本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本文件說明如何運用 Cisco Smart Licensing(雲端型系統)管理 Catalyst 交換器的軟體授權。
思科智慧許可是基於雲的統一許可證管理系統,可管理思科產品中的所有軟體許可證。 它使您能夠購買、部署、管理、跟蹤和續訂思科軟體許可證。此外,其亦透過單一使用者介面提供有關授權所有權和使用情況的資訊。
該解決方案由用於跟蹤思科軟體資產的線上智慧帳戶(位於思科智慧許可門戶)和用於管理智慧帳戶的思科智慧軟體管理器(CSSM)組成。CSSM 為可執行註冊、取消註冊、移動及移轉授權等所有授權管理相關工作的平台。您可為使用者新增和授予智慧型帳戶和特定虛擬帳戶的存取權和權限。
若要深入瞭解 Cisco Smart Licensing 的相關資訊,請造訪:
b) 思科社群 - 隨選訓練
如需有關在 Cisco IOS® XE 17.3.2 和更新版本中使用原則方法之全新智慧型授權的詳細資訊,請造訪 在 Catalyst 交換器中使用原則的智慧型授權。
第一次使用智慧型授權和/或智慧型帳戶管理?瀏覽並註冊新的管理員訓練課程和錄製內容:
思科社群 - 聰明活用思科智慧型帳戶/智慧型授權和 My Cisco Entitlements
您可在此處建立智慧型帳戶:智慧型帳戶
您可在此處管理智慧型帳戶:Smart Software Licensing
以下提供多個可根據公司的安全性設定檔利用之 Cisco Smart Licensing 的部署方法:
直接雲端存取
思科產品會使用 HTTPS 直接透過網際網路安全地傳送使用資訊。無須使用其他元件。
透過 HTTPS Proxy 存取
思科產品會透過使用 HTTPS 的 HTTP Proxy 伺服器安全地傳送使用資訊。可以使用現有的代理伺服器,也可以通過思科傳輸網關部署該代理伺服器。(按一下此處以取得部分其他資訊)。
內部部署授權伺服器(亦稱為 Cisco Smart Software Manager Satellite)
思科產品會將使用資訊傳送至內部部署伺服器,而非直接透過網際網路傳送。該伺服器每月會透過 HTTPS 經網際網路連線至所有裝置一次,或可經手動方式傳輸,以同步其資料庫。CSSM 內部部署 (Satellite) 可做為虛擬機器 (VM) 使用,且可在此處下載。如需其他資訊,請造訪 Smart Software Manager Satellite 頁面。
有兩種方法可將舊版許可證轉換為智慧許可證,例如使用權(RTU)或產品啟用金鑰(PAK)。如需詳細瞭解需遵循何種方法,請參閱特定思科裝置的相關版本說明和/或設定指南。
Cisco Smart Software Manager (CSSM) 方法:
1.登入思科智慧軟體管理器(CSSM),網址為https://software.cisco.com/
2.導航至智慧軟體許可>轉換為智慧許可
3.選擇轉換PAK或轉換許可證
4.要轉換PAK許可證,請在此表中找到該許可證。要轉換非PAK許可證,請使用許可證轉換嚮導瞭解逐步說明。
與帳戶相關的已知 PAK 檔案位置:
「授權轉換精靈」連結位置:
5.找到所需的許可證和產品組合。
6.按一下(在「操作」下):轉換為智慧許可。
7.選擇虛擬帳戶、許可證,然後按一下下一步。
8.複查選擇,然後按一下轉換許可證。
授權註冊入口網站 (LRP) 方法:
1.登入許可證註冊門戶(LRP)http://tools.cisco.com/SWIFT/LicensingUI/Home
2.導覽至Devices > Add Devices。
3.輸入正確的產品系列和唯一裝置識別符號(UDI)產品ID和序列號,然後按一下確定。可從Cisco裝置的命令列介面(CLI)獲取show version或show inventory中的UDI資訊。
4. 選擇新增的裝置,然後選擇「將授權轉換為智慧型授權」
5.分配到正確的虛擬帳戶,選擇要轉換的許可證,然後按一下Submit。
提示:也可以通過PAK或「令牌」頁籤上查詢許可證/產品系列來使用LRP工具。點選PAK/Token旁邊的圓下拉選單,然後選擇Convert to Smart Licensing:
您可透過此處與全球客服中心的全球授權營運部門聯絡。
如同其他 Catalyst 9000 型號,Catalyst 9500 高效能型號自 Cisco IOS XE 16.9 版系列起均已啟用智慧型授權功能。然而,若為 Catalyst 9500 高效能型號,則每個型號均具有其專屬的授權權利標籤。後來,產品和行銷團隊決定統一C9500平台權利標籤。此決定改變了 C9500 高效能型號的行為,從使用專屬權利標籤,改為使用通用 C9500 授權。
行為的這種變化在以下缺陷中得到了證明:
以下是上述更改之前和之後的C9500高效能型號許可證更改:
每個C9600高效能型號都有自己的授權標籤。
型號 | 授權 |
C9500-32C |
