在ACI平台上配置智慧許可策略並對其進行故障排除
簡介
本文說明如何使用智慧許可策略管理思科以應用為中心的基礎設施(ACI)平台上的軟體許可證。
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
本文說明如何使用思科智慧許可策略對思科以應用為中心的基礎設施(ACI)平台上的軟體許可證進行故障排除、配置和管理。
什麼是思科智慧許可策略(SLP)?
思科智慧許可是一個軟體管理平台,用於管理所有思科產品許可證。根據您的反饋,思科智慧許可已得到增強,並且已提議一個名為SLP的新平台。SLP旨在簡化智慧許可,並使您能夠進行配置和維護。在ACI版本5.2(4)中引入。
您對智慧許可和/或智慧帳戶管理是否陌生?
瀏覽並註冊新的管理員訓練課程和錄製內容:
- 思科社群 - 聰明活用思科智慧型帳戶/智慧型授權和 My Cisco Entitlements
- 您可在此處建立智慧型帳戶:智慧型帳戶
- 您可在此處管理智慧型帳戶:Smart Software Licensing
什麼是ID令牌?
用於將產品安全註冊到智慧帳戶和虛擬帳戶。ID標籤是用於在註冊產品時建立標識的「組織識別符號」。SLP中的這些令牌使用不同的註冊方法,本文檔稍後將對此進行說明。
從CSSM生成ID令牌
若要產生,請前往思科軟體中心,然後導覽至Manage Licenses > Inventory > General > New Token 如下圖所示。
生成後,您可以複製或下載到操作:
SLP許可證和產品狀態
在ACI SLP中,不再需要為期90天的評估期和產品註冊。不再需要產品註冊。您需要盡最大努力報告許可證使用情況。此外,客戶端檢視上的許可證授權狀態也將被消除。許可證權利現在有兩個狀態:正在使用或尚未使用。由於APIC控制器僅管理當前使用的許可證,因此在APIC UI/CLI上,您只能檢視每個正在使用中的許可證授權。
使用SLP支援的方法
配置智慧許可證策略的方法不同,具體如下:
1.線上模式
2.離線模式
在ACI SLP中,介紹資源利用率測量報告(RUM報告)的概念。RUM報告是包含許可證使用情況報告的XML格式檔案。因此,術語和license usage report可Rum report互換;兩者都參考報告許可證使用情況。在聯機模式下,使用者需要配置網路並使APIC控制器直接或間接連線到CSSM,在聯機模式下,APIC可以自動向CSSM傳送RUM報告並獲得來自CSSM的確認。
在離線模式下,由於APIC完全隔離,並且沒有任何與CSSM的直接或間接網路連線,因此使用者需要定期從APIC下載RUM報告,將其匯入CSSM,從CSSM下載確認並將其匯入APIC。
根據APIC與CSSM的連線,您可以決定是使用聯機模式還是離線模式,因此,聯機模式中還有多種方法,說明如下:
方法1.直接連線到CSSM
此方法是最常用的網路模式。思科APIC必須具有網際網路連線,以便思科APIC能夠將RUM報告直接傳送到CSSM。必須配置DNS並且CSSM主機名(tools.cisco.com)必須可執行ping。
要配置:
步驟1.登入Cisco APIC GUI。
步驟2.在選單欄中,導航至 System > Smart Licensing > Actions > Configure Network Settings.
步驟3.選擇Direct connect to CSSM。
步驟4.此處的URL和埠號無法更改。
步驟5.貼上產品例項ID令牌,該令牌已從您的CSSM虛擬帳戶獲得。
步驟6.按一下 OK.
