Resolución de problemas de licencias inteligentes en plataformas Catalyst

Introducción

En este documento se describe cómo trabajar con Cisco Smart Licensing (sistema basado en la nube) para administrar las licencias de software en switches Catalyst.

¿Qué es Cisco Smart Licensing?

Cisco Smart Licensing es un sistema de administración de licencias unificado basado en la nube que administra todas las licencias de software de los productos