الترخيص الذكي على منصة ASR9000
المحتويات
المقدمة
يصف هذا المستند تكوين برنامج الترخيص الذكي وتشغيله واستكشاف الأخطاء وإصلاحها على برنامج Cisco IOS® XR الإصدار 5.2.0 والإصدارات الأحدث. تم تطوير الترخيص الذكي لمعالجة إدارة متطلبات الترخيص للميزات والتطبيقات المختلفة التي تعمل على أنظمة Cisco الأساسية وأنظمة التشغيل (OS).
لا يعمل تطبيق الترخيص الذكي على ASR9000 (ASR9K) ل Cisco IOS XR فحسب، بل أيضا على الأنظمة الأساسية المختلفة التي تعمل بنظام التشغيل Cisco IOS و Cisco IOS-XE. يعمل هذا التطبيق البسيط على تقليل الجهد اللازم لإدارة أجهزة Cisco وأنظمتها وأنظمتها المتنوعة، كما يوفر البساطة التي تمس الحاجة إليها لإدارة الترخيص والاستحقاقات وتكاليف التشغيل.
الطريقة المستخدمة من قبل تطبيق الترخيص الذكي هي طريقة 'سحب' ديناميكية؛ يقوم جهاز ASR9K ببدء المكالمة وسحب المعلومات من خوادم Cisco الخلفية. لن تبدأ خوادم الخلفية من Cisco أي اتصال أو اتصال بأي جهاز، ولكنها تستجيب دائما عندما تأتي طلبات الاتصال من الأجهزة التي ترغب في التسجيل واستحقاق.
الإعداد الأولي آمن وسهل مع تدخل يدوي قليل جدا من مشغل الجهاز (الأجهزة) ويمكن أن يكون مؤتمتا للبيئات الأكبر حجما مع لغة أوامر الأداة العادية (TcL) أو برنامج Python Expect. ستساعد مرافق إعداد التقارير التي توفرها خوادم Cisco الخلفية، التي يمكن الوصول إليها عبر متصفح منتظم، العملاء في إجراء عمليات المحاسبة لجرد الأجهزة الخاصة بهم والميزات التي تم نشرها بترخيص وخارج نطاق التوافق (OOC) على حد سواء ونقل الموارد الخاصة بهم بشكل ديناميكي دون الحاجة إلى إعادة التوفير أو طلب الدعم.
منظر علوي
يستخدم الترخيص الذكي بروتوكول HTTP Secure (HTTPS) القياسي كآلية نقل للوصول إلى خوادم Cisco الخلفية. من الناحية التقنية، هناك سطر واحد فقط من التكوين المطلوب لتمكين ميزة الترخيص الذكي على جهاز ASR9K:
RP/0/RSP0/CPU0:SAMDD(admin-config)#license smart enable
يقوم الجهاز بالإعدادات الافتراضية لنقل HTTPS، وعند تلقي طلب تسجيل ناجح، يستعلم الخوادم الخلفية فورا عن الاستحقاق. تقوم بإرجاع إما Authorized (معتمد)، مما يعني أن الجهاز لديه ترخيص للميزة، أو OOC، مما يعني أن الاستحقاق إما غير موجود أو مفقود أو منتهي الصلاحية.
يمكن أن يتعايش الترخيص الذكي مع الترخيص التقليدي، ولكن يمكن أن يكون ترخيص واحد فقط منها نشطا في أي وقت. يمكنك التبديل بينها بسهولة باستخدام إضافة التكوين أو حذفه من مستوى الإدارة. لا يتطلب نظام ASR9K أي إعادة تحميل أو إعادة تشغيل لتنفيذ هذا "المحول". سوف يتم إستبدال الترخيص التقليدي بشكل كامل بالترخيص الذكي في الإصدارات المستقبلية.
إذا لم يستخدم جهاز ASR9K ميزة تتطلب ترخيصا، يكون النظام تلقائيا في الحالة المعتمدة ولا يلزم إتخاذ أي إجراء آخر. سيحاول النظام الحصول على الترخيص بشكل ديناميكي من خوادم Cisco الخلفية فقط في "تكوين" ميزة تتطلب ترخيصا.
عمليات الترخيص التقليدية مقابل عمليات الترخيص الذكية
فيما يلي بعض الاختلافات بين نماذج الترخيص. لاحظ ان واحدا منها فقط نشط في أي وقت.
