為Cisco IOS® XE企業路由平台配置智慧許可

簡介

本檔案介紹思科智慧授權(SL)部署的型別和所需的配置。

必要條件

需求

• 可存取思科智慧軟體管理員(CSSM)入口的智慧帳戶。
• Cisco IOS® XE版本在16.5.1到17.3.1之間的裝置。
• Cisco Smart Software Manager On-Prem Server。
• 裝置與CSSM或內部伺服器之間的HTTPS連線。

注意：對於某些部署，無需使用思科內部智慧軟體管理器。它是該功能的可選元件。

注意：智慧許可對於16.5.1和16.9.8之間的版本是可選的。對於使用Cisco IOS® XE 16.10.1a的物理裝置，必須提供最多Cisco IOS® XE 17.3.1的智慧許可。從17.3.2開始，必須使用智慧許可策略。對於虛擬裝置和其他思科平台，請檢視特定代碼的發行說明。

採用元件

本檔案適用於Cisco IOS® XE企業路由平台。
本檔案中的資訊是根據以下硬體和軟體版本：

• Cisco ASR1001-X(Cisco IOS® XE版本16.9.4)和Cisco ISR4351(Cisco IOS® XE版本16.12.1)。 
• 8埠版本的智慧軟體管理202108伺服器。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

部署型別 

智慧許可註冊和消費有四個主要部署選項：

1. 直接CSSM訪問
2. 使用代理的直接CSSM存取
3. SSM內部存取
4. 特定授權保留(SLR)

直接CSSM訪問

此部署選項允許您通過Internet直接通過HTTPS將使用情況資訊傳輸到Cisco。

在Cisco IOS® XE 16.10.1a中，智慧許可預設啟用，並且是唯一可用的許可模式。對於此部署，需要第3層配置，並且可從正確的介面訪問HTTPS埠(443)中的tools.cisco.com。需要DNS配置。

確認連線後，註冊裝置的步驟如下：

步驟 1.在裝置上啟用智慧許可證（可選）。從16.10.1a預設啟用該功能。

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

注意：此命令啟用所需的服務call-home。

步驟 2.為tools.cisco.com配置域名系統(DNS)伺服器或靜態主機條目。

Router(config)#ip name-server X.X.X.X 
or
Router(config)#ip host tools.cisco.com X.X.X.X

步驟 3.從思科智慧軟體管理器生成新令牌。

• 登入Cisco Smart Software Manager，網址為https://software.cisco.com/#，然後導航至Smart Software Manager部分。
• 選擇Inventory頁籤，然後從Virtual Account下拉選單中選擇Virtual Account。
• 選擇General頁籤，然後選擇New Token。

• 輸入令牌說明並指定令牌必須處於活動狀態的天數。
• 對使用此令牌註冊的產品啟用允許匯出控制功能。這樣允許在註冊的裝置中請求高加密許可證。
• 選擇Create Token。建立令牌後，選擇Copy。

步驟 4.更改call-home配置（可選）。

預設呼叫總部配置檔案配置足以註冊裝置。您可以在以下位置驗證當前呼叫總部配置檔案配置：

Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email

步驟 5.使用令牌向CSSM註冊裝置。

Router#license smart register idtoken < token from CSSM portal > force

步驟 6.驗證裝置是否已正確註冊到CSSM。

Router#show license status 
Smart Licensing is ENABLED 

Registration: 
 Status: REGISTERED 
 Smart Account: TAC Cisco Systems, Inc. 
 Virtual Account: CORE TAC 
 Export-Controlled Functionality: Allowed 
 Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC 
 Last Renewal Attempt: None 
 Next Renewal Attempt: Feb 28 12:54:22 2018 UTC 
 Registration Expires: Sep 01 12:49:04 2018 UTC 

License Authorization: 
 Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC 
 Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC 
 Next Communication Attempt: Oct 01 12:54:28 2017 UTC 
 Communication Deadline: Nov 30 12:49:12 2017 UTC

含虛擬路由和轉送(VRF)的直接CSSM存取

如果裝置使用VRF到達CSSM，則需要在call-home配置檔案配置下配置源VRF和源介面。要配置此部署，必須執行直接CSSM訪問部分中的步驟1-3。然後，使用正確的VRF和源介面編輯call-home配置以訪問CSSM URL。以下是Mgmt-intf VRF中的管理介面GigabitEthernet0的示例。

