疑難排解 Catalyst 平台的智慧型授權

簡介

本文件說明如何運用 Cisco Smart Licensing（雲端型系統）管理 Catalyst 交換器的軟體授權。

什麼是 Cisco Smart Licensing？

思科智慧許可是基於雲的統一許可證管理系統，可管理思科產品中的所有軟體許可證。 它使您能夠購買、部署、管理、跟蹤和續訂思科軟體許可證。此外，其亦透過單一使用者介面提供有關授權所有權和使用情況的資訊。

該解決方案由用於跟蹤思科軟體資產的線上智慧帳戶（位於思科智慧許可門戶）和用於管理智慧帳戶的思科智慧軟體管理器(CSSM)組成。CSSM 為可執行註冊、取消註冊、移動及移轉授權等所有授權管理相關工作的平台。您可為使用者新增和授予智慧型帳戶和特定虛擬帳戶的存取權和權限。

若要深入瞭解 Cisco Smart Licensing 的相關資訊，請造訪：

a) Cisco Smart Licensing 首頁

b) 思科社群 - 隨選訓練

如需有關在 Cisco IOS® XE 17.3.2 和更新版本中使用原則方法之全新智慧型授權的詳細資訊，請造訪 在 Catalyst 交換器中使用原則的智慧型授權。

第一次使用智慧型授權和/或智慧型帳戶管理？瀏覽並註冊新的管理員訓練課程和錄製內容：
思科社群 - 聰明活用思科智慧型帳戶/智慧型授權和 My Cisco Entitlements

您可在此處建立智慧型帳戶：智慧型帳戶

您可在此處管理智慧型帳戶：Smart Software Licensing

智慧型授權實作方法

以下提供多個可根據公司的安全性設定檔利用之 Cisco Smart Licensing 的部署方法：

直接雲端存取

思科產品會使用 HTTPS 直接透過網際網路安全地傳送使用資訊。無須使用其他元件。

透過 HTTPS Proxy 存取

思科產品會透過使用 HTTPS 的 HTTP Proxy 伺服器安全地傳送使用資訊。可以使用現有的代理伺服器，也可以通過思科傳輸網關部署該代理伺服器。（按一下此處以取得部分其他資訊）。

內部部署授權伺服器（亦稱為 Cisco Smart Software Manager Satellite）

思科產品會將使用資訊傳送至內部部署伺服器，而非直接透過網際網路傳送。該伺服器每月會透過 HTTPS 經網際網路連線至所有裝置一次，或可經手動方式傳輸，以同步其資料庫。CSSM 內部部署 (Satellite) 可做為虛擬機器 (VM) 使用，且可在此處下載。如需其他資訊，請造訪 Smart Software Manager Satellite 頁面。

支援的 Cisco IOS XE 平台

• 自 Cisco IOS XR 16.9.1 版起，Catalyst 3650/3850 和 Catalyst 9000 系列交換器平台將支援 Cisco Smart Licensing 方法做為唯一的授權方法。
• 自 Cisco IOS XE 16.10.1 版起，ASR1K、ISR1K、ISR4K 及虛擬路由器 (CSRv/ISRv) 等路由器平台將支援 Cisco Smart Licensing 方法做為唯一的授權方法。

從傳統授權移轉至智慧型授權

有兩種方法可將舊版許可證轉換為智慧許可證，例如使用權(RTU)或產品啟用金鑰(PAK)。如需詳細瞭解需遵循何種方法，請參閱特定思科裝置的相關版本說明和/或設定指南。

透過裝置主導轉換 (DLC) 進行轉換

• 裝置LED轉換(DLC)是一種一次性方法，思科產品可報告其使用的許可證，且許可證會自動存放到思科智慧軟體管理器(CSSM)上相應的智慧帳戶中。DLC 程序係直接透過特定思科裝置的命令列介面 (CLI) 執行。

• DLC 程序僅支援 Catalyst 3650/3850 和所選的路由器平台。有關特定路由器型號，請參閱各個平台配置指南和版本說明。範例：執行 Fuji 16.9.x 版本之 Catalyst 3850 的 DLC 程序。

