Configuración y solución de problemas de la política de licencias inteligentes en plataformas ACI

Introducción

Este documento describe cómo utilizar la política de licencias inteligentes para administrar licencias de software en la plataforma Cisco Application Centric Infrastructure (ACI).

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Este documento describe cómo trabajar con Cisco Smart Licensing Policy para resolver problemas, configurar y administrar licencias de software en la plataforma Cisco Application Centric Infrastructure (ACI).

¿Qué es la política de licencias inteligentes de Cisco (SLP)?

Cisco Smart Licensing es una plataforma de gestión de software que gestiona todas las licencias de productos de Cisco. Basándose en sus comentarios, Cisco Smart Licensing se ha mejorado y se ha propuesto una nueva plataforma, denominada SLP. El objetivo de SLP es simplificar las licencias inteligentes y permitirle realizar tareas de configuración y mantenimiento. Se introduce en la versión ACI 5.2(4).

¿Es la primera vez que utiliza Smart Licensing o Smart Account Administration?

Visite e inscríbase en el nuevo curso y grabación de la capacitación para administradores:

• Comunidad de Cisco: actúe inteligentemente con las cuentas inteligentes de Cisco/Smart Licensing y los derechos de My Cisco
• Las cuentas inteligentes se pueden crear aquí: Cuentas inteligentes 
• Las cuentas inteligentes se pueden administrar aquí: Licencias de software inteligente

¿Qué es un token de ID?

Se utiliza para registrar productos de forma segura en una cuenta inteligente y una cuenta virtual. Los tokens de ID son "identificadores organizativos" utilizados para establecer la identidad cuando se registra un producto. Estos tokens en SLP se utilizan con un método de registro diferente que se explica más adelante en este documento.

Generar un token de ID desde CSSM

Para generar, vaya a Cisco Software Central y navegue hasta Manage Licenses > Inventory > General > New Token como se muestra en la imagen.

Una vez generado, puede copiarlo o descargarlo en Acciones:

Licencia de SLP y estados del producto

En ACI SLP, se elimina la necesidad de 90 días del período de evaluación y el registro del producto. Ya no es necesario registrar el producto. Debe informar sobre el uso de licencias con el máximo esfuerzo. Además, se elimina el estado de autorización de licencias en la vista de cliente. Un derecho de licencia tiene ahora dos estados: En uso o No en uso. Dado que el controlador APIC solo gestiona las licencias que están actualmente en uso, en APIC UI/CLI solo puede ver todos los derechos de licencia que están en uso. 

Métodos compatibles con SLP

Existen diferentes métodos para configurar la política de licencia inteligente que se pueden diferenciar de la siguiente manera: 

1. Modo en línea

2. Modo fuera de línea

En ACI SLP, introduzca el concepto de informe Medición de utilización de recursos (informe RUM). Un informe RUM es un archivo en formato XML que contiene el informe del uso de la licencia. Por lo tanto, la terminología license usage report y la información Rum reportson intercambiables; ambas se refieren al uso de la licencia de informe. Con el modo en línea, un usuario necesita configurar la red y hacer que el controlador APIC se conecte al CSSM directa o indirectamente, también en el modo en línea, APIC puede enviar automáticamente informes RUM al CSSM y obtener confirmación de este.

En el modo sin conexión, dado que APIC está completamente aislado sin ninguna conexión de red con CSSM, ya sea directa o indirectamente, se requiere que un usuario descargue periódicamente el informe RUM de APIC, lo importe en CSSM, descargue el reconocimiento de CSSM e impórtelo en APIC.

En función de la conectividad de APIC con CSSM, puede decidir si desea utilizar el modo online u offline, que, por tanto, también cuenta con varios métodos en modo online, que se explican de la siguiente manera: 



Método 1. Conexión directa a CSSM

Este método es el modo de red más utilizado. Cisco APIC debe tener conectividad a Internet para que Cisco APIC pueda enviar informes RUM directamente al CSSM. El DNS debe configurarse y el nombre de host CSSM (tools.cisco.com) debe poder realizar un ping.

