Solucionar problemas do Smart Licensing em plataformas Catalyst
Contents
Introduction
Este documento descreve como trabalhar com o Cisco Smart Licensing (sistema baseado em nuvem) para gerenciar licenças de software em switches Catalyst.
O que é Smart Licensing?
O Cisco Smart Licensing é um sistema de gerenciamento de licenças unificado em nuvem, que gerencia todas as licenças de software nos produtos da Cisco. Ele permite que os clientes comprem, implantem, gerenciem, rastreiem e renovem as licenças de software da Cisco. Também fornece informações sobre propriedade e consumo de licença por meio de uma única interface do usuário
A solução consiste em Smart Accounts on-line (no Cisco Smart Licensing Portal) usadas para rastrear ativos de software da Cisco e o Cisco Smart Software Manager (CSSM), que é usado para gerenciar as Smart Accounts. No CSSM, podem ser realizadas todas as tarefas relacionadas ao gerenciamento de licenciamento, como registro, cancelamento de registro, movimentação e transferência de licenças. Os usuários podem ser adicionados e receber acesso e permissões para a Smart Account e Virtual Accounts específicas.
Para saber mais sobre o Cisco Smart Licensing, acesse:
a) Página inicial do Cisco Smart Licensing
b) Comunidade Cisco - Treinamento sob demanda
Para obter mais informações sobre o novo Smart Licensing usando o método de Política no Cisco IOS® XE 17.3.2 e posterior, visite Smart Licensing usando a Política em Switches Catalyst
Novidade na administração de Smart Licensing e/ou Smart Account? Visite e inscreva-se no novo curso de treinamento e gravação do administrador:
Comunidade Cisco - Consiga Smart Accounts/Smart Licensing da Cisco e Minhas qualificações da Cisco
As Smart Accounts podem ser criadas aqui: Smart Accounts
As Smart Accounts podem ser gerenciadas aqui: Smart Software Licensing
Métodos de implementação do Smart Licensing
Há vários métodos de implantação do Cisco Smart Licensing que podem ser utilizados dependendo do perfil de segurança de uma empresa, como:
Acesso direto à nuvem
Os produtos da Cisco enviam informações de uso diretamente pela Internet com segurança usando HTTPS. Nenhum componente adicional é necessário.
Acesso por meio de um proxy HTTPS
Os produtos da Cisco enviam informações de uso por meio de um servidor proxy HTTP usando HTTPS. Um servidor proxy existente pode ser usado ou ele pode ser implantado pelo Transport Gateway da Cisco. (clique aqui para obter algumas informações adicionais).
Servidor de licença no local (também conhecido como satélite Cisco Smart Software Manager)
Os produtos da Cisco enviam informações de uso para um servidor local, em vez de enviar diretamente pela Internet. Uma vez ao mês, o servidor acessa a Internet para todos os dispositivos via HTTPS ou pode ser transferido manualmente para sincronizar o banco de dados. O CSSM no local (satélite) está disponível como máquina virtual (VM) e pode ser baixado aqui. Para obter mais informações, acesse a página Satélite do Smart Software Manager.
Plataformas Cisco IOS XE suportadas
- A partir da versão 16.9.1 do Cisco IOS XE, as plataformas dos switches das séries Catalyst 3650/3850 e Catalyst 9000 suportam o método Cisco Smart Licensing como o único método de licenciamento.
- A partir da versão 16.10.1 do Cisco IOS XE, plataformas de roteador como ASR1K, ISR1K, ISR4K e roteadores virtuais (CSRv / ISRv) suportam o método Cisco Smart Licensing como o único método de licenciamento.
Migration from Legacy Licenses to Smart Licenses
Existem dois métodos de conversão de licenças antigas, como direito de uso (RTU) ou chave de ativação do produto (PAK) para uma Smart License. Para obter detalhes sobre qual método precisa ser seguido, consulte as notas de versão relevantes e/ou o guia de configuração do dispositivo da Cisco específico.
Conversão por meio da DLC (Device Led Conversion)
- A Device Led Conversion (DLC) é um método único em que o produto da Cisco pode relatar quais licenças está usando e as licenças são automaticamente depositadas na Smart Account correspondente, no Cisco Smart Software Manager (CSSM). O procedimento de DLC é realizado diretamente na interface de linha de comando (CLI) do dispositivo da Cisco específico.
- O processo de DLC é compatível apenas com o Catalyst 3650/3850 e as plataformas de roteador selecionadas. Para modelos de roteador específicos, consulte o guia de configuração e as notas de versão de cada plataforma. Exemplo:procedimento de DLC do Catalyst 3850 com as versões Fuji 16.9.x.