轉換到 思科智慧軟體管理員(CSSM)或授權註冊入口網站(LRP)

Cisco Smart Software Manager (CSSM) 方法：

1.登入思科智慧軟體管理器(CSSM)，網址為https://software.cisco.com/

2.導航至智慧軟體許可>轉換為智慧許可 

3.選擇轉換PAK或轉換許可證

4.要轉換PAK許可證，請在此表中找到該許可證。要轉換非PAK許可證，請使用許可證轉換嚮導瞭解逐步說明。

與帳戶相關的已知 PAK 檔案位置：

  

「授權轉換精靈」連結位置：

5.找到所需的許可證和產品組合。

6.按一下（在「操作」下）：轉換為智慧許可。

7.選擇虛擬帳戶、許可證，然後按一下下一步。

8.複查選擇，然後按一下轉換許可證。

授權註冊入口網站 (LRP) 方法：

1.登入許可證註冊門戶(LRP)http://tools.cisco.com/SWIFT/LicensingUI/Home

2.導覽至Devices > Add Devices。

3.輸入正確的產品系列和唯一裝置識別符號(UDI)產品ID和序列號，然後按一下確定。可從Cisco裝置的命令列介面(CLI)獲取show version或show inventory中的UDI資訊。

4. 選擇新增的裝置，然後選擇「將授權轉換為智慧型授權」

5.分配到正確的虛擬帳戶，選擇要轉換的許可證，然後按一下Submit。

提示：也可以通過PAK或「令牌」頁籤上查詢許可證/產品系列來使用LRP工具。點選PAK/Token旁邊的圓下拉選單，然後選擇Convert to Smart Licensing:

通過思科全球許可運營(GLO)部門轉換並與之聯絡

您可透過此處與全球客服中心的全球授權營運部門聯絡。

Catalyst 9500 高效能型號從 16.9 至 16.12.3 版的行為變更

如同其他 Catalyst 9000 型號，Catalyst 9500 高效能型號自 Cisco IOS XE 16.9 版系列起均已啟用智慧型授權功能。然而，若為 Catalyst 9500 高效能型號，則每個型號均具有其專屬的授權權利標籤。後來，產品和行銷團隊決定統一C9500平台權利標籤。此決定改變了 C9500 高效能型號的行為，從使用專屬權利標籤，改為使用通用 C9500 授權。

行為的這種變化在以下缺陷中得到了證明：

a) 思科錯誤 ID CSCvp30661

b) 思科錯誤 ID CSCvt01955

以下是上述更改之前和之後的C9500高效能型號許可證更改：

Cisco IOS XE版本16.11.x及更低版本

每個C9600高效能型號都有自己的授權標籤。

型號	授權
C9500-32C	C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

註:Cisco IOS XE版本16.12.1和16.12.2存在缺陷Cisco bug ID CSCvp3061和Cisco bug ID CSCvt01955。這些缺陷在16.12.3a及更高版本中已解決。

Cisco IOS XE 16.12.3 版和更新版本

Catalyst 9500高效能平台現在使用通用網路許可證標籤和單獨的DNA許可證標籤。下表顯示Cisco IOS XE版本16.12.3及更高版本中突出顯示的授權更改：

型號	授權
C9500-32C	C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 Network Essentials C9500 Network Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

註：從Cisco IOS XE版本16.12.1和16.12.2升級將顯示此許可證行為。從Cisco IOS XE版本16.9.x、16.10.x、16.11.x升級到16.12.3可識別舊許可證配置。

C9500 高效能型號變更常見問題

1.當我的裝置使用特定於裝置的網路許可證時，思科支援人員為什麼分配通用網路許可證？

系統會提供通用標籤做為網路裝置的對應權利標籤。如此可讓整體 Cat9500 平台使用權利標籤，而非僅限特定 C9500 高效能型號。由於愈來愈多特定授權歸類為授權階層中的通用授權，因此要求裝置專屬授權標籤之 16.12.3 版前的映像檔均已遵循通用授權標籤。