Para configurar:

Paso 1. Inicie sesión en la GUI de Cisco APIC.

Paso 2. En la barra de menús, desplácese hasta System > Smart Licensing > Actions > Configure Network Settings.

Paso 3. Seleccione Direct connect to CSSM.

Paso 4. La URL y el número de puerto no se pueden cambiar aquí.

Paso 5. Pegue el token de ID de instancia del producto, que ya se obtiene de su cuenta virtual CSSM.

Paso 6. Haga clic en OK.

Token de ID de instancia de producto

Una vez que se hayan sincronizado correctamente con CSSM, los nombres de cuenta inteligente y cuenta virtual se actualizan en la página de licencias inteligentes como se muestra en la imagen.

Se actualizan los nombres de cuenta inteligente y cuenta virtual

Método 2. Gateway de transporte de Cisco

Con este método, Cisco APIC no requiere conectividad a Internet. Cisco APIC envía informes RUM al CSSM con la ayuda del gateway de transporte. El middleware del gateway de transporte de Cisco debe estar ya instalado en el Data Center y accesible para APIC. Para el modo Puerta de enlace de transporte, el formato de URL es: http<s>://<ip or hostname>:<port>/Transportgateway/services/DeviceRequestHandler, donde IP o nombre de host es IP o nombre de host de la puerta de enlace de transporte. Debe introducir el número de puerto si no es el puerto HTTP 80 o HTTPS 443 predeterminado. Además, se requiere un token de ID de instancia de producto que se puede obtener de su cuenta virtual CSSM.

Para instalar y configurar la puerta de enlace de transporte, el usuario puede consultar la documentación de la puerta de enlace de transporte de Cisco:

https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf

Para configurar:

Paso 1. Inicie sesión en la GUI de Cisco APIC.

Paso 2. En la barra de menús, desplácese hasta System > Smart Licensing > Actions > Configure Network Settings.

Paso 3. Seleccione Cisco Transport Gateway.

Paso 4. Edite la URL con la IP (IP de Cisco Transport Gateway) y el puerto correctos;http<s>://<ip or hostname><port>/Transportgateway/services/DeviceRequestHandler.

Paso 5. Pegue el token de ID de instancia del producto, que ya se obtiene de su cuenta virtual CSSM.

Paso 6. Haga clic en OK.

Método 3. Proxy HTTP/HTTPS

Con este método, Cisco APIC no requiere conectividad a Internet. Cisco APIC envía informes RUM al CSSM desde el proxy web. Asegúrese de que el servidor proxy web esté configurado para permitir los mensajes de licencias inteligentes. Además, el firewall debe tener reglas para pasar la comunicación al destino (https://tools.cisco.com/its/service/oddce/services/DDCEService).

En el modo Proxy, un usuario necesita configurar la IP y el puerto del proxy. Además, se requiere un token de ID de instancia de producto que se puede obtener de la cuenta virtual CSSM del usuario.

Para configurar:

Paso 1. Inicie sesión en la GUI de Cisco APIC.

Paso 2. En la barra de menús, desplácese hastaSystem > Smart Licensing > Actions > Configure Network Settings.

Paso 3. SeleccioneCisco HTTP/HTTPS Proxy.

Paso 4. Proporcione la dirección IP y el número de puerto del proxy.

Paso 5. Pegue el token de ID de instancia del producto, que puede obtener de su cuenta virtual CSSM.

Paso 6. HagaOK clic.

Método 4. In situ

Con este método, Cisco APIC no requiere conectividad a Internet, mientras que las instalaciones necesitan conectividad a Internet. Cisco APIC envía informes RUM al CSSM a través de las instalaciones. El middleware en las instalaciones debe estar ya instalado en el Data Center. Este modo se conocía anteriormente como Cisco Smart Software Manager Satellite (Manager Satellite) en Cisco ACI Smart Licensing (SL). 