Convertendo através de Cisco Smart Software Manager (CSSM) ou Portal de registro de licença (LRP)
Método do Cisco Smart Software Manager (CSSM):
1. Faça login no Cisco Smart Software Manager (CSSM) em https://software.cisco.com/
2. Navegue até Smart Software Licensing > Converter em Smart Licensing
3. Selecione Converter PAK ou Converter licenças
4. Localize a licença na tabela abaixo, se estiver convertendo a licença PAK. Se estiver convertendo uma licença que não seja PAK, use o "Assistente de conversão de licenças" para obter as instruções passo a passo.
Local dos arquivos PAK conhecidos associados à conta:
Local do link "Assistente de conversão de licenças":
5. Localize a combinação desejada de licença e produto
6. Clique em (em Ações): Converter em Smart Licensing
7. Selecione a Virtual Account e a licença desejadas e clique em Avançar.
8. Revise as seleções e clique em Converter licenças
Método do Portal de Registro de Licenças (LRP - License Registration Portal):
1. Faça login no Portal de registro de licença (LRP) http://tools.cisco.com/SWIFT/LicensingUI/Home
2. Navegue até Dispositivos > Adicionar dispositivos
3. Insira a ID do produto e o número de série da família de produtos e do identificador de dispositivo exclusivo (UDI) apropriados e clique em Ok. As informações de UDI podem ser obtidas de "show version" ou "show inventário" extraídas da interface de linha de comando (CLI) do dispositivo Cisco
4. Escolha o dispositivo adicionado e converta licenças em Smart Licensing
5. Atribuir à Virtual Account correta, selecione licenças para converter e enviar
Conversão por meio do contato com o departamento de Global Licensing Operations (GLO) da Cisco
O departamento de Global Licensing Operations pode ser contatado aqui em nossos contact centers em todo o mundo.
Alteração de comportamento de alto desempenho do Catalyst 9500 da versão 16.9 para a 16.12.3
Como outros modelos do Catalyst 9000, os modelos de alto desempenho do Catalyst 9500 foram habilitados com Smart Licensing no trem Cisco IOS XE versão 16.9 e posteriores. Para os modelos de alto desempenho Catalyst 9500, no entanto, cada modelo tinha sua própria marca de qualificação de licença específica. Posteriormente, as equipes de produto e de marketing decidiram unificar as marcas de qualificação das plataformas C9500. Essa decisão alterou o comportamento dos modelos de alto desempenho C9500, que deixaram de usar marcas de qualificação específicas para usar licenças genéricas do C9500.
Essa mudança de comportamento está documentada nos seguintes defeitos:
Veja abaixo o antes e depois das alterações de licença mencionadas acima para os modelos de alto desempenho C9500:
Cisco IOS XE versão 16.11.x e anterior
Cada modelo de alto desempenho C9600 tem suas próprias marcas de qualificação:
| Modelo | Licença |
| C9500-32C | C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage |
| C9500-32QC | C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage |
| C9500-24Y4C | C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage |
| C9500-48Y4C | C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage |
Cisco IOS XE versão 16.12.3 e posterior
Agora as plataformas de alto desempenho Catalyst 9500 usarão marcas de licença de rede genéricas e marcas de licença DNA separadas. Esta tabela mostra as alterações de direitos destacadas no Cisco IOS XE versão 16.12.3 e posterior:
| Modelo | Licença |
| C9500-32C | C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage |
| C9500-32QC | C9500 Network Essentials C9500 Network Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage |
| C9500-24Y4C | C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage |
| C9500-48Y4C | C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage |
Perguntas frequentes sobre alteração de alto desempenho do C9500
1. Por que o suporte da Cisco aloca uma licença de rede genérica, quando meu dispositivo está consumindo uma licença de rede específica do dispositivo?
As marcas genéricas são fornecidas porque são as marcas de qualificação corretas para o dispositivo de rede. Isso permite o uso das marcas de qualificação em toda a plataforma Cat9500, não apenas nos modelos específicos de alto desempenho C9500. As imagens anteriores à 16.12.3 que solicitam etiquetas de licença específicas do dispositivo estão em conformidade com as etiquetas de licença genérica, uma vez que as licenças mais específicas se enquadram nas licenças genéricas na hierarquia de licenciamento.
2. Por que às vezes duas marcas de rede aparecem na Smart Account?
Esse comportamento se dá devido à hierarquia de licenciamento e ocorre quando o dispositivo está sendo executado em uma imagem mais antiga, que utiliza marcas de licenciamento específicas do dispositivo. As imagens mais antigas que solicitam marcas de licença específicas do dispositivo estão em conformidade com as marcas de licença genéricas, pois as marcas mais específicas se enquadram nas licenças genéricas na hierarquia de licenciamento.