2.為什麼有時會在智慧帳戶中顯示兩個網路標籤？

此行為係因授權階層所造成，當裝置執行於使用裝置專屬授權標籤的舊版映像檔時即會發生。由於愈來愈多特定授權歸類為授權階層中的通用授權，因此要求裝置專屬授權標籤之舊版映像檔均已遵循通用授權標籤。

組態

基本配置

有關如何配置智慧許可的確切過程，請參閱適用於每個版本/平台的系統管理配置指南。

舉例來說：Cisco IOS XE Fuji 16.9.x（Catalyst 9300 交換器）系統組態設定指南

註冊權杖/裝置 ID 權杖

註冊裝置之前，需要生成令牌。 註冊權杖（也稱為裝置ID權杖）是在將思科裝置初始註冊到相應的智慧帳戶時，從智慧許可門戶或思科智慧軟體管理器內部生成的唯一權杖。根據建立期間所使用的參數，個別權杖可用於註冊多個思科裝置。

此外，初次註冊思科裝置期間，亦僅需要註冊權杖，因為其會提供資訊給裝置，以主動向思科後端通報，並繫結至正確的智慧型帳戶。註冊Cisco裝置後，不再需要權杖。

有關註冊令牌及其生成方式的更多資訊，請單擊此處獲取一般指南。如需詳細資料，請參閱特定思科裝置的組態設定指南。

註冊和授權狀態

部署和配置智慧許可時，思科裝置可能處於多種狀態。透過從思科裝置命令列介面 (CLI) 查看 show license all 或 show license status，即可顯示這些狀態。

以下是所有狀態及其描述的清單：

評估（未識別）狀態

• 評估是裝置首次引導時的預設狀態。
• 通常，當思科裝置尚未配置智慧許可或註冊到智慧帳戶時，會出現此狀態。
• 在此狀態下，所有功能均可用，裝置可以自由更改許可證級別。
• 當裝置處於未識別狀態時，即會使用評估期。在此狀態下，裝置不會嘗試與思科通訊。
• 此評估期為使用90天，而不是90個日曆天。 評估期到期後，系統不會重置評估期。
• 整個裝置有一個評估期；而不是每個權利都有一個評估期。
• 當評估期在90天結束時過期時，裝置將進入EVAL EXPIRY模式。但是，即使重新載入後，功能也不會受到任何影響或中斷。目前，尚未實施任何強制措施。
• 在重新開機期間，系統仍會出現倒數計時。
• 如果裝置尚未向思科註冊且尚未從思科後端收到以下兩條消息，則使用評估期：
  1. 成功響應註冊請求。
  2. 權利授權請求成功回應。

已註冊狀態

• Registered是成功完成註冊後的預期狀態。
• 此狀態表示思科裝置已經能夠與思科智慧帳戶成功通訊並註冊。
• 該裝置收到有效期為一年的ID證書，該證書用於未來的通訊。
• 裝置向CSSM傳送請求，以授權裝置上正在使用的許可證的授權。
• 根據CSSM響應，裝置隨後進入「已授權」或「不合規」狀態。
• 該 ID 憑證會在一年結束後到期。六個月後，軟體代理進程將嘗試續訂證書。如果代理無法與CSSM通訊，它將繼續嘗試續訂ID證書，直到到期日期（一年）。一年後，代理將返回到「未標識」狀態，並嘗試啟用「評估」期間。CSSM從其資料庫中刪除產品例項。

• 已授權狀態
• Authorized是裝置使用權利檔案並且處於合規狀態（無負餘額）時的預期狀態。
  
• 此狀態表示CSSM上的虛擬帳戶具有正確的許可證型別和數量，用於授權使用此裝置的許可證。
• 30天後，裝置會向CSSM傳送更新授權的新請求。
• 此狀態的時間跨度為90天。90天後（如果未成功續訂），裝置將移至Authorization Expired狀態。

