Introducción
Este documento describe cómo trabajar con Cisco Smart Licensing (sistema basado en la nube) para solucionar problemas y administrar licencias de software en switches Nexus.
¿Qué es Cisco Smart Licensing?
Una cuenta inteligente de Cisco es un repositorio de datos gestionados que proporciona visibilidad completa y control de acceso a las licencias de software, los derechos y las instancias de productos de Cisco en toda la empresa
¿Es nuevo en Smart Licensing o la administración de cuentas inteligentes?
Visite e inscríbase en el nuevo curso y grabación de la capacitación para administradores:
Comunidad de Cisco: actúe inteligentemente con las cuentas inteligentes de Cisco/Smart Licensing y los derechos de My Cisco
Las cuentas inteligentes se pueden crear aquí: Cuentas inteligentes
Las cuentas inteligentes se pueden administrar aquí: Licencias de software inteligente
Plataformas Cisco Nexus compatibles
Cisco NX-OS versión 9.3(3) en adelante, todos los switches Nexus de Cisco series 3000 y 9000 (excepto los switches de plataforma Cisco Nexus 3016 y 3064) admiten licencias de software inteligente.
La compatibilidad con las licencias inteligentes de Cisco Nexus 7000 se introdujo a partir de la versión 8.0(1).
Métodos compatibles de licencias inteligentes en switches Nexus
Flujo de trabajo de usuario de Smart Licensing
Estados del producto Smart License
Registrado
Licencias
Solicitud o renovación
Renovación
Estados de licencia y registro
Mientras se configura Smart Licensing, hay varios estados posibles en los que puede estar un dispositivo de Cisco. Estos estados se pueden visualizar mediante "show license all o show license status" desde la interfaz de línea de comandos (CLI) del dispositivo Cisco.
Aquí hay una lista de todos los estados y su significado:
Estado de evaluación (no identificado)
- Este es un estado predeterminado del dispositivo cuando se arranca por primera vez.
- Por lo general, este estado se ve cuando un dispositivo Cisco aún no se configuró para Smart Licensing o no se registró en una cuenta inteligente.
- En este estado, todas las funciones están disponibles y el dispositivo puede cambiar libremente los niveles de licencia.
- El período de evaluación se utiliza cuando el dispositivo está en el estado no identificado. El dispositivo no intenta comunicarse con Cisco en este estado.
- Esto es 90 días de uso y no 90 días naturales. Una vez que caduca, nunca se restablece.
- Hay un período de evaluación para todo el dispositivo, no es por derecho.
- Cuando el período de evaluación expira al final de los 90 días, el dispositivo pasa al modo EVAL EXPIRY; sin embargo, no hay impacto funcional ni interrupción en la funcionalidad incluso después de la recarga. Actualmente no se aplica ningún control de cumplimiento.
- El tiempo de cuenta regresiva se mantiene entre reinicios.
- El período de evaluación se utiliza si el dispositivo aún no se ha registrado en Cisco y no ha recibido estos dos mensajes del back-end de Cisco:
- Respuesta satisfactoria a una solicitud de registro.
- Respuesta satisfactoria a una solicitud de autorización de derechos.
Estado registrado
- Este es el estado esperado después de que el registro se haya completado correctamente.
- El dispositivo Cisco pudo comunicarse correctamente con una cuenta inteligente de Cisco y registrarse.
- El dispositivo recibe un certificado de ID válido durante 1 año que se utiliza para futuras comunicaciones
- El dispositivo envía una solicitud al CSSM para autorizar los derechos de las licencias en uso en el dispositivo
- En función de la respuesta del CSSM, el dispositivo entra en Authorized (Autorizado) o Out of Compliance (Sin cumplimiento)
- El certificado de ID expira al final de un año. Después de 6 meses, el proceso del agente de software intenta renovar el certificado. Si el agente no puede comunicarse con Cisco Smart Software Manager, seguirá intentando renovar el certificado de ID hasta la fecha de vencimiento (1 año). Al final de un año, el agente vuelve al estado No identificado e intenta habilitar el período de evaluación. El CSSM elimina la instancia del producto de su base de datos.
Estado autorizado
- Este es el estado esperado cuando el dispositivo utiliza un derecho y está en conformidad (sin saldo negativo),
- La cuenta virtual en CSSM tiene el tipo y la cantidad de licencias correctos para autorizar el consumo de licencias del dispositivo.
- Al cabo de 30 días, el dispositivo envía una nueva solicitud al CSSM para renovar la autorización.
- Tiene un intervalo de tiempo de 90 días después del cual (si no se renueva correctamente) pasa al estado de autorización vencida.
Estado de incumplimiento
- Se trata del estado en el que el dispositivo utiliza un derecho y no está en conformidad (saldo negativo).
- Este estado se ve cuando el dispositivo no tiene una licencia disponible en la cuenta virtual correspondiente en la que está registrado el dispositivo Cisco para la cuenta inteligente de Cisco.
- Para entrar en el estado de cumplimiento/autorizado, debe agregar el número y el tipo de licencias correctos a la cuenta inteligente
- En este estado, el dispositivo envía automáticamente una solicitud de renovación de autorización todos los días
- Las licencias y las funciones siguen funcionando y no hay impacto funcional
Estado de autorización vencida
- Se trata del estado en el que el dispositivo utiliza un derecho que no ha podido comunicarse con la cuenta inteligente de Cisco asociada durante más de 90 días.
- Esto suele ocurrir si el dispositivo Cisco pierde el acceso a Internet o no puede conectarse a tools.cisco.com después del registro inicial.