Configuração
Configuração básica
O procedimento exato para configurar o Smart Licensing pode ser encontrado no guia de configuração de gerenciamento do sistema disponível para cada versão/plataforma.
Por exemplo: guia de configuração de gerenciamento do sistema, Cisco IOS XE Fuji 16.9.x (switches Catalyst 9300)
Token de registro/Token de ID do dispositivo
Antes de registrar o dispositivo, o token precisa ser gerado. O token de registro, também conhecido como token de identificação do dispositivo, é um token exclusivo gerado a partir do portal de licenciamento inteligente ou do Cisco Smart Software Manager no local ao registrar inicialmente um dispositivo Cisco na Smart Account correspondente. Um token individual pode ser usado para registrar vários dispositivos da Cisco, dependendo dos parâmetros usados durante a criação.
O token de registro também é necessário apenas durante o registro inicial de um dispositivo da Cisco, pois fornece as informações para que o dispositivo ligue para o back-end da Cisco e seja vinculado à Smart Account correta. Depois que o dispositivo da Cisco for registrado, o token não será mais necessário.
Para obter mais informações sobre tokens de registro e como eles são gerados, clique aqui para obter um guia geral. Para obter mais detalhes, consulte o guia de configuração do dispositivo da Cisco específico.
Estados de registro e de licença
Durante a implantação e configuração do Smart Licensing, há vários estados possíveis em que um dispositivo da Cisco pode estar. Esses estados podem ser exibidos observando os comandos show license all ou show license status na interface de linha de comando (CLI) do dispositivo da Cisco.
Veja abaixo uma lista de todos os estados e seus significados:
- Estado de avaliação (não identificado)
- Este é um estado padrão do dispositivo quando inicializado pela primeira vez.
- Normalmente, esse estado é visto quando um dispositivo da Cisco ainda não foi configurado para Smart Licensing ou registrado em uma Smart Account.
- Nesse estado, todos os recursos estão disponíveis e o dispositivo pode alterar livremente os níveis de licença.
- O período de avaliação é usado quando o dispositivo está no estado não identificado. O dispositivo não tentará se comunicar com a Cisco nesse estado.
- Serão 90 dias de uso e não 90 dias de calendário. Uma vez expirado, nunca mais será redefinido.
- Existe um período de avaliação para o dispositivo inteiro, que não é por qualificação
- Quando o período de avaliação expira ao final de 90 dias, o dispositivo entra no modo EVAL EXPIRY, no entanto, não há impacto funcional ou interrupção na funcionalidade, mesmo após o recarregamento. No momento, a aplicação não foi estabelecida.
- O tempo de contagem regressiva é mantido entre as reinicializações.
- O período de avaliação será usado se o dispositivo ainda não tiver sido registrado na Cisco e não tiver recebido as duas mensagens a seguir do back-end da Cisco:
- Resposta com sucesso a uma solicitação de registro
- Resposta com sucesso a uma solicitação de autorização de qualificação.
- Estado registrado
- Este é o estado esperado após a conclusão do registro com sucesso.
- O dispositivo da Cisco conseguiu se comunicar com uma Cisco Smart Account e se registrar com sucesso.
- O dispositivo recebe um certificado de ID válido por 1 ano, que será usado para comunicações futuras
- O dispositivo enviará uma solicitação ao CSSM para autorizar as qualificações das licenças em uso no dispositivo
- Dependendo da resposta do CSSM, o dispositivo entrará em Autorizado ou Fora de conformidade
- O certificado de ID expira ao final de um ano. Após 6 meses, o processo do agente de software tentará renovar o certificado. Se o agente não puder se comunicar com o Cisco Smart Software Manager, ele continuará tentando renovar o certificado de ID até a data de vencimento (1 ano). Ao final de um ano, o agente voltará ao estado Não identificado e tentará ativar o período de Avaliação. O CSSM removerá a instância do produto do banco de dados.
- Estado Autorizado
- Este é o estado esperado quando o dispositivo está usando uma qualificação e está em conformidade (sem saldo negativo),
- A Virtual Account no CSSM tinha o tipo e o número corretos de licenças para autorizar o consumo das licenças do dispositivo
- Ao final de 30 dias, o dispositivo enviará uma nova solicitação ao CSSM para renovar a autorização.
- Tem um intervalo de tempo de 90 dias após o qual (se não for renovado com sucesso) é movido para o estado de Autorização expirada.
