no momento. Tente novamente

  Próxima tentativa de registro: 24 de outubro 16:12:15 2018 EST

Próximas etapas:

- Habilite as depurações conforme mencionado na seção 4 para obter mais informações sobre o problema, 

- Gere um novo token no CSSM no Smart Licensing e tente novamente. 

Cenário 3: Motivo da falha "A data do dispositivo 1526135268653 é deslocada para além do limite de tolerância permitido

Código de "show license all":

Registro:

  Status: REGISTRO - REGISTRO EM ANDAMENTO

  Funcionalidade controlada pela exportação: Não permitido

  Registro inicial: FALHA em 11 de novembro de 2017:55:46 EST

    Motivo da falha: {"timestamp":["A data do dispositivo '1526135268653' é deslocada para além do limite de tolerância permitido."]}

  Próxima tentativa de registro: 11 de novembro 18:12:17 2018 EST

Registros possíveis vistos:

%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: Falha na validação da cadeia de certificados.  O certificado (SN: XXXXXX) ainda não é válido. Período de validade inicia em 2018-12-12:43Z

Próximas etapas:

- Verifique se o relógio do dispositivo Cisco está mostrando a hora correta (show clock)

- Configure o Network Time Protocol (NTP), se possível, para garantir que o relógio esteja ajustado corretamente

- Se o NTP não for possível, verifique se o relógio (clock set) definido manualmente está correto (show clock) e configurado como fonte de tempo confiável, verificando se "clock calendário válido" está configurado

NOTA - Por padrão, o relógio do sistema não é confiável. "clock calendário válido" é obrigatório.

Cenário 4: Registro do switch "Motivo da falha: Transporte de comunicação não disponível."

Código de "show license all":

Registro: Status: NÃO REGISTRADO - FALHA NO REGISTRO

Funcionalidade controlada pela exportação: Não permitido

Registro inicial: FALHA em 09 de março 21:42:02 CST 2019

   Motivo da falha: Transporte de comunicação não disponível.

Registros possíveis vistos:

%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: Falha ao habilitar o call-home do Agente Inteligente para Licenciamento: O comando não conseguiu ativar o smart call home devido a um perfil de usuário ativo existente. Se você estiver usando um perfil de usuário diferente do "CiscoTAC-1" para enviar dados ao servidor SCH na Cisco, insira "reporting smart-license-data" no modo de perfil para configurar esse perfil para licenciamento inteligente. Para obter mais detalhes sobre o SCH, consulte o site http://www.cisco.com/go/smartcallhome
%SMART_LIC-3-AGENT_REG_FAILED: O Smart Agent para registro de licença com o Cisco Smart Software Manager ou satélite falhou: Transporte de comunicação não disponível.
%SMART_LIC-3-COMM_FAILED: Falha de comunicação com o Cisco Smart Software Manager ou satélite: Transporte de comunicação não disponível.

Próximas etapas:

- Verifique se o call-home está ativado com o "service call-home" na saída "show running-config" do dispositivo Cisco

- Verifique se o perfil correto de call-home está ativo

- Verifique se a opção "reportar dados de licenciamento inteligente" está configurada no perfil de call-home ativo

Cenário nº 5: Autorização de licença do switch "Motivo da falha: Não foi possível enviar a mensagem HTTP do Call Home."

Código de "show license all":

Autorização de licença:

  Status: FORA DE CONFORMIDADE em 26 de julho de 2009:24:09 2018 UTC

  Última tentativa de comunicação: FALHA em 2 de agosto, 14:26:23 UTC 2018

    Motivo da falha: Não foi possível enviar a mensagem HTTP do Call Home.

  Próxima tentativa de comunicação: 2 de agosto 14:26:53 2018 UTC

  Prazo da comunicação: 25 de outubro 09:21:38 2018 UTC

Registros possíveis são vistos:

%CALL_HOME-5-SL_MESSAGE_FAILED: Falha ao enviar mensagem de Smart Licensing para: https://<ip>/its/service/oddce/services/DDCEService (ERR 205 : Solicitação cancelada)

%SMART_LIC-3-COMM_FAILED:Falha nas comunicações com o Cisco Smart Software Manager ou satélite: Não foi possível enviar a mensagem HTTP do Call Home.

%SMART_LIC-3-AUTH_RENEW_FAILED:Renovação de autorização com o Cisco Smart Software Manager ou satélite: Erro de envio de mensagem de comunicação para o PID do UDI:XXX, SN: XXX

Próximas etapas:

- Verifique se o dispositivo Cisco pode executar ping tools.cisco.com

- se o DNS não estiver configurado, configure um servidor DNS ou uma instrução "ip host" para o nslookup IP local para tools.cisco.com

- Tente executar telnet do dispositivo Cisco para tools.cisco.com na porta TCP 443 (porta usada por HTTPS)

- Verifique se a interface de origem do cliente HTTPs está definida e correta

- Verifique se o URL/IP no perfil do call home está definido corretamente no dispositivo Cisco através do "show call-home profile all"

- Verifique se a rota ip está apontando para o próximo salto correto

- Verifique se a porta TCP 443 não está sendo bloqueada no dispositivo Cisco, no caminho para o Smart Call Home Server ou no Cisco Smart Software Manager no local (satélite)

- Certifique-se de que a instância correta do Virtual Routing and Forwarding (VRF) esteja configurada em call-home, se aplicável

Cenário 6: Motivo da falha "Falta campo de número de série do certificado de ID; Falta campo de número de série do certificado de assinatura; Os dados assinados e o certificado não correspondem" Log

Esse comportamento é observado ao trabalhar com um servidor no local CSSM que tenha seu certificado de criptografia expirado conforme documentado no CSCvr41393. Esse comportamento é esperado, pois o CSSM no local deve ter permissão para sincronizar e renovar seu certificado para evitar um problema de sincronização de certificação com qualquer dispositivo de registro.

