簡介
本文件說明如何運用 Cisco Smart Licensing(雲端型系統)管理 Catalyst 交換器的軟體授權。
什麼是 Cisco Smart Licensing?
思科智慧許可是基於雲的統一許可證管理系統,可管理思科產品的所有軟體許可證。它使您能夠購買、部署、管理、跟蹤和續訂思科軟體許可證。此外,其亦透過單一使用者介面提供有關授權所有權和使用情況的資訊。
此解決方案由線上智慧帳戶(位於思科智慧許可門戶)和思科智慧軟體管理器(CSSM)組成,前者用於跟蹤思科軟體資產,後者用於管理智慧帳戶。CSSM可以執行所有許可管理相關任務,如註冊、註銷、移動和轉移許可證。您可為使用者新增和授予智慧型帳戶和特定虛擬帳戶的存取權和權限。
若要深入瞭解 Cisco Smart Licensing 的相關資訊,請造訪:
a) Cisco Smart Licensing 首頁
b) 思科社群 - 隨選訓練
有關在Cisco IOS® XE 17.3.2及更高版本中使用策略方法的全新智慧許可的詳細資訊,請訪問Catalyst交換機上的使用策略智慧許可。
第一次使用智慧型授權和/或智慧型帳戶管理?瀏覽並註冊新的管理員訓練課程和錄製內容:
思科社群 — 藉助思科智慧帳戶/智慧許可和「我的思科授權」實現智慧化。
您可在此處建立智慧型帳戶:智慧型帳戶
您可在此處管理智慧型帳戶:Smart Software Licensing
智慧型授權實作方法
以下提供多個可根據公司的安全性設定檔利用之 Cisco Smart Licensing 的部署方法:
直接雲端存取

思科產品會使用 HTTPS 直接透過網際網路安全地傳送使用資訊。無須使用其他元件。
透過 HTTPS Proxy 存取

思科產品會透過使用 HTTPS 的 HTTP Proxy 伺服器安全地傳送使用資訊。可以使用現有的代理伺服器,也可以通過思科傳輸網關部署該代理伺服器(按一下此處獲取某些詳細資訊)。
內部部署授權伺服器(亦稱為 Cisco Smart Software Manager Satellite)

思科產品會將使用資訊傳送至內部部署伺服器,而非直接透過網際網路傳送。該伺服器每月會透過 HTTPS 經網際網路連線至所有裝置一次,或可經手動方式傳輸,以同步其資料庫。CSSM 內部部署 (Satellite) 可做為虛擬機器 (VM) 使用,且可在此處下載。如需其他資訊,請造訪 Smart Software Manager Satellite 頁面。
支援的 Cisco IOS XE 平台
- 自 Cisco IOS XR 16.9.1 版起,Catalyst 3650/3850 和 Catalyst 9000 系列交換器平台將支援 Cisco Smart Licensing 方法做為唯一的授權方法。
- 自 Cisco IOS XE 16.10.1 版起,ASR1K、ISR1K、ISR4K 及虛擬路由器 (CSRv/ISRv) 等路由器平台將支援 Cisco Smart Licensing 方法做為唯一的授權方法。
從傳統授權移轉至智慧型授權
有兩種方法可將舊版許可證轉換為智慧許可證,例如使用權(RTU)或產品啟用金鑰(PAK)。如需詳細瞭解需遵循何種方法,請參閱特定思科裝置的相關版本說明和/或設定指南。
通過裝置LED轉換(DLC)進行轉換
- 裝置指示燈轉換(DLC)是一種一次性方法,思科產品可報告其使用的許可證,並且許可證會自動存放到思科智慧軟體管理器(CSSM)上相應的智慧帳戶中。 DLC 程序係直接透過特定思科裝置的命令列介面 (CLI) 執行。

透過 Cisco Smart Software Manager (CSSM) 或授權註冊入口網站 (LRP) 進行轉換
Cisco Smart Software Manager (CSSM) 方法:
1. 登錄到Cisco Smart Software Manager(CSSM),網址為https://software.cisco.com/。
2.導航至: 智慧軟體許可>轉換為智慧許可。
3.選擇轉換PAK或轉換許可證。

4.要轉換PAK許可證,請找到下表中的許可證。要轉換非PAK許可證,請使用許可證轉換嚮導瞭解逐步說明。
與帳戶相關的已知 PAK 檔案位置:

「授權轉換精靈」連結位置:

5.找到所需的許可證和產品組合。
6. 按一下(「動作」下方):轉換為智慧型授權.

