简介

本文档介绍如何在Catalyst 9800无线LAN控制器(WLC)上使用策略(SLUP)配置和排除智能许可故障。

背景信息

1. 直接连接到思科智能软件管理器云（CSSM云）
2. 通过CSLU（思科智能许可证实用程序管理器）连接到CSSM
3. 通过内建智能软件管理器（内建SSM）连接到CSSM

本文并不试图涵盖Catalyst 9800上使用策略配置指南中最佳说明的所有智能许可方案。 但是，它提供了一系列有用的命令，用于使用Catalyst 9800上的策略问题对直接连接、CSLU和内部SSM智能许可进行故障排除。

第 1 项.直接连接到思科智能许可云服务器(CSSM)

第 2 项.通过CSLU连接

选项 3.通过内部智能软件管理器（内部SSM）连接

注意：本文中提到的所有命令仅适用于运行版本17.3.2或更高版本的WLC。

传统许可与SLUP

Catalyst 9800中引入了使用策略的智能许可，代码版本为17.3.2。初始17.3.2版本缺少WLC webUI中的SLUP配置菜单，该菜单是随17.3.3版本引入的。SLUP在以下几个方面不同于传统的智能许可：

• WLC现在通过smartreceiver.cisco.com域而不是旧的tools.cisco.com与CSSM通信
• WLC现在不使用“注册”，而是通过CSSM或本地SSM“建立信任”
• CLI命令稍有改动
• 不再有智能许可预留(SLR)。您可以定期手动报告使用情况
• 不再有评估模式。即使没有许可证，WLC仍继续以满容量运行。系统基于荣誉，您应定期报告许可证使用情况（自动或手动报告有气隙网络的情况）

注意：意味着读者需要注意。注释包含有用的建议或文档未涵盖的材料的引用。

配置

直接连接CSSM

在CSSM上创建令牌后，为了建立信任，需要执行以下命令：

注意：最大令牌在HA SSO中的WLC情况下，使用次数计数必须至少为2。

configure terminal
ip http client source-interface 
     
     
       ip http client secure-trustpoint 
      
        license smart transport smart license smart url default exit write memory terminal monitor license smart trust idtoken 
       
         all force 
        
       
     

• “ip http client source-interface”命令指定许可相关数据包将从其源的L3接口
• “ip http client secure-trustpoint”命令指定哪个信任点/证书用于CSSM通信。使用“show crypto pki trustpoints”命令可找到信任点名称。建议使用自签名证书TP-self-signed-xxxxxxxxxx证书或制造商安装证书（也称为MIC，仅在9800-40、9800-80和9800-L上提供），通常称为CISCO_IDEVID_SUDI。
• “Terminal monitor”命令可使WLC将日志打印到控制台，并帮助确认信任已成功建立。可以使用“terminal no monitor”禁用此功能。
• 最后一个命令中的关键字“all”指示HA SSO集群中的所有WLC与CSSM建立信任。
• 关键字“force”指示WLC覆盖任何以前建立的信任并尝试新的信任。

注意：如果未建立信任，则9800会在执行命令后1分钟后再试，并且在一段时间后不再重试。再次输入token命令以强制建立新的信任。

已连接到CSLU

Cisco Smart License Utility Manager(CSLU)是一个基于Windows的应用（也在Linux上提供），使客户可以从其本地管理许可证及其关联的产品实例，而不必将其支持智能许可的产品实例直接连接到思科智能软件管理器(CSSM)。

本节仅介绍9800无线配置。配置使用CSLU的许可还需要执行其他步骤（例如安装CSLU、配置CSLU软件等），这些步骤在配置指南中有所介绍。无论您要实施产品实例启动的通信方法还是CSLU启动的通信方法，请完成相应的任务序列。

产品实例启动的 

1. 确保从控制器到CSLU的网络可达性 
2. 确保传输类型设置为 cslu : 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. 如果希望由控制器发现CSLU，您需要执行操作。如果您希望使用DNS发现CSLU，则无需任何操作。如果要使用URL发现它，请输入以下命令： 
   

