Einleitung
In diesem Dokument wird die Zusammenarbeit mit Cisco Smart Licensing (Cloud-basiertes System) zur Fehlerbehebung und Verwaltung von Softwarelizenzen für Nexus-Switches beschrieben.
Was ist Cisco Smart Licensing?
Ein Cisco Smart Account ist ein verwaltetes Daten-Repository, das umfassende Transparenz und Zugriffskontrolle für Cisco Software-Lizenzen, Berechtigungen und Produktinstanzen im gesamten Unternehmen bietet
Neu bei Smart Licensing und/oder der Administration von Smart Accounts?
Registrieren Sie sich für den neuen Schulungskurs und die Aufzeichnung für Administratoren:
Unterstützte Cisco Nexus Plattformen
Nexus 3000 und 9000
NX-OS-Versionen vor 9.3(3) unterstützen nur herkömmliche Lizenzen. Die NX-OS-Versionen 9.3(3) bis 10.1(2) unterstützen sowohl die traditionelle Lizenzierung als auch die Smart Licensing-Version, die in diesem Dokument behandelt wird. NX-OS-Versionen nach 10.1(2) unterstützen nur die Smart Licensing Using Policy, die sich von der Smart Licensing-Richtlinie unterscheidet. Informationen zu neueren Versionen als 10.1(2) finden Sie stattdessen in diesem Handbuch.
Nexus 7000
Smart Licensing wird auf Cisco Nexus 7000 mit NX-OS 8.0(1) und neueren Versionen unterstützt.
Unterstützte Smart Licensing-Methoden für Nexus Switches
Smart Licensing-Benutzer-Workflow
Smart License-Produktstatus
Registered
Lizenzen
Antrag auf Verlängerung
Verlängerung
Registrierungs- und Lizenzstatus
Smart Licensing ist zwar eingerichtet, ein Cisco Gerät kann sich jedoch in verschiedenen Zuständen befinden. Diese Zustände können über "show license all or show license status" über die Befehlszeilenschnittstelle (CLI) des Cisco Geräts angezeigt werden.
Hier ist eine Liste aller Zustände und ihrer Bedeutung:
Status „Evaluation (Unidentified)“ (Evaluierung, Nicht identifiziert)
- Dies ist ein Standardstatus des Geräts beim ersten Booten.
- Normalerweise wird dieser Status angezeigt, wenn ein Cisco Gerät noch nicht für Smart Licensing konfiguriert oder bei einem Smart Account registriert wurde.
- In diesem Status sind alle Funktionen verfügbar und das Gerät kann die Lizenzstufen frei ändern.
- Der Evaluierungszeitraum wird verwendet, wenn sich das Gerät im nicht identifizierten Zustand befindet. Das Gerät versucht in diesem Zustand nicht, mit Cisco zu kommunizieren.
- Dies ist eine Nutzungsdauer von 90 Tagen und keine 90 Kalendertage. Nach dem Ablauf wird das Gerät nie zurückgesetzt.
- Es gibt einen Evaluierungszeitraum für das gesamte Gerät, nicht pro Berechtigung.
- Wenn der Evaluierungszeitraum nach 90 Tagen abläuft, wechselt das Gerät in den EVAL EXPIRY-Modus. Es gibt jedoch auch nach dem Neuladen keine Auswirkungen auf die Funktion oder Unterbrechungen der Funktionalität. Derzeit gibt es keine Durchsetzung.
- Die Countdown-Zeit wird für alle Neustarts beibehalten.
- Der Evaluierungszeitraum wird verwendet, wenn sich das Gerät noch nicht bei Cisco registriert hat und die beiden folgenden Nachrichten vom Cisco Backend nicht erhalten hat:
- Erfolgreiche Antwort auf eine Registrierungsanfrage.
- Erfolgreiche Antwort auf eine Anfrage zur Berechtigungsautorisierung.
Status „Registered“ (Registriert)
- Dies ist der erwartete Status nach erfolgreicher Registrierung.
- Das Cisco Gerät konnte erfolgreich mit einem Cisco Smart Account kommunizieren und registriert werden.
- Das Gerät erhält ein ID-Zertifikat mit einer Gültigkeit von einem Jahr, das für zukünftige Kommunikation verwendet wird.
- Das Gerät sendet eine Anfrage an CSSM, um die Berechtigungen für die auf dem Gerät verwendeten Lizenzen zu autorisieren.
- Basierend auf der CSSM-Antwort gibt das Gerät dann "Authorized" (Autorisiert) oder "Out-of-Compliance" (Out-of-Compliance) ein
- Das ID-Zertifikat läuft am Ende eines Jahres ab. Nach sechs Monaten versucht der Software-Agent-Prozess, das Zertifikat zu erneuern. Wenn der Agent nicht mit dem Cisco Smart Software Manager kommunizieren kann, versucht er weiterhin, das ID-Zertifikat bis zum Ablaufdatum (1 Jahr) zu erneuern. Nach Ablauf eines Jahres wechselt der Agent in den Status "Nicht identifiziert" zurück und versucht, den Evaluierungszeitraum zu aktivieren. Der CSSM entfernt die Produktinstanz aus der Datenbank.
Status „Authorized“ (Autorisiert)
- Dies ist der erwartete Zustand, wenn das Gerät eine Berechtigung verwendet und die Compliance-Anforderungen erfüllt (kein negativer Saldo).
- Das Virtual Account auf CSSM verfügte über den richtigen Lizenztyp und die richtige Anzahl von Lizenzen, um die Nutzung der Gerätelizenzen zu autorisieren.
- Nach Ablauf von 30 Tagen sendet das Gerät eine neue Anforderung an den CSSM, um die Autorisierung zu erneuern.
- Hat eine Zeitspanne von 90 Tagen, nach der (falls nicht erfolgreich verlängert) in den Status „Authorization Expired“ (Autorisierung abgelaufen) gewechselt wird.
Nichtkonformität
- Dies ist der Status, in dem das Gerät eine Berechtigung verwendet und nicht den Vorschriften entspricht (negativer Saldo).
- Dieser Status wird angezeigt, wenn für das Gerät keine verfügbare Lizenz im entsprechenden Virtual Account vorhanden ist, für das Cisco Gerät im Cisco Smart Account registriert ist.
- Um den Status "Compliance/Autorisiert" zu erhalten, müssen Sie dem Smart Account die richtige Anzahl und den richtigen Lizenztyp hinzufügen.
- In diesem Zustand sendet das Gerät automatisch jeden Tag eine Anfrage zur Erneuerung der Autorisierung.
- Die Lizenzen und Funktionen bleiben weiterhin gültig, ohne dass es zu funktionalen Beeinträchtigungen kommt.
Status „Authorization Expired“ (Autorisierung abgelaufen)
- In diesem Zustand nutzt das Gerät eine Berechtigung, die seit über 90 Tagen nicht mehr mit dem zugehörigen Cisco Smart Account kommunizieren konnte.
- Dies ist in der Regel der Fall, wenn das Cisco Gerät nach der Erstregistrierung keinen Internetzugriff mehr hat oder sich nicht mit tools.cisco.com verbinden kann.
- Online-Methoden der intelligenten Lizenzierung erfordern, dass Cisco Geräte mindestens alle 90 Tage kommunizieren, um einen Wechsel in diesen Status zu verhindern.
- CSSM gibt alle verwendeten Lizenzen für dieses Gerät an den Pool zurück, da seit 90 Tagen keine Kommunikation mehr stattgefunden hat.
- In diesem Zustand versucht das Gerät weiterhin stündlich, eine Verlängerung der Berechtigung bei Cisco anzufordern, bis der Registrierungszeitraum (ID-Zertifikat) abläuft.
- Die Lizenzen und Funktionen bleiben weiterhin gültig, ohne dass es zu funktionalen Beeinträchtigungen kommt.
- Stellt der Softwareagent die Kommunikation mit Cisco wieder her und erhält seine Anfrage zur Autorisierung, verarbeitet er diese normal und geht in einen der festgelegten Zustände über.
Unterstützte Methoden für Nexus und Konfiguration
Methode 1 (direkter Cloud-Zugriff)
Basiskonfiguration:
switch# show run callhome
!Command: show running-config callhome
!Running configuration last done at: Wed Jun 22 16:14:37 2022
!Time: Wed Jun 22 16:16:28 2022
version 9.3(4) Bios:version 07.67
callhome
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
switch# show license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: ldap_user_test
Virtual Account: Default
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Jun 22 16:15:41 2022 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Dec 19 16:15:41 2022 UTC
Registration Expires: Jun 22 16:13:53 2023 UTC
License Authorization:
Status: AUTHORIZED on Jun 22 16:15:44 2022 UTC
Last Communication Attempt: SUCCEEDED on Jun 22 16:15:44 2022 UTC
Next Communication Attempt: Jul 22 16:15:43 2022 UTC
Communication Deadline: Sep 20 16:12:55 2022 UTC
Smart License Conversion:
Automatic Conversion Enabled: False
Status: Not started
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/nx-os/licensing/guide/b_Cisco_NX-OS_Licensing_Guide/m-smart-licensing-for-cisco-nexus-3000-and-9000-series-switches.html
Methode 2 (Zugriff über einen HTTP-Proxy)
switch# show run callhome
version 9.3(4) Bios:version 07.67
call home
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService transport http proxy server X.X.X.X port 80 transport http use-vrf management transport http proxy enable Switch# license smart register idtoken XXXX (force) Initiated device registration with backend. run show license status, for registration status
Methode-3 (am Standort - online)
switch# show run callhome
version 9.3(4) Bios:version 07.67
callhome
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://10.106.41.xx/Transportgateway/services/DeviceRequestHandlerend
transport http use-vrf management
enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
Methode 4 (Am Standort - Offline)
Was ist ein ID-Token?
Sichere Registrierung von Produkten bei einem Smart Account und einem Virtual Account
ID-Token sind organisatorische Kennungen, mit denen die Identität bei der Registrierung eines Produkts festgestellt wird.
Generieren eines ID-Tokens von CSSM
https://software.cisco.com/software/csws/ws/platform/home?locale=en_US#
Lizenzen verwalten -> Bestand -> Allgemein -> Neues Token -> Token erstellen
Fehlerbehebung
Wenn ein Cisco Gerät zu einer für Smart Licensing aktivierten Softwareversion migriert wird, kann dieses Flussdiagramm als allgemeiner Leitfaden für alle drei Methoden (Direct Cloud Access, HTTPS Proxy und Cisco Smart Software Manager On-Prem) verwendet werden.
Workflow
Bekannte Probleme
- Das Problem beim Registrieren von N9K-C9348GC-FXP für Smart Licensing.
1. Fehler - Senden von Call Home HTTP fehlgeschlagen
[+] Call Home-Konfigurationen
Switch# show running-config callhome
version 9.3(5) Bios:version 07.68
callhome
email-contact abc@example.com
phone-contact +919XXXXXXXXX
streetaddress ST3, RD 4, Bangalore
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
[+] Erreichbarkeit von tools.cisco.com bestätigt.
DC-DMZ(config)# ping tools.cisco.com vrf management
PING tools.cisco.com (72.163.4.38): 56 data bytes
64 bytes from 72.163.4.38: icmp_seq=0 ttl=232 time=237.581 ms
64 bytes from 72.163.4.38: icmp_seq=1 ttl=232 time=237.859 ms
64 bytes from 72.163.4.38: icmp_seq=2 ttl=232 time=237.562 ms
64 bytes from 72.163.4.38: icmp_seq=3 ttl=232 time=237.413 ms
64 bytes from 72.163.4.38: icmp_seq=4 ttl=232 time=237.995 ms
DC-DMZ(config)# telnet tools.cisco.com 443 vrf management
Trying 2001:420:1101:5::a...
Trying 72.163.4.38...
Connected to tools.cisco.com.
Escape character is '^]'.
^CConnection closed by foreign host.
+ HTTP-Quellschnittstelle wurde für Schnittstelle VLAN 27 konfiguriert, geändert in mgmt0
2. Fehler - Fehler beim Analysieren der Antwortdaten vom SCH-Server
++ HTTP wird nicht mehr unterstützt, um das Backend von Cisco zu erreichen; HTTPS wird nur unterstützt. Aktuelle Konfiguration entfernt und Zieladresse für HTTPS aktualisiert.
Previous config
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable
New config added
(config)#callhome
(config-callhome)#enable
(config-callhome)# destination-profile CiscoTAC-1 transport-method http
(config-callhome no destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
(config-callhome destination-profile CiscoTAC-1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
3. Fehler: Senden der HTTP-Nachricht für Call Home fehlgeschlagen (Einrichtung der IPC-Verbindung mit Call Home fehlgeschlagen - Quo Vadis Root CA)
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
4. Fehler - Fehlende DNS-Antwort führt dazu, dass MTS-Callhome-Nachrichten hängen bleiben
Cisco Bug-ID CSCv67469