7.選擇虛擬帳戶、許可證,然後按一下下一步。

8.複查選擇,然後按一下轉換許可證。

授權註冊入口網站 (LRP) 方法:
1.登錄到許可證註冊門戶(LRP)https://slexui.cloudapps.cisco.com/SWIFT/LicensingUI/Home/a>
2. 導覽至Devices > Add Devices。
3.輸入正確的產品系列和唯一裝置識別符號(UDI)產品ID和序列號,然後按一下確定。可從Cisco裝置的命令列介面(CLI)獲取show version或show inventory中的UDI資訊。

4.選擇新增的裝置並將許可證轉換為智慧許可。

5. Assign to proper Virtual Account,選擇要轉換的許可證,然後按一下Submit。

提示:LRP工具還可以在PAK或Tokens頁籤上查詢許可證/產品系列。點選PAK/Token旁邊的圓下拉選單,然後選擇Convert to Smart Licensing:

通過思科全球許可運營(GLO)部門轉換並與之聯絡
您可透過此處與全球客服中心的全球授權營運部門聯絡。
Catalyst 9500 高效能型號從 16.9 至 16.12.3 版的行為變更
如同其他 Catalyst 9000 型號,Catalyst 9500 高效能型號自 Cisco IOS XE 16.9 版系列起均已啟用智慧型授權功能。然而,若為 Catalyst 9500 高效能型號,則每個型號均具有其專屬的授權權利標籤。後來,產品和行銷團隊決定統一C9500平台權利標籤。此決定改變了 C9500 高效能型號的行為,從使用專屬權利標籤,改為使用通用 C9500 授權。
行為的這種變化在以下缺陷中得到了證明:
a) 思科錯誤 ID CSCvp30661
b) 思科錯誤 ID CSCvt01955
以下是上述更改之前和之後的C9500高效能型號許可證更改:
Cisco IOS XE版本16.11.x及更低版本
每個C9600高效能型號都有自己的授權標籤。
型號 |
授權 |
C9500-32C
|
C9500 32C NW Essentials
C9500 32C NW Advantage
C9500 32C DNA Essentials
C9500 32C DNA Advantage
|
C9500-32QC
|
C9500 32QC NW Essentials
C9500 32QC NW Advantage
C9500 32QC DNA Essentials
C9500 32QC DNA Advantage
|
C9500-24Y4C
|
C9500 24Y4C NW Essentials
C9500 24Y4C NW Advantage
C9500 24Y4C DNA Essentials
C9500 24Y4C DNA Advantage
|
C9500-48Y4C
|
C9500 48Y4C NW Essentials
C9500 48Y4C NW Advantage
C9500 48Y4C DNA Essentials
C9500 48Y4C DNA Advantage
|
附註:Cisco IOS XE版本16.12.1和16.12.2存在缺陷Cisco bug ID CSCvp3061和Cisco bug ID CSCvt01955。這些缺陷在16.12.3a及更高版本中進行了解決。
Cisco IOS XE 16.12.3 版和更新版本
Catalyst 9500高效能平台現在使用通用網路許可證標籤和單獨的DNA許可證標籤。下表顯示Cisco IOS XE版本16.12.3及更高版本中突出顯示的授權更改:
型號 |
授權 |
C9500-32C
|
C9500 Network Essentials
C9500 Network Advantage
C9500 32C DNA Essentials
C9500 32C DNA Advantage
|
C9500-32QC
|
C9500 Network Essentials
C9500 Network Advantage
C9500 32QC DNA Essentials
C9500 32QC DNA Advantage
|
C9500-24Y4C
|
C9500 Network Essentials
C9500 Network Advantage
C9500 24Y4C DNA Essentials
C9500 24Y4C DNA Advantage
|
C9500-48Y4C
|
C9500 Network Essentials
C9500 Network Advantage
C9500 48Y4C DNA Essentials
C9500 48Y4C DNA Advantage
|
附註:從Cisco IOS XE版本16.12.1和16.12.2升級將顯示此許可證行為。從Cisco IOS XE版本16.9.x、16.10.x、16.11.x升級到16.12.3可識別舊許可證配置。
C9500 高效能型號變更常見問題
1. 為何思科支援配置通用網路授權,我的裝置何時會使用裝置專屬的網路授權?
系統會提供通用標籤做為網路裝置的對應權利標籤。如此可讓整體 Cat9500 平台使用權利標籤,而非僅限特定 C9500 高效能型號。由於愈來愈多特定授權歸類為授權階層中的通用授權,因此要求裝置專屬授權標籤之 16.12.3 版前的映像檔均已遵循通用授權標籤。
