Konfigurieren der HSECK9-Lizenz für cEdge SD-WAN XE

Einleitung

Dieses Dokument beschreibt die Installation und Fehlerbehebung von HSECK9-Lizenzen auf SD-WAN-XE-Edges.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Cisco Software-defined Wide Area Network (SD-WAN)
• Cisco IOS® XE-Kommandozeile
• Smart Licensing
• Cisco Software Central

Verwendete Komponenten

Dieses Dokument basiert auf den folgenden Software- und Hardwareversionen:

• cEdge C111-8PWE Version 17.6.3
• Cisco Smart Software Manager (CSSM)

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.

Hintergrundinformationen

Konzepte

Smart Licensing Using Policy verwendet eine Reihe neuer Konzepte, darunter:

• Lizenzdurchsetzungstypen
• Lizenzdauer
• Autorisierungscode
• Durchsatzstufe, die einen Smart Licensing-Autorisierungscode (SLAC) erfordert - Router-Plattformen, die einen SLAC benötigen
• Richtlinie
• Auswertung "Ressourcenauslastungsmessung" (RUM-Bericht) und Berichtsbestätigung
• Vertrauenscode

Weitere Informationen finden Sie unter Smart Licensing Using Policy Concepts.

Durchsatzverhalten

• Alle ISR1000-Serien, ISR4000-Serien, C8200, C8300, CSR1000v, C8000v und ISRv haben den Standardwert von 250 Mbit/s, wenn das Produkt über keine Form von HSECK9-Lizenzen verfügt.
• Für alle ISR1000-Serie, ISR4000-Serie, C8200, C8300, CSR1000v, C8000v und ISRv muss eine HSECK9-Lizenz installiert sein, wenn der Durchsatz mehr als 250 Mbit/s betragen muss.
• Für die Serie ASR 1000 ist HSECK9 für > 250 Mbit/s nicht erforderlich.
• Für alle C8500 wird eine HSECK9-Lizenz erwartet, die im Werk installiert ist. Andernfalls kann die HSECK9-Lizenz manuell installiert werden.
• Im vom Controller verwalteten Modus ist keine Durchsatzkonfiguration vorhanden. Bei der Installation der HSECK9-Lizenz können die weiterleitenden Cores/Packet Processor Engines den Durchsatz automatisch freisetzen.
• Der maximale Durchsatz nach der Installation der HSECK9-Lizenz hängt von den Hardwarefunktionen der Plattform ab. Weitere Informationen finden Sie im Plattformdatenblatt.

Überprüfung der Lizenzverfügbarkeit

Schritt 1: Navigieren Sie zu Cisco Software Central.

Schritt 2: Klicken Sie aufSmart Software Manager.

Schritt 3: Wählen Inventory aus dem oberen Menü.

Schritt 4: Wählen Sie die entsprechende Virtual Account.

Schritt 5: Wählen Sie Licenses unter dem Virtual Account.

Schritt 6: Überprüfen Sie, ob die Lizenz hinzugefügt wurde und mit einem positiven Saldo verfügbar ist.

Wenn keine Lizenz zur Verfügung steht oder der Saldo negativ (rot) ist, erstellen Sie ein Ticket beim Cisco Licensing Team.

Anmerkung: In diesem Leitfaden wird davon ausgegangen, dass Sie bereits eine HSECK9-Lizenz oder eine US-Exportlizenz für den Router für DNA erworben haben und dass die Lizenz einem gültigen virtuellen Konto bei einem Smart Account hinzugefügt wird.

Router-Betriebsmodus

Überprüfen Sie mit einem der Befehle, ob sich der Router im Modus "Controller-Managed" befindet.

show platform software device-mode
show version | include mode

Beispiel:

Router# show platform software device-mode
Device Operating-mode: Controller-Managed
Device-mode bootup status:
8/03 00:44:16 System is green
Bootup Success

Router# show version | in mode 
Router operating mode: Controller-Managed

Anmerkung: Wenn der Betriebsmodus Autonomous ergibt, den Router auf Controller-Managed mit controller-mode enable aus.