- Estado Fora de conformidade
- Este é o estado quando o dispositivo está usando uma qualificação e não está em conformidade (saldo negativo),
- Esse estado é observado quando o dispositivo não tem uma licença disponível na Virtual Account correspondente na qual o dispositivo da Cisco está registrado na Cisco Smart Account.
- Para entrar no estado de Conformidade/Autorizado, um cliente deve adicionar o número e o tipo corretos de licenças à Smart Account
- Quando está nesse estado, o dispositivo envia automaticamente uma solicitação de renovação de autorização todos os dias
- As licenças e os recursos continuarão a operar e não haverá impacto funcional
- Estado de Autorização expirada
- Este é o estado em que o dispositivo está usando uma qualificação e não consegue se comunicar com a Cisco Smart Account associada há mais de 90 dias.
- Normalmente ele é visto se o dispositivo da Cisco perder o acesso à Internet ou não puder se conectar ao tools.cisco.com após o registro inicial.
- Os métodos on-line de Smart Licensing exigem que os dispositivos da Cisco se comuniquem, no mínimo, a cada 90 dias para evitar esse status.
- O CSSM retornará todas as licenças em uso deste dispositivo para o pool, pois ele não tem comunicação há 90 dias
- Enquanto estiver nesse estado, o dispositivo continuará tentando entrar em contato com a Cisco, a cada hora, para renovar a autorização de qualificação, até que o período de registro (certificado de ID) expire
- Se o agente de software restabelecer as comunicações com a Cisco e receber a solicitação de autorização, ele processará essa resposta normalmente e entrará em um dos estados estabelecidos
Considerações e avisos
- A partir da versão 16.9.1 para switches e da 16.10.1 para roteadores, um perfil de call-home padrão denominado "CiscoTAC-1" é gerado para ajudar na migração para o Smart Licensing. Por padrão, esse perfil é configurado para o método de acesso direto à nuvem.
#show call-home profile CiscoTAC-1 Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default <snip>
- Ao utilizar um servidor Cisco Smart Software Manager no local, o endereço de destino na configuração ativa do call-home deve apontar para ele (diferencia maiúsculas de minúsculas!):
(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler
- O DNS é necessário para resolver tools.cisco.com. Se a conectividade do servidor DNS estiver em um VRF, certifique-se de que a interface de origem e o VRF adequados estejam definidos no seguinte:
Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>
VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>] <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>
Como alternativa, se o DNS não estiver disponível, configure estaticamente o DNS local para o mapeamento de IP (com base na resolução de DNS local no dispositivo final) ou substitua o nome DNS na configuração de call-home pelo endereço IP. Consulte o exemplo para acesso direto à nuvem (para o Cisco Smart Software Manager no local use seu próprio nome DNS em vez de tools.cisco.com):
(config)#ip host tools.cisco.com <x.x.x.x>
- Se a comunicação com o tools.cisco.com precisar ser originada da interface em um VRF específico (por exemplo, Mgmt-vrf), será necessário configurar a seguinte CLI:
(config)#ip http client source-interface <VRF_INTERFACE>
- Um número diferente de licenças pode ser consumido, dependendo da configuração do dispositivo da Cisco, como com os Catalyst switches em execução no StackWise ou no StackWise Virtual:
Switches com suporte tradicional do Stack-Wise (por exemplo, Catalyst 9300 Series):
Network License: 1 license is consumed per switch in the stack
Licença de DNA: 1 license is consumed per switch in the stack
Chassi modular (por exemplo, Catalyst 9400 Series):
Network License: 1 licença é consumida por supervisor no chassi
Licença de DNA: 1 licença é consumida por chassi
Switches com suporte fixo do Stack-Wise Virtual (por exemplo, Catalyst 9500 Series):
Network License: 1 license is consumed per switch in the stack
Licença de DNA: 1 license is consumed per switch in the stack
- Apenas um perfil de call-home pode estar ativo para o Smart Licensing.
- As licenças só serão consumidas se um recurso correspondente estiver configurado.
- Os dispositivos da Cisco configurados para o Smart Licensing precisam ser configurados com a data e a hora corretas do sistema, para garantir que sejam sincronizados corretamente com a Cisco Smart Account correspondente. Se a diferença de tempo do dispositivo da Cisco for muito grande, o dispositivo pode não ser registrado. O relógio precisará ser definido ou configurado manualmente por meio de um protocolo de tempo, como o Network Time Protocol (NTP) ou o Precision Time Protocol (PTP). Para obter as etapas exatas necessárias para implementar essas alterações, consulte o guia de configuração do dispositivo da Cisco específico.