產品例項ID令牌
成功與CSSM同步後,智慧帳戶和虛擬帳戶名稱將在智慧許可頁面上更新,如下圖所示。
已更新智慧帳戶和虛擬帳戶名稱
方法2.思科傳輸閘道
通過此方法,思科APIC不需要網際網路連線。思科APIC在傳輸網關的幫助下將RUM報告傳送到CSSM。思科傳輸網關中介軟體必須已安裝在資料中心並可連線到APIC。對於傳輸網關模式,URL格式為:http://,其中IP或主機名是傳輸網關的IP或主機名。如果埠號不是預設的HTTP埠80或HTTPS埠443,則必須輸入埠號。此外,還需要產品例項ID令牌,該令牌可以從您的CSSM虛擬帳戶獲得。
若要安裝和設定傳輸閘道,使用者可以參考思科傳輸閘道的檔案:
https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf
要配置:
步驟1.登入Cisco APIC GUI。
步驟2.在選單欄中,導航至 System > Smart Licensing > Actions > Configure Network Settings.
步驟3.選擇Cisco Transport Gateway。
步驟4.使用正確的IP(Cisco傳輸閘道的IP)和連線埠編輯URL;http://.
步驟5.貼上產品例項ID令牌,該令牌已從您的CSSM虛擬帳戶獲得。
步驟6.單OK擊。
方法3. HTTP/HTTPS代理
通過此方法,思科APIC不需要網際網路連線。思科APIC從Web代理向CSSM傳送RUM報告。確保Web代理伺服器配置為允許智慧許可消息。此外,防火牆必須具有通過通訊到達目的地的規則(https://tools.cisco.com/its/service/oddce/services/DDCEService)。
在代理模式下,使用者需要配置代理IP和埠。除此之外,產品例項ID令牌是必需的,並且可以從使用者的CSSM虛擬帳戶獲得。
要配置:
步驟1.登入Cisco APIC GUI。
步驟2.在選單欄上,導航至
步驟3.選擇Cisco HTTP/HTTPS Proxy。
步驟4.請提供代理的IP地址和埠號。
步驟5.貼上產品例項ID令牌,該令牌可以從您的CSSM虛擬帳戶獲得。
步驟6.按一下OK。
方法4.內部部署
通過此方法,思科APIC不需要網際網路連線,而本地需要網際網路連線。思科APIC通過內部向CSSM傳送RUM報告。必須在資料中心中安裝內部中介軟體。在思科ACI智慧許可(SL)中,此模式之前稱為思科智慧軟體管理器衛星(Manager衛星)。
要配置:
步驟1.登入Cisco APIC GUI。
步驟2.在選單欄上,導航至
步驟3.選擇 Cisco Smart Software Manager On-Prem。
您必須提供本地思科智慧軟體管理器的URL。要獲取URL,請登入思科智慧軟體管理器本地GUI。導航到Inventory > General 並按一下URLCSLU Transport連結。
步驟4.複製CSLU URL並將其貼上到Cisco APIC GUI中的URL欄位中。
您無需指定產品例項ID令牌。思科APIC使用內建證書與思科智慧軟體管理器內部通訊。
成功同步後,將使用許可證更新智慧軟體管理器內部清單。
方法5.思科智慧許可實用程式
通過此方法,思科APIC不需要網際網路連線。思科APIC通過CSLU向CSSM傳送RUM報告。資料中心中必須已安裝Microsoft Windows版本的中介軟體CSLU。CSLU的URL可以按照以下格式在APIC中配置:http://ip_or_hostname:port/cslu/v1/pi
其中IP或主機名是CSLU IP地址或主機名。不支援HTTPS。
要配置:
步驟1.登入Cisco APIC GUI。
步驟2.在選單欄中,導航至 Inventory System > Smart Licensing >
步驟3.選擇 Cisco Smart Licensing Utility (CSLU)。
在前一個URL中,埠在CSLU GUI的首選項下作為產品例項服務埠獲取。
成功後,同步授權頁面將使用智慧帳戶名稱和虛擬帳戶名稱進行更新,如下圖所示。
方法6.離線方法
在離線模式下,思科APIC被隔離,而不與CSSM進行直接或間接的網路連線。由於思科APIC無法通過網路連線訪問CSSM,因此您每12個月必須從思科APIC下載RUM報告並將報告匯入CSSM。然後,您必須從CSSM下載確認並將確認匯入思科APIC。
要配置:
