簡介
本檔案介紹思科智慧授權(SL)部署的型別和所需的配置。
必要條件
需求
- 可存取思科智慧軟體管理員(CSSM)入口的智慧帳戶。
- Cisco IOS® XE版本在16.5.1到17.3.1之間的裝置。
- Cisco Smart Software Manager On-Prem Server。
- 裝置與CSSM或內部伺服器之間的HTTPS連線。
注意:對於某些部署,無需使用思科內部智慧軟體管理器。它是該功能的可選元件。
注意:智慧許可對於16.5.1和16.9.8之間的版本是可選的。對於使用Cisco IOS® XE 16.10.1a的物理裝置,必須提供最多Cisco IOS® XE 17.3.1的智慧許可。從17.3.2開始,必須使用智慧許可策略。對於虛擬裝置和其他思科平台,請檢視特定代碼的發行說明。
採用元件
本檔案適用於Cisco IOS® XE企業路由平台。
本檔案中的資訊是根據以下硬體和軟體版本:
- Cisco ASR1001-X(Cisco IOS® XE版本16.9.4)和Cisco ISR4351(Cisco IOS® XE版本16.12.1)。
- 8埠版本的智慧軟體管理202108伺服器。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
部署型別
智慧許可註冊和消費有四個主要部署選項:
- 直接CSSM訪問
- 使用代理的直接CSSM存取
- SSM內部存取
- 特定授權保留(SLR)
直接CSSM訪問
此部署選項允許您通過Internet直接通過HTTPS將使用情況資訊傳輸到Cisco。
在Cisco IOS® XE 16.10.1a中,智慧許可預設啟用,並且是唯一可用的許可模式。對於此部署,需要第3層配置,並且可從正確的介面訪問HTTPS埠(443)中的tools.cisco.com。需要DNS配置。
確認連線後,註冊裝置的步驟如下:
步驟 1.在裝置上啟用智慧許可證(可選)。從16.10.1a預設啟用該功能。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#license smart enable
注意:此命令啟用所需的服務call-home。
步驟 2.為tools.cisco.com配置域名系統(DNS)伺服器或靜態主機條目。
Router(config)#ip name-server X.X.X.X
or
Router(config)#ip host tools.cisco.com X.X.X.X
步驟 3.從思科智慧軟體管理器生成新令牌。
- 登入Cisco Smart Software Manager,網址為https://software.cisco.com/#,然後導航至Smart Software Manager部分。
- 選擇Inventory頁籤,然後從Virtual Account下拉選單中選擇Virtual Account。
- 選擇General頁籤,然後選擇New Token。
- 輸入令牌說明並指定令牌必須處於活動狀態的天數。
- 對使用此令牌註冊的產品啟用允許匯出控制功能。這樣允許在註冊的裝置中請求高加密許可證。
- 選擇Create Token。建立令牌後,選擇Copy。
步驟 4.更改call-home配置(可選)。
預設呼叫總部配置檔案配置足以註冊裝置。您可以在以下位置驗證當前呼叫總部配置檔案配置:
Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
步驟 5.使用令牌向CSSM註冊裝置。
Router#license smart register idtoken < token from CSSM portal > force
注意: force關鍵字會立即強制進行註冊嘗試。如果未使用,註冊過程可能需要較長時間。
步驟 6.驗證裝置是否已正確註冊到CSSM。
Router#show license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: TAC Cisco Systems, Inc.