- A chave de infraestrutura de chaves públicas (PKI) gerada durante o registro do dispositivo da Cisco precisa ser salva, se não houver salvamento automático após o registro. Se o dispositivo não salvar a chave PKI, um syslog será gerado informando para salvar a configuração usando “copy running-config startup-config” ou “write memory”.
- Se a chave PKI do dispositivo da Cisco não for salva corretamente, o estado da licença poderá se perder em failovers ou recarregamentos.
- O Smart Licensing não oferece suporte à interceptação de certificado SSL do proxy HTTPS por padrão, ao usar proxies de terceiros para o método de proxy HTTPS. Para oferecer suporte a esse recurso, você pode desativar a interceptação SSL no proxy ou importar manualmente a certificação enviada pelo proxy.
How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint.
The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.
Device#conf t
Device(config)#crypto pki trustpoint LicRoot
Device(ca-trustpoint)#enrollment terminal
Device(ca-trustpoint)#revocation-check none
Device(ca-trustpoint)#exit
Device(config)#crypto pki authenticate LicRoot
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: XXXXXXXX
Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
- Ao usar o proxy HTTP de Transport Gateway, o endereço IP precisa ser alterado em tools.cisco.com para o proxy da seguinte forma:
endereço de destino https:// tools.cisco.com/its/service/oddce/services/DDCEService
PARA
endereço de destino http https:// <TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler - O endereço IP do Transport Gateway pode ser encontrado navegando até as Configurações de HTTP e procurando nos URLs de serviço HTTP na GUI do Cisco Transport Gateway.
- Para obter mais informações, consulte o seguinte guia de configuração para o Cisco Transport Gateway aqui.
Troubleshooting
Ao migrar um dispositivo da Cisco para uma versão de software habilitada para Smart Licensing, o fluxograma a seguir pode ser usado como um guia geral para todos os três métodos (Direct Cloud Access, HTTPS Proxy e Cisco Smart Software Manager On-loco).
Dispositivo atualizado ou enviado com versão de software que suporta Smart Licensing (consulte a seção 1.3 para obter a lista de versões suportadas do Cisco IOS XE).
Veja abaixo as etapas de solução de problemas que se concentram principalmente em uma situação em que o "dispositivo não é registrado".
O dispositivo não registra
Após a configuração inicial, para habilitar o Smart Licensing, o Token, que é gerado no CSSM / Cisco Smart Software Manager no local, precisa ser registrado no dispositivo via CLI:
license smart register idtoken <TOKEN>
Isso deve gerar os seguintes eventos:
! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result !
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine %PKI-4-NOCONFIGAUTOSAVE: Configuration was modified. Issue "write memory" to save new IOS PKI configuration !
! Call-home start registration process
! %CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. !
! Smart Licensing process connects with CSSM and check entitlement.
! %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed %SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> %SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved %SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized %SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>
Para verificar a configuração de call-home, execute a seguinte CLI:
#show call-home profile all
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
Periodic configuration info message is scheduled every 1 day of the month at 09:15
Periodic inventory info message is scheduled every 1 day of the month at 09:00
Alert-group Severity
------------------------ ------------
crash debug
diagnostic minor
environment warning
inventory normal
Syslog-Pattern Severity
------------------------ ------------
APF-.-WLC_.* warning
.* major
Para verificar o status do Smart Licensing, execute a seguinte CLI:
#show license summary Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: Krakow LAN-SW Export-Controlled Functionality: ALLOWED Last Renewal Attempt: None Next Renewal Attempt: Nov 22 21:24:32 2019 UTC License Authorization: Status: AUTHORIZED Last Communication Attempt: SUCCEEDED Next Communication Attempt: Jun 25 21:24:37 2019 UTC License Usage: License Entitlement tag Count Status ----------------------------------------------------------------------------- C9500 Network Advantage (C9500 Network Advantage) 1 AUTHORIZED C9500-DNA-40X-A (C9500-40X DNA Advantage) 1 AUTHORIZED
Se o dispositivo não conseguir se registrar (e se o Status for diferente de REGISTRADO), os pontos fora de conformidade para um problema no CSSM, como a falta de licença na Smart Virtual Account, o mapeamento incorreto (por exemplo, um token de uma conta virtual diferente foi usado quando as licenças não estão disponíveis) e assim por diante. Verifique estes itens:
1. Verifique as configurações e as situações comuns de falha
Consulte a seção 2.1 para obter as etapas de configuração básica. Consulte também a seção 5 para obter as situações comuns de falha observadas no campo.