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

使用分配給VRF的正確介面配置源HTTP介面。此組態會影響HTTP和HTTPS流量。

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

為特定VRF配置DNS:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X

完成VRF配置後，可以繼續執行直接CSSM訪問部分中的步驟5和6。

使用代理的直接CSSM存取 

如果代理伺服器需要實現與CSSM的HTTPS連線，則需要按照直接CSSM訪問部分中的步驟操作，並在call-home配置中包含http-proxy命令。

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080 

SSM內部存取

此部署型別允許您在不直接連線到思科託管的CSSM的情況下管理本地的產品和許可證。要實施此功能，您的網路中必須已安裝SSM預裝。安裝SSM On-Prem的步驟不在本檔案的範圍之內。

將SSM On-Prem伺服器與裝置連線的配置步驟如下：

步驟 1.在裝置上啟用智慧許可。

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#license smart enable

注意：此命令啟用所需的服務call-home。

步驟 2.確保能夠與您的CSSM內部伺服器通訊。

Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms

註：如果您有DNS伺服器，則可以使用它將On-Prem伺服器IP地址解析為名稱。

步驟 3.從SSM On-Prem生成新令牌。

3.1登入到SSM伺服器。

3.2令牌建立

• 輸入令牌描述。指定令牌必須處於活動狀態的天數。
• 對使用此權杖註冊的產品啟用「允許出口控制功能」覈取方塊。
• 選擇Create Token。
• 建立令牌後，選擇Copy以複製新建立的令牌。

步驟 4.在裝置上配置call-home。

需要使用On-Prem伺服器的IP(http://X.X.X.X/Transportgateway/services/DeviceRequestHandler)變更destination address http命令並移除預設命令。

Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end

步驟 5.在SLA-TrustPoint信任點上配置吊銷檢查無。

Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none

步驟 6.使用從SSM On-Prem檢索到的令牌註冊裝置。

Router#license smart register idtoken < token from SSM On-Prem portal > force

步驟 7.驗證裝置是否已正確註冊到SSM On-Prem。

Router#show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLEDData Privacy:
 Sending Hostname: yes
 Callhome hostname privacy: DISABLED
 Smart Licensing hostname privacy: DISABLED
 Version privacy: DISABLED

Transport:
 Type: Callhome

Registration:
 Status: REGISTERED
 Smart Account: manudiaz
 Virtual Account: Default
 Export-Controlled Functionality: ALLOWED
 Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
 Last Renewal Attempt: None
 Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
 Registration Expires: Oct 19 04:35:44 2021 UTC

採用VRF設定的SSM內部存取

如果使用VRF來訪問SSM On-Prem，則必須配置源VRF，以便裝置從正確的VRF生成請求。

按照SSM內部訪問一節中的步驟操作，直到步驟3。

步驟 1.使用正確的VRF和源介面編輯Call-home配置，您可以在源介面上訪問SSM On-Prem:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf

步驟 2.使用分配給VRF的正確介面配置源http-client介面：

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0

步驟 3.為特定VRF配置DNS。

您可以在本地環境中配置DNS伺服器以解析SSM本地伺服器的名稱：

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X

在這些更改後，您可以繼續執行SSM內部訪問中的步驟5和步驟6。

特定授權保留(SLR)

SLR是一項功能，使您能夠在裝置上部署軟體許可證，而無需直接將使用資訊傳達給思科。此功能在高度安全的網路中特別有用，在擁有智慧許可門戶的平台上受支援。  本配置指南假設您已請求並已授權使用SLR。

註：預設情況下未啟用SLR。您必須專門請求此功能。 

註:Cisco IOS® XE 16.11.1a及更高版本支援SLR和許可證實施。

要在裝置中配置SLR，需要從路由器端以及CSSM門戶執行這些步驟

步驟 1.配置路由器的SLR。您必須輸入license smart reservation命令，並在本地請求license smart reservation request local的SLR功能。

注意：如果在HA平台中完成註冊，則必須使用license smart reservation request all。

Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
  Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX

註：預設情況下未啟用SLR。您必須專門請求此功能。

注意：要取消許可證保留請求，請運行license smart reservation cancel命令。

在CSSM上，需要保留所需的許可證。

步驟 2.通過https://software.cisco.com/#登入CSSM。您必須使用思科憑證登入入口網站。

步驟 3.選擇「資產」頁籤。從「虛擬帳戶」下拉選單中，選擇您的智慧帳戶。

步驟 4.在Licenses頁籤中，選擇License Reservation。

步驟 5.在「Enter Request Code」頁上，輸入或附加從路由器生成的保留請求代碼，然後選擇Next。

步驟 6.選中Reserve a Specific License框，然後選擇每台裝置所需的許可證和保留的許可證數量。

步驟 7.在Review and Confirm頁籤中，選擇Generate Authorization Code。

註：生成特定裝置的SLR代碼後，授權代碼檔案將一直有效，直到您安裝該代碼。如果安裝失敗，您必須聯絡思科全球許可證運營(GLO)以建立新的授權代碼。您可以在此處聯絡GLO