   (config)#license smart url cslu http://
          
          
            :8182/cslu/v1/pi (config)#exit #copy running-config startup-config 
          

CSLU启动的 

当您配置CSLU发起的通信时，除了检查并确保从控制器到CSLU的网络可达性之外，没有其它事情可做。 

已连接到本地SSM

使用本地SSM的配置与直接连接非常相似。内部版本需要运行版本8-202102或更高版本。对于SLUP版本（17.3.2及更高版本），建议使用CSLU URL和传输类型。URL可从智能许可->资产 — > <虚拟帐户> ->常规部分下的本地Web UI界面获取

configure terminal
 ip http client source-interface 
     
     
       ip http client secure-trustpoint 
      
        license smart transport cslu license smart url https:// 
       
         /SmartTransport crypto pki trustpoint SLA-TrustPoint revocation-check none exit write memory terminal monitor 
        
       
     

本地SSM不需要使用信任令牌。

注意：如果您正在获取消息“%PKI-3-CRL_FETCH_FAIL: CRL fetch for trustpoint SLA-TrustPoint failed”，这是因为您尚未在SLA-TrustPoint下配置revocation-check none。这是用于智能许可的信任点。在内部版本中，许可服务器上的证书通常是自签证书，对于该证书，CRL验证是不可能的，因此要求配置无撤销检查。

通过HTTPs代理配置智能传输

注意：意味着读者需要注意。注释包含有用的建议或文档未涵盖的材料的引用。

要在使用智能传输模式时使用代理服务器与CSSM通信，请完成以下步骤：

configure terminal
  ip http client source-interface 
     
     
       ip http client secure-trustpoint 
      
        license smart transport smart license smart url default license smart proxy address 
       
         license smart proxy port 
        
          exit write memory terminal monitor license smart trust idtoken 
         
           all force 
          
         
        
       
     

通信频率

可以在CLI或GUI中配置的报告间隔无效。

无论通过Web界面或CLI配置了什么报告间隔，9800 WLC都会每8小时与CSSM或内部智能软件管理器进行通信。这意味着新加入的接入点可在初次加入后8小时内显示在CSSM上。

您可以计算出下一次使用“show license air entities summary”计算和报告许可证的时间。此命令不是典型的“show tech”或“show license all”输出的一部分：

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

许可证出厂重置

Catalyst 9800 WLC可以拥有其所有许可配置和信任工厂重置，并且仍保留所有其他配置。这需要WLC重新加载：

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

如果是RMA或硬件更换

如果需要更换9800 WLC，新设备必须注册到CSSM/On-Prem智能软件管理器，它被视为新设备。释放之前设备的许可证计数需要在“产品实例”下手动删除：

从特定许可证注册(SLR)升级

旧版WLC <17.3.2使用一种特殊的离线许可方法，称为特定许可证注册(SLR)。在使用SLUP（17.3.2及更高版本）的版本中，此许可方法已被弃用。

如果您将使用SLR的9800控制器升级到17.3.2或17.4.1之后的版本，建议迁移到离线SLR报告，而不是依赖SLR命令。保存许可证使用情况RUM文件并将其注册到智能许可门户。由于SLR在更新的版本中不再存在，因此会报告正确的许可证计数并释放所有未使用的许可证。许可证不再被“阻止”，但会报告确切的使用计数。

故障排除

互联网接入、端口检查和Ping

新的SLUP使用smartreceiver.cisco.com域建立信任，而不是使用传统智能许可的tools.cisco.com。在撰写本文时，此域当前解析为3个不同的IP地址。ping这3个IP的能力存在差异。只有其中一个允许。Ping不可用作来自WLC的Internet可达性测试。

无法ping通这些服务器并不意味着它们无法正常工作。智能许可团队目前致力于解决此问题，并使所有3台服务器都可ping通：

72.163.15.144 – responding to PING
173.36.127.16 – not responding to PING
192.133.220.90 – not responding to PING

必须使用端口443上的telnet而不是ping来测试连通性。可以根据smartreceiver.cisco.com域或直接根据服务器IP地址检查Telnet。如果流量未被阻塞，端口必须在输出中显示为打开：

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.133.220.90, 443)... Open <-------
[Connection to 192.133.220.90 closed by foreign host]
WLC-1#telnet 72.163.15.144 443
Trying 72.163.15.144, 443 ... Open <-------
[Connection to 72.163.15.144 closed by foreign host]
WLC-1#telnet 192.133.220.90 443
Trying 192.133.220.90, 443 ... Open <-------
[Connection to 192.133.220.90 closed by foreign host]
WLC-1#telnet 173.36.127.16 443
Trying 173.36.127.16, 443 ... Open <-------
[Connection to 173.36.127.16 closed by foreign host]

系统日志

如果在配置令牌时启用“terminal monitor”命令，WLC将在CLI中打印相关日志。如果运行“show logging”，也可以获取这些消息。成功建立的信任的日志如下所示：

WLC-1#license smart trust idtoken 
     
     
       all force Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB. 
     