2. Verifique a conectividade básica
Verifique se o dispositivo pode acessar (e abrir a porta TCP) a tools.cisco.com (no caso de acesso direto) ou ao servidor local do Cisco Smart Software Manager:
#show run all | in destination address http destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService ! ! check connectivity ! #telnet tools.cisco.com 443 /source-interface gi0/0 Trying tools.cisco.com (x.x.x.x, 443)... Open [Connection to tools.cisco.com closed by foreign host]
Caso o procedimento acima não funcione, verifique as regras de roteamento, a interface de origem e as configurações de firewall.
Observe que o HTTP (TCP/80) está sendo preterido e se o protocolo recomendado é HTTPS (TCP/443).
Consulte a seção: "3. Considerações e avisos neste documento para obter mais diretrizes sobre como configurar detalhes de DNS e HTTP.
3. Verifique as configurações da Smart License
Colete a saída de:
#show tech-support license
e valide a configuração/registros coletados (atribua essa saída se decidir abrir o caso do Cisco TAC para investigação adicional).
4. Ativar depurações
Ative as seguintes depurações para coletar informações adicionais sobre o processo de Smart Licensing (observe que, após a ativação de depurações, você precisa tentar registrar a licença novamente usando a CLI mencionada no ponto 4.1):
#debug call-home smart-licensing [all | trace | error] #debug ip http client [all | api | cache | error | main | msg | socket]
Para depurações internas, ative e leia os rastreamentos binários:
! enable debug #set platform software trace ios [switch] active R0 infra-sl debug ! ! read binary traces infra-sl process logs #show platform software trace message ios [switch] active R0
Cenários comuns de falha
Veja a seguir algumas situações comuns de falha que podem ocorrer durante ou após um registro de dispositivo da Cisco:
Situação no. 1: Registro do switch "Motivo da falha: Produto já registrado"
Corte de "show license all":
Registro:
Status: NÃO REGISTRADO – FALHA NO REGISTRO
Funcionalidade controlada por exportação: NotAllowed
Registro inicial: FALHA em 22 out 14:25:31 2018 EST
Motivo da falha: Produto já registrado
Next Registration Attempt: 22 out 14:45:34 2018 EST
Próximas etapas:
- O dispositivo da Cisco precisará ser registrado novamente.
- Se o dispositivo da Cisco for visto no Cisco Smart Software Manager (CSSM), o parâmetro "force" precisará ser usado (por exemplo, "license smart register idtoken <TOKEN> force")
Situação no. 2: Registro do switch "Motivo da falha: Não é possível processar a solicitação no momento. Tente novamente"
Corte de "show license all":
Registro:
Status: REGISTRO – REGISTRO EM ANDAMENTO
Funcionalidade controlada por exportação: NotAllowed
Registro inicial: FALHA em 24 out 15:55:26 2018 EST
Motivo da falha: Não é possível processar a solicitação no momento. Tente novamente
Next Registration Attempt: 24 out 16:12:15 2018 EST
Próximas etapas:
- Ative as depurações, conforme mencionado na seção 4 para obter mais informações sobre o problema,
- Gere um novo token no CSSM no Smart Licensing e tente novamente.
Situação no. 3: Motivo da falha "A data do dispositivo 1526135268653 foi deslocada além do limite de tolerância permitido
Corte de "show license all":
Registro:
Status: REGISTRO – REGISTRO EM ANDAMENTO
Funcionalidade controlada por exportação: NotAllowed
Registro inicial: FALHA em 11 de novembro de 2017:55:46 EST
Motivo da falha: {"timestamp":["A data do dispositivo '1526135268653' é deslocada para além do limite de tolerância permitido."]}
Next Registration Attempt: 11 nov 18:12:17 2018 EST
Possíveis registros vistos:
%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: Falha na validação da cadeia de certificado. O certificado (SN: XXXXXX) ainda não é válido. O período de validade começa em 12-12-2018:43Z
Próximas etapas:
- Verifique se o relógio do dispositivo da Cisco está mostrando a hora correta (show clock)
- Configure o Network Time Protocol (NTP), se possível, para garantir que o relógio seja definido corretamente
- Se o NTP não for possível, verifique se o ajuste manual do relógio (clock set) está correto (show clock) e configurado como uma fonte de hora confiável, verificando se "clock calendar-valid" foi configurado
Situação no. 4: Registro do switch "Motivo da falha: Transporte de comunicação indisponível."
Corte de "show license all":
Registro: Status: NÃO REGISTRADO – FALHA NO REGISTRO
Funcionalidade controlada por exportação: Não permitido
Registro inicial: FALHA em 09 mar 21:42:02 2019 CST
Motivo da falha: Transporte de comunicação indisponível.
