在ACI平台上配置智能许可策略并对其进行故障排除
简介
本文档介绍如何使用智能许可策略管理思科以应用为中心的基础设施(ACI)平台上的软件许可证。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
本文档介绍如何使用思科智能许可策略在思科以应用为中心的基础设施(ACI)平台上对软件许可证进行故障排除、配置和管理。
什么是思科智能许可策略(SLP)?
思科智能许可是一个管理所有思科产品许可证的软件管理平台。根据您的反馈,思科智能许可已进行了增强,并推荐了一个名为SLP的新平台。SLP旨在简化智能许可,使您能够进行配置和维护。在ACI版本5.2(4)中引入。
您是否刚刚开始使用智能许可和/或智能帐户管理?
访问并注册新的管理员培训课程和录制:
- 思科社区 — 借助思科智能帐户/智能许可和“我的思科”授权实现智能化
- 可以在此处创建智能帐户:智能帐户
- 智能帐户可在此处管理:智能软件许可
什么是ID令牌?
用于将产品安全地注册到智能帐户和虚拟帐户。ID令牌是用于在注册产品时建立身份的“组织标识符”。SLP中的这些令牌使用不同的注册方法,本文档稍后将对此进行说明。
从CSSM生成ID令牌
要生成,请转到Cisco Software Central,然后导航到Manage Licenses > Inventory > General > New Token 如图所示的。
生成后,您可以复制或下载到操作:
SLP许可证和产品状态
在ACI SLP中,不再需要为期90天的评估期和产品注册。不再需要产品注册。您需要尽最大努力报告许可证使用情况。除此之外,客户端视图上的许可证授权状态也将被消除。许可证授权现在具有两种状态:使用中或未使用。由于APIC控制器仅管理当前使用的许可证,因此在APIC UI/CLI上,您只能看到每个正在使用的许可证授权。
支持SLP的方法
配置智能许可证策略有多种不同的方法,可区别如下:
1.在线模式
2.脱机模式
在ACI SLP中,介绍资源利用率测量报告(RUM报告)的概念。RUM报告是包含许可证使用情况报告的XML格式文件。因此,术语和license usage report可Rum report互换;两者均指报告许可证使用情况。在在线模式下,用户需要配置网络并使APIC控制器直接或间接连接到CSSM,在在线模式下,APIC也可以自动向CSSM发送RUM报告并从CSSM获取确认。
在脱机模式下,由于APIC完全隔离,且没有与CSSM建立任何直接或间接的网络连接,因此用户需要定期从APIC下载RUM报告,将其导入CSSM,从CSSM下载确认并将其导入APIC。
根据APIC与CSSM的连接,您可以决定使用在线模式还是离线模式,因此,在线模式中也有多种方法,解释如下:
方法1.直接连接到CSSM
此方法是最常用的网络模式。思科APIC必须具有Internet连接,以便思科APIC可以直接向CSSM发送RUM报告。必须配置DNS且CSSM主机名(tools.cisco.com)必须可执行ping操作。
要配置:
步骤1.登录到Cisco APIC GUI。
步骤2.在菜单栏中,导航至 System > Smart Licensing > Actions > Configure Network Settings.
步骤3.选Direct connect to CSSM择。
步骤4. URL和端口号在此不可更改。
步骤5.粘贴产品实例ID令牌,该令牌已从您的CSSM虚拟帐户获得。
步骤6.单击 OK.
产品实例ID标记
成功与CSSM同步后,智能帐户和虚拟帐户名称将在智能许可页面上更新,如图所示。
智能帐户和虚拟帐户名称已更新
方法2.思科传输网关
通过此方法,思科APIC不需要互联网连接。思科APIC在传输网关的帮助下将RUM报告发送到CSSM。思科传输网关中间件必须已安装在数据中心并可到达APIC。对于传输网关模式,URL格式为:http://,其中IP或主机名是传输网关的IP或主机名。如果端口号不是默认的HTTP端口80或HTTPS端口443,则必须输入端口号。除此之外,还需要产品实例ID令牌,该令牌可以从您的CSSM虚拟帐户获取。
要安装和配置传输网关,用户可以参考思科传输网关的文档:
https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf
要配置:
步骤1.登录到Cisco APIC GUI。
步骤2.在菜单栏中,导航至 System > Smart Licensing > Actions > Configure Network Settings.
步骤3.选择Cisco Transport Gateway。
步骤4.使用正确的IP(Cisco传输网关的IP)和端口编辑URL;http://.