Para configurar:



Paso 1. Inicie sesión en la GUI de Cisco APIC.

Paso 2. En la barra de menús, desplácese hastaSystem > Smart Licensing > Actions > Configure Network Settings.

Paso 3. Seleccione Cisco Smart Software Manager On-Prem.

Debe proporcionar la URL a Cisco Smart Software Manager On-Prem. Para obtener la URL, inicie sesión en la GUI local de Cisco Smart Software Manager. Desplácese hasta Inventory > General y haga clic en el enlace CSLU TransportURL.

Paso 4. Copie la URL de CSLU y péguela en el campo URL de la GUI de Cisco APIC.

No es necesario especificar el token de ID de instancia del producto. El Cisco APIC utiliza un certificado integrado para comunicarse con Cisco Smart Software Manager On-Prem.

Una vez sincronizado correctamente, el inventario local de Smart-Software-Manager se actualiza con las licencias en uso.



Método 5. Utilidad Cisco Smart Licensing

Con este método, Cisco APIC no requiere conectividad a Internet. Cisco APIC envía informes RUM al CSSM a través de la CSLU. La CSLU, que es la versión para Microsoft Windows del middleware, debe estar instalada en el Data Center. La URL para la CSLU se puede configurar en APIC según este formato:http://ip_or_hostname:port/cslu/v1/pi

Aquí IP o nombre de host es la dirección IP o nombre de host de la CSLU. HTTPS no es compatible.



Para configurar:

Paso 1. Inicie sesión en la GUI de Cisco APIC.

Paso 2. En la barra de menús, desplácese hasta Inventory System > Smart Licensing > Actions > Configure Network Settings .

Paso 3. Seleccione Cisco Smart Licensing Utility (CSLU).

En la URL anterior, el puerto se toma como puerto de servicio de instancia de producto en las preferencias de la GUI de CSLU.

Una vez realizada la sincronización correcta, la página de licencias se actualiza con el nombre de la cuenta inteligente y el nombre de la cuenta virtual, tal y como se muestra en la imagen.

Método 6. Método Offline

En el modo sin conexión, Cisco APIC se aísla sin ninguna conexión de red con el CSSM, ya sea directa o indirectamente. Dado que Cisco APIC no puede acceder al CSSM a través de una conexión de red, cada 12 meses debe descargar un informe RUM del Cisco APIC e importar el informe al CSSM. Después, debe descargar una confirmación del CSSM e importarla al Cisco APIC.

Para configurar:

Paso 1. Inicie sesión en la GUI de Cisco APIC.

Paso 2. En la barra de menús, desplácese hasta System > Smart Licensing.

Paso 3. En el panel Trabajo, desplácese hasta Actions > Download Rum Report.

El archivo de informe de RUM se descarga automáticamente en la carpeta predeterminada de su navegador.


Una vez descargado el informe (LicenseUsageRumReport.xml), puede importarlo a CSSM.

Paso 4. Inicie sesión en Software.cisco.com y navegue hasta Administrar licencia.

Paso 5. En el menú, haga clic en Reportsy seleccione la Usage Data Filesopción como se muestra en la imagen.

Paso 6. Haga clic en  Upload Usage Datay seleccione el archivo LicenseUsageRumReport.xmlcomo se muestra en la imagen.

Paso 7. Seleccione las cuentas virtuales que tienen las licencias.

Una vez enviado, tiene que esperar hasta que el estado del informe se convierta No Errorsy el campo de confirmación tenga la opción de descargar.

Paso 8. Una vez que la opción de descarga esté disponible, haga Download clic en yAcknowledgement se descargará como nombre de archivo ACK_LicenseUsageRumReport.xmlcomo se muestra en la imagen.

Debe importar la confirmación a APIC:

Paso 9. Inicie sesión en la GUI de Cisco APIC.

Paso 10. En la barra de menús, desplácese hastaSystem > Smart Licensing.

Paso 11. En el panel Trabajo, desplácese hastaActions > Import Acknowledgement.