Código de "show license all":

Registro:
  Status: NÃO REGISTRADO
  Conta inteligente: Exemplo de conta
  Funcionalidade controlada pela exportação: PERMITIDO

Autorização de licença:
 Status: MODO DE AVALIAÇÃO
 Período de avaliação restante: 65 dias, 18 horas, 43 minutos, 0 segundos

Registros possíveis vistos:

Em "show logging" ou "show license eventlog", o seguinte erro é exibido:
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Falta campo de número de série do certificado de ID; Falta campo de número de série do certificado de assinatura; Os dados assinados e o certificado não correspondem"

Próximas etapas:

- Verifique se o dispositivo Cisco tem conectividade IP com o servidor no local do CSSM
- Se estiver usando HTTPS, confirme se o C-Name da certificação está sendo usado na configuração do call-home dos dispositivos
- Se um servidor DNS não estiver disponível para resolver o C-Name da certificação, configure uma instrução "ip host" estática para mapear o nome de domínio e o endereço IP

- Verifique se o status do certificado no CSSM no local ainda é válido
- Se o certificado CSSM no local expirou, siga uma das soluções alternativas documentadas no CSCvr41393

NOTA - Por padrão, o HTTPS executará uma verificação de identidade do servidor durante o handshake SSL para verificar se o URL ou IP é o mesmo que o certificado fornecido do servidor. Isso pode causar problemas ao usar endereços IP em vez de uma entrada DNS se o nome do host e o IP não coincidirem. Se o DNS não for possível ou uma instrução de host ip estático, "no http secure server-identity-check" pode ser configurado para desativar essa verificação de certificação.

Cenário nº 7: Autorização de licença do switch "Motivo da falha: Aguardando resposta" 

Código de "show license all":

Autorização de licença:
 Status: FORA DE CONFORMIDADE em 26 de julho de 2009:24:09 2018 UTC
 Última tentativa de comunicação: PENDENTE em 20 de agosto 14:34:51 2018 UTC
  Motivo da falha: Aguardando resposta
 Próxima tentativa de comunicação: Ago 02 14:53:58 2018 UTC
 Prazo da comunicação: 25 de outubro 09:21:39 2018 UTC

Registros possíveis são vistos:

%PKI-3-CRL_FETCH_FAIL: Falha na busca de CRL para ponto confiável SLA-TrustPoint Motivo: Não foi possível selecionar o soquete. Timeout: 5 (A conexão expirou)
%PKI-3-CRL_FETCH_FAIL: Falha na busca de CRL para ponto confiável SLA-TrustPoint Motivo: Não foi possível selecionar o soquete. Timeout: 5 (A conexão expirou)

Próximas etapas:

- Para corrigir esse problema, o SLA-TrustPoint deve ser configurado como nenhum na configuração em execução

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revogação-verificação nenhum

O que é uma LCR?

Uma lista de revogação de certificado (CRL) é uma lista de certificados revogados. O CRL é criado e assinado digitalmente pela autoridade de certificação (AC) que originalmente emitiu os certificados. A CRL contém datas de emissão e expiração de cada certificado. Estão disponíveis aqui informações adicionais sobre o LCR.

Cenário nº 8: Licença no status "FORA DE CONFORMIDADE"

Código de "show license all":

Autorização de licença:
 Status: FORA DE CONFORMIDADE em 26 de julho de 2009:24:09 2018 UTC
 Última tentativa de comunicação: PENDENTE em 20 de agosto 14:34:51 2018 UTC
  Motivo da falha: Aguardando resposta
 Próxima tentativa de comunicação: Ago 02 14:53:58 2018 UTC
 Prazo da comunicação: 25 de outubro 09:21:39 2018 UTC

Registros possíveis são vistos:

%SMART_LIC-3-OUT_OF_COMPLIANCE: Um ou mais direitos estão fora de conformidade

Próximas etapas:

- Verifique se o token da Smart Virtual Account foi usado, 

- Verifique a quantidade de licenças disponíveis aqui.

Cenário nº 9: Autorização de licença do switch "Motivo da falha: Os dados e a assinatura não correspondem "

Código de "show license all":

Autorização de licença:

 Status: AUTORIZADO em 12 de março 09:17:45 2020 EDT

 Última tentativa de comunicação: FALHA em 12 de março, 09:17:45, 2020 EDT

  Motivo da falha: Os dados e a assinatura não correspondem

 Próxima tentativa de comunicação: 12 de março 09:18:15 2020 EDT

 Prazo da comunicação: 09 de maio 21:22:43 2020 EDT

Registros possíveis são vistos:

%SMART_LIC-3-AUTH_RENEW_FAILED: Renovação de autorização com o Cisco Smart Software Manager (CSSM): Erro recebido do Smart Software Manager: Os dados e a assinatura não coincidem com o PID do ID:C9000,SN:XXXXXXXXX

Próximas etapas:

- Cancele o registro do switch com o "registro inteligente de licença"

- Em seguida, registre o switch usando um novo token com "license smart register idtoken <TOKEN> force"

6. Referências

1) Página inicial do Cisco Smart Licensing

2) Comunidade Cisco - Treinamentos sob demanda.

3) Smart Account - portal de gerenciamento: Smart Software Licensing

4) Conta inteligente - criar novas contas: Contas inteligentes

5) Guia de configuração (exemplo) - Guia de configuração de gerenciamento de sistema, Cisco IOS XE Fuji 16.9.x (Switches Catalyst 9300)