步骤5.粘贴产品实例ID令牌,该令牌已从您的CSSM虚拟帐户获得。
步骤6.单OK击。
方法3. HTTP/HTTPS代理
通过此方法,思科APIC不需要互联网连接。思科APIC从Web代理向CSSM发送RUM报告。确保Web代理服务器配置为允许智能许可消息。此外,防火墙必须具有传递通信以到达目标(https://tools.cisco.com/its/service/oddce/services/DDCEService)的规则。
在代理模式下,用户需要配置代理IP和端口。除此之外,产品实例ID令牌也是必需的,并且可以从用户的CSSM虚拟帐户获取。
要配置:
步骤1.登录到Cisco APIC GUI。
步骤2.在菜单栏中,导航至
步骤3.选择Cisco HTTP/HTTPS Proxy。
步骤4.请提供代理的IP地址和端口号。
步骤5.粘贴产品实例ID令牌,该令牌可以从您的CSSM虚拟帐户获取。
步骤6.单击OK。
方法4.内部部署
通过此方法,思科APIC不需要互联网连接,而内部需要Internet连接。思科APIC通过内部向CSSM发送RUM报告。内部中间件必须已安装在数据中心中。在思科ACI智能许可(SL)中,此模式之前称为思科智能软件管理器卫星(管理器卫星)。
要配置:
步骤1.登录到Cisco APIC GUI。
步骤2.在菜单栏中,导航至
步骤3.选择 Cisco Smart Software Manager On-Prem。
您必须提供本地思科智能软件管理器的URL。要获取URL,请登录思科智能软件管理器本地GUI。导航至Inventory > General 并点击CSLU TransportURL链接。
第4步:复制CSLU URL并将其粘贴到Cisco APIC GUI中的URL字段。
您无需指定产品实例ID令牌。Cisco APIC使用内置证书与思科智能软件管理器内部通信。
成功同步后,智能软件管理器内部资产将使用正在使用的许可证进行更新。
方法5.思科智能许可实用程序
通过此方法,思科APIC不需要互联网连接。思科APIC通过CSLU向CSSM发送RUM报告。数据中心必须已安装Microsoft Windows版本的中间件CSLU。CSLU的URL可以按照以下格式在APIC中配置:http://ip_or_hostname:port/cslu/v1/pi
此处IP或主机名是CSLU IP地址或主机名。不支持HTTPS。
要配置:
步骤1.登录到Cisco APIC GUI。
步骤2.在菜单栏中,导航至 Inventory System > Smart Licensing >
步骤3.选择 Cisco Smart Licensing Utility (CSLU)。
在前一个URL中,端口在CSLU GUI首选项下作为产品实例服务端口获取。
成功后,同步许可页面将使用智能帐户名称和虚拟帐户名称进行更新,如图所示。
方法6.离线方法
在离线模式下,思科APIC被隔离,无需与CSSM进行直接或间接的网络连接。由于思科APIC无法通过网络连接到达CSSM,因此您必须每12个月从思科APIC下载RUM报告并将报告导入CSSM。然后,您必须从CSSM下载确认并将确认导入思科APIC。
要配置:
步骤1.登录到Cisco APIC GUI。
步骤2.在菜单栏中,导航至System > Smart Licensing。
步骤3.在“工作”(Work)窗格中,导航至Actions > Download Rum Report。
RUM报告文件会自动下载到浏览器上的默认文件夹中。
下载报告后(LicenseUsageRumReport.xml),即可将其导入CSSM。
步骤4.登录Software.cisco.com并导航至Manage License。
步骤5.在“菜单”中,单击Reports并选择该Usage Data Files选项,如图所示。
步骤6.单击 Upload Usage Dataon并选择LicenseUsageRumReport.xml文件,如图所示。
步骤7.选择拥有许可证的虚拟帐户。
提交后,您必须等待,直到报告状态变为可No Errors用,确认字段可以选择下载。
步骤8.下载选项可用后,点击 Download,Acknowledgement下载为文件ACK_LicenseUsageRumReport.xml名称,如图所示。
您需要将确认导入到APIC:
步骤9.登录到Cisco APIC GUI。
步骤10.在菜单栏中,导航至System > Smart Licensing。
步骤11.在“工作”窗格中,导航至Actions > Import Acknowledgement。
步骤12.点击Choose File,导航到您下载确认文件的位置,选择该文件并点击Open。
步骤13.单击OK。
成功后,同步许可页面将使用智能帐户名称和虚拟帐户名称进行更新,如图所示。
思科ACI智能许可策略故障排除
故障
在ACI中,当您开始进行故障排除之前,当出现特定问题情况或警告时,会引发故障。最好检查是否存在将我们重定向到正确方向的故障,下表列出了智能许可故障:
|
F3057 |
这是一个警告错误,表明您尚未配置网络设置。即使要选择脱机模式,也可以配置Offline network设置。配置清除此故障的网络设置。 |
|
F4290 |
此故障表示您输入的产品实例ID令牌是无效或过期的令牌。登录到CSSM并创建新的产品实例注册令牌。登录思科应用策略基础设施控制器(APIC)GUI以输入新的ID令牌并重新配置网络设置。此操作会清除故障。 |
|
F4291 |
此故障表示Cisco APIC与CSSM之间或Cisco APIC与传输服务器(网关、代理、内部或CSLU)之间的网络连接存在问题。Cisco APIC无法与CSSM或传输服务器通信。解决网络连接问题后,登录到Cisco APIC GUI,导航到 |
|
F4222 |
此故障表示思科APIC长时间未收到RUM报告的确认,且确认已过期。在脱机模式下,手动下载RUM报告并导入确认。将确认文件导入思科APIC时,会清除故障。 在联机模式下,此故障表明,由于网络问题,Cisco APIC与CSSM的同步时间很长。解决思科APIC和CSSM之间、思科APIC和传输服务器之间,以及传输服务器和CSSM之间的网络连接问题。解决网络连接问题后,登录到Cisco APIC GUI,导航到 |