C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage |
C9500-32QC |
C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage |
C9500-24Y4C |
C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage |
C9500-48Y4C |
C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage |
註:Cisco IOS XE版本16.12.1和16.12.2存在缺陷Cisco bug ID CSCvp3061和Cisco bug ID CSCvt01955。這些缺陷在16.12.3a及更高版本中已解決。
Catalyst 9500高效能平台現在使用通用網路許可證標籤和單獨的DNA許可證標籤。下表顯示Cisco IOS XE版本16.12.3及更高版本中突出顯示的授權更改:
型號 | 授權 |
C9500-32C |
C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage |
C9500-32QC |
C9500 Network Essentials C9500 Network Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage |
C9500-24Y4C |
C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage |
C9500-48Y4C |
C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage |
註:從Cisco IOS XE版本16.12.1和16.12.2升級將顯示此許可證行為。從Cisco IOS XE版本16.9.x、16.10.x、16.11.x升級到16.12.3可識別舊許可證配置。
1.當我的裝置使用特定於裝置的網路許可證時,思科支援人員為什麼分配通用網路許可證?
系統會提供通用標籤做為網路裝置的對應權利標籤。如此可讓整體 Cat9500 平台使用權利標籤,而非僅限特定 C9500 高效能型號。由於愈來愈多特定授權歸類為授權階層中的通用授權,因此要求裝置專屬授權標籤之 16.12.3 版前的映像檔均已遵循通用授權標籤。
2.為什麼有時會在智慧帳戶中顯示兩個網路標籤?
此行為係因授權階層所造成,當裝置執行於使用裝置專屬授權標籤的舊版映像檔時即會發生。由於愈來愈多特定授權歸類為授權階層中的通用授權,因此要求裝置專屬授權標籤之舊版映像檔均已遵循通用授權標籤。
有關如何配置智慧許可的確切過程,請參閱適用於每個版本/平台的系統管理配置指南。
舉例來說:Cisco IOS XE Fuji 16.9.x(Catalyst 9300 交換器)系統組態設定指南
註冊裝置之前,需要生成令牌。 註冊權杖(也稱為裝置ID權杖)是在將思科裝置初始註冊到相應的智慧帳戶時,從智慧許可門戶或思科智慧軟體管理器內部生成的唯一權杖。根據建立期間所使用的參數,個別權杖可用於註冊多個思科裝置。
此外,初次註冊思科裝置期間,亦僅需要註冊權杖,因為其會提供資訊給裝置,以主動向思科後端通報,並繫結至正確的智慧型帳戶。註冊Cisco裝置後,不再需要權杖。
有關註冊令牌及其生成方式的更多資訊,請單擊此處獲取一般指南。如需詳細資料,請參閱特定思科裝置的組態設定指南。
部署和配置智慧許可時,思科裝置可能處於多種狀態。透過從思科裝置命令列介面 (CLI) 查看 show license all 或 show license status,即可顯示這些狀態。
以下是所有狀態及其描述的清單:
評估(未識別)狀態
已註冊狀態
不符合規定狀態
授權已到期狀態
從交換機的16.9.1和路由器的16.10.1開始,會生成名為CiscoTAC-1的預設Call-home配置檔案,以協助遷移到智慧許可。 預設情況下,此配置檔案設定為直接雲訪問方法。
#show call-home profile CiscoTAC-1 Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default <snip>
利用 Cisco Smart Software Manager 內部部署伺服器時,主動通報組態下的目的地位址必須指向以下目的地(區分大小寫!):
(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https:///Transportgateway/services/DeviceRequestHandler
解析 tools.cisco.com 必須使用 DNS。如果DNS伺服器連線在VRF中,請確保定義了正確的源介面和VRF:
Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>
VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>] <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>
或者,如果DNS不可用,請靜態配置本地DNS到IP的對映(基於終端裝置上的本地DNS解析),或將call-home配置中的DNS名稱替換為IP地址。請參閱直接雲存取範例(適用於Cisco Smart Software Manager on-prem,使用自己的DNS名稱而不是tools.cisco.com):
(config)#ip host tools.cisco.com <x.x.x.x>
如果需要從特定VRF(例如Mgmt-vrf)中的介面發起到tools.cisco.com的通訊,則必須配置此CLI:
(config)#ip http client source-interface <VRF_INTERFACE>
根據Cisco裝置的組態,可以使用不同的授權數量,例如在StackWise或StackWise虛擬中執行的Catalyst交換器:
支援的傳統堆疊式交換器(例如Catalyst 9300系列):
網路許可證:堆疊中每台交換機使用1個許可證
DNA許可證:堆疊中每台交換機使用1個許可證
模組化機箱(例如Catalyst 9400系列):
網路許可證:機箱中每個管理引擎使用1個許可證
DNA許可證:每個機箱使用1個許可證
固定堆疊式虛擬支援交換器(例如Catalyst 9500系列):
網路許可證:堆疊中每台交換機使用1個許可證
DNA許可證:堆疊中每台交換機使用1個許可證
How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint.
The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.
Device#conf t
Device(config)#crypto pki trustpoint LicRoot
Device(ca-trustpoint)#enrollment terminal
Device(ca-trustpoint)#revocation-check none
Device(ca-trustpoint)#exit
Device(config)#crypto pki authenticate LicRoot
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: XXXXXXXX
Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
使用傳輸閘道HTTP Proxy時,必須將IP位址從tools.cisco.com變更為Proxy,如以下範例所示:
目的地位址http https://tools.cisco.com/its/service/oddce/services/DDCEService
變更為
目的地址http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler
透過導覽至 HTTP 設定,並查看思科傳輸閘道 GUI 上的 HTTP 服務 URL 下方,即可找到傳輸閘道 IP 位址。
有關詳細資訊,請參閱此處思科傳輸網關的配置指南。
將思科裝置遷移到支援智慧許可的軟體版本時,可以使用此流程圖作為所有三種方法(直接雲訪問、HTTPS代理和本地思科智慧軟體管理器On-prem)的一般指南。
升級為或隨附支援智慧型授權之軟體版本的裝置(請參閱支援之 Cisco IOS XE 版本清單的第 1.3 節)。
這些故障排除步驟主要針對裝置無法註冊的情況。
初始設定後,若要啟用智慧型授權,則權杖(於 CSSM/Cisco Smart Software Manager 內部部署產生 )需要透過 CLI 於裝置上註冊:
license smart register idtoken <TOKEN>
此操作將生成以下事件:
! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result !
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine %PKI-4-NOCONFIGAUTOSAVE: Configuration was modified. Issue "write memory" to save new IOS PKI configuration !
! Call-home start registration process
! %CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. !
! Smart Licensing process connects with CSSM and check entitlement.