2. 為何有時智慧型帳戶中會顯示兩個網路標籤?
此行為係因授權階層所造成,當裝置執行於使用裝置專屬授權標籤的舊版映像檔時即會發生。由於愈來愈多特定授權歸類為授權階層中的通用授權,因此要求裝置專屬授權標籤之舊版映像檔均已遵循通用授權標籤。
組態
基本配置
有關如何配置智慧許可的確切過程,請參閱適用於每個版本/平台的系統管理配置指南。
舉例來說:Cisco IOS XE Fuji 16.9.x(Catalyst 9300 交換器)系統組態設定指南
註冊權杖/裝置 ID 權杖
註冊裝置之前,需要生成令牌。註冊令牌(也稱為裝置ID令牌)是在將思科裝置初始註冊到相應的智慧帳戶時,從智慧許可門戶或Cisco Smart Software Manager on-prem生成的唯一令牌。根據建立期間所使用的參數,個別權杖可用於註冊多個思科裝置。
此外,初次註冊思科裝置期間,亦僅需要註冊權杖,因為其會提供資訊給裝置,以主動向思科後端通報,並繫結至正確的智慧型帳戶。註冊Cisco裝置後,不再需要權杖。
有關註冊令牌及其生成方式的更多資訊,請單擊此處獲取一般指南。如需詳細資料,請參閱特定思科裝置的組態設定指南。
註冊和授權狀態
部署和配置智慧許可時,思科裝置可能處於多種狀態。透過從思科裝置命令列介面 (CLI) 查看 show license all 或 show license status,即可顯示這些狀態。
以下是所有狀態及其描述的清單:
評估(未識別)狀態
- 評估是裝置首次引導時的預設狀態。
- 通常,當思科裝置尚未配置智慧許可或註冊到智慧帳戶時,會出現此狀態。
- 在此狀態下,所有功能均可用,裝置可以自由更改許可證級別。
- 當裝置處於未識別狀態時,即會使用評估期。在此狀態下,裝置不會嘗試與思科通訊。
- 此評估期為使用90天,而不是90個日曆天。一旦評估期過期,它永遠不會重置。
- 整個裝置有一個評估期;不是每個權利都有一個評估期。
- 當評估期在90天結束時過期時,裝置將進入EVAL EXPIRY模式。但是,即使重新載入後,功能也不會受到任何影響或中斷。目前,尚未實施任何強制措施。
- 在重新開機期間,系統仍會出現倒數計時。
- 如果裝置尚未向思科註冊且尚未從思科後端收到以下兩條消息,則使用評估期:
- 成功響應註冊請求。
- 權利授權請求成功回應。
已註冊狀態
- Registered是成功完成註冊後的預期狀態。
- 此狀態表示思科裝置已經能夠與思科智慧帳戶成功通訊並註冊。
- 該裝置收到有效期為一年的ID證書,該證書用於未來的通訊。
- 裝置向CSSM傳送請求,以授權裝置上正在使用的許可證的授權。
- 根據CSSM響應,裝置隨後進入「已授權」或「不合規」狀態。
- 該 ID 憑證會在一年結束後到期。六個月後,軟體代理進程將嘗試續訂證書。如果代理無法與CSSM通訊,它將繼續嘗試續訂ID證書,直到到期日期(一年)。 一年後,代理將返回到「未標識」狀態,並嘗試啟用「評估」期間。CSSM從其資料庫中刪除產品例項。
已授權狀態
- Authorized是裝置使用權利檔案並且處於合規狀態(無負餘額)時的預期狀態。
- 此狀態表示CSSM上的虛擬帳戶具有正確的許可證型別和數量,用於授權使用此裝置的許可證。
- 30天後,裝置會向CSSM傳送更新授權的新請求。
- 此狀態的時間跨度為90天。90天後(如果未成功續訂),裝置將移至Authorization Expired狀態。
不符合規定狀態
- Out of Compliance是裝置正在使用權利且未處於合規狀態(負餘額)時的狀態。
- 當裝置的對應虛擬帳戶(思科裝置在思科智慧型帳戶中所註冊的帳戶)中不具有可用的授權時,系統即會顯示此狀態。
- 要進入合規性/授權狀態,您必須將正確的許可證數量和型別新增到智慧帳戶。
- 當裝置處於Out of Compliance狀態時,它將每天自動傳送授權續訂請求。
- 許可證和功能將繼續運行,且沒有功能影響。
授權已到期狀態
- Authorization Expired是裝置使用授權且在90天以上無法與關聯的思科智慧帳戶通訊時的狀態。
- 如果思科裝置在初始註冊後丟失網際網路訪問或無法連線到tools.cisco.com,則通常會出現此狀態。
- 智慧型授權的線上方法會要求思科裝置至少每 90 天通訊一次,以避免顯示此狀態。
- CSSM將此裝置的所有使用中許可證返回池,因為它在90天內未與裝置進行任何通訊。
- 在此狀態下,裝置將繼續嘗試每小時聯絡思科以續訂權利授權,直到註冊期(ID證書)過期。
- 如果軟體代理與思科重新建立通訊並收到其授權請求,它會正常處理該回覆,並進入一個已建立的狀態。
考量和注意事項
從交換機的16.9.1和路由器的16.10.1開始,將生成名為CiscoTAC-1的預設Call-home配置檔案,以協助遷移到智慧許可。預設情況下,此配置檔案設定為直接雲訪問方法。
#show call-home profile CiscoTAC-1
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
<snip>
利用 Cisco Smart Software Manager 內部部署伺服器時,主動通報組態下的目的地位址必須指向以下目的地(區分大小寫!):