步驟1.登入Cisco APIC GUI。
步驟2.在選單欄上,導航至System > Smart Licensing。
步驟3.在「工作」窗格中,導航至Actions > Download Rum Report。
RUM報告檔案會自動下載到瀏覽器上的預設資料夾中。
下載報告後(LicenseUsageRumReport.xml),即可將其匯入CSSM。
步驟4.登入Software.cisco.com並導航至Manage License。
步驟5.從「Menu」中,按一下Reports並選取Usage Data Files選項,如下圖所示。
步驟6.按一下 Upload Usage Data開,然後選擇LicenseUsageRumReport.xml檔案,如下圖所示。
步驟7.選擇具有許可證的虛擬帳戶。
提交後,您必須等待,直到報告狀態變為可No Errors用,並且「確認」欄位可以選擇下載選項。
步驟8.下載選項可用後,按一下 Download,Acknowledgement,然後以檔案名稱ACK_LicenseUsageRumReport.xml方式下載,如下圖所示。
您需要將確認匯入到APIC:
步驟9.登入Cisco APIC GUI。
步驟10.在選單欄上,導航至System > Smart Licensing。
步驟11.在「工作」窗格中,導航至Actions > Import Acknowledgement。
步驟12.按一下Choose File,導航到確認檔案的下載位置,選擇檔案並按一下Open。
步驟13.按一下OK。
成功後,同步授權頁面將使用智慧帳戶名稱和虛擬帳戶名稱進行更新,如下圖所示。
思科ACI智慧許可策略故障排除
故障
在ACI中,在開始進行故障排除之前,當出現特定有問題的情況或警告時,將引發故障。檢查是否存在將我們重定向到正確方向的故障總是很好的,該表列出了智慧許可故障:
|
F3057 |
這是一個警告錯誤,表示您尚未配置網路設定。即使要選擇離線模式,也要配置「離線網路」設定。配置清除此故障的網路設定。 |
|
F4290 |
此故障表示您輸入的產品例項ID令牌是無效或過期的令牌。登入到CSSM並建立新的產品例項註冊令牌。登入思科應用程式原則基礎架構控制器(APIC)GUI,輸入新的ID權杖並重新設定網路設定。此操作將清除故障。 |
|
F4291 |
此故障表示Cisco APIC與CSSM之間或Cisco APIC與傳輸伺服器(網關、代理、內部或CSLU)之間的網路連線存在問題。思科APIC無法與CSSM或傳輸伺服器通訊。解決網路連線問題後,登入到Cisco APIC GUI,導航到 |
|
F4222 |
此故障表示思科APIC長時間未收到RUM報告的確認,並且確認已過期。在離線模式下,手動下載RUM報告並匯入確認。將確認檔案匯入思科APIC時,會清除故障。 在聯機模式下,此故障表示由於網路問題,Cisco APIC與CSSM的同步時間很長。對Cisco APIC與CSSM之間、Cisco APIC與傳輸伺服器之間以及傳輸伺服器與CSSM之間的網路連線問題進行故障排除。解決網路連線問題後,登入到Cisco APIC GUI,導航到 |
|
F4310 |
此故障表示您匯入了錯誤的RUM報告確認。確認與一個RUM報告唯一關聯。匯入的確認必須匹配您下載的RUM報告。再次手動下載RUM報告並將正確確認匯入Cisco APIC,清除故障。 |
顯示命令
有兩個CLI命令show 可用於進行故障排除。若要使用這些命令,請以管理員使用者身份登入到群集中的思科應用策略基礎設施控制器(APIC)節點1。
# show license all
此show命令顯示智慧代理(SA)信任儲存中的智慧許可資訊。「使用情況報告」部分顯示上次傳送的RUM報告和上次收到的確認的時間戳,以及何時傳送下一個RUM報告以及何時輪詢下一個確認。如果上次收到的確認的時間戳比上次傳送的RUM報告的時間戳新,則表明思科APIC已成功傳送RUM報告並收到確認。
# show license tech support
與show license all相比,此show命令顯示更詳細的資訊。控制檯因長度而無法顯示完整結果,但您可以開啟檔案/tmp/SA_Show_Tech_Support.txt來檢視所有輸出。
記錄檔
記錄檔
當智慧許可存在問題時,請收集以下日誌:
/var/log/dme/log/svc_ifc_licensemgr.bin.log