- Los métodos en línea de licencias inteligentes requieren que los dispositivos Cisco se comuniquen como mínimo cada 90 días para evitar este estado.
- CSSM devuelve todas las licencias en uso de este dispositivo al grupo, ya que no ha mantenido ninguna comunicación durante 90 días
- Mientras se encuentre en este estado, el dispositivo seguirá intentando ponerse en contacto con Cisco cada hora para renovar la autorización de derechos hasta que caduque el período de registro (certificado de ID).
- Las licencias y las funciones siguen funcionando y no hay impacto funcional.
- Si el agente de software restablece las comunicaciones con Cisco y recibe una solicitud de autorización, procesa las respuestas normales y entra en uno de los estados establecidos.
Métodos admitidos en Nexus y config.
Método 1 (acceso directo a la nube)
Configuración Básica:
switch# show run callhome
!Command: show running-config callhome
!Running configuration last done at: Wed Jun 22 16:14:37 2022
!Time: Wed Jun 22 16:16:28 2022
version 9.3(4) Bios:version 07.67
callhome
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
switch# show license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: ldap_user_test
Virtual Account: Default
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Jun 22 16:15:41 2022 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Dec 19 16:15:41 2022 UTC
Registration Expires: Jun 22 16:13:53 2023 UTC
License Authorization:
Status: AUTHORIZED on Jun 22 16:15:44 2022 UTC
Last Communication Attempt: SUCCEEDED on Jun 22 16:15:44 2022 UTC
Next Communication Attempt: Jul 22 16:15:43 2022 UTC
Communication Deadline: Sep 20 16:12:55 2022 UTC
Smart License Conversion:
Automatic Conversion Enabled: False
Status: Not started
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/nx-os/licensing/guide/b_Cisco_NX-OS_Licensing_Guide/m-smart-licensing-for-cisco-nexus-3000-and-9000-series-switches.html
Método 2 (acceso a través de un proxy HTTP)
switch# show run callhome
version 9.3(4) Bios:version 07.67
call home
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService transport http proxy server X.X.X.X port 80 transport http use-vrf management transport http proxy enable Switch# license smart register idtoken XXXX (force) Initiated device registration with backend. run show license status, for registration status
Método 3 (In situ - En línea)
switch# show run callhome
version 9.3(4) Bios:version 07.67
callhome
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://10.106.41.xx/Transportgateway/services/DeviceRequestHandlerend
transport http use-vrf management
enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
Método-4 (En las instalaciones - Sin conexión )
¿Qué es el token de ID?
Se utiliza para registrar productos de forma segura en una cuenta inteligente y una cuenta virtual
Los tokens de ID son un "identificador organizativo" que se utiliza para establecer la "identidad" cuando se registra un producto.
Cómo generar el token de ID desde CSSM
https://software.cisco.com/software/csws/ws/platform/home?locale=en_US#
Administrar licencias -> Inventario -> General -> Nuevo token -> Crear token
Troubleshoot
Cuando se migra un dispositivo de Cisco a una versión de software habilitada para Smart Licensing, este diagrama de flujo se puede utilizar como guía general para los tres métodos (Direct Cloud Access, HTTPS Proxy y Cisco Smart Software Manager en las instalaciones).
WorkFlow
Problemas conocidos
- El problema para obtener N9K-C9348GC-FXP registrado para las licencias inteligentes.
1. Error: no se puede enviar el HTTP de Call Home
[+] Configuraciones de Call Home
Switch# show running-config callhome
version 9.3(5) Bios:version 07.68
callhome
email-contact abc@example.com
phone-contact +919XXXXXXXXX
streetaddress ST3, RD 4, Bangalore
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
[+] Accesibilidad confirmada a tools.cisco.com.
DC-DMZ(config)# ping tools.cisco.com vrf management
PING tools.cisco.com (72.163.4.38): 56 data bytes
64 bytes from 72.163.4.38: icmp_seq=0 ttl=232 time=237.581 ms
64 bytes from 72.163.4.38: icmp_seq=1 ttl=232 time=237.859 ms
64 bytes from 72.163.4.38: icmp_seq=2 ttl=232 time=237.562 ms
64 bytes from 72.163.4.38: icmp_seq=3 ttl=232 time=237.413 ms
64 bytes from 72.163.4.38: icmp_seq=4 ttl=232 time=237.995 ms
DC-DMZ(config)# telnet tools.cisco.com 443 vrf management
Trying 2001:420:1101:5::a...
Trying 72.163.4.38...
Connected to tools.cisco.com.
Escape character is '^]'.
^CConnection closed by foreign host.
+ La interfaz de origen HTTP se configuró para la interfaz vlan 27 y se cambió a mgmt0
2. Error: error al analizar los datos de respuesta del servidor SCH
++ Ya no se admite HTTP para alcanzar el backend de Cisco; solo se admite HTTPS. Se eliminó la configuración actual y se actualizó la dirección de destino para utilizar HTTPS.
Previous config
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable
New config added
(config)#callhome
(config-callhome)#enable
(config-callhome)# destination-profile CiscoTAC-1 transport-method http
(config-callhome no destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
(config-callhome destination-profile CiscoTAC-1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
3. Error: no se pudo enviar el mensaje HTTP de Call Home (no se pudo establecer la conexión IPC con call-home: CA raíz de Quo Vadis)
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
4. Error - La falta de respuesta de DNS provoca que se atasquen los mensajes MTS de callhome
ID de bug de Cisco CSCvv67469