(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler
解析 tools.cisco.com 必須使用 DNS。如果DNS伺服器連線在VRF中,請確保定義了正確的源介面和VRF:
Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>
VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>] <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>
或者,如果DNS不可用,請靜態配置本地DNS到IP的對映(基於終端裝置上的本地DNS解析),或將call-home配置中的DNS名稱替換為IP地址。請參閱直接雲存取範例(適用於Cisco Smart Software Manager on-prem,使用自己的DNS名稱而不是tools.cisco.com):
(config)#ip host tools.cisco.com <x.x.x.x>
如果需要從特定VRF(例如Mgmt-vrf)中的介面發起到tools.cisco.com的通訊,則必須配置此CLI:
(config)#ip http client source-interface <VRF_INTERFACE>
根據Cisco裝置的組態,可以使用不同的授權數量,例如在StackWise或StackWise虛擬中執行的Catalyst交換器:
支援的傳統堆疊式交換器(例如Catalyst 9300系列):
網路授權: 堆疊中的每個交換器使用 1 個授權
DNS 授權:堆疊中的每個交換器使用 1 個授權
模組化機箱(例如Catalyst 9400系列):
網路授權: 機箱中的每個監管裝置會使用 1 個授權
DNS 授權:每個機箱會使用 1 個授權
固定堆疊式虛擬支援交換器(例如Catalyst 9500系列):
網路授權: 堆疊中的每個交換器使用 1 個授權
DNS 授權:堆疊中的每個交換器使用 1 個授權
- 僅限一個主動通報設定檔可針對智慧型授權發揮作用
- 授權僅會在設定對應功能後使用。
- 為智慧許可配置的思科裝置必須配置正確的系統時間和日期,以確保它們與相應的思科智慧帳戶正確同步。如果思科裝置的時間位移太遠,則裝置可能會無法註冊。必須手動設定時鐘或通過定時協定(如網路時間協定(NTP)或精確時間協定(PTP))配置時鐘。 有關實施這些更改所需的確切步驟,請參閱特定思科裝置的配置指南。
- 如果註冊後未自動儲存思科裝置註冊過程中生成的公鑰基礎設施(PKI)金鑰,則必須儲存該金鑰。如果裝置無法儲存PKI金鑰,則會生成系統日誌,提示您通過copy running-config startup-config或write memory命令儲存配置。
- 如果思科裝置的 PKI 金鑰無法正確儲存,則授權狀態可能會在容錯移轉或重新載入時遺失。
- 將第三方代理用於HTTPS代理方法時,預設情況下,智慧許可不支援HTTPS代理SSL證書攔截。若要支援此功能,您可停用 Proxy 上的 SSL 攔截,或以手動方式匯入從 Proxy 傳送的認證。
How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint.
The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.
Device#conf t
Device(config)#crypto pki trustpoint LicRoot
Device(ca-trustpoint)#enrollment terminal
Device(ca-trustpoint)#revocation-check none
Device(ca-trustpoint)#exit
Device(config)#crypto pki authenticate LicRoot
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: XXXXXXXX
Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
使用傳輸閘道HTTP Proxy時,必須將IP位址從tools.cisco.com變更為Proxy,如以下範例所示:
自
目的地位址http https://tools.cisco.com/its/service/oddce/services/DDCEService
變更為
目的地址http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler
透過導覽至 HTTP 設定,並查看思科傳輸閘道 GUI 上的 HTTP 服務 URL 下方,即可找到傳輸閘道 IP 位址。
有關詳細資訊,請參閱此處思科傳輸網關的配置指南。
疑難排解
將思科裝置遷移到支援智慧許可的軟體版本時,可以使用此流程圖作為所有三種方法(直接雲訪問、HTTPS代理和本地思科智慧軟體管理器On-prem)的一般指南。
升級為或隨附支援智慧型授權之軟體版本的裝置(請參閱支援之 Cisco IOS XE 版本清單的第 1.3 節)。