不符合規定狀態

• Out of Compliance是裝置正在使用權利且未處於合規狀態（負餘額）時的狀態。
  
• 當裝置的對應虛擬帳戶（思科裝置在思科智慧型帳戶中所註冊的帳戶）中不具有可用的授權時，系統即會顯示此狀態。  
• 要進入合規性/授權狀態，您必須將正確的許可證數量和型別新增到智慧帳戶。
• 當裝置處於Out of Compliance狀態時，它將每天自動傳送授權續訂請求。
• 許可證和功能將繼續運行，且沒有功能影響。

授權已到期狀態

• Authorization Expired是裝置使用授權且在90天以上無法與關聯的思科智慧帳戶通訊時的狀態。
• 如果思科裝置在初始註冊後丟失網際網路訪問或無法連線到tools.cisco.com，則通常會出現此狀態。
• 智慧型授權的線上方法會要求思科裝置至少每 90 天通訊一次，以避免顯示此狀態。
• CSSM將此裝置的所有使用中許可證返回池，因為它在90天內未與裝置進行任何通訊。
• 在此狀態下，裝置將繼續嘗試每小時聯絡思科以續訂權利授權，直到註冊期（ID證書）過期。
• 如果軟體代理與思科重新建立通訊並收到其授權請求，它會正常處理該回覆，並進入一個已建立的狀態。

考量和注意事項

從交換機的16.9.1和路由器的16.10.1開始，會生成名為CiscoTAC-1的預設Call-home配置檔案，以協助遷移到智慧許可。  預設情況下，此配置檔案設定為直接雲訪問方法。               

#show call-home profile CiscoTAC-1
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
<snip>

利用 Cisco Smart Software Manager 內部部署伺服器時，主動通報組態下的目的地位址必須指向以下目的地（區分大小寫！）：

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https://
     
     /Transportgateway/services/DeviceRequestHandler

解析 tools.cisco.com 必須使用 DNS。如果DNS伺服器連線在VRF中，請確保定義了正確的源介面和VRF:

Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>

VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]     <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>

或者，如果DNS不可用，請靜態配置本地DNS到IP的對映（基於終端裝置上的本地DNS解析），或將call-home配置中的DNS名稱替換為IP地址。請參閱直接雲存取範例(適用於Cisco Smart Software Manager on-prem，使用自己的DNS名稱而不是tools.cisco.com):  

(config)#ip host tools.cisco.com <x.x.x.x>

如果需要從特定VRF（例如Mgmt-vrf）中的介面發起到tools.cisco.com的通訊，則必須配置此CLI: 

(config)#ip http client source-interface <VRF_INTERFACE>

根據Cisco裝置的組態，可以使用不同的授權數量，例如在StackWise或StackWise虛擬中執行的Catalyst交換器：

支援的傳統堆疊式交換器（例如Catalyst 9300系列）：

網路許可證：堆疊中每台交換機使用1個許可證

DNA許可證：堆疊中每台交換機使用1個許可證

模組化機箱（例如Catalyst 9400系列）：

網路許可證：機箱中每個管理引擎使用1個許可證

DNA許可證：每個機箱使用1個許可證

固定堆疊式虛擬支援交換器（例如Catalyst 9500系列）：

網路許可證：堆疊中每台交換機使用1個許可證

DNA許可證：堆疊中每台交換機使用1個許可證

• 僅限一個主動通報設定檔可針對智慧型授權發揮作用
• 授權僅會在設定對應功能後使用。
• 為智慧許可配置的思科裝置必須配置正確的系統時間和日期，以確保它們與相應的思科智慧帳戶正確同步。如果思科裝置的時間位移太遠，則裝置可能會無法註冊。必須手動設定時鐘或通過定時協定(如網路時間協定(NTP)或精確時間協定(PTP))配置時鐘。有關實施這些更改所需的確切步驟，請參閱特定思科裝置的配置指南。
• 如果註冊後未自動儲存思科裝置註冊過程中生成的公鑰基礎設施(PKI)金鑰，則必須儲存該金鑰。如果裝置無法儲存PKI金鑰，則會生成系統日誌，提示您通過copy running-config startup-config或write memory命令儲存配置。
• 如果思科裝置的 PKI 金鑰無法正確儲存，則授權狀態可能會在容錯移轉或重新載入時遺失。    
• 將第三方代理用於HTTPS代理方法時，預設情況下，智慧許可不支援HTTPS代理SSL證書攔截。若要支援此功能，您可停用 Proxy 上的 SSL 攔截，或以手動方式匯入從 Proxy 傳送的認證。