| الترخيص التقليدي (مؤمن للعقدة) |
ترخيص ذكي (ديناميكي) |
|---|---|
| يجب شراء الترخيص وتثبيته يدويا على كل جهاز عبر ملف PAK. |
لا يلزم تثبيت برامج. يقوم الجهاز ببدء جلسة عمل إستدعاء HTTP/HTTPS ويطلب التراخيص التي يستخدمها والتي تم تكوينها لها. |
| تتطلب التراخيص المرتبطة بالهيكل أو النقل أو إعادة الإمداد النسخ الاحتياطي أو إعادة التثبيت. جميعها عمليات يدوية تستهلك الوقت. |
التراخيص المرتبطة بحسابك. قم بإلغاء تكوين الميزة التي يتم إستخدامها في الهيكل الحالي وأعد تكوين الميزة على هيكل جديد يحتاج إلى إستخدام نفس الترخيص. تحدث عملية إعادة التوفير بشكل ديناميكي عندما يقوم الجهاز الجديد ببدء طلب HTTP/HTTPS عبر عملية إستدعاء المنزل. |
| ترخيص مؤمن للعقدة - يقترن الترخيص بجهاز/فتحة معينة. |
تجمع (تجمعات) الترخيص التي تم إنشاؤها بالفعل في حساب العميل، والتي تكون خاصة بحساب الشركة ويمكن إستخدامها مع أي جهاز ASR9K في شركتك. |
| لا يوجد موقع قاعدة تثبيت شائع لعرض التراخيص التي تم شراؤها أو أتجاهات إستخدام البرامج. يلزم الاحتفاظ بحساب التراخيص للهيكل/الأنظمة الفردية يدويا. |
يتم تخزين التراخيص بشكل آمن على خوادم Cisco الخلفية، التي يمكن الوصول إليها على مدار 24 ساعة طوال أيام الأسبوع خلال العام بأكمله. يعد عدد التراخيص لكل حساب/تجمع عميل، ويمكن أن تكون العديد من الأجهزة جزءا من نفس التجمع. |
| يتطلب الترخيص الإضافي ملف PAK جديد والتدخل/التفاعل اليدوي مع الجهاز. |
يمكن نقل الترخيص الإضافي عبر متصفح ويب يشير إلى عنوان URL من Cisco والحساب الذي تم إنشاؤه في الخوادم الخلفية. بشكل أساسي قم بتوجيه ونقر العمليات. |
| لا توجد وسيلة سهلة لنقل التراخيص من جهاز إلى آخر. |
يمكن نقل التراخيص بين مثيلات المنتج دون تثبيت أي برامج. كما يمكنك نقل التراخيص من تجمع إلى آخر بسهولة باستخدام واجهة ويب. |
منظر عملياتي
يوضح هذا المخطط المقارنة بين نظامي الترخيص.
تتسم خطوات الترخيص الذكية بالسهولة التامة وسهولة الاستخدام. عند شراء المعدات/الأجهزة، يمكنك طلب التراخيص التي تحتاج إليها في نفس الوقت أو طلبها لاحقا. عند تنفيذ عمليات شراء التراخيص وتوفيرها من قبل Cisco:
- توفر لك Cisco اسم مستخدم وكلمة مرور ومحدد موقع موارد موحد (URL) للوصول إلى معلومات الترخيص عبر متصفح ويب على مدار 24 ساعة طوال أيام الأسبوع.
- يقوم هذا الحساب بإدارة التراخيص وإنشاء التقارير وأجهزة المجموعات وإنشاء مجموعات التراخيص وأي إحتياجات تنظيمية أخرى تسهل الاحتياجات التشغيلية للعميل/المؤسسة.
- يسمح الحساب للعميل بإنشاء رمز idtoken، الذي يحدد بشكل فريد جهاز العميل واستحقاق الترخيص الذي تم شراؤه. يمكن أن يكون الرمز المميز صالحا من يوم واحد إلى عام واحد. يمكن إبطال الرمز المميز وحذفه وإعادة إنشائه بواسطة العميل في أي وقت. إنه نموذج للمساعدة الذاتية.
- يستخدم العميل الرمز المميز الذي تم إنشاؤه في الحساب الذي تم توفيره من Cisco لتسجيل جهاز واحد أو ألف جهاز، نظرا لعدم وجود حد على عدد الأجهزة التي يمكن أن تستخدم الرمز المميز نفسه. تم توفير المزيد من التلميحات حول الاستخدام الفعال لهذه الميزة في هذا المستند.
- يعد تسجيل الجهاز ثابتا ويستمر عبر عمليات إعادة التحميل والترقيات الخاصة بالنظام. يمكن إجبار جهاز ASR9K على إعادة التسجيل باستخدام الرمز المميز القديم أو جهاز أحدث إذا رغبنا في ذلك، في حالة حدوث أي خسارة.
- لا يحتاج النظام ASR9K إلى أي تدخل بعد التسجيل، وهو يقوم دوريا باستطلاع الحساب الذي سجل معه من أجل الامتثال. إذا كان النظام هو OOC، يتم إنشاء syslog لتحذير المستخدم.
واجهة/مدخل ويب
فيما يلي جولة سريعة لواجهة الويب حيث تبدأ عملية التسجيل:
يتم إستخدام تجمع تراخيص الحساب الظاهري المعروف باسم Virtual Account" لتضمين التراخيص وتنظيمها بشكل منطقي حسب حاجة المؤسسة. إنه حاوية تراخيص وأجهزة مسجلة للميزات التي تتطلب ترخيصا. يمكنك إنشاء تجمع واحد لكل موقع وكل قسم، وهكذا.
يمكن نقل التراخيص بسهولة من تجمع إلى آخر.
Idtoken هو مفتاح تم إنشاؤه بواسطة هذا الحساب، والذي يتم إستخدامه لتسجيل أجهزة ASR9K. يمكن أن يكون صالحا من يوم إلى عام. الاستخدام الوحيد للرمز المميز هو تسجيل الجهاز وبعد ذلك لا تكون هناك حاجة إليه. الرمز المميز هو تدفق النص الذي يمكن نسخه إلى برنامج نصي من نوع TcL أو Python لأتمتة تسجيل الجهاز عن بعد.
على سبيل المثال، يمكنك إنشاء رمز مميز ليوم واحد وإرساله إلى موقع بعيد ليتم إستخدامه من قبل الأيدي البعيدة لتسجيل الأجهزة. تنتهي صلاحيتها في يوم واحد ولا يمكن للأيدي البعيدة إستخدامها لتسجيل أي جهاز آخر. حتى إذا تم إستخدامه لتسجيل الأجهزة التي لا تنتمي إلى شركتك، فسوف ترى الجهاز بسهولة في علامة التبويب مثيل المنتج ويمكن أن تتخذ إجراءات لإبطال الترخيص.
يقوم التقرير بإنشاء أشكال مختلفة للمخزون بشكل ديناميكي ويمكن تصديره بتنسيق Excel للاستخدام دون اتصال أو مسك الدفاتر أو التحليل.