這些故障排除步驟主要針對裝置無法註冊的情況。
裝置無法註冊
初始設定後,若要啟用智慧型授權,則權杖(於 CSSM/Cisco Smart Software Manager 內部部署產生 )需要透過 CLI 於裝置上註冊:
license smart register idtoken <TOKEN>
此操作將生成以下事件:
! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result
!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds)
%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified. Issue "write memory" to save new IOS PKI configuration
!
! Call-home start registration process
!
%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode.
!
! Smart Licensing process connects with CSSM and check entitlement.
!
%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed
%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN>
%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved
%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized
%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>
要檢查call-home配置,請運行以下CLI:
#show call-home profile all
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
Periodic configuration info message is scheduled every 1 day of the month at 09:15
Periodic inventory info message is scheduled every 1 day of the month at 09:00
Alert-group Severity
------------------------ ------------
crash debug
diagnostic minor
environment warning
inventory normal
Syslog-Pattern Severity
------------------------ ------------
APF-.-WLC_.* warning
.* major
要檢查智慧許可狀態,請運行以下CLI:
#show license summary
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: TAC Cisco Systems, Inc.
Virtual Account: Krakow LAN-SW
Export-Controlled Functionality: ALLOWED
Last Renewal Attempt: None
Next Renewal Attempt: Nov 22 21:24:32 2019 UTC
License Authorization:
Status: AUTHORIZED
Last Communication Attempt: SUCCEEDED
Next Communication Attempt: Jun 25 21:24:37 2019 UTC
License Usage:
License Entitlement tag Count Status
-----------------------------------------------------------------------------
C9500 Network Advantage (C9500 Network Advantage) 1 AUTHORIZED
C9500-DNA-40X-A (C9500-40X DNA Advantage) 1 AUTHORIZED
如果裝置無法註冊(且如果狀態並非 REGISTERED),則不符合規定狀態會指出 CSSM 的問題(例如,智慧虛擬帳戶中遺失授權)、不正確的對應(舉例來說,系統使用不同虛擬帳戶的權杖,但該權杖未提供任何授權)等。
查看以下項目:
1.驗證配置設定和常見故障場景。