Possíveis registros vistos:
%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: Falha ao ativar o call-home do Smart Agent for Licensing: O comando não ativou o Smart Call Home devido a um perfil de usuário ativo atual. Se você estiver usando um perfil de usuário diferente do perfil "CiscoTAC-1" para enviar dados ao servidor SCH na Cisco, digite "reporting smart-licenseing data" no modo de perfil para configurar esse perfil para o Smart Licensing. Para obter mais detalhes sobre o SCH, acesse http://www.cisco.com/go/smartcallhome
%SMART_LIC-3-AGENT_REG_FAILED: Falha no registro do Smart Agent for Licensing no Cisco Smart Software Manager ou satélite: Transporte de comunicação indisponível.
%SMART_LIC-3-COMM_FAILED: Falha de comunicação com o Cisco Smart Software Manager ou satélite: Transporte de comunicação indisponível.
Próximas etapas:
- Verifique se o call-home foi ativado com "service call-home" na saída "show running-config" do dispositivo da Cisco
- Verifique se o perfil de call-home correto está ativo
- Verifique se "reporting smart-licenseing-data" foi configurado no perfil de call-home ativo
Situação no. 5: Autorização de licença do switch "Motivo da falha: Falha ao enviar mensagem HTTP do Call Home."
Corte de "show license all":
Autorização de licença:
Status: FORA DE CONFORMIDADE em 26 jul 09:24:09 2018 UTC
Last Communication Attempt: FALHA em 02 ago 14:26:23 2018 UTC
Motivo da falha: Falha ao enviar mensagem HTTP do Call Home.
Próxima tentativa de comunicação: 02 ago 14:26:53 2018 UTC
Communication Deadline: 25 out 09:21:38 2018 UTC
Os possíveis registros são vistos:
%CALL_HOME-5-SL_MESSAGE_FAILED: Falha ao enviar mensagem de Smart Licensing para: https://<ip>/its/service/oddce/services/DDCEService (ERR 205 : Solicitação cancelada)
%SMART_LIC-3-COMM_FAILED: falha de comunicação com o Cisco Smart Software Manager ou satélite: Falha ao enviar mensagem HTTP do Call Home.
%SMART_LIC-3-AUTH_RENEW_FAILED: renovação de autorização com o Cisco Smart Software Manager ou satélite: Erro de envio de mensagem de comunicação para udi PID:XXX, SN: XXX
Próximas etapas:
- Verifique se o dispositivo Cisco pode executar ping em tools.cisco.com
- se o DNS não estiver configurado, configure um servidor DNS ou uma instrução "ip host" para o IP nslookup local para tools.cisco.com
- Tentativa de telnet do dispositivo da Cisco para o tools.cisco.com na porta TCP 443 (porta usada por HTTPS)
- Verifique se a interface de origem do cliente HTTPs está definida e correta
- Verifique se o URL/IP no perfil de call home foi definido corretamente no dispositivo da Cisco usando "show call-home profile all"
- Verifique se o ip route está apontando para o próximo salto correto
- Verifique se a porta TCP 443 não está sendo bloqueada no dispositivo Cisco, no caminho para o Smart Call Home Server ou no Cisco Smart Software Manager no local (satélite)
- Certifique-se de que a instância correta do Virtual Routing and Forwarding (VRF) esteja configurada em call-home, se aplicável
Situação no. 6: Motivo da falha "Falta campo de número de série do certificado de ID; Falta campo de número de série do certificado de assinatura; Os dados assinados e o certificado não correspondem" Log
Esse comportamento é observado ao trabalhar com um servidor no local CSSM que tenha seu certificado de criptografia expirado conforme documentado na ID de bug Cisco CSCvr41393. Esse comportamento é esperado, pois o CSSM no local deve ter permissão para sincronizar e renovar seu certificado para evitar um problema de sincronização de certificação com qualquer dispositivo de registro.