تعرض علامة التبويب الترخيص التراخيص المطلوبة من قبل أجهزة ASR9K المختلفة، والتي تظهر عدد وحالة كل ترخيص. يمكن إستخدام عنصر إرتباط التحويل عند النقر عليه مباشرة ونقل التراخيص من أي تجمع في الحساب ومنه بسهولة.
يقوم تبويب سجل الأحداث بتسجيل أنشطة الأجهزة مقابل التجمع بتنسيق نوع syslog ويسجل الإجراءات التي يتخذها كل جهاز أو مستخدم للحساب، مثل التسجيل وإلغاء التسجيل وما إلى ذلك. تتميز الواجهة بالسهولة وسهولة التنقل أو تصحيح الأخطاء.
التكوين
يتناول هذا المثال كيفية الترقية من الترخيص التقليدي إلى الترخيص الذكي. لاحظ أنه في بعض الحالات، قد يكون "الترخيص الذكي" هو الإعداد الافتراضي.
الترخيص التقليدي
للتحقق من الترخيص التقليدي، يمكن تشغيل بعض الأوامر من مستوى الإدارة. فيما يلي بعض منها التي تختلف مخرجاتها مقارنة بالترخيص الذكي.
RP/0/RSP1/CPU0:ROA(admin)#show license pools
Pool: Owner
Feature: A9K-24X10-OPT-LIC A9K-24X10-VID-LIC A9K-24X10G-AIP-SE A9K-24X10G-AIP-TR
A9K-2X100-OPT-LIC A9K-2X100-VID-LIC A9K-2X100G-AIP-SE A9K-2X100G-AIP-TR
A9K-36X10-OPT-LIC A9K-36X10-VID-LIC A9K-36X10G-AIP-SE A9K-36X10G-AIP-TR
A9K-400G-AIP-SE A9K-400G-AIP-TR A9K-400G-OPT-LIC A9K-400G-VID-LIC
A9K-800G-AIP-SE A9K-800G-AIP-TR A9K-800G-OPT-LIC A9K-800G-VID-LIC
A9K-ADV-OPTIC-LIC A9K-ADV-VIDEO-LIC A9K-AIP-LIC-B A9K-AIP-LIC-E
RP/0/RSP1/CPU0:ROA(admin)#show license allocated
FeatureID: A9K-800G-AIP-SE (Slot based, Permanent)
Total licenses 1
Status: Allocated 1
Pool: Owner
Total licenses in pool: 1
Status: Operational: 1
Locations with licenses: (Active/Allocated) [SDR]
0/0/CPU0 (0/1) [Owner]
كما يمكن تشغيل مجموعة فرعية من أوامر الترخيص التقليدي من مستوى EXEC، ولكنها فكرة جيدة لتشغيلها من مستوى الإدارة، والذي يحتوي على القائمة الكاملة.
RP/0/RSP1/CPU0:ROA#show license ?
WORD Feature ID
active Currently checked-out/being used by applications.
allocated Allocated to a slot but not used.
available Not currently active.
evaluation Display the evaluation licenses.
expired Display evaluation licenses already expired.
location Show information for a specific location
log The operational or administrative logs.
| Output Modifiers
<cr>
الترخيص الذكي
لم يتم تمكين الترخيص الذكي بعد، ولكن هذا ما يعرضه النظام.
وعلى الرغم من عدم تطبيق أي تكوين، فإن ملف التعريف الافتراضي المدمج ل call_home يستخدم HTTPS، والذي يشير إلى خوادم Cisco الخلفية عبر منافذ إدارة الأنظمة. راجع المزيد على call_home في وقت لاحق في هذا المستند.
RP/0/RSP1/CPU0:ROA#show run call-home
% No such configuration item(s)
RP/0/RSP1/CPU0:ROA#show call-home detail | i https
http proxy: Not yet set up
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
للحصول على الحد الأدنى من التكوين، تحتاج فقط إلى الخطوات 1 و 4. أما بقية الخطوات فهي للحصول على المعلومات والتحقق والإبلاغ.
- دخلت في إدارة أسلوب، هذا أمر:
RP/0/RSP1/CPU0:ROA(admin-config)#license smart enable
RP/0/RSP1/CPU0:ROA(admin-config)#commit - في وضع EXEC قم بتكوين المزيد من العقد، مثل عنوان البريد الإلكتروني، أو أستخدم ملف التعريف الافتراضي هذا الذي يتم إنشاؤه تلقائيا عند تنفيذ تكوين المسؤول.
RP/0/RSP1/CPU0:ROA#show run call-home
call-home
service active
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination transport-method http - في وضع الإدارة، تحقق من إصدار الترخيص الذكي:
RP/0/RSP1/CPU0:ROA(admin)#show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16 - دخلت في إدارة أسلوب، هذا أمر:
RP/0/RSP1/CPU0:ROA(admin)#license smart register idtoken
NjgyMWM2NDItMzI5My00YzQ2LThmMDItMzhhNWI2Mzk2YWUwLTE0MzUzMzM3%
0aMDQwNDB8SWRzSGkvR0d2MWZTZEhzK2RWUmJWMmh0U1ZIa2tBVzBLZKl1ZHhs%0AZGRPbz0%3D%0A ?
force Force Registration
<cr>
license smart register: Registration process is in progress. Please check
the syslog for the registration status and resultتقوم الكلمة الأساسية فرض باستبدال كل المعلومات المتعلقة بالجهاز الذي تم تسجيله سابقا والقضاء عليها. يجب إستخدام قوة الكلمة الأساسية بشكل محدود وفي حالات خاصة. وبدلا من ذلك، يمكن إستخدام واجهة مستخدم الويب لإزالة الجهاز من الحساب.