請參閱第 2.1 節,以了解基本組態設定步驟。此外,請檢視第5部分,瞭解現場觀察到的常見故障場景。
2.檢查基本連通性。
驗證裝置是否可以訪問(並開啟TCP埠)tools.cisco.com(如果是直接訪問)或Cisco Smart Software Manager內部伺服器:
#show run all | in destination address http
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
!
! check connectivity
!
#telnet tools.cisco.com 443 /source-interface gi0/0
Trying tools.cisco.com (x.x.x.x, 443)... Open
[Connection to tools.cisco.com closed by foreign host]
如果這些命令不起作用,請仔細檢查您的路由規則、源介面和防火牆設定。
附註:HTTP(TCP/80)正在被棄用,推薦的協定是HTTPS(TCP/443)。
請參閱本文件中的章節:3.本文檔中的注意事項和警告,以瞭解如何配置DNS和HTTP詳細資訊的進一步指南。
3. 驗證Smart License設定。
收集以下輸出內容:
#show tech-support license
然後驗證收集的組態/記錄(如果您決定開啟 Cisco TAC 案例進一步調查,請附加此輸出內容)。
4. 啟用debug。
啟用這些調試以收集有關智慧許可流程的其他資訊。
附註:啟用調試後,您需要嘗試通過CLi再次註冊許可證,如第4.1點所述。
#debug call-home smart-licensing [all | trace | error]
#debug ip http client [all | api | cache | error | main | msg | socket]
若要進行內部偵錯,請啟用並讀取二進位追蹤:
! enable debug
#set platform software trace ios [switch] active R0 infra-sl debug
!
! read binary traces infra-sl process logs
#show platform software trace message ios [switch] active R0
常見故障情況
本節介紹思科裝置註冊期間或註冊後可能遇到的一些常見故障情況:
情況 1: 交換器註冊「故障原因:產品已經註冊」
「show license all」剪取內容:
註冊:
狀態:UNREGISTERED - REGISTRATION FAILED
受匯出控制的功能:NotAllowed
初始註冊:FAILED on Oct 22 14:25:31 2018 EST
失敗原因:產品已經註冊
下次嘗試註冊時間:Oct 22 14:45:34 2018 EST
後續步驟:
— 必須再次註冊Cisco裝置。
— 如果在CSSM中看到Cisco裝置,則必須使用force引數(即license smart register idtoken <TOKEN> force)。
附註:失敗原因還可顯示為:
- 失敗原因:包含 udiSerialNumber:<SerialNumber>,udiPid:<Product> 的產品 <X> 和 SUDI 已註冊。
- 失敗原因:現有的產品執行個體顯示 Consumption and Force Flag is False。
情況 2:交換器註冊「故障原因:您的要求目前無法處理。」請重試」
「show license all」剪取內容:
註冊:
狀態:REGISTERING - REGISTRATION IN PROGRESS
受匯出控制的功能:NotAllowed
初始註冊:FAILED on Oct 24 15:55:26 2018 EST
失敗原因: 您的要求目前無法處理。請重試
下次嘗試註冊時間:Oct 24 16:12:15 2018 EST
後續步驟:
— 啟用第4部分中提到的調試,以便獲得有關此問題的更多見解。
- 在智慧型授權的 CSSM 中產生新的權杖,然後再次嘗試。
情況 3:失敗原因「裝置日期 1526135268653 偏移超出允許的誤差限制」
「show license all」剪取內容:
註冊:
狀態:REGISTERING - REGISTRATION IN PROGRESS
受匯出控制的功能:NotAllowed
初始註冊:FAILED on Nov 1117:55:46 2018 EST
失敗原因:{"timestamp":["裝置日期'1526135268653'偏移量超出允許的容差限制。"]}
下次嘗試註冊時間:Nov 11 18:12:17 2018 EST
可能顯示的記錄:
%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID:憑證鏈結驗證已失敗。 憑證 (SN:XXXXXX) 尚未生效。有效期限始於 2018-12-12:43Z