! %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed %SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> %SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved %SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized %SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>
要檢查call-home配置,請運行以下CLI:
#show call-home profile all Profile Name: CiscoTAC-1 Profile status: ACTIVE Profile mode: Full Reporting Reporting Data: Smart Call Home, Smart Licensing Preferred Message Format: xml Message Size Limit: 3145728 Bytes Transport Method: http HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService Other address(es): default Periodic configuration info message is scheduled every 1 day of the month at 09:15 Periodic inventory info message is scheduled every 1 day of the month at 09:00 Alert-group Severity ------------------------ ------------ crash debug diagnostic minor environment warning inventory normal Syslog-Pattern Severity ------------------------ ------------ APF-.-WLC_.* warning .* major
要檢查智慧許可狀態,請運行以下CLI:
#show license summary Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: Krakow LAN-SW Export-Controlled Functionality: ALLOWED Last Renewal Attempt: None Next Renewal Attempt: Nov 22 21:24:32 2019 UTC License Authorization: Status: AUTHORIZED Last Communication Attempt: SUCCEEDED Next Communication Attempt: Jun 25 21:24:37 2019 UTC License Usage: License Entitlement tag Count Status ----------------------------------------------------------------------------- C9500 Network Advantage (C9500 Network Advantage) 1 AUTHORIZED C9500-DNA-40X-A (C9500-40X DNA Advantage) 1 AUTHORIZED
如果裝置無法註冊(且如果狀態並非 REGISTERED),則不符合規定狀態會指出 CSSM 的問題(例如,智慧虛擬帳戶中遺失授權)、不正確的對應(舉例來說,系統使用不同虛擬帳戶的權杖,但該權杖未提供任何授權)等。 查看以下項目:
1.檢驗配置設定和常見故障場景
請參閱第 2.1 節,以了解基本組態設定步驟。此外,請檢視第5部分,瞭解現場觀察到的常見故障場景。
2. 檢查基本連線
驗證裝置是否可以訪問(並開啟TCP埠)tools.cisco.com(如果是直接訪問)或Cisco Smart Software Manager內部伺服器:
#show run all | in destination address http destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService ! ! check connectivity ! #telnet tools.cisco.com 443 /source-interface gi0/0 Trying tools.cisco.com (x.x.x.x, 443)... Open [Connection to tools.cisco.com closed by foreign host]
如果這些命令不起作用,請仔細檢查您的路由規則、源介面和防火牆設定。
註:HTTP(TCP/80)已被棄用,推薦的協定是HTTPS(TCP/443)。
請參閱第3節。本文檔中的注意事項和警告,以瞭解如何配置DNS和HTTP詳細資訊的進一步指南。
3. 驗證智慧型授權的設定
收集以下輸出內容:
#show tech-support license
然後驗證收集的組態/記錄(如果您決定開啟 Cisco TAC 案例進一步調查,請附加此輸出內容)。
4. 啟用偵錯
啟用這些調試以收集有關智慧許可流程的其他資訊。
注意:啟用調試後,您需要嘗試通過CLi再次註冊許可證,如第4.1點所述。
#debug call-home smart-licensing [all | trace | error] #debug ip http client [all | api | cache | error | main | msg | socket]
若要進行內部偵錯,請啟用並讀取二進位追蹤:
! enable debug #set platform software trace ios [switch] active R0 infra-sl debug ! ! read binary traces infra-sl process logs #show platform software trace message ios [switch] active R0
本節介紹思科裝置註冊期間或註冊後可能遇到的一些常見故障情況:
「show license all」剪取內容:
註冊:
狀態:UNREGISTERED - REGISTRATION FAILED