- الاستعلام عن حالة العملية:
RP/0/RSP1/CPU0:ROA(admin)#show license register-status
Registration Status: Completed
Registration Start Time: Wed Dec 17 2014 13:07:23 PST
Next ID Cert Renew Time: Mon Jun 15 2015 14:07:45 PST
Next ID Cert Expiration Time: Thu Dec 17 2015 13:01:41 PST
Last Response Time: Wed Dec 17 2014 13:07:45 PST
Last Response Message: OK: OKإذا لم تكن الحالة 'مكتمل'، فسترى الرسائل الموجودة على وحدة التحكم أو syslog. فيما يلي رسالة syslog الناجحة:
RP/0/RSP1/CPU0:Dec 17 13:07:45.285 : licmgr[310]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful
RP/0/RSP1/CPU0:Dec 17 13:08:18.357 : licmgr[310]: SMART_LIC-3-OUT_OF_COMPLIANCE:
One or more entitlements are out of compliance': - في هذا النظام، هناك القليل من الميزات التي تم تكوينها تتطلب تراخيص، ويشير هذا الإخراج إلى حالة "عدم التوافق":
RP/0/RSP1/CPU0:ROA(admin)#show license entitlement | i Tag | e Not | u sort
Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,
1.0_66d3ccf7-a374-4409-a3f9-6bc56d645f1c, Version: 1.0, Enforce Mode:
Out of compliance
Tag: regid.2014-04.com.cisco.A9K-24X10-VID-LIC,1.0_9f03b94f-3c76-4a39-82f2
-1b53cdf5cb15, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-04.com.cisco.A9K-24X10G-AIP-TR,1.0_e5d7cec3-e8e3-43c6-88c9
-a113b76679f8, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-2X100-OPT-LIC,1.0_0f74bb00-42af-4c4d-b162
-bcb346c7510a, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-2X100-VID-LIC,1.0_a482b964-6371-4aad-8e82
-2083c5749205, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-2X100G-AIP-SE,1.0_ce447831-e4af-4def-a98b
-3297fab65561, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-36X10-OPT-LIC,1.0_92a8597a-f591-4afc-adeb
-9b212cee11be, Version: 1.0, Enforce Mode: Out of compliance - نظرت في الأمر أنت استعملت في ترخيص تقليدي، أي يتلقى إنتاج مختلف.
تكون واجهة سطر الأوامر (CLI) الخاصة بالترخيص الذكي أو الترخيص التقليدي متوفرة في أي وقت معين، وليس كلاهما.
يتم إستخدام اسم التجمع لتنظيم/تصنيف الأجهزة. يمكنك إستخدام تجمع واحد لكل منطقة/جغرافية، أو قسم أو منطقة وظيفية، أو تجمعات مالية، وهكذا. ويمكن لكل شركة أن تقرر كيف ترغب في الحصول على تراخيص لحفر الحمام. لاحظ أيضا أنه من السهل للغاية إستخدام المستعرض العادي لديك لعرض التراخيص بين المجموعات أو تغييرها أو نقلها، وإضافة أعداد التراخيص أو تغييرها، والقيام بذلك بسهولة تامة دون الحصول على أي مساعدة من Cisco، بشكل مستقل، على مدار الساعة.
RP/0/RSP1/CPU0:ROA(admin)#show license pool
Assigned Pool Info: PATRICK_NO_LIC - ومن هنا فصاعدا، يتحقق النظام كل يوم من التوافق تلقائيا. في حالة حدوث عطل، يحاول النظام كل 20 دقيقة لمدة أربع ساعات ثم مرة واحدة في اليوم لمدة 30 يوما. يتم طباعة رسائل syslog، والتي تشير إلى الاتصال وقابلية الوصول والاتصالات، وما إلى ذلك لأسباب الأعطال. تمت مناقشة تصحيح الأخطاء لاحقا في هذا المستند.
- دخلت in order to أعجزت الأداة، هذا أمر:
RP/0/RSP1/CPU0:ROA(admin)#license smart deregister
license smart deregister: Success
License command "license smart deregister " completed successfully.RP/0/RSP1/CPU0:ROA(admin)#show license register-status
Registration Status: Not Registered - لمعرفة التراخيص المتوفرة على هيكل معين، أدخل هذا الأمر:
RP/0/RSP1/CPU0:ROA(admin)#show license features
Platform Feature ID:
A9K-ADV-OPTIC-LIC
A9K-ADV-VIDEO-LIC
A9K-iVRF-LIC
A9K-AIP-LIC-B
A9K-AIP-LIC-E
A9K-MOD80-AIP-TR
A9K-MOD80-AIP-SE
A9K-MOD160-AIP-TR
A9K-MOD160-AIP-SE
A9K-2X100G-AIP-TR
. . . output snipped . . .
تشريح وتدفق التطبيق
لفهم آليات التطبيق، يتعين عليك الحصول على فهم أساسي لمكوناته. ولكن لتشغيل أو نشر البرامج، لا يلزم وجود معرفة مسبقة سوى اتباع الإرشادات المنشورة. هذا القسم مخصص بشكل أكبر للموظفين الفنيين والمهندسين الذين يرغبون في معرفة التفاصيل.
النشر والتهيئة والخيارات
يمكن نشر ميزة الترخيص الذكي في العديد من السيناريوهات التي تعتمد على المتطلبات المتعلقة بالأمان وقابلية الإدارة ووضع التشغيل الخاص بالعميل.
على سبيل المثال:
- قد تختار عدم السماح ل ASR9K بالاتصال "مباشرة" مع خوادم Cisco Cloud/Backend. في هذه الحالة، يمكنك إستخدام خادم "وكيل" على المباني الخاصة بك وإدارة جدار الحماية وتدفق حركة مرور البيانات وكيفية ملائمة تطبيق "الترخيص الذكي" لاحتياجات أمان المؤسسة. ويمكن إعداد هذا النظام بسهولة من خلال برنامج Open Source Apache الذي يعمل على أنظمة التشغيل Windows أو Linux.