後續步驟:
— 驗證思科裝置時鐘是否顯示正確的時間(show clock)。
— 如果可能,配置網路時間協定(NTP)以確保時鐘設定正確。
— 如果無法進行NTP,請驗證手動設定的時鐘(時鐘設定)是否正確(顯示時鐘),並通過驗證是否配置了時鐘日曆有效來驗證是否配置為受信任的時間源
附註:依預設,系統時鐘不受信任。需要時鐘日曆有效。
情況 4:交換器註冊「故障原因:通訊傳輸無法使用。」
「show license all」剪取內容:
註冊:狀態:UNREGISTERED - REGISTRATION FAILED
受匯出控制的功能:不允許
初始註冊:FAILED on Mar 09 21:42:02 2019 CST
失敗原因:通訊傳輸無法使用。
可能顯示的記錄:
%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE:無法從授權專用智慧型代理程式啟用主動通報:由於現有的作用中使用者設定檔的緣故,因此命令無法啟用 Smart Call Home 功能。如果您使用除CiscoTAC-1配置檔案之外的使用者配置檔案將資料傳送到思科的SCH伺服器,請在配置檔案模式下輸入reporting smart-licensing-data以配置該配置檔案以進行智慧許可。有關SCH的詳細資訊,請檢視http://www.cisco.com/go/
%SMART_LIC-3-AGENT_REG_FAILED:Cisco Smart Software Manager 或 Satellite 的授權註冊專用智慧型代理程式失敗:通訊傳輸無法使用。
%SMART_LIC-3-COMM_FAILED:Cisco Smart Software Manager 或 Satellite 的通訊失敗:通訊傳輸無法使用。
後續步驟:
— 驗證在Cisco裝置的show running-config輸出中,已使用service call-home啟用call-home。
- 確認正確的主動通報設定檔作用中.
— 驗證是否在活動call-home配置檔案下配置了reporting smart-licensing-data。
情況 5:交換器許可授權「故障原因:無法傳出主動通報 HTTP 訊息。」
「show license all」剪取內容:
授權驗證:
狀態:OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
上次嘗試通訊:FAILED on Aug 02 14:26:23 2018 UTC
失敗原因:無法傳出主動通報 HTTP 訊息。
下次嘗試通訊時間:Aug 02 14:26:53 2018 UTC
通訊截止時間:Oct 25 09:21:38 2018 UTC
可能顯示的記錄:
%CALL_HOME-5-SL_MESSAGE_FAILED:無法將智慧型授權訊息傳出至:https://<ip>/its/service/oddce/services/DDCEService (錯誤 205 :要求已中止)
%SMART_LIC-3-COMM_FAILED:Cisco Smart Software Manager 或 Satellite 的通訊失敗:無法傳出主動通報 HTTP 訊息。
%SMART_LIC-3-AUTH_RENEW_FAILED:Cisco Smart Software Manager 或 Satellite 的授權更新:UDI 的通訊訊息傳送錯誤 PID:XXX, SN:XXX
後續步驟:
— 驗證思科裝置是否可以ping通tools.cisco.com。
— 如果未配置DNS,請為tools.cisco.com的本地nslookup IP配置DNS伺服器或ip host語句。
— 嘗試從Cisco裝置telnet至TCP埠443(HTTPS使用的埠)上的tools.cisco.com。
- 驗證 HTTPS 用戶端來源介面已設定且正確 .
— 通過show call-home profile all驗證思科裝置上的Call Home配置檔案中的URL/IP設定是否正確。
- 驗證 IP 路由指向下一個正確躍點.
— 確保思科裝置、Smart Call Home Server的路徑或本地思科智慧軟體管理器(衛星)上的TCP埠443未被阻止。
— 確保在call-home下配置正確的虛擬路由和轉發(VRF)例項(如果適用)。
情況 6:失敗原因「遺漏 ID 憑證序號欄位;遺漏簽署憑證序號欄位;已簽署的資料與憑證不符」記錄
如果使用CSSM內部伺服器時,其加密證書已過期(如思科錯誤ID CSCvr41393所述),則會出現此行為。這是預期行為,因為必須允許本地CSSM同步和續訂其證書,才能防止任何註冊裝置的證書同步問題。
「show license all」剪取內容:
註冊:
狀態:UNREGISTERED
智慧型帳戶:範例帳戶