|
F4310 |
此故障表示您导入了错误的RUM报告确认。确认与一个RUM报告唯一关联。导入的确认必须与您下载的RUM报告匹配。再次手动下载RUM报告并将正确的确认导入思科APIC,从而清除故障。 |
显示命令
有两个CLI命show 令可用于故障排除。要使用这些命令,请以管理员用户身份登录集群中的思科应用策略基础设施控制器(APIC)节点1。
# show license all
此show命令显示来自智能代理(SA)信任存储的智能许可信息。“使用情况报告”部分显示上次发送的RUM报告和上次收到的确认的时间戳,以及何时发送下一个RUM报告以及何时轮询下一个确认。如果最后收到的确认消息的时间戳比最后发送的RUM报告的时间戳新,则表明思科APIC成功发送了RUM报告并收到了确认。
# show license tech support
此show命令显示比show license all更详细的信息。控制台因长度而无法显示完整结果,但您可以打开文件/tmp/SA_Show_Tech_Support.txt查看所有输出。
日志
日志
当智能许可出现问题时,请收集以下日志:
/var/log/dme/log/svc_ifc_licensemgr.bin.log
/var/log/dme/log/ch_dbg.log
/var/log/dme/log/sa.log
APIC的技术支持。
已知问题
1.由于通信问题(DNS未配置)注册失败
在Direct Connect to CSSM(直接连接到CSSM)模式下,如果您忘记在与tools.cisco.com的思科应用策略基础设施控制器(APIC)通信上配置DNS,则会失败。
确保您在APIC中配置了DNS,并且可以ping tools.cisco.com
要检查是否配置了DNS,请cat /etc/resolv.conf运行APIC CLI:
apic1# cat /etc/resolv.conf # Generated by IFC search apic.local nameserver 10.0.0.1 nameserver XX.163.128.140
要检查ping是否有效,请在APIC控制器CLI上运行ping,ping必须适用于tools.cisco.com。
apic1# ping tools.cisco.com PING tools.cisco.com (XX.163.4.38) 56(84) bytes of data. 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=1 ttl=235 time=250 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=2 ttl=235 time=249 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=3 ttl=235 time=249 ms
2.思科ACI智能许可证策略升级注意事项
如果您计划升级到思科应用策略基础设施控制器(APIC)5.2(4)版本或更高版本,并且思科APIC已注册,并且网络或传输模式为Direct Connect to CSSM、Transport Gateway或HTTP/HTTPS Proxy,则可以直接将Cisco APIC从Cisco Application Centric Infrastructure(ACI)Smart Licensing(SL)升级到SLP。不需要执行任何特殊程序。升级后,思科APIC仍与CSSM连接,可以向CSSM发送RUM报告而不出现任何问题。
如果思科APIC已注册,并且网络或传输模式为Manager Satellite,则不能直接将思科APIC从SL升级到SLP。这是因为Cisco Smart Software Manager On-Prem网络模式的传输类型和URL都已更改,取代了Manager Satellite。您必须执行以下操作:
-
将Manager Satellite升级到支持SLP的Cisco Smart Software Manager On-Prem的最新版本。升级后,确保内部服务器与CSSM具有网络连接,并且内部服务器与CSSM之间的同步仍然有效。
-
将思科APIC升级到5.2(4)或更高版本。升级后,思科APIC GUI显示网络模式是传输网关,而不是Manager Satellite。您必须将网络模式重新配置为Cisco Smart Software Manager On-Prem,并从本地GUI复制正确的URL。
3.错误 — 无法发送Call Home HTTP消息(Quo Vadis Root CA)
QuoVadis Root CA 2已停用,可能会影响来自APIC的SSL通信,因此会引发故障“Fail to send out Call Home HTTP”。 为了检查相同内容,您可以在下解析call home日志/var/log/dme/log/ch_dbg.log。如果打印这些行,请遵循给定的BUG和Field Notice:
CH-TRANS-ERROR: ch_pf_curl_send_msg[539], failed to perform, err code 60, err string "Peer certificate cannot be authenticated with given CA certificates" *
CH-TRANS-DETAIL: ch_pf_http_long_buf_dump[264], dump:"SSL certificate problem: self signed certificate in certificate chain"
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
26-Sep-2022
|
初始版本 |
反馈