Paso 12. HagaChoose File clic, desplácese hasta el lugar donde descargó el archivo de reconocimiento, elija el archivo y haga clic en Open.

Paso 13. Haga clic en OK.



Una vez realizada la sincronización correcta, la página de licencias se actualiza con el nombre de la cuenta inteligente y el nombre de la cuenta virtual, tal y como se muestra en la imagen.

Solución de problemas de Cisco ACI Smart Licensing Policy

Fallos

En ACI, se genera un fallo cuando se produce una condición problemática específica o una advertencia antes de comenzar a solucionar el problema. Siempre es bueno verificar si existe alguna falla que nos redirija en la dirección correcta, la tabla enumera las fallas de licencias inteligentes:

F3057	Este es un error de advertencia, que indica que aún no ha configurado un parámetro de red. Incluso si desea elegir el modo sin conexión, configure la opción Red sin conexión. Configure una configuración de red que borre este error.
F4290	Este error indica que el token de ID de instancia de producto que ingresó es un token no válido o caducado. Inicie sesión en el CSSM y cree un nuevo token de registro de instancia de producto. Inicie sesión en la GUI del Cisco Application Policy Infrastructure Controller (APIC) para introducir el nuevo token de ID y volver a configurar la configuración de red. Esta acción borra la falla.
F4291	Este fallo indica que la conectividad de red entre Cisco APIC y CSSM o entre Cisco APIC y el servidor de transporte (gateway, proxy, in situ o CSLU) tiene un problema. El Cisco APIC no puede comunicarse con el CSSM o el servidor de transporte. Una vez resuelto el problema de conectividad de red, inicie sesión en la GUI de Cisco APIC, navegue hasta System > Smart Licensing y seleccioneActions > Synchronize CSSM. Esta acción borra la falla poco después.
F422	Este error indica que Cisco APIC no ha recibido confirmación de un informe RUM durante mucho tiempo y la confirmación ha caducado. En el modo sin conexión, descargue manualmente un informe RUM e importe la confirmación. Al importar el archivo de reconocimiento en Cisco APIC, se borra el error. En los modos en línea, este fallo indica que, debido a un problema de red, el Cisco APIC lleva mucho tiempo sin estar sincronizado con el CSSM. Solucione el problema de conectividad de red entre Cisco APIC y CSSM o entre Cisco APIC y el servidor de transporte, así como entre el servidor de transporte y CSSM. Una vez resuelto el problema de conectividad de red, inicie sesión en la GUI de Cisco APIC, navegue hasta System > Smart Licensing y seleccione Actions > Synchronize CSSM. Esta acción obliga al Cisco APIC a enviar de nuevo el informe RUM. Si la configuración de red es On-Prem, inicie sesión en la GUI On-Prem para realizar una sincronización manual desde On-Prem o CSLU al CSSM. Una vez finalizada la sincronización, el fallo se borra en un plazo de 10 a 15 minutos.
F4310	Este error indica que importó el reconocimiento incorrecto de un informe RUM. Un reconocimiento se asocia de forma exclusiva a un informe RUM. El reconocimiento importado debe coincidir con el informe RUM que descargó. Descargue manualmente el informe RUM de nuevo e importe la confirmación correcta en el Cisco APIC, que elimina el error.

Comandos show

Existen dos show comandos CLI útiles para solucionar problemas. Para utilizar estos comandos, inicie sesión en el nodo 1 del Cisco Application Policy Infrastructure Controller (APIC) del clúster como usuario administrador.

# show license all

Este comando show muestra información de licencias inteligentes del almacén de confianza de Smart Agent (SA). La sección "Informes de uso" muestra la marca de tiempo del último informe RUM enviado y la última confirmación recibida, así como cuándo enviar el siguiente informe RUM y cuándo sondear la siguiente confirmación. Si la marca de tiempo de la última confirmación recibida es más reciente que la marca de tiempo del último informe RUM enviado, esto indica que Cisco APIC envió correctamente el informe RUM y recibió la confirmación.