How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

使用傳輸閘道HTTP Proxy時，必須將IP位址從tools.cisco.com變更為Proxy，如以下範例所示：
       目的地位址http https://tools.cisco.com/its/service/oddce/services/DDCEService
              變更為
       目的地址http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler 

透過導覽至 HTTP 設定，並查看思科傳輸閘道 GUI 上的 HTTP 服務 URL 下方，即可找到傳輸閘道 IP 位址。

有關詳細資訊，請參閱此處思科傳輸網關的配置指南。

疑難排解

將思科裝置遷移到支援智慧許可的軟體版本時，可以使用此流程圖作為所有三種方法(直接雲訪問、HTTPS代理和本地思科智慧軟體管理器On-prem)的一般指南。

                  升級為或隨附支援智慧型授權之軟體版本的裝置（請參閱支援之 Cisco IOS XE 版本清單的第 1.3 節）。  

這些故障排除步驟主要針對裝置無法註冊的情況。 

裝置無法註冊 

初始設定後，若要啟用智慧型授權，則權杖（於 CSSM/Cisco Smart Software Manager 內部部署產生 ）需要透過 CLI 於裝置上註冊：

license smart register idtoken <TOKEN>

此操作將生成以下事件：

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result
!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds)
%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration
!
! Call-home start registration process
!
%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode.
!
! Smart Licensing process connects with CSSM and check entitlement.
!
%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed
%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN>
%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved
%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized
%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>

要檢查call-home配置，請運行以下CLI:

#show call-home profile all

Profile Name: CiscoTAC-1
    Profile status: ACTIVE
    Profile mode: Full Reporting
    Reporting Data: Smart Call Home, Smart Licensing
    Preferred Message Format: xml
    Message Size Limit: 3145728 Bytes
    Transport Method: http
    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
    Other address(es): default

    Periodic configuration info message is scheduled every 1 day of the month at 09:15

    Periodic inventory info message is scheduled every 1 day of the month at 09:00

    Alert-group               Severity
    ------------------------  ------------
    crash                     debug
    diagnostic                minor
    environment               warning
    inventory                 normal

    Syslog-Pattern            Severity
    ------------------------  ------------
    APF-.-WLC_.*              warning
    .*                        major

要檢查智慧許可狀態，請運行以下CLI:

#show license summary
Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: TAC Cisco Systems, Inc.
  Virtual Account: Krakow LAN-SW
  Export-Controlled Functionality: ALLOWED
  Last Renewal Attempt: None
  Next Renewal Attempt: Nov 22 21:24:32 2019 UTC

License Authorization:
  Status: AUTHORIZED
  Last Communication Attempt: SUCCEEDED
  Next Communication Attempt: Jun 25 21:24:37 2019 UTC

License Usage:
  License                 Entitlement tag               Count Status
  -----------------------------------------------------------------------------
  C9500 Network Advantage (C9500 Network Advantage)         1 AUTHORIZED
  C9500-DNA-40X-A         (C9500-40X DNA Advantage)         1 AUTHORIZED

如果裝置無法註冊（且如果狀態並非 REGISTERED），則不符合規定狀態會指出 CSSM 的問題（例如，智慧虛擬帳戶中遺失授權）、不正確的對應（舉例來說，系統使用不同虛擬帳戶的權杖，但該權杖未提供任何授權）等。   查看以下項目： 

1.檢驗配置設定和常見故障場景 

請參閱第 2.1 節，以了解基本組態設定步驟。此外，請檢視第5部分，瞭解現場觀察到的常見故障場景。

2. 檢查基本連線

驗證裝置是否可以訪問（並開啟TCP埠）tools.cisco.com（如果是直接訪問）或Cisco Smart Software Manager內部伺服器: 