受匯出控制的功能:已允許
授權驗證:
狀態:EVAL MODE
剩餘評估期:65 天,18 小時,43 分鐘,0 秒
可能顯示的記錄:
在show logging或show license eventlog下顯示此錯誤:
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="遺漏 ID 憑證序號欄位;遺漏簽署憑證序號欄位;簽署的資料與憑證不符"
後續步驟:
- 驗證思科裝置具有 CSSM 內部部署伺服器的 IP 連線能力.
- 如果使用 HTTPS,請確認裝置主動通報組態中的認證 CNAME 正在使用.
— 如果DNS伺服器無法解析證書C-Name,請配置靜態ip host語句以對映域名和IP地址。
- 驗證 CSSM 內部部署伺服器的憑證狀態仍有效.
— 如果CSSM內部部署證書已過期,請使用思科錯誤ID CSCvr41393
附註:預設情況下,HTTPS在SSL握手期間執行伺服器身份檢查,以驗證URL或IP是否與伺服器提供的證書相同。如果主機名稱和 IP 不符,如此使用 IP 位址而非 DNS 項目時可能會造成問題。如果無法使用DNS或靜態ip host語句,則不能將http secure server-identity-check配置為禁用此證書檢查。
情況 7:交換器許可授權「故障原因:等候回覆中」
「show license all」剪取內容:
授權驗證:
狀態:OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
上次嘗試通訊:PENDING on Aug 02 14:34:51 2018 UTC
失敗原因:等候回覆中
下次嘗試通訊時間:Aug 02 14:53:58 2018 UTC
通訊截止時間:Oct 25 09:21:39 2018 UTC
可能顯示的記錄:
%PKI-3-CRL_FETCH_FAIL:信任點 SLA-TrustPoint 的 CRL 擷取失敗原因:無法選取通訊端。逾時:5(連線逾時)
%PKI-3-CRL_FETCH_FAIL:信任點 SLA-TrustPoint 的 CRL 擷取失敗原因:無法選取通訊端。逾時:5(連線逾時)
後續步驟:
— 要解決此問題,必須在運行配置下將SLA-TrustPoint配置為none
show running-config
<omitted>
crypto pki trustpoint SLA-TrustPoint
revocation-check none
什麼是 CRL?
憑證撤銷清單 (CRL) 為已撤銷之憑證的清單。CRL 會由原始發行憑證的憑證授權單位 (CA) 建立和數位簽署。CRL 會包含每個憑證發行和到期的日期。如需有關 CRL 的詳細資訊,請參閱此處。
情況 8:授權處於「不符合規定」狀態
「show license all」剪取內容:
授權驗證:
狀態:OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
上次嘗試通訊:PENDING on Aug 02 14:34:51 2018 UTC
失敗原因:等候回覆中
下次嘗試通訊時間:Aug 02 14:53:58 2018 UTC
通訊截止時間:Oct 25 09:21:39 2018 UTC
可能顯示的記錄:
%SMART_LIC-3-OUT_OF_COMPLIANCE:一或多項權利不符合規定.
後續步驟:
— 驗證是否使用了正確的智慧虛擬帳戶中的令牌。
- 驗證此處可用的授權數量。
情況 9:交換器許可授權「故障原因:資料與簽章不符」
「show license all」剪取內容:
授權驗證:
狀態:AUTHORIZED on Mar 12 09:17:45 2020 EDT
上次嘗試通訊:FAILED on Mar 12 09:17:45 2020 EDT
失敗原因:資料與簽章不符
下次嘗試通訊時間:Mar 12 09:18:15 2020 EDT
通訊截止時間:May 09 21:22:43 2020 EDT
可能顯示的記錄:
%SMART_LIC-3-AUTH_RENEW_FAILED:Cisco Smart Software Manager (CSSM) 的授權更新:從 Smart Software Manager 接收到的錯誤:UDI 的資料與簽章不符 PID:C9000,SN:XXXXXXXXXXX
後續步驟:
— 使用許可證智慧取消註冊來取消註冊交換機。
— 然後使用具有許可證智慧暫存器idtoken <TOKEN>的新令牌註冊交換機。
參考資料
1) Cisco Smart Licensing 首頁
2) 思科社群 - 隨選訓練
3) 智慧型帳戶 - 管理入口網站:Smart Software Licensing
4) 智慧型帳戶 - 建立新帳戶:智慧型帳戶
5) 組態設定指南(範例)- Cisco IOS XE Fuji 16.9.x(Catalyst 9300 交換器)系統組態設定指南