- أو قد ترغب في توصيل جميع أجهزة ASR9K الخاصة بك بمضيف مجمع يمكنه تلقي جميع الطلبات المحلية من جميع أجهزة ASR9K قبل إعادة توجيهها إلى خوادم Cisco الخلفية. هذه وظيفة لبرنامج عبارة النقل التي تعمل على Linux و Windows وهي متوفرة للتنزيل من Cisco Transport-Gateway Download.
- أو قد ترغب في العمل دون اتصال تام مع البرامج الموجودة على ذاكرة القراءة فقط التي تعمل على نظامي التشغيل Linux و Windows وتسمح لك بأن يكون لديك فقط "المضيف الموجود على ذاكرة التشغيل" لإجراء المحادثات الخاصة بترخيص تبادل المعلومات مع Cisco Cloud وبالتالي توفير المعلومات للأجهزة الطرفية بشأن حالة التوافق الخاصة بها. سيتوفر هذا البرنامج في الإصدار 5.3.1 أو إصدار أحدث.
بالإضافة إلى دعم HTTPS، يمكن أيضا تكوين البرنامج ليتم تشغيله في إعداد إعادة توجيه التوجيه الظاهري (VRF) الذي يسمح بمستوى أكبر من التحكم في كيفية نقل معلومات الترخيص.
علاوة على ذلك، يتم دعم IPv6 محليا ويتطلب فقط عنوان IP6 صالح على النظام للاتصال بخوادم Cisco الخلفية عبر الإنترنت.
تفترض هذه التكوينات أنه تم تكوين ASR9K باستخدام نظام اسم المجال (DNS) أو مضيف مجال IPv4/IPv6 حتى يمكنه حل أسماء البيئات المضيفة للوصول إلى الشبكة الخارجية.
تكوين بروتوكول وقت الشبكة (NTP) ضروري لإبقاء النظام متزامنا مع خوادم الشهادات الخلفية.
RP/0/RSP0/CPU0:ROA#show run domain
domain name cisco.com
domain list cisco.com
domain name-server 171.70.168.183
domain name-server 2001:420:68d:4001::a
RP/0/RSP0/CPU0:ROA#show run | i ipv6 host
Building configuration...
domain ipv6 host tools.cisco.com 2001:420:1101:5::a
تكوين وكيل HTTP
أباتشي تشكيل خارج نطاق هذه الورقة، لكن هناك العديد من الوثائق الجيدة على الإنترنت التي يمكنها أن تجعلك تخطو هذه الخطوات. لتوضيح الوظائف، تم تكوين Apache للوكيل البسيط على المنفذ 80. راجع إخراج تصحيح الأخطاء من mod_proxy من Apache كما هو موضح هنا.
للترخيص الذكي، ومع ذلك، فإن التكوين بسيط للغاية، ما عليك سوى ذكر اسم خادم الوكيل والمنفذ. ببساطة، سيقوم التكوين بإعادة توجيه الطلب إلى الخادم الوكيل بدلا من الاتصال بخوادم Cisco الخلفية مباشرة. وسيتصل الخادم الوكيل بالخوادم عبر أي وسيلة نقل تم تكوينها لإعادة توجيه الطلبات؛ يوصى ب HTTPS. بخلاف http-proxy mybastion.cisco.com port 80، لا يتطلب أي تكوين آخر.
RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
http-proxy mybastion.cisco.com port 80
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http
أدخل أمر التسجيل admin license smart register idtoken <idtoken> ولاحظ أن الإخراج يعرض الطلب/الاستجابة التي تم إجراؤها بواسطة ASR9K. لاحظ عدادات الطوابع الزمنية وعمود النجاح.
RP/0/RSP0/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.
Msg Subtype Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT 1 0 0 0 2015-01-12 21:06:56
DEREGISTRATION 0 0 0 0 n/a
REGISTRATION 1 0 0 0 2015-01-12 21:06:21
ACKNOWLEDGEMENT 1 0 0 0 2015-01-12 21:06:38
هنا جزء من سجلات وصول Apache التي تظهر الطلب يذهب على ميناء 443، بروتوكول HTTPS.
root@mybastion:/var/log/httpd #tail -f proxy-*
==> proxy-error.log <==
[Mon Jan 12 21:06:10 2015] [debug] mod_proxy_connect.c(70): proxy: CONNECT:
canonicalising URL tools.cisco.com:443
[Mon Jan 12 21:06:10 2015] [debug] proxy_util.c(1515): [client 172.27.130.65] proxy:
*: found forward proxy worker for tools.cisco.com:443
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(109): [client 172.27.130.65]
(70014)End of file found: proxy: CONNECT: error on client - ap_get_brigade
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(425): proxy: CONNECT:
finished with poll() - cleaning up
==> proxy-access.log <==
172.27.130.65 - - [12/Jan/2015:21:06:10 -0800] "CONNECT tools.cisco.com:443 HTTP/1.1" 200 -
تكوين عبارة النقل
في هذا السيناريو، يتم تثبيت تطبيق "عبارة النقل" على مضيف Linux أو Windows وتكوينه لتلقي طلبات الترخيص من أجهزة ASR9K على أماكن عمل العميل وإرسالها إلى خوادم Cisco الخلفية. راجع نشر عبارة النقل ودليل المستخدم للحصول على مزيد من المعلومات.