/var/log/dme/log/ch_dbg.log
/var/log/dme/log/sa.log
來自APIC的技術支援。
已知問題
1.由於通訊問題(DNS未配置)註冊失敗
在直接連線到CSSM模式下,如果您忘記在思科應用策略基礎設施控制器(APIC)上配置DNS,則無法與tools.cisco.com通訊。
確保在APIC中配置了DNS,並且您可以ping tools.cisco.com
要檢查是否配置了DNS,請cat /etc/resolv.conf在APIC CLI上運行:
apic1# cat /etc/resolv.conf # Generated by IFC search apic.local nameserver 10.0.0.1 nameserver XX.163.128.140
若要檢查ping是否有效,請在APIC控制器CLI上運行ping,對於tools.cisco.com,ping必須有效。
apic1# ping tools.cisco.com PING tools.cisco.com (XX.163.4.38) 56(84) bytes of data. 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=1 ttl=235 time=250 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=2 ttl=235 time=249 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=3 ttl=235 time=249 ms
2.思科ACI智慧許可證策略升級注意事項
如果您計畫升級至思科應用程式原則基礎架構控制器(APIC)5.2(4)版本或更新版本,且思科APIC已註冊,且網路或傳輸模式為Direct Connect to CSSM、Transport Gateway或HTTP/HTTPS Proxy,可以直接將Cisco APIC從思科應用中心基礎架構(ACI)智慧授權(SL)升級為SLP。不需要執行任何特別程式。升級後,思科APIC仍與CSSM連線,可以向CSSM傳送RUM報告而不出現任何問題。
如果思科APIC已經註冊,並且網路或傳輸模式為Manager Satellite,則不能直接將思科APIC從SL升級到SLP。這是因為取代了Manager衛星的Cisco Smart Software Manager內部網路模式的傳輸型別和URL都已更改。您必須執行以下操作:
-
將Manager衛星升級到支援SLP的Cisco Smart Software Manager On-Prem的最新版本。升級後,請確保On-Prem與CSSM具有網路連線,並且On-Prem與CSSM之間的同步仍然有效。
-
將思科APIC升級到5.2(4)版或更高版本。升級後,思科APIC GUI顯示網路模式為傳輸網關,而不是Manager衛星。您必須將網路模式重新設定為Cisco Smart Software Manager On-Prem,並從該On-Prem GUI複製正確的URL。
3.錯誤 — 無法傳送Call Home HTTP消息(Quo Vadis Root CA)
QuoVadis根CA 2已停用,可能會影響APIC的SSL通訊,因此會引發故障「Fail to send out Call Home HTTP」。 要檢查相同內容,可以解析中的呼叫總部日誌/var/log/dme/log/ch_dbg.log。如果列顯這些行,請遵循給定的BUG和Field Notice:
CH-TRANS-ERROR: ch_pf_curl_send_msg[539], failed to perform, err code 60, err string "Peer certificate cannot be authenticated with given CA certificates" *
CH-TRANS-DETAIL: ch_pf_http_long_buf_dump[264], dump:"SSL certificate problem: self signed certificate in certificate chain"
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
26-Sep-2022
|
初始版本 |
意見