Virtual Account: CORE TAC
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Feb 28 12:54:22 2018 UTC
Registration Expires: Sep 01 12:49:04 2018 UTC
License Authorization:
Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC
Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC
Next Communication Attempt: Oct 01 12:54:28 2017 UTC
Communication Deadline: Nov 30 12:49:12 2017 UTC
含虛擬路由和轉送(VRF)的直接CSSM存取
如果裝置使用VRF到達CSSM,則需要在call-home配置檔案配置下配置源VRF和源介面。要配置此部署,必須執行直接CSSM訪問部分中的步驟1-3。然後,使用正確的VRF和源介面編輯call-home配置以訪問CSSM URL。以下是Mgmt-intf VRF中的管理介面GigabitEthernet0的示例。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
使用分配給VRF的正確介面配置源HTTP介面。此組態會影響HTTP和HTTPS流量。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
為特定VRF配置DNS:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X
完成VRF配置後,可以繼續執行直接CSSM訪問部分中的步驟5和6。
使用代理的直接CSSM存取
如果代理伺服器需要實現與CSSM的HTTPS連線,則需要按照直接CSSM訪問部分中的步驟操作,並在call-home配置中包含http-proxy命令。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080
SSM內部存取
此部署型別允許您在不直接連線到思科託管的CSSM的情況下管理本地的產品和許可證。要實施此功能,您的網路中必須已安裝SSM預裝。安裝SSM On-Prem的步驟不在本檔案的範圍之內。
將SSM On-Prem伺服器與裝置連線的配置步驟如下:
步驟 1.在裝置上啟用智慧許可。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#license smart enable
注意:此命令啟用所需的服務call-home。
步驟 2.確保能夠與您的CSSM內部伺服器通訊。
Router#ping X.X.X.X
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms
註:如果您有DNS伺服器,則可以使用它將On-Prem伺服器IP地址解析為名稱。
步驟 3.從SSM On-Prem生成新令牌。
3.1登入到SSM伺服器。
3.2令牌建立
- 輸入令牌描述。指定令牌必須處於活動狀態的天數。
- 對使用此權杖註冊的產品啟用「允許出口控制功能」覈取方塊。
- 選擇Create Token。
- 建立令牌後,選擇Copy以複製新建立的令牌。
步驟 4.在裝置上配置call-home。
需要使用On-Prem伺服器的IP(http://X.X.X.X/Transportgateway/services/DeviceRequestHandler)變更destination address http命令並移除預設命令。
Router(config)#call-home
Router(cfg-call-home)#profile CiscoTAC-1
Router(cfg-call-home-profile)#destination transport-method http
Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler
Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
Router(cfg-call-home-profile)#active
Router(cfg-call-home-profile)#exit
Router(cfg-call-home)#contact-email-addr test@cisco.com
Router(cfg-call-home)#service call-home
Router(cfg-call-home)#end
步驟 5.在SLA-TrustPoint信任點上配置吊銷檢查無。
Router#configure terminal
Router(config)#crypto pki trustpoint SLA-TrustPoint
Router(ca-trustpoint)#revocation-check none
步驟 6.使用從SSM On-Prem檢索到的令牌註冊裝置。
Router#license smart register idtoken < token from SSM On-Prem portal > force
步驟 7.驗證裝置是否已正確註冊到SSM On-Prem。
Router#show license status
Smart Licensing is ENABLED
Utility:
Status: DISABLEDData Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
Registration:
Status: REGISTERED
Smart Account: manudiaz
Virtual Account: Default
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Sept 30 14:22:12 2021 UTC
Registration Expires: Oct 19 04:35:44 2021 UTC
採用VRF設定的SSM內部存取
如果使用VRF來訪問SSM On-Prem,則必須配置源VRF,以便裝置從正確的VRF生成請求。
按照SSM內部訪問一節中的步驟操作,直到步驟3。
步驟 1.使用正確的VRF和源介面編輯Call-home配置,您可以在源介面上訪問SSM On-Prem:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
步驟 2.使用分配給VRF的正確介面配置源http-client介面:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
步驟 3.為特定VRF配置DNS。
您可以在本地環境中配置DNS伺服器以解析SSM本地伺服器的名稱:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X
在這些更改後,您可以繼續執行SSM內部訪問中的步驟5和步驟6。
特定授權保留(SLR)
SLR是一項功能,使您能夠在裝置上部署軟體許可證,而無需直接將使用資訊傳達給思科。此功能在高度安全的網路中特別有用,在擁有智慧許可門戶的平台上受支援。 本配置指南假設您已請求並已授權使用SLR。
註:預設情況下未啟用SLR。您必須專門請求此功能。
註:Cisco IOS® XE 16.11.1a及更高版本支援SLR和許可證實施。
要在裝置中配置SLR,需要從路由器端以及CSSM門戶執行這些步驟
步驟 1.配置路由器的SLR。您必須輸入license smart reservation命令,並在本地請求license smart reservation request local的SLR功能。