步驟 8.選擇Copy to Clipboard以複製代碼，或選擇Download，將其作為檔案下載。您需要將代碼或檔案複製到您的裝置才能繼續此過程。

如果配置SLR，則可以下載或安裝授權碼文本檔案。如果配置永久許可證保留(PLR)，則可以複製並貼上授權代碼。

步驟 9.登入到裝置並使用安裝命令license smart reservation install file bootflash:<SLR file>。

Router#enable
Router#license smart reservation install file bootflash:

 如果需要，您可以返回在裝置中保留的許可證，然後返回到未註冊狀態。系統將生成一個返回代碼，必須將其輸入到CSSM中才能刪除該產品例項。

Router#enable
Router#license smart reservation return local

更新特定許可證保留

成功註冊裝置後，如果需要，可以使用新功能或許可證更新保留，如下所示：

步驟 1.登入Cisco Smart Software Manager，網址為https://software.cisco.com/#。您必須使用思科提供的使用者名稱和密碼登入門戶。

步驟 2.導航到Inventory頁籤，然後從Virtual Account下拉選單中選擇Smart Account。

步驟 3.在「Product Instances」頁籤中，為需要更新的裝置選擇Actions。

步驟 4.選擇更新保留的許可證。

步驟 5.選擇要更新的許可證。

步驟 6.選擇Next。

步驟 7.在Review and Confirm頁籤中，選擇Generate Authorization Code。將顯示Authorization Code頁籤。系統顯示生成的授權碼。

步驟 8.選擇Copy to Clipboard選項以複製代碼或將其作為檔案下載。您需要將代碼或檔案複製到您的裝置上。

步驟 9.登入到要更新的裝置。

步驟 10.運行license smart reservation install file命令。

Router#enable
Router#license smart reservation install file bootflash:

註銷特定許可證保留

要註銷裝置的特定許可證保留，您必須在CLI中返回許可證保留並從CSSM中刪除例項。

步驟 1.登入到要取消註冊的裝置。

步驟 2.要刪除許可證保留授權代碼，請使用license smart reservation return命令。

Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
    CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33

步驟 3.通過https://software.cisco.com/#登入CSSM。

步驟 4.選擇Inventory頁籤。從「虛擬帳戶」下拉選單中，選擇您的智慧帳戶。

步驟 5.在Product instance頁籤中，對於要取消註冊的裝置，選擇Actions。

步驟 6.選擇Remove。

步驟 7.出現提示時，輸入返回代碼。

疑難排解

裝置無法解析tools.cisco.com

 驗證是否已正確配置DNS伺服器以使用正確的VRF或全域性路由表。如果需要，您還可以建立靜態DNS條目：

Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8 

注意：用於訪問tools.cisco.com的ip地址為72.163.4.38和173.37.145.8。這些是可以改變的。DNS解析的IP地址可以相同，也可以更改。在手動配置之前與本地裝置確認。

路由器無法與tools.cisco.com通訊

• 確保配置了到Internet的預設路由。
• 確保裝置和CSSM之間沒有防火牆或代理。
• 確保埠443和80未被阻塞。

Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open

• 使用VRF的Telnet。

Router#telnet tools.cisco.com 443 /vrf Mgmt-intf 
Trying tools.cisco.com (72.163.4.38, 443)... Open

授權處於「不符合規定」狀態

當裝置使用權利且不符合條件（負平衡）時，會發生此狀態。當註冊思科裝置的虛擬帳戶中沒有所需的許可證時，會發生這種情況。

Router#show license all

License Authorization:
  Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
  Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
  Next Communication Attempt: Mar 26 03:12:31 2019 CDT
  Communication Deadline: Jun 23 15:06:30 2019 CDT

• 要進入合規性/授權狀態，您必須將正確的許可證數量和型別新增到智慧帳戶
• 當裝置處於此狀態時，它每天自動傳送授權續訂請求

智慧許可調試

可用於解決Call-home和智慧許可註冊問題的調試包括：

• debug call-home trace
• debug call-home error
• debug call-home smart-licensing all
• debug ip http client all
• debug crypto pki <所有選項>
• debug ssl openssl <all options>

其他資訊

適用於思科企業路由平台的思科智慧許可指南