匯出控制功能:不允許
初始註冊失敗:2018年10月22日14:25:31 EST
失敗原因:產品已註冊
下一次註冊嘗試:2018年10月22日14:45:34 EST
後續步驟:
— 必須再次註冊Cisco裝置。
— 如果在CSSM中看到Cisco裝置,則必須使用force引數(即license smart register idtoken <TOKEN> force)。
註:失敗原因還可顯示為:
— 失敗原因:已註冊包含udiSerialNumber:<SerialNumber>,udiPid:<Product>的產品<X>和sudi。
— 失敗原因:現有產品例項具有消耗量,強制標誌為假
「show license all」剪取內容:
註冊:
狀態:正在註冊 — 正在註冊
匯出控制功能:不允許
初始註冊失敗:2018年10月24日15:55:26 EST
失敗原因: 您的要求目前無法處理。」請重試
下一次註冊嘗試:2018年10月24日16:12:15
後續步驟:
— 啟用第4部分中提到的調試,以便獲得有關此問題的更多見解。
- 在智慧型授權的 CSSM 中產生新的權杖,然後再次嘗試。
「show license all」剪取內容:
註冊:
狀態:正在註冊 — 正在註冊
匯出控制功能:不允許
初始註冊:在2018年11月17日55:46失敗
失敗原因: {"timestamp":["裝置日期'1526135268653'偏移量超出允許的容差限制。"]}
下一次註冊嘗試:2018年11月11日18:12:17
可能顯示的記錄:
%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID:證書鏈驗證失敗。 證書(SN: XXXXXX)尚未生效。有效期限始於 2018-12-12:43Z
後續步驟:
— 驗證思科裝置時鐘是否顯示正確的時間(show clock)。
— 如果可能,配置網路時間協定(NTP)以確保時鐘設定正確。
— 如果無法進行NTP,請驗證手動設定的時鐘(時鐘設定)是否正確(顯示時鐘),並通過驗證是否配置了時鐘日曆有效來驗證是否配置為受信任的時間源
註:預設情況下,系統時鐘不受信任。需要時鐘日曆有效。
「show license all」剪取內容:
註冊:狀態:未註冊 — 註冊失敗
匯出控制功能:不允許
初始註冊失敗:2019年3月21日42時02分CST
失敗原因:通訊傳輸不可用。
可能顯示的記錄:
%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE:無法從智慧代理為授權啟用call-home:由於現有活動使用者配置檔案,該命令無法啟用smart call home。如果您使用除CiscoTAC-1配置檔案之外的使用者配置檔案將資料傳送到思科的SCH伺服器,請在配置檔案模式下輸入reporting smart-licensing-data以配置該配置檔案以進行智慧許可。有關SCH的詳細資訊,請檢視http://www.cisco.com/go/smartcallhome
%SMART_LIC-3-AGENT_REG_FAILED:使用思科智慧軟體管理器或衛星進行許可註冊的智慧代理失敗:通訊傳輸不可用。
%SMART_LIC-3-COMM_FAILED:思科智慧軟體管理器或衛星通訊失敗:通訊傳輸不可用。
後續步驟:
— 驗證在Cisco裝置的show running-config輸出中,已使用service call-home啟用call-home。
- 確認正確的主動通報設定檔作用中.
— 驗證是否在活動call-home配置檔案下配置了reporting smart-licensing-data。
「show license all」剪取內容:
授權驗證:
狀態:UTC 2018年7月26日09:24:09不合規
上次通訊嘗試:UTC 2018年8月02日14:26:23失敗
失敗原因:無法傳送Call Home HTTP消息。
下次通訊嘗試:8月02日14:26:53 2018 UTC
溝通截止時間:10月25日09:21:38 2018 UTC
可能顯示的記錄:
%CALL_HOME-5-SL_MESSAGE_FAILED:無法將智慧許可消息傳送到: https://<ip>/its/service/oddce/services/DDCEService(ERR 205:請求已中止)
%SMART_LIC-3-COMM_FAILED:思科智慧軟體管理器或衛星通訊失敗:無法傳送Call Home HTTP消息。
%SMART_LIC-3-AUTH_RENEW_FAILED:使用思科智慧軟體管理器或衛星進行授權續訂:Communication message send error for udi PID:XXX, SN: XXX
後續步驟:
— 驗證思科裝置是否可以ping通tools.cisco.com。
— 如果未配置DNS,請為tools.cisco.com的本地nslookup IP配置DNS伺服器或ip host語句。
— 嘗試從Cisco裝置telnet至TCP埠443(HTTPS使用的埠)上的tools.cisco.com。
- 驗證 HTTPS 用戶端來源介面已設定且正確 .
— 通過show call-home profile all驗證思科裝置上的Call Home配置檔案中的URL/IP設定是否正確。
- 驗證 IP 路由指向下一個正確躍點.
— 確保思科裝置、Smart Call Home Server的路徑或本地思科智慧軟體管理器(衛星)上的TCP埠443未被阻止。
— 確保在call-home下配置正確的虛擬路由和轉發(VRF)例項(如果適用)。
若使用思科錯誤ID CSCvr41393中所述的CSSM內部部署伺服器之密碼編譯憑證已過期,便會發現此行為。這是預期行為,因為必須允許CSSM on-prem同步和續訂其證書,才能防止任何註冊裝置的證書同步問題。
「show license all」剪取內容:
註冊:
狀態:未註冊
智慧帳戶:示例帳戶
匯出控制功能:允許
授權驗證:
狀態:評估模式
剩餘評估期:65天18小時43分鐘0秒
可能顯示的記錄:
在show logging或show license eventlog下顯示此錯誤:
SAVET_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Missing ID cert serial number field; Missing signing cert serial number field; Signed data and certificate does not match"
後續步驟:
- 驗證思科裝置具有 CSSM 內部部署伺服器的 IP 連線能力.