没有已定义的DNS服务器或具有无法正常工作的DNS服务器的WLC的日志：

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

具有正常运行的DNS服务器，但没有互联网访问的WLC的日志：

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

数据包捕获

即使WLC和CSSM/On-Prem SSM之间的通信已加密并通过HTTPS传输，执行数据包捕获仍可深入了解导致信任无法建立的原因。收集数据包捕获的最简单方法是通过WLC Web界面。

导航到故障排除 > 数据包捕获。创建新的捕获点：

确保已启用“Monitor Control Plane”复选框。将缓冲区大小增加到最大100MB。添加必须捕获的接口。默认情况下，智能许可流量从无线管理接口发出，或者从通过“ip http client source-interface”命令定义的接口发出：

启动捕获并运行“license smart trust idtoken <token> all force”命令：

信任建立的数据包捕获必须包含以下步骤：

1. 使用SYN、SYN-ACK和ACK序列建立TCP会话
2. 通过服务器和客户端证书交换建立TLS会话。建立以“新会话票证”数据包结束
3. 加密数据包交换（“应用数据”帧），其中WLC报告许可证使用情况
4. 通过FIN-PSH-ACK、FIN-ACK和ACK序列终止TCP会话

注意：数据包捕获包含更多帧，包括TCP窗口更新和“应用数据”帧的倍数

由于CSSM云使用3个不同的公有IP地址，为了过滤掉WLC和CSSM之间的所有数据包捕获，请使用以下wireshark过滤器：

ip.addr==173.36.127.16 or ip.addr==192.133.220.90 or ip.addr==72.163.15.144 

如果使用内部SSM，请过滤SSM IP地址：

ip.addr==
     
     

使用直接连接的CSSM成功建立信任并过滤所有重要数据包捕获的示例数据包捕获：

显示命令

以下show命令包含有关建立信任的有用信息：

show license status
show license summary
show tech-support license
show license tech-support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

命令“show license history message”是比较有用的命令之一，因为它可以显示从WLC发送并从CSSM接收回的实际消息。

成功的信任建立已打印“请求：8月23日10:18:08 2021 Central”和“响应：8月23日10:18:10 2021 Central”消息。如果“RESPONSE”行之后没有任何内容，则表示WLC未收到来自CSSM的响应。

成功建立信任的“show license history message”输出示例：

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

调试/btrace

使用“license smart trust idtoken all force”命令尝试建立信任几分钟后运行此命令。IOSRP日志非常详细。附加" | include smart-agent”到命令以仅获取智能许可日志。

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

您还可以运行这些调试，然后重新配置许可命令以强制建立新连接：

debug license events
debug license errors
debug license agent all

常见问题

WLC没有互联网接入或防火墙阻止/更改流量

WLC上的嵌入式数据包捕获是查看WLC是否从CSSM或本地SSM收到任何回信的简单方法。如果没有响应，防火墙可能会阻止某些内容。

如果未收到来自CSSM云或本地SSM的响应，“show license history message”命令在发出请求后1秒打印空响应。

例如，这可能会使工程师认为已收到空响应，但实际上根本没有响应：

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

注意：当前有一个增强请求“CSCvy84684 - show license history message prints empty response when are no response”，该请求旨在增强“show license history message”命令的输出

数据包捕获中的未知CA警报

与CSSM或内部SSM的通信需要9800端的“良好”证书。它可以自签名，但不能无效或过期。在这种情况下，数据包捕获显示CSSM在9800 http客户端证书过期时发送的“未知CA”的TLS警报。

智能许可使用“ip http client”配置，该配置不同于WLC Web界面使用的“ip http server”。这意味着需要正确配置以下命令：

ip http client source-interface 
     
     
       ip http client secure-trustpoint 
       
     

使用“show crypto pki trustpoints”命令可找到信任点名称。建议使用自签名证书TP-self-signed-xxxxxxxxxx证书或制造商安装证书(MIC)，通常称为CISCO_IDVID_SUDI，仅在9800-80、9800-40和9800-L上提供。

请注意，执行TLS侦听的设备（例如具有SSL解密功能的防火墙）可能会阻止C9800与思科许可服务器成功建立握手，因为提供的HTTPS证书是防火墙证书而不是思科许可服务器证书。

注意：请确保同时配置source-interface和secure-trustpoint命令。即使WLC只有一个L3接口，也需要source-interface命令。