Corte de "show license all":
Registro:
Status: NÃO REGISTRADO
Conta inteligente: Exemplo de conta
Funcionalidade controlada por exportação: PERMITIDO
Autorização de licença:
Status: MODO DE AVALIAÇÃO
Período de avaliação restante: 65 dias, 18 horas, 43 minutos, 0 segundos
Possíveis registros vistos:
Em "show logging" ou "show license eventlog", o seguinte erro é exibido:
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Falta campo de número de série do certificado de ID; Falta campo de número de série do certificado de assinatura; Os dados assinados e o certificado não correspondem"
Próximas etapas:
- Verifique se o dispositivo Cisco tem conectividade IP com o servidor no local do CSSM
- Se estiver usando HTTPS, confirme se o C-Name da certificação está sendo usado na configuração do call-home dos dispositivos
- Se um servidor DNS não estiver disponível para resolver o C-Name da certificação, configure uma instrução "ip host" estática para mapear o nome de domínio e o endereço IP
- Verifique se o status do certificado no CSSM no local ainda é válido
- Se o certificado no local do CSSM tiver expirado, siga uma das alternativas documentadas na ID de bug da Cisco CSCvr41393
Situação no. 7: Autorização de licença do switch "Motivo da falha: Aguardando resposta"
Corte de "show license all":
Autorização de licença:
Status: FORA DE CONFORMIDADE em 26 jul 09:24:09 2018 UTC
Last Communication Attempt: PENDENTE em 02 ago 14:34:51 2018 UTC
Motivo da falha: Aguardando resposta
Próxima tentativa de comunicação: 02 ago 14:53:58 2018 UTC
Communication Deadline: 25 out 09:21:39 2018 UTC
Os possíveis registros são vistos:
%PKI-3-CRL_FETCH_FAIL: Falha ao buscar CRL do ponto confiável SLA-TrustPoint Motivo: Failed to select socket. tempo limite: 5 (Tempo limite da conexão atingido)
%PKI-3-CRL_FETCH_FAIL: Falha ao buscar CRL do ponto confiável SLA-TrustPoint Motivo: Failed to select socket. tempo limite: 5 (Tempo limite da conexão atingido)
Próximas etapas:
- Para corrigir esse problema, o SLA-TrustPoint deve ser configurado como none na configuração em execução
show running-config
<omitted>
crypto pki trustpoint SLA-TrustPoint
revocation-check none
O que é CRL?
Lista de revogação de certificado (CRL) é uma lista de certificados revogados. A CRL é criada e assinada digitalmente pela autoridade de certificação (CA) que emitiu originalmente os certificados. A CRL contém as datas de quando cada certificado foi emitido e quando ele expira. Mais informações sobre CRL estão disponíveis aqui.
Situação no. 8: Licença no status "FORA DE CONFORMIDADE"
Corte de "show license all":
Autorização de licença:
Status: FORA DE CONFORMIDADE em 26 jul 09:24:09 2018 UTC
Last Communication Attempt: PENDENTE em 02 ago 14:34:51 2018 UTC
Motivo da falha: Aguardando resposta
Próxima tentativa de comunicação: 02 ago 14:53:58 2018 UTC
Communication Deadline: 25 out 09:21:39 2018 UTC
Os possíveis registros são vistos:
%SMART_LIC-3-OUT_OF_COMPLIANCE: Uma ou mais qualificações estão fora de conformidade
Próximas etapas:
- Verifique se o Token da Smart Virtual Account correta foi usado,
- Verifique a quantidade de licenças disponíveis aqui.
Situação no. 9: Autorização de licença do switch "Motivo da falha: Os dados e a assinatura não correspondem"
Corte de "show license all":
Autorização de licença:
Status: AUTORIZADO em 12 mar 09:17:45 2020 EDT
Last Communication Attempt: FALHA em 12 mar 09:17:45 2020 EDT
Motivo da falha: Os dados e a assinatura não correspondem
Próxima tentativa de comunicação: 12 mar 09:18:15 2020 EDT
Communication Deadline: 09 mai 21:22:43 2020 EDT
Os possíveis registros são vistos:
%SMART_LIC-3-AUTH_RENEW_FAILED: Renovação de autorização com o Cisco Smart Software Manager (CSSM): Erro recebido do Smart Software Manager: Os dados e a assinatura não correspondem para udi PID:C9000,SN:XXXXXXXXXXX
Próximas etapas:
- Cancele o registro do switch com o "license smart deregister"
- Em seguida, registre o switch usando um novo token com "license smart register idtoken <TOKEN> force"
Referências
1) Página inicial do Cisco Smart Licensing
2) Comunidade da Cisco – Treinamento sob demanda.
3) Smart Account – portal de gerenciamento: Smart Software Licensing
4) Smart Account – criar novas contas: Smart Accounts
5) Guia de configuração (exemplo) – Guia de configuração de gerenciamento do sistema, Cisco IOS XE Fuji 16.9.x (Switches Catalyst 9300)
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
11-May-2022 |
Editado o título. Números da seção removidos. Alterados alguns endereços IP para usar o texto do espaço reservado ("x.x.x.x"). |
1.0 |
31-May-2019 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)