Konfigurieren

Online-Methode für CSSM

Transporttyp konfigurieren und Standard-CSSM-URL festlegen

Schritt 1: Konfigurieren Sie den richtigen Transporttyp und die richtige URL.

cEdge#config-transaction
cEdge(config)# license smart transport smart
cEdge(config)# license smart url default
cEdge(config)# commit
Commit complete.

Anmerkung: Wenn dem Router eine Vorlage zugeordnet ist. Die intelligenten Befehle für Transport und URL werden unterstützt und können mit einer Funktionsvorlage für CLI-Add-On konfiguriert werden. Weitere Informationen finden Sie unter Funktionsvorlagen für CLI-Add-ons.

Schritt 2: Überprüfen Sie, ob die Änderungen richtig übernommen wurden.

cEdge# show lic tech support | begin Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: Smart <<<<<<<<<<<<<<<<<<<<<<<<<<<< This must be Smart
URL: https://smartreceiver.cisco.com/licservice/license <<<<<<<<<<<<<<< URL must be pointed to smartreceiver.cisco.com
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: True

Anmerkung: Die Standard-URL wird automatisch aktiviert, und es ist nicht erforderlich, sie zu ändern.

Erstellen eines Produktinstanz-Registrierungstokens

Schritt 1: Erstellen eines neuen Tokens

Navigieren Sie im selben Virtual Account, auf dem sich die Lizenz befindet, zu General und klicken Sie auf New Token.

Schritt 2: Füllen Sie die neuen Tokeninformationen aus.

Beschreibung: Kurze Beschreibung, wofür das Token verwendet wird.
Ablauf nach: Anzahl der Tage, die das Token für Produktregistrierungen gültig ist.
Max. Anzahl der Verwendungen: Maximale Anzahl von Token-Verwendungen. Optional.

Stellen Sie Allow export-controlled ist die Option aktiviert, andernfalls schlägt die Lizenzregistrierung fehl, und klicken Sie auf Create Token.

Anmerkung: Das Token läuft ab, wenn entweder der Ablaufzeitpunkt oder die maximale Verwendung erreicht ist.

Anmerkung: Weitere Informationen finden Sie unter Cisco Export Trade.

Schritt 3: Kopieren Sie das Token.

Kopiert das gerade generierte Token in die Zwischenablage. entweder navigieren zu Actions > Copy oder manuell durch das kleine blaue Symbol neben der Token-Zeichenfolge.

Einrichtung einer Vertrauensstellung zwischen cEdge und CSSM

Um die Berechtigung zur Verwendung einer exportkontrollierten Lizenz zu erteilen, muss der cEdge eine Vertrauensstellung zum CSSM herstellen. Für den Handshake verwendet der cEdge das Token, das im vorherigen Schritt in CSSM generiert wurde.

license smart trust idtoken TOKEN local force

Beispiel:

cEdge# license smart trust idtoken ZThjOTlmM2UtMjQ2ZC00YjI1LTgwNjctZGIxZjIzYjZiYmVmLTE2NjM0NjI1%0AMjgyNTh8YWNVeTFiZU03N0lCdTFadmJ4ejZBL0toR2Mva21odElrQmxDa1FN%0AcVI3cz0%3D%0A local force

Unmittelbar nach der Einrichtung der Vertrauensstellung wird in den Protokollen die Kommunikation mit CSSM angezeigt.

cEdge# show logging last 50
<snip>
*Aug 18 21:03:44.730: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair2 has been removed from key storage
*Aug 18 21:03:46.146: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair2 has been generated or imported by crypto-engine
*Aug 18 21:03:53.221: %SYS-6-PRIVCFG_ENCRYPT_SUCCESS: Successfully encrypted private config file
*Aug 18 21:03:56.107: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco Smart Software Manager (CSSM) restored
*Aug 18 21:03:56.347: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C1111-8PWE,S:FGL2149XXXX.

Überprüfen des Erfolgszählers für die Vertrauensstellung

Stellen Sie sicher, dass der Zähler für die erfolgreiche Vertrauensstellung ansteigt. Dies bedeutet, dass der Lizenzierungsagent CSSM erreichen kann.

cEdge# show lic tech support | begin Communication Statistics
Communication Statistics:
=======================
Communication Level Allowed: DIRECT
Overall State: <empty>
Trust Establishment:
Attempts: Total=1, Success=1, Fail=0 Ongoing Failure: Overall=0 Communication=0 <<<<<<<<<<
Last Response: OK on Aug 18 21:03:56 2022 UTC
Failure Reason: <none>
Last Success Time: Aug 18 21:03:56 2022 UTC
Last Failure Time: Aug 18 21:00:43 2022 UTC
<snip>

Anmerkung: Wenn der Fehlerindikator erhöht wird, navigieren Sie zum Abschnitt Fehlerbehebung in diesem Dokument.

Autorisierung anfordern

An diesem Punkt ist die Vertrauensstellung eingerichtet, aber die HSECK9-Lizenz wird noch nicht verwendet. Dies geschieht, weil die Lizenznutzung auf die Routeranforderung an CSSM übertragen werden muss. Um die Lizenz abzurufen, führen Sie die Autorisierungsanfrage aus.

cEdge# license smart authorization request add hseck9 local

Protokolle:

cEdge# show logging | include SMART
*Aug 18 21:11:41.553: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 18 21:11:41.641: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

Im Smart Licensing-Ereignisprotokoll werden die Lizenzanforderungsinformationen gespeichert, falls weitere Informationen benötigt werden.

cEdge# show lic eventlog 0
**** Event Log ****
2022-08-18 21:11:41.538 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><dateStamp>2022-08-18T21:17:45</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feac79ca9112704623118db58bbc2c-09b6eebc91ae833f</correlationID></status></authorizationCode><signature>MEUCIBuNw8+ogfZmJAbsRa+8B+F0wnDZLrv5RXm822rN/he5AiEAtfzzFV9L3dqht4sUYDxRvnUHF2KYi+vFv2vivDF6rIs=</signature></smartLicenseAuthorization>"
2022-08-18 21:11:41.552 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-18 21:11:41.641 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.641 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:12:06.119 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><status><success>false</success><message>last update already confirmed</message><code>last update already confirmed</code><correlationID>62feac7c4be974f92eefc15a640f938b-f08787827763ca37</correlationID></status></authorizationCode><signature>MEUCIQDhI8x+Rzf7wyibdohvYY6q9/8puukf8SuJ4ok48d4y5QIgdl5/z/7rLu+LEd5gK9kgOxA2Vb+vnJUcTOVPo3/R0pc=</signature></smartLicenseAuthorization>"

Überprüfen der erfolgreichen Aktivierung

Es gibt einige Befehle, mit denen Sie überprüfen können, ob die Lizenz jetzt verfügbar und richtig aktiviert ist.

show license tech support | begin License Usage
show license authorization
show license summary
show license usage

Beispiel:

cEdge# show license tech support | begin License Usage 
License Usage
=============
Handle: 1
License: hseck9
Entitlement Tag: regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844
Description: hseck9
Count: 1
Version: 1.0
Status: IN USE(15)               <<<<<<<<<<<<<<<<<<<<<<
Status time: Aug 18 21:11:41 2022 UTC
Request Time: Aug 18 21:11:41 2022 UTC
Export status: RESTRICTED - ALLOWED
Feature Name: hseck9
Feature Description: hseck9
Enforcement type: EXPORT RESTRICTED
License type: Perpetual
Measurements:
ENTITLEMENT:
Interval: 00:15:00
Current Value: 1

cEdge# show license authorization 
Overall status:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Status: SMART AUTHORIZATION INSTALLED on Aug 18 21:11:41 2022 UTC   <<<<<<<<<<<<<<<
Last Confirmation code: 0cde51c5

Authorizations:
Router US Export Lic. for DNA (DNA_HSEC):
Description: U.S. Export Restriction Compliance license for DNA based Routers
Total available count: 1
Enforcement type: EXPORT RESTRICTED
Term information:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Authorization type: SMART AUTHORIZATION INSTALLED  <<<<<<<<<<<<<
License type: PERPETUAL
Term Count: 1

Purchased Licenses:
No Purchase Information Available


Edge# show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
hseck9 (DNA_HSEC) 1 IN USE     <<<<<<<<<<

Offline-Methode für CSSM

Bei Air-Gap-Netzwerken, für die kein Internetzugriff zulässig ist, kann die Installation der exportgesteuerten Lizenz mit einer lokalen Reservierung eines SLAC auf dem CSSM durchgeführt werden. 

Anmerkung: Für diese Methode ist weder ein Transporttyp noch ein gültiger intelligenter URL (Uniform Resource Locator) erforderlich. 

Lokale Lizenzreservierung generieren

Navigieren Sie im selben Virtual Account, in dem sich die Lizenz befindet, zu Product Instances > Authorize License-Enforced Features.

Abrufen der cEdge UDI-Informationen

Die lokale Lizenzreservierung erfordert die Unique Device Identifier (UDI)) vom cEdge aus ausführen, show license udi um die Produkt-ID (PID) und die Seriennummer (SN) zu erhalten.

cEdge# show license udi
UDI: PID:C1111-8PWE,SN:FGL2149XXXX

Füllen Sie das cEdge UDI im Reservierungsformular aus.

AuswählenSingle Deviceund geben Sie SN und PID des cEdge ein. Klicken Sie auf Next.

Wählen Sie die Anzahl der zu reservierenden Lizenzen aus.

Da es sich um ein einzelnes Gerät handelt, ist die reservierte Lizenz eine, geben Sie die Nummer in das Feld ein. Stellen Sie sicher, dass die Anzahl nicht die verfügbaren überschreitet.

Wählen Sie den Lizenzgerätetyp aus. 

Beim Gerätetyp kann es sich entweder um eine Vor-Ort-Lösung für die Digital Network Architecture (DNA) oder um eine DNA Cloud handeln. Dies hängt vom Typ der erworbenen Lizenz ab.

Generieren des Autorisierungscodes

Überprüfen Sie die Konfiguration, und klicken Sie auf Autorisierungscode generieren.

SLAC herunterladen

Der SLAC kann als Datei heruntergeladen oder in die Zwischenablage kopiert werden.

SLAC in den cEdge kopieren

Es gibt drei Möglichkeiten, die SLAC-Datei in den cEdge zu kopieren.

• Mit einem USB-Laufwerk:

cEdge# show file systems | include usb|Size
Size(b)        Free(b)  Type Flags Prefixes
15598043136 15596658688 disk  rw     usb0:

cEdge# dir usb0:
Directory of usb0:/

5 -rwx 1557 Aug 19 2022 00:43:30 +00:00 AuthorizationCode_SN_FGL2149XXXX.txt

15598043136 bytes total (15596658688 bytes free)

cEdge# copy usb0:AuthorizationCode_SN_FGL2149XXXX.txt bootflash:
Destination filename [AuthorizationCode_SN_FGL2149XXXX.txt]? 
Copy in progress...C
1557 bytes copied in 0.020 secs (77850 bytes/sec)

• Navigieren Sie mit vManage über Control Connections zu Transfer Files between a cEdge and vManage (Dateien übertragen zwischen einem cEdge und vManage), um weitere Informationen zu erhalten.
• SCP/FTP/TFTP auf der Serviceseite.

Installation des SLAC

Verwenden Sie Smart Import, um die SLAC-Datei im Bootflash zu installieren.

cEdge# license smart import bootflash:AuthorizationCode_SN_FGL2149XXXX.txt
Import Data Successful
Last Confirmation code UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Confirmation code: aaa6b57e

Protokolle

cEdge# show logging | include SMART
*Aug 19 05:42:45.309: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 19 05:42:45.362: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

cEdge# show license eventlog 0
**** Event Log ****

2022-08-19 05:42:45.293 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>0ceadf0a-3145-4779-8cbb-743c5a234a05</piid><dateStamp>2022-08-19T05:43:11</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62ff22ec38ab5858bde12581a2589b39-bde12581a2589b39</correlationID></status></authorizationCode><signature>MEUCIQDrUe11CPAsnjonKRmUe40arqPiY/q/UfTGSJ1IdmkkrAIgF8G2zoHIxz04IVO2J7ZHA1M51+QMvLzUGyZsfvwK5tk=</signature></smartLicenseAuthorization>"
2022-08-19 05:42:45.308 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.333 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.334 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-19 05:42:45.362 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.362 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"

Überprüfen der erfolgreichen Installation

Verwenden Sie den gleichen Befehl wie bei der Online-Methode, um zu überprüfen, ob die Lizenz richtig installiert ist.

show license authorization
show license summary
show license tech support | begin License Usage 

Wenn die Installation korrekt ist, wird die Lizenz im Virtual Account automatisch erhöht In Use und dekrementiert die Available to Use zähler.

Auch in Product Instances angezeigt wird, klicken Sie auf den Eintrag, um weitere Informationen zu den Lizenzmerkmalen zu erhalten.

Rückgabe der HSECK9-Lizenz

Online-Methode

Derzeit gibt es keine Implementierung im Controller-verwalteten Modus, um eine Lizenz weder online noch offline zurückzugeben.

cEdge# license smart authorization return local online
Operation cannot be completed because license is in use

cEdge# license smart authorization return local offline
Operation cannot be completed because license is in use

Um die Lizenzinstallation zu entfernen, muss der Router in den autonomen Modus geändert werden.

cEdge# controller-mode disable
Disabling controller mode erases the nvram filesystem, remove all configuration files, and reload the box!
Ensure the BOOT variable points to a valid image
Continue? [confirm]

Anmerkung: Durch diese Modusänderung wird die aktuelle SD-WAN-Konfiguration entfernt. Es wird dringend empfohlen, die Konfiguration an einem sicheren Ort zu sichern. Dies hilft bei der Wiederherstellung der Steuerverbindungen, wenn der cEdge wieder in den vom Controller verwalteten Modus versetzt wird.

Sobald sich der Router im autonomen Modus befindet, muss eine grundlegende Konfiguration vorgenommen werden, damit die Auflösung des Internet- und Domain Name Systems (DNS) erreicht werden kann:

1. Konfigurieren einer IP-Adresse und -Maske für die WAN-Schnittstelle 
2. Einschalten der WAN-Schnittstelle
3. Konfigurieren einer Standard-IP-Route
4. DNS aktivieren
5. Konfigurieren eines DNS-Servers

Anmerkung: Der autonome Modus verwendet den Befehl configure terminal, um in den Konfigurationsmodus zu wechseln, anstelle des Befehls configuration-transaction.

Anmerkung: Der autonome Modus muss keine Änderungen bestätigen, stattdessen werden alle vorgenommenen Konfigurationen in der aktuellen Konfigurationsdatei gespeichert.

Verwenden Sie ein Token desselben Virtual Account, in dem sich die Lizenz für HSECK9 oder die für den DNA-Export kontrollierte Lizenz befindet. Wenn kein aktives Token vorhanden ist, erstellen Sie ein neues.

Gehen Sie genauso vor wie in cEdge, um eine Vertrauensstellung mit dem CSSM herzustellen.

Router# configure terminal
Router(config)# license smart transport smart
Router(config)# license smart url default
Router(config)# end
Router# license smart trust idtoken TOKEN local force
Router# license smart authorization request add hseck9 local

Hinweis: Verwenden Sie dieselben Befehle wie zuvor, um zu überprüfen, ob der richtige Transporttyp und die Smart Receiver-URL aktiviert sind und die Vertrauensstellung erfolgreich hergestellt wurde.

Sobald die Kommunikation abgeschlossen ist, geben Sie die Lizenz im virtuellen Konto an den Bin zurück.

Router# license smart authorization return local online 
Authorization already returned with this code:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CmJHqn-5CFUkd-effkCh-4XqCpQ-SgK5Sz-fQFfM8-6qH7MA-33hDbX-sXT

Protokolle

Router# show logging | include SMART
*Aug 18 22:00:22.998: %SMART_LIC-6-AUTHORIZATION_REMOVED: A licensing authorization code has been removed from PID:C1111-8PWE,SN:FGL2149XXXX.

Router#show license eventlog 0 
**** Event Log ****
2022-08-18 22:08:53.275 UTC SAEVT_RESERVE_RETURN_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>519e0f72-85d6-4a57-8805-5999e7b712be</piid><dateStamp>2022-08-18T22:08:17</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feb851b0b3a2264144901cb3491c22-ff31e87ded74ffde</correlationID></status></authorizationCode><signature>MEUCIQCTL9Y/HrhJXgR3+oxCWH/mpLxezThnvoAMFRIO7BHzJgIgBNDnvAD4u1eiQZ3Qrg8uGc4I6rLkbR/pn3fDv67eG5c=</signature></smartLicenseAuthorization>"

Anmerkung: Setzen Sie den Router wieder in den Controller-verwalteten Modus mit controller-mode enable aus.

Offline-Methode

Um den Rückgabecode zu generieren, muss sich der Router im Autonomous-Modus befinden. Folgen Sie der Online-Methode, um den Modus zu ändern.

Rückgabecode generieren

Der Rückgabecode wird benötigt, um die reservierte Lizenz in CSSM mit der lokalen Autorisierung im Router zu validieren.

Router# license smart authorization return local offline
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CCKUTq-Qg2Ytw-ZhSLq5-bDFw7e-VvWgf2-QwwBed-3MaRcT-fFfGcn-X6e <<<< Copy the string

Reservierung entfernen

Navigieren Sie zu Product Instances > Actions > Remove. Fügen Sie den gerade vom Router kopierten Rückgabecode ein, und klicken Sie auf Remove Reservation.

Die Benachrichtigung über die erfolgreich entfernte Lizenzreservierung wird direkt danach angezeigt. Navigieren Sie erneut zu Actions > Remove > Remove Instance.

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Nützliche Befehle

Das Prüfverfahren wird in jedem Schritt für die Online- oder Offline-Methoden beschrieben. 

show license tech support
show license status
show license authorization
show license summary
show license history message
show license eventlog 
     
     
license smart clear event log
license smart sync local
license smart factory reset

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Smart Licensing Using Policy beruht auf einer sicheren bidirektionalen Kommunikation zwischen dem cEdge und dem CSSM über das Internet, um Bestätigungen und Handshakes auszutauschen, die die Registrierung und den Lizenzabruf begünstigen.

Es gibt einige gängige Szenarien, bei denen der Nachrichtenaustausch zwischen Geräten nicht ordnungsgemäß möglich ist.

Häufige Probleme

DNS-Auflösung funktioniert nicht

Um smartreceiver.com zu erreichen, muss der cEdge in der Lage sein, einen Domänennamen aufzulösen. Andernfalls wird die URL nicht in eine routbare IP übersetzt und die Kommunikation schlägt fehl. Dieser Fehler tritt normalerweise nach dem Versuch der Vertrauensstellung auf.

*Aug 18 20:45:10.345: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart License Utility (CSLU) : Unable to resolve server hostname/domain name

Stellen Sie sicher, dass eine IP-Verbindung zum Internet besteht.

ping 8.8.8.8

Senden Sie einen Ping an eine URL, um zu überprüfen, ob DNS funktioniert oder nicht, wenn das Internet Control Message Protocol (ICMP) durch ein externes Gerät blockiert wird. Stattdessen können Sie Telnet an eine URL senden.

ping cisco.com
telnet cisco.com 80

Wenn der Test fehlschlägt, konfigurieren Sie einen DNS-Server, und aktivieren Sie die DNS-Auflösung.

ip domain lookup
ip name-server 8.8.8.8

Wenn es nicht möglich ist, einen externen DNS-Server zu konfigurieren, konfigurieren Sie die lokale DNS-Auflösung im Router.

cEdge# config-transaction
cEdge(config)# ip host smartreceiver.com A.B.C.D
cEdge(config)# commit

Anmerkung: Wenn Sie wissen möchten, welche IP-Adressen auf smartreceiver.com antworten, führen Sie einen nslookup -Befehls von einem Windows- oder Linux-Computer aus.

Anmerkung: Die lokale DNS-Auflösung wird nicht empfohlen, da sich die IP-Adressen der Responder im Laufe der Zeit ändern können und Cisco diese Änderung nicht meldet.

Eine häufige Fehlermeldung wird im Ereignisprotokoll für Smart Licensing (SL) angezeigt.

cEdge# show license eventlog 0
**** Event Log ****

2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

cEdge# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

SD-WAN-Tunnel blockiert DNS

Ein ähnliches Problem tritt auf, wenn die implizite ACL im SD-WAN-Tunnel eingehende DNS-Antworten blockiert.

cEdge# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

cEdge# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

Stellen Sie sicher, dass der DNS-Dienst zum Zeitpunkt der Registrierung zugelassen ist.

cEdge# show sdwan running-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns <<<<<<<<<<<<<<<<<< MUST be allowed
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit

Transport-URL ist falsch

Bei Greenfield-Installationen (Neuinstallationen) ist der Standardtransporttyp das Cisco Smart Licensing Utility (CSLU).

cEdge# show license tech support | include Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: cslu         <<<<<<<<<<<<<<<<<<
Cslu address: <empty>
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: False

Häufige Fehler in Protokollen.

cEdge# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

cEdge# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed info

Anmerkung: CSLU wird in Cisco SD-WAN (Cisco vManage) nicht unterstützt, und CSLU kann nicht zum Melden der Lizenznutzung für Routing-Produktinstanzen verwendet werden, die von Cisco vManage verwaltet werden. Weitere Informationen finden Sie im Cisco Smart License Utility (CSLU).

Konfigurieren Sie die Standard-URL und den Transporttyp für den Smart Agent manuell, und wiederholen Sie den Vorgang mit der Vertrauensstellung für das Token.

cEdge# configure terminal
cEdge(config)# license smart transport smart
cEdge(config)# license smart url default
cEdge(config)# commit

SD-WAN-Tunnel blockiert HTTPS

Die Smart Licensing-Kommunikation basiert auf dem Hypertext Transfer Protocol Secure (HTTPS)-Port 443. Wenn also der SD-WAN-Tunnel eingehende HTTPS-Antworten blockiert, schlagen die Registrierung, die Autorisierungsanforderung und die RUM-Berichtsbenachrichtigung fehl.

Der häufige Fehler im Protokoll und Ereignisprotokoll.

*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Stellen Sie sicher, dass der HTTPS-Dienst zum Zeitpunkt der Registrierung im SD-WAN-Tunnel zulässig ist. Wenn nicht, lassen Sie es zu, und versuchen Sie es erneut mit dem Token.

cEdge# show sdwan runnning-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns 
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https <<<<<<<<<<<<<<<<<< MUST be allowed
no allow-service snmp
no allow-service bfd
exit

Externe Firewall blockiert CSSM-URL, IP-Adressen oder Port 443

Wenn die Standortarchitektur eine Firewall zur Steuerung des Datenverkehrs verwendet, stellen Sie sicher, dass Port 443 zu smartreceiver.cisco.com nicht blockiert wird. Wenden Sie sich an Ihr Firewall-Team oder Ihren Internetdienstanbieter (ISP), um weitere Informationen zu erhalten.

Über den Router.

cEdge# telnet smartreceiver.com 443        
Trying smartreceiver.com (X.X.X.X, 443)...Open

Von einem Service-VRF-Host.

ericgar@cisco$ telnet smartreceiver.cisco.com 443
Trying X.X.X.X...
Connected to smartreceiver.cisco.com.   
Escape character is '^]'.

Mehrere Schnittstellen zum Internet

In einigen Szenarien, in denen mehr als eine Schnittstelle vorhanden ist, schlägt die Kommunikation mit CSSM fehl. Die HTTP-Quellschnittstelle kann in eine beliebige im Router verfügbare Schnittstelle geändert werden.

cEdge# config-transaction
cEdge(config)# ip http client source-interface INTERFACE
cEdge(config)# commit

Zugehörige Informationen

• Smart Licensing unter Verwendung der Richtlinie für Cisco Enterprise Routing-Plattformen
• Cisco Smart Licensing und Smart Accounts - FAQ
• Verwalten von Lizenzen für Smart Licensing mithilfe von Policy SDWAN
• Technischer Support und Dokumentation für Cisco Systeme