#show run all | in destination address http
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
!
! check connectivity
!
#telnet tools.cisco.com 443 /source-interface gi0/0
Trying tools.cisco.com (x.x.x.x, 443)... Open
[Connection to tools.cisco.com closed by foreign host]

如果這些命令不起作用，請仔細檢查您的路由規則、源介面和防火牆設定。

請參閱第3節。本文檔中的注意事項和警告，以瞭解如何配置DNS和HTTP詳細資訊的進一步指南。 

3. 驗證智慧型授權的設定

收集以下輸出內容：

#show tech-support license

然後驗證收集的組態/記錄（如果您決定開啟 Cisco TAC 案例進一步調查，請附加此輸出內容）。  

4. 啟用偵錯

啟用這些調試以收集有關智慧許可流程的其他資訊。

#debug call-home smart-licensing [all | trace | error]
#debug ip http client [all | api | cache | error | main | msg | socket]

若要進行內部偵錯，請啟用並讀取二進位追蹤：

! enable debug
#set platform software trace ios [switch] active R0 infra-sl debug
!
! read binary traces infra-sl process logs
#show platform software trace message ios [switch] active R0

常見故障情況

本節介紹思科裝置註冊期間或註冊後可能遇到的一些常見故障情況：

案例#1: Switch Registration "Failure Reason: Product Already Registered"

「show license all」剪取內容：

註冊：

  狀態：UNREGISTERED - REGISTRATION FAILED

  匯出控制功能：不允許

  初始註冊失敗：2018年10月22日14:25:31 EST

   失敗原因：產品已註冊

  下一次註冊嘗試：2018年10月22日14:45:34 EST

後續步驟：

— 必須再次註冊Cisco裝置。

— 如果在CSSM中看到Cisco裝置，則必須使用force引數（即license smart register idtoken <TOKEN> force）。

註：失敗原因還可顯示為：
    — 失敗原因：已註冊包含udiSerialNumber:<SerialNumber>,udiPid:<Product>的產品<X>和sudi。
    — 失敗原因：現有產品例項具有消耗量，強制標誌為假

場景#2：交換機註冊「失敗原因：您的請求現在無法處理。請重試」

「show license all」剪取內容：

註冊：

  狀態：正在註冊 — 正在註冊

  匯出控制功能：不允許

  初始註冊失敗：2018年10月24日15:55:26 EST

  失敗原因： 您的要求目前無法處理。」請重試

  下一次註冊嘗試：2018年10月24日16:12:15

後續步驟：

— 啟用第4部分中提到的調試，以便獲得有關此問題的更多見解。

- 在智慧型授權的 CSSM 中產生新的權杖，然後再次嘗試。  

方案#3：故障原因「裝置日期1526135268653的偏移量超出允許的容差限制

「show license all」剪取內容：

註冊：

  狀態：正在註冊 — 正在註冊

  匯出控制功能：不允許

  初始註冊：在2018年11月17日55:46失敗

    失敗原因： {"timestamp":["裝置日期'1526135268653'偏移量超出允許的容差限制。"]}

  下一次註冊嘗試：2018年11月11日18:12:17

可能顯示的記錄：

%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID：證書鏈驗證失敗。  證書(SN: XXXXXX)尚未生效。有效期限始於 2018-12-12:43Z