- 如果使用 HTTPS,請確認裝置主動通報組態中的認證 CNAME 正在使用.
— 如果DNS伺服器無法解析證書C-Name,請配置靜態ip host語句以對映域名和IP地址。
- 驗證 CSSM 內部部署伺服器的憑證狀態仍有效.
— 如果CSSM內部部署證書已過期,請使用思科錯誤ID CSCvr41393
注意:預設情況下,HTTPS在SSL握手期間執行伺服器身份檢查,以驗證URL或IP是否與伺服器提供的證書相同。如果主機名稱和 IP 不符,如此使用 IP 位址而非 DNS 項目時可能會造成問題。如果無法使用DNS或靜態ip host語句,則不能將http secure server-identity-check配置為禁用此證書檢查。
「show license all」剪取內容:
授權驗證:
狀態:UTC 2018年7月26日09:24:09不合規
上次通訊嘗試:UTC 2018年8月02日14:34:51待定
失敗原因:正在等待回覆
下次通訊嘗試:8月02日14:53:58 2018 UTC
溝通截止時間:10月25日09:21:39 2018 UTC
可能顯示的記錄:
%PKI-3-CRL_FETCH_FAIL:信任點的CRL提取SLA-TrustPoint失敗原因:無法選擇套接字。超時:5(連線超時)
%PKI-3-CRL_FETCH_FAIL:信任點的CRL提取SLA-TrustPoint失敗原因:無法選擇套接字。超時:5(連線超時)
後續步驟:
— 要解決此問題,必須在運行配置下將SLA-TrustPoint配置為none
show running-config
<omitted>
crypto pki trustpoint SLA-TrustPoint
revocation-check none
什麼是 CRL?
憑證撤銷清單 (CRL) 為已撤銷之憑證的清單。CRL 會由原始發行憑證的憑證授權單位 (CA) 建立和數位簽署。CRL 會包含每個憑證發行和到期的日期。如需有關 CRL 的詳細資訊,請參閱此處。
「show license all」剪取內容:
授權驗證:
狀態:UTC 2018年7月26日09:24:09不合規
上次通訊嘗試:UTC 2018年8月02日14:34:51待定
失敗原因:正在等待回覆
下次通訊嘗試:8月02日14:53:58 2018 UTC
溝通截止時間:10月25日09:21:39 2018 UTC
可能顯示的記錄:
%SMART_LIC-3-OUT_OF_COMPLIANCE:一個或多個權利不符合條件。
後續步驟:
— 驗證是否使用了正確的智慧虛擬帳戶中的令牌。
- 驗證此處可用的授權數量。
「show license all」剪取內容:
授權驗證:
狀態:授權時間:2020年3月12日09:17:45 EDT
上次通訊嘗試:在3月12日2020 EDT 09:17:45失敗
失敗原因:資料和簽名不匹配
下次通訊嘗試:2020年3月12日09:18:15 EDT
溝通截止時間:2009年5月21:22:43 2020年EDT
可能顯示的記錄:
%SMART_LIC-3-AUTH_RENEW_FAILED:使用思科智慧軟體管理器(CSSM)進行授權續訂:從智慧軟體管理器接收錯誤:資料和簽名與udi PID不匹配:C9000,SN:XXXXXXXXXXX
後續步驟:
— 使用許可證智慧取消註冊來取消註冊交換機。
— 然後使用具有許可證智慧暫存器idtoken <TOKEN>的新令牌註冊交換機。
2) 思科社群 - 隨選訓練
3) 智慧型帳戶 - 管理入口網站:Smart Software Licensing
4) 智慧型帳戶 - 建立新帳戶:智慧型帳戶
5) 組態設定指南(範例)- Cisco IOS XE Fuji 16.9.x(Catalyst 9300 交換器)系統組態設定指南
修訂 | 發佈日期 | 意見 |
---|---|---|
3.0 |
25-May-2023 |
更新的品牌要求、樣式要求、機器翻譯、德語和格式設定。 |
2.0 |
11-May-2022 |
已編輯標題。已刪除節編號。已更改某些IP地址以使用佔位符文本("x.x.x.x")。 |
1.0 |
31-May-2019 |
初始版本 |