注意:如果在HA平台中完成註冊,則必須使用license smart reservation request all。
Router# enable
Router# configure terminal
Router(config)# license smart reservation
Router(config)# exit
Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX
註:預設情況下未啟用SLR。您必須專門請求此功能。
注意:要取消許可證保留請求,請運行license smart reservation cancel命令。
在CSSM上,需要保留所需的許可證。
步驟 2.通過https://software.cisco.com/#登入CSSM。您必須使用思科憑證登入入口網站。
步驟 3.選擇「資產」頁籤。從「虛擬帳戶」下拉選單中,選擇您的智慧帳戶。
步驟 4.在Licenses頁籤中,選擇License Reservation。
步驟 5.在「Enter Request Code」頁上,輸入或附加從路由器生成的保留請求代碼,然後選擇Next。
步驟 6.選中Reserve a Specific License框,然後選擇每台裝置所需的許可證和保留的許可證數量。
步驟 7.在Review and Confirm頁籤中,選擇Generate Authorization Code。
註:生成特定裝置的SLR代碼後,授權代碼檔案將一直有效,直到您安裝該代碼。如果安裝失敗,您必須聯絡思科全球許可證運營(GLO)以建立新的授權代碼。您可以在此處聯絡GLO
步驟 8.選擇Copy to Clipboard以複製代碼,或選擇Download,將其作為檔案下載。您需要將代碼或檔案複製到您的裝置才能繼續此過程。
如果配置SLR,則可以下載或安裝授權碼文本檔案。如果配置永久許可證保留(PLR),則可以複製並貼上授權代碼。
步驟 9.登入到裝置並使用安裝命令license smart reservation install file bootflash:<SLR file>。
Router#enable
Router#license smart reservation install file bootflash:
如果需要,您可以返回在裝置中保留的許可證,然後返回到未註冊狀態。系統將生成一個返回代碼,必須將其輸入到CSSM中才能刪除該產品例項。
Router#enable
Router#license smart reservation return local
更新特定許可證保留
成功註冊裝置後,如果需要,可以使用新功能或許可證更新保留,如下所示:
步驟 1.登入Cisco Smart Software Manager,網址為https://software.cisco.com/#。您必須使用思科提供的使用者名稱和密碼登入門戶。
步驟 2.導航到Inventory頁籤,然後從Virtual Account下拉選單中選擇Smart Account。
步驟 3.在「Product Instances」頁籤中,為需要更新的裝置選擇Actions。
步驟 4.選擇更新保留的許可證。
步驟 5.選擇要更新的許可證。
步驟 6.選擇Next。
步驟 7.在Review and Confirm頁籤中,選擇Generate Authorization Code。將顯示Authorization Code頁籤。系統顯示生成的授權碼。
步驟 8.選擇Copy to Clipboard選項以複製代碼或將其作為檔案下載。您需要將代碼或檔案複製到您的裝置上。
步驟 9.登入到要更新的裝置。
步驟 10.運行license smart reservation install file命令。
Router#enable
Router#license smart reservation install file bootflash:
註銷特定許可證保留
要註銷裝置的特定許可證保留,您必須在CLI中返回許可證保留並從CSSM中刪除例項。
步驟 1.登入到要取消註冊的裝置。
步驟 2.要刪除許可證保留授權代碼,請使用license smart reservation return命令。
Router#license smart reservation return local
This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly.
Do you want to continue? [yes/no]: yes
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:ISR4351/K9,SN:FDO210305DQ
CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33
步驟 3.通過https://software.cisco.com/#登入CSSM。
步驟 4.選擇Inventory頁籤。從「虛擬帳戶」下拉選單中,選擇您的智慧帳戶。
步驟 5.在Product instance頁籤中,對於要取消註冊的裝置,選擇Actions。
步驟 6.選擇Remove。
步驟 7.出現提示時,輸入返回代碼。
疑難排解
裝置無法解析tools.cisco.com
驗證是否已正確配置DNS伺服器以使用正確的VRF或全域性路由表。如果需要,您還可以建立靜態DNS條目:
Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8
注意:用於訪問tools.cisco.com的ip地址為72.163.4.38和173.37.145.8。這些是可以改變的。DNS解析的IP地址可以相同,也可以更改。在手動配置之前與本地裝置確認。
路由器無法與tools.cisco.com通訊
- 確保配置了到Internet的預設路由。
- 確保裝置和CSSM之間沒有防火牆或代理。
- 確保埠443和80未被阻塞。
Router#telnet tools.cisco.com 443
Trying tools.cisco.com (72.163.4.38, 80)... Open
Router#telnet tools.cisco.com 443 /vrf Mgmt-intf
Trying tools.cisco.com (72.163.4.38, 443)... Open
授權處於「不符合規定」狀態
當裝置使用權利且不符合條件(負平衡)時,會發生此狀態。當註冊思科裝置的虛擬帳戶中沒有所需的許可證時,會發生這種情況。
Router#show license all
License Authorization:
Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT
Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT
Next Communication Attempt: Mar 26 03:12:31 2019 CDT
Communication Deadline: Jun 23 15:06:30 2019 CDT
- 要進入合規性/授權狀態,您必須將正確的許可證數量和型別新增到智慧帳戶
- 當裝置處於此狀態時,它每天自動傳送授權續訂請求
智慧許可調試
可用於解決Call-home和智慧許可註冊問題的調試包括:
- debug call-home trace
- debug call-home error
- debug call-home smart-licensing all
- debug ip http client all
- debug crypto pki <所有選項>
- debug ssl openssl <all options>
其他資訊
適用於思科企業路由平台的思科智慧許可指南