後續步驟：

— 驗證思科裝置時鐘是否顯示正確的時間(show clock)。

— 如果可能，配置網路時間協定(NTP)以確保時鐘設定正確。

— 如果無法進行NTP，請驗證手動設定的時鐘（時鐘設定）是否正確（顯示時鐘），並通過驗證是否配置了時鐘日曆有效來驗證是否配置為受信任的時間源

註：預設情況下，系統時鐘不受信任。需要時鐘日曆有效。

場景#4：交換機註冊「故障原因：通訊傳輸不可用」。

「show license all」剪取內容：

註冊：狀態：未註冊 — 註冊失敗

匯出控制功能：不允許

初始註冊失敗：2019年3月21日42時02分CST

   失敗原因：通訊傳輸不可用。

可能顯示的記錄：

%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE：無法從智慧代理為授權啟用call-home：由於現有活動使用者配置檔案，該命令無法啟用smart call home。如果您使用除CiscoTAC-1配置檔案之外的使用者配置檔案將資料傳送到思科的SCH伺服器，請在配置檔案模式下輸入reporting smart-licensing-data以配置該配置檔案以進行智慧許可。有關SCH的詳細資訊，請檢視http://www.cisco.com/go/smartcallhome
%SMART_LIC-3-AGENT_REG_FAILED：使用思科智慧軟體管理器或衛星進行許可註冊的智慧代理失敗：通訊傳輸不可用。
%SMART_LIC-3-COMM_FAILED：思科智慧軟體管理器或衛星通訊失敗：通訊傳輸不可用。

後續步驟：

— 驗證在Cisco裝置的show running-config輸出中，已使用service call-home啟用call-home。

- 確認正確的主動通報設定檔作用中.

— 驗證是否在活動call-home配置檔案下配置了reporting smart-licensing-data。

場景#5：交換機許可證授權「失敗原因：無法傳送Call Home HTTP消息」。

「show license all」剪取內容：

授權驗證：

  狀態：UTC 2018年7月26日09:24:09不合規

  上次通訊嘗試：UTC 2018年8月02日14:26:23失敗

    失敗原因：無法傳送Call Home HTTP消息。

  下次通訊嘗試：8月02日14:26:53 2018 UTC

  溝通截止時間：10月25日09:21:38 2018 UTC

可能顯示的記錄：

%CALL_HOME-5-SL_MESSAGE_FAILED：無法將智慧許可消息傳送到： https://<ip>/its/service/oddce/services/DDCEService（ERR 205：請求已中止）

%SMART_LIC-3-COMM_FAILED：思科智慧軟體管理器或衛星通訊失敗：無法傳送Call Home HTTP消息。

%SMART_LIC-3-AUTH_RENEW_FAILED：使用思科智慧軟體管理器或衛星進行授權續訂：Communication message send error for udi PID:XXX， SN: XXX

後續步驟：

— 驗證思科裝置是否可以ping通tools.cisco.com。

— 如果未配置DNS，請為tools.cisco.com的本地nslookup IP配置DNS伺服器或ip host語句。

— 嘗試從Cisco裝置telnet至TCP埠443（HTTPS使用的埠）上的tools.cisco.com。

- 驗證 HTTPS 用戶端來源介面已設定且正確 .

— 通過show call-home profile all驗證思科裝置上的Call Home配置檔案中的URL/IP設定是否正確。

- 驗證 IP 路由指向下一個正確躍點.

— 確保思科裝置、Smart Call Home Server的路徑或本地思科智慧軟體管理器（衛星）上的TCP埠443未被阻止。

— 確保在call-home下配置正確的虛擬路由和轉發(VRF)例項（如果適用）。

案例#6：失敗原因「Missing Id Cert Serial Number Field; Missing Signing Cert Serial Number Field; Signed Data and Certificate does not match」日誌

若使用思科錯誤ID CSCvr41393中所述的CSSM內部部署伺服器之密碼編譯憑證已過期，便會發現此行為。這是預期行為，因為必須允許CSSM on-prem同步和續訂其證書，才能防止任何註冊裝置的證書同步問題。

「show license all」剪取內容：

註冊：
  狀態：未註冊
  智慧帳戶：示例帳戶
  匯出控制功能：允許

授權驗證：
 狀態：評估模式
 剩餘評估期：65天18小時43分鐘0秒

可能顯示的記錄：

在show logging或show license eventlog下顯示此錯誤：
SAVET_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Missing ID cert serial number field; Missing signing cert serial number field; Signed data and certificate does not match"