التكوين الموجود على ASR9K عبارة عن سطر واحد فقط. فيما يلي عينة؛ ارجع إلى الوثائق للاطلاع على المواصفات الدقيقة اللازمة لبيئتك.
call-home
profile CiscoTAC-1
destination address http
https://TG-IP-or-FQDN/Transportgateway/services/DeviceRequestHandler
تكوين VRF
تسمح VRFs بالمزيد من التحكم في حركة مرور الإدارة وتكون تقريبا شفافة إلى الترخيص الذكي. ومع ذلك، يلزم تكوين سطر واحد لجعل البرنامج الأساسي يرجع إلى جدول VRF بدلا من الجدول العام عند محاولة برنامج الترخيص الذكي الوصول إلى خوادم Cisco الخلفية.
السلسلة الموضحة هنا هي اسم VRF الذي تم تكوينه في النظام.
RP/0/RSP0/CPU0:ROA(config)#http client vrf MGMT
إخراج تفاصيل Call Home
يتم عرض نموذج للمخرجات للتحقق مما إذا كان الاتصال بالمنزل يعمل بشكل صحيح هنا.
RP/0/RSP0/CPU0:ROA#show call-home detail
Current call home settings:
call home feature : enable
call home message's from address: mylab-roa@cisco.com ; optional, any address
call home message's reply-to address: pasoltan@cisco.com ; optional,
recipient address
vrf for call-home messages: Not yet set up ; Not supported natively yet
contact person's email address: sch-smart-licensing@cisco.com ; default
contact person's phone number: +1-408-526-8438 ; optional
street address: 1550 Soltani Lane, Cisco System Drive, North Pole, NP 99709
customer ID: Not yet set up
contract ID: Not yet set up
site ID: BUILDING20-125 ; optional
source interface: Not yet set up ; can be configured to use a specific interface.
Mail-server[1]: Address: bastion.cisco.com Priority: 1 ; optional
Mail-server[2]: Address: 171.68.58.10 Priority: 10 ; optional
Mail-server[3]: Address: 173.37.183.72 Priority: 20 ; optional
http proxy: Not yet set up ; when configured will change.
Smart licensing messages: enabled
Profile: CiscoTAC-1 (status: ACTIVE) ; default profile supported.
Can not be renamed, deleted, but can be modified, activated, deactivated.
aaa-authorization: disable ; optional
aaa-authorization username: callhome (default) ; default
data-privacy: normal ; can be configured to use the hostname or not.
syslog throttling: enable
Rate-limit: 5 message(s) per minute
Snapshot command: Not yet set up
; Non-smart licensing configuration for alerts, data collection, defaults.
Available alert groups:
Keyword State Description
---------------------- ------- -------------------------------
configuration Enable configuration info
environment Enable environmental info
inventory Enable inventory info
snapshot Enable snapshot info
syslog Enable syslog info
Profiles:
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
Email address(es): callhome@cisco.com
HTTP address(es): ; Only configuration needed if default is not desired.
http://tools.cisco.com/its/service/oddce/services/DDCEService
https://tools.cisco.com/its/service/oddce/services/DDCEService
Periodic inventory info message is scheduled every 23 day of the month at 11:2
Alert-group Severity
------------------------ ------------
environment minor
inventory normal
Syslog-Pattern Severity
------------------------ ------------
.* critical
خيارات تكوين الترخيص غير الذكي ل Call Home
يمكنك تكوين "الاتصال بالمنزل" لإجراء syslog وجمع البيانات التشخيصية بالإضافة إلى عمليات النثر الأساسية، أو جعله يرسل إعلامات البريد الإلكتروني للأحداث وما إلى ذلك مع أعمال الترخيص الذكي التي يتم إكمالها.
يمكنك عرض معلومات مجموعة الاتصال بالمنزل باستخدام اسم مستخدم وكلمة مرور الترخيص الذكي على https://tools.cisco.com/sch/reports/deviceReport.do.
راجع المستندات المرتبطة في قسم "المعلومات ذات الصلة" للحصول على مزيد من المعلومات حول كيفية إستخدام هذه الميزة لمنفعة بيئتك. كما توجد عينة من إخطار البريد الإلكتروني في قسم "الاحتمالات والنهايات" .
تصحيح الأخطاء
لا توجد قواعد صارمة وسريعة لتصحيح أخطاء برنامج الترخيص الذكي بسبب العديد من المكونات التي تشكل الحزمة. غير أن بعض أساليب النهج المشتركة تضيق عادة نطاق المسائل. إليك بعض الاقتراحات.
Syslogs
ابحث في syslog أولا. سوف تحصل على بعض الأدلة فيما يتعلق بالعنصر الذي يجب فحصه أولا. في هذه الرسائل ترى بعض مشاكل الشهادة وفشل في إرسال رسائل Call Home HTTP؛ وأخيرا يتم إستعادة الاتصال.
RP/0/RSP0/CPU0:ROA#sh log | i SMART
RP/0/RSP1/CPU0:Dec 17 20:01:28.522 : licmgr[308]: SMART_LIC-3-ID_CERT_RENEW_FAILED:
ID certificate renewal failed: Response error: {"product_instance_identifier":
["ProductInstance '8baecfb5-2688-429b-8519-10a3f0dec6b5' is not valid"]}
RP/0/RSP1/CPU0:Dec 17 20:01:34.273 : licmgr[308]: SMART_LIC-3-AUTH_RENEW_FAILED:
Authorization renewal with Cisco licensing cloud failed: Response error:
LS_UNMATCH_SIGNED_DATA: Signed data and certificate does not match
RP/0/RSP0/CPU0: Dec 17 18:26:24.009 : licmgr[314]: SMART_LIC-3-COMM_FAILED:
Communications failure with Cisco licensing cloud: Fail to send out Call Home
HTTP message
RP/0/RSP0/CPU0:Dec 17 18:28:03.057 : licmgr[314]: SMART_LIC-3-AGENT_REG_FAILED:
Smart Agent for Licensing Registration with Cisco licensing cloud failed:
Communication message send error
RP/0/RSP0/CPU0:Dec 17 18:30:09.247 : licmgr[314]: SMART_LIC-5-COMM_RESTORED:
Communications with Cisco licensing cloud restored
RP/0/RSP0/CPU0:Dec 17 18:30:21.923 : licmgr[314]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful
حدد إخراج الأمر show للحصول على مؤشر على حالة المربع/المكون. يمكنك هنا رؤية إمكانية التنقل وأمان بروتوكول الإنترنت (IPsec) والتراخيص الضوئية.
RP/0/RSP0/CPU0:ROA#admin show license entitlement
Entitlement:
Tag: regid.2014-06.com.cisco.A9K-MOBILE-LIC,1.0_e447924c-0a6f-41be-9202-8ae60fcc2972,
Version: 1.0, Not In Use
Requested Time : NA, Requested Count: NA
Vendor String:
Tag: regid.2014-09.com.cisco.A9K-IPSEC-20G-LIC,1.0_a165db99-eb3f-474b-bdf0-
ce4b140d9b45, Version: 1.0, Not In Use
Requested Time : NA, Requested Count: NA
Vendor String:
Tag: INSTALLMGR, Version: 1.0, Not In Use
Requested Time : NA, Requested Count: NA
Vendor String:
Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,1.0_66d3ccf7-a374-4409-a3f9-
6bc56d645f1c, Version: 1.0, Enforce Mode: Out of compliance
Requested Time : Mon Jan 12 2015 20:47:07 PST, Requested Count: 1
Vendor String:
... output snipped ...
تحقق من توافق الترخيص.
RP/0/RSP0/CPU0:ROA#admin show license status
Compliance Status: Out of compliance
تحقق من التجمع النشط.
RP/0/RSP0/CPU0:ROA#admin show licence pool
Assigned Pool Info: PATRICK_NO_LIC
الحصول على شهادة الترخيص.
RP/0/RSP0/CPU0:ROA#admin show license cert
Licensing Certificates:
ID Cert Info:
Start Date: Mon Jan 12 2015 21:00:13 PST. Expiry Date: Tue Jan 12 2016 21:00:13 PST
Serial Number: 24724
Version: 3
Subject/SN: 60fe47f8-aaaa-40fc-ae3e-fae9c7b6d0ac
Common Name: 138091632beb1f2e38069e9eec8f9c626de471ac::1,2
Signing Cert Info:
Start Date: Wed Sep 11 2013 12:05:34 PST. Expiry Date: Sun May 30 2038 12:48:46 PST
Serial Number: 3
Version: 3
تحقق من إصدار الترخيص.
RP/0/RSP0/CPU0:ROA#admin show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16
يوضح هذا الأمر إحصائيات محاولات إستدعاء المنزل، التي نجحت و/أو فشلت.
RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.
Msg Subtype Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT 1 0 0 0 2014-12-17 21:08:35
DEREGISTRATION 1 0 0 0 2014-12-17 14:33:17
REGISTRATION 1 0 0 0 2014-12-17 21:07:53
ACKNOWLEDGEMENT 1 0 1 0 2014-12-17 21:08:09
RENEW 1 0 0 0 2014-12-17 21:08:57
Call Home Process
تحقق من ملفات التتبع لعملية call_home التالية، نظرا لأن النقل بين ASR9K و Cisco Cloud تتم إدارته بواسطتها.
RP/0/RSP0/CPU0:ROA#show call-home trace error last 2
81 wrapping entries (576 possible, 320 allocated, 0 filtered, 81 total)!
Jan 28 10:10:29.729 call_home/error 0/RSP0/CPU0 t10 call_home_http_resp_data(),
httpc response error, Host name resolution failed
Jan 28 10:10:39.730 call_home/error 0/RSP0/CPU0 t19 call_home_events_handler() failure status 67
الفحص الذكي (وكيل البرنامج)
تحقق من الآثار الذكية. تكشف هذه المسارات عن تفاعل الترخيص مع خوادم Cisco السحابية.
RP/0/RSP0/CPU0:ROA#admin show license trace smartlic last 2
987 wrapping entries (1088 possible, 0 filtered, 987 total)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
Failed to bind to SysDB - 'Subsystem(2091)' detected the 'success' condition
'Code(45)': Unknown Error(292)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
SMART ERROR - SASACKExpirationJob: expirySeconds=3842
فحص عملية LICMGR
هذه العملية هي الواجهة الرئيسية للترخيص الذكي على ASR9K وتعتبر الصمغ بين المكونات المختلفة.
RP/0/RSP1/CPU0:ROA#admin show license trace
557 wrapping entries (576 possible, 0 filtered, 5403 total)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
Client search success pkg/bin/rsi_agent (No error)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
A9K-MOD160-AIP-SE regid.2014-06.com.cisco.A9K-MOD160-AIP-SE,
1.0_7f1b3d9c-a183-41d1-8d0b-d98dcc2751a8 (No error)
مسارات معتمدة على النظام الأساسي
على الرغم من أن جزء Platform Dependent (PD) من الرمز هو مجرد مكتبة إرتباطات ديناميكية، إلا أنه يلعب دورا هاما في إطلاق طلبات إستحقاق الترخيص. ومن ثم، فإنها تحل المسائل المتعلقة بأنواع التراخيص، والعدد، وما إلى ذلك.
RP/0/RSP1/CPU0:ROA#admin show license trace platform all last 5
1849 wrapping entries (5440 possible, 3136 allocated, 0 filtered, 183450 total)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start: ver:1,
node:0x00000041 cmd:Audit(5) req:Mobile(9) feature:A9K-MOBILE-LIC(13) grant:
Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start #2:
client restarted:False up for a day:True
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License Start:
request:Mobile(9) slot:4 grant:Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License End:
request:Mobile(9) slot:4 grant:Not Pending(0) rc: 0x00000000 No error
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Cmd End:Audit(5),
slot:4 rc:0x00000000 No error
تشغيل تصحيح الأخطاء
في حالة فشل الكل الآخر، قم بتشغيل تصحيح الأخطاء وأدخل طلبا عند الطلب لتجديد الشهادات أو الاستحقاقات. يجب أن يجمع تصحيح الأخطاء هذا جميع الحركات بين ASR9K و Cisco Cloud Services.
RP/0/RSP0/CPU0:ROA#debug smartlic
RP/0/RSP1/CPU0:ROA#show debug
#### debug flags set from tty 'aux0_RSP1_CPU0' ####
smartlic debug flag is ON with value 0
لا يتوفر أي تصحيح أخطاء لخادم السحابة/واجهة المستخدم المباشرة من Cisco. إرسال بريد إلكتروني إلى موقع asr9k-smart-lic@cisco.com يتضمن أية مشاكل.
الاحتمالات والغايات
- عند تكوين عدة مربعات للحصول على إستحقاق من تجمع التراخيص نفسه، حتى إذا كان هناك جهاز واحد فقط قصير برخصة واحدة، فهذا يعني أن جميع أجهزتك هي OOC. يرجع ذلك أساسا إلى التصميم الذي يتضمن طريقة عرض التجمع كحاوية. ويتناول النموذج الجديد، وهو التنظيم الهرمي للتجمعات الموجودة في الأعمال، السلوك في الإصدارات المستقبلية.
- أرسل بالبريد الإلكتروني إلى نفسك إخراج أمر show مباشرة من وحدة التحكم. لاحظ علامات التنصيص المزدوجة واستخدام الفاصلة المنقوطة بعد كل أمر. تقوم "الاتصال بالمنزل" بالعديد من العمليات التي لا تتعلق بالترخيص الذكي. هذا مثال على ما يمكن إستخدام Call Home له. هو تكوين جار يمكن تعديله لأي بيئة.
RP/0/RSP1/CPU0:ROA#show run call-home
call-home
service active
site-id BUILDING20-125
sender reply-to pasoltan@cisco.com
sender from roa@cisco.com
alert-group syslog
alert-group snapshot
alert-group inventory
mail-server 171.68.58.10 priority 10
mail-server 173.37.183.72 priority 20
mail-server 2001:420:303:2008::24 priority 2
mail-server mybastion.cisco.com priority 1
phone-number +1-408-526-8438
contact-email-addr sch-smart-licensing@cisco.com
street-address 1550 E.Tasman Drive, San Jose, CA 9513
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
reporting smart-call-home-data
reporting smart-licensing-data
destination transport-method http
RP/0/RP1/CPU0:ROA#call-home send "show run call; admin show platform"
email pasoltan@cisco.com msg-format long-text
Sending ondemand CLI output call-home message ...
Please wait. This may take some time ... - يستخدم الأمر show call-home smartlic status كلمة "نجاح" التي تعني ببساطة من منظور عملية الاتصال بالمنزل نجاح نقل الرسائل من ASR9K إلى خوادم Cisco السحابية. ومع ذلك، لا يعني ذلك أن عملية الترخيص من نهاية إلى نهاية باستخدام خوادم Cisco السحابية كانت ناجحة. على سبيل المثال، في حالة وجود مشكلة في الحساب أو الشهادة أو ما إلى ذلك في المدخل، يقوم الاتصال بالمنزل بنقل الرسالة وإظهار النجاح، ولكن قد تفشل العملية الإجمالية لفحص التراخيص بواسطة الخوادم الخلفية.
RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.
Msg Subtype Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT 1 0 0 0 2014-12-17 21:08:35
DEREGISTRATION 1 0 0 0 2014-12-17 14:33:17
REGISTRATION 1 0 0 0 2014-12-17 21:07:53
ACKNOWLEDGEMENT 1 0 1 0 2014-12-17 21:08:09
RENEW 1 0 0 0 2014-12-17 21:08:57 - عندما تقوم بتكوين واجهات الإدارة باستخدام IPv4 و IPv6 على حد سواء، يكون ترتيب تحليل الأسماء على عنوان IP أو تحليل DNS هو IPv6 أولا.
RP/0/RSP1/CPU0:ROA#show run int M*
interface MgmtEth0/RSP0/CPU0/0
cdp
ipv4 address 172.27.130.64 255.255.255.128
ipv6 address fe80::172:27:130:64 link-local
ipv6 address 2001:420:303:2008:0:28:1:64/80
... snipped output ...RP/0/RSP1/CPU0:ROA#ping tools.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:420:1201:5::a, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/45/49 msRP/0/RSP1/CPU0:ROA#ping ipv4 tools.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 173.37.145.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 43/44/45 ms
معلومات ذات صلة
- دليل مستخدم Smart Call Home - HTML
- Smart Call Home User Guide (دليل المستخدم المنزلي) - PDF
- Smart Call Home Security
- مجتمع دعم Cisco
- الفيديو: تكوين الاتصال بالمنزل
- أوامر الترخيص الذكي - HTML
- أوامر الترخيص الذكي - PDF
- معلومات عامة: الترخيص الذكي
- الأسئلة المتداولة حول الترخيص الذكي
- دليل عبارة النقل
- الأسئلة المتداولة حول عبارة النقل
- الدعم التقني والمستندات - Cisco Systems
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
10-Jul-2015 |
الإصدار الأولي |
التعليقات