# show license tech support

Este comando show muestra información mucho más detallada que show license all. La consola no puede mostrar el resultado completo debido a su longitud, pero puede abrir el archivo /tmp/SA_Show_Tech_Support.txt para ver todos los resultados.


Registros

Cuando haya un problema con las licencias inteligentes, recopile estos registros:

/var/log/dme/log/svc_ifc_licensemgr.bin.log
/var/log/dme/log/ch_dbg.log
/var/log/dme/log/sa.log

Asistencia técnica de APIC.

Problema conocido

1. Error de registro debido a un problema de comunicación (DNS no configurado)

En el modo Conexión directa a CSSM, si olvidó configurar DNS en la comunicación de Cisco Application Policy Infrastructure Controller (APIC) a tools.cisco.com falla.

asegúrese de que tiene DNS configurado en APIC y de que puede hacer ping a tools.cisco.com

Para comprobar si DNS está configurado, cat /etc/resolv.confejecute APIC CLI:

apic1# cat /etc/resolv.conf # Generated by IFC search apic.local nameserver 10.0.0.1 nameserver XX.163.128.140

Para verificar si el ping funciona, ejecute el ping en la CLI del controlador APIC, el ping debe funcionar para tools.cisco.com.

apic1# ping tools.cisco.com PING tools.cisco.com (XX.163.4.38) 56(84) bytes of data. 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=1 ttl=235 time=250 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=2 ttl=235 time=249 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=3 ttl=235 time=249 ms

2. Consideración sobre la actualización de la política de licencia inteligente de Cisco ACI

Si tiene pensado actualizar a la versión Cisco Application Policy Infrastructure Controller (APIC) 5.2(4) o posterior, y Cisco APIC ya está registrado y el modo de transporte o de red es Conexión directa a CSSM, Gateway de transporte o Proxy HTTP/HTTPS, puede actualizar directamente Cisco APIC de Cisco Application Centric Infrastructure (ACI) Smart Licensing (SL) a SLP. No es necesario realizar ningún procedimiento especial. Después de la actualización, Cisco APIC sigue conectado con el CSSM y puede enviar informes RUM al CSSM sin problemas.

Si, por el contrario, Cisco APIC ya está registrado y la red o el modo de transporte es Manager Satellite, no puede actualizar directamente Cisco APIC de SL a SLP. Esto se debe a que tanto el tipo de transporte como la URL se cambian para el modo de red en las instalaciones de Cisco Smart Software Manager que sustituye a Manager Satellite. Debe realizar estas acciones:

1. Actualice Manager Satellite a la última versión de Cisco Smart Software Manager On-Prem compatible con SLP. Después de la actualización, asegúrese de que On-Prem tenga conectividad de red con el CSSM y de que la sincronización aún funcione entre On-Prem y el CSSM.

2. Actualice el Cisco APIC a la versión 5.2(4) o posterior. Después de la actualización, la GUI de Cisco APIC muestra que el modo de red es Transport Gateway en lugar de Manager Satellite. Debe volver a configurar el modo de red en Cisco Smart Software Manager On-Prem y copiar la URL correcta desde la GUI en las instalaciones.

3. Error: no se puede enviar el mensaje HTTP de Call Home (CA raíz de Quo Vadis)

QuoVadis Root CA 2 se retira y puede afectar a la comunicación SSL desde APIC, por lo que genera un error "Fail to send out Call Home HTTP". Para verificar lo mismo, puede analizar los registros de inicio de llamadas en/var/log/dme/log/ch_dbg.log. Si imprime estas líneas, sigue el BUG y el Aviso de campo dados:

 CH-TRANS-ERROR: ch_pf_curl_send_msg[539], failed to perform, err code 60, err string "Peer certificate cannot be authenticated with given CA certificates" * 

 CH-TRANS-DETAIL: ch_pf_http_long_buf_dump[264], dump:"SSL certificate problem: self signed certificate in certificate chain" 

https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html

ID de bug de Cisco CSCwa97230