後續步驟：

- 驗證思科裝置具有 CSSM 內部部署伺服器的 IP 連線能力.
- 如果使用 HTTPS，請確認裝置主動通報組態中的認證 CNAME 正在使用.
— 如果DNS伺服器無法解析證書C-Name，請配置靜態ip host語句以對映域名和IP地址。

- 驗證 CSSM 內部部署伺服器的憑證狀態仍有效.
— 如果CSSM內部部署證書已過期，請使用思科錯誤ID CSCvr41393

注意：預設情況下，HTTPS在SSL握手期間執行伺服器身份檢查，以驗證URL或IP是否與伺服器提供的證書相同。如果主機名稱和 IP 不符，如此使用 IP 位址而非 DNS 項目時可能會造成問題。如果無法使用DNS或靜態ip host語句，則不能將http secure server-identity-check配置為禁用此證書檢查。

場景#7：交換機許可證授權「失敗原因：正在等待回覆」 

「show license all」剪取內容：

授權驗證：
 狀態：UTC 2018年7月26日09:24:09不合規
 上次通訊嘗試：UTC 2018年8月02日14:34:51待定
  失敗原因：正在等待回覆
 下次通訊嘗試：8月02日14:53:58 2018 UTC
 溝通截止時間：10月25日09:21:39 2018 UTC

可能顯示的記錄：

%PKI-3-CRL_FETCH_FAIL：信任點的CRL提取SLA-TrustPoint失敗原因：無法選擇套接字。超時：5（連線超時）
%PKI-3-CRL_FETCH_FAIL：信任點的CRL提取SLA-TrustPoint失敗原因：無法選擇套接字。超時：5（連線超時）

後續步驟：

— 要解決此問題，必須在運行配置下將SLA-TrustPoint配置為none

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revocation-check none

什麼是 CRL？

憑證撤銷清單 (CRL) 為已撤銷之憑證的清單。CRL 會由原始發行憑證的憑證授權單位 (CA) 建立和數位簽署。CRL 會包含每個憑證發行和到期的日期。如需有關 CRL 的詳細資訊，請參閱此處。

案例#8：許可證處於「OUT OF COMPLIANCE」狀態

「show license all」剪取內容：

授權驗證：
 狀態：UTC 2018年7月26日09:24:09不合規
 上次通訊嘗試：UTC 2018年8月02日14:34:51待定
  失敗原因：正在等待回覆
 下次通訊嘗試：8月02日14:53:58 2018 UTC
 溝通截止時間：10月25日09:21:39 2018 UTC

可能顯示的記錄：

%SMART_LIC-3-OUT_OF_COMPLIANCE：一個或多個權利不符合條件。

後續步驟：

— 驗證是否使用了正確的智慧虛擬帳戶中的令牌。

- 驗證此處可用的授權數量。

場景#9：交換機許可證授權「失敗原因：資料和簽名不匹配」

「show license all」剪取內容：

授權驗證：

 狀態：授權時間：2020年3月12日09:17:45 EDT

 上次通訊嘗試：在3月12日2020 EDT 09:17:45失敗

  失敗原因：資料和簽名不匹配

 下次通訊嘗試：2020年3月12日09:18:15 EDT

 溝通截止時間：2009年5月21:22:43 2020年EDT

可能顯示的記錄：

%SMART_LIC-3-AUTH_RENEW_FAILED：使用思科智慧軟體管理器(CSSM)進行授權續訂：從智慧軟體管理器接收錯誤：資料和簽名與udi PID不匹配：C9000,SN:XXXXXXXXXXX

後續步驟：

— 使用許可證智慧取消註冊來取消註冊交換機。

— 然後使用具有許可證智慧暫存器idtoken <TOKEN>的新令牌註冊交換機。

參考資料

1) Cisco Smart Licensing 首頁

2) 思科社群 - 隨選訓練

3) 智慧型帳戶 - 管理入口網站：Smart Software Licensing

4) 智慧型帳戶 - 建立新帳戶：智慧型帳戶

5) 組態設定指南（範例）- Cisco IOS XE Fuji 16.9.x（Catalyst 9300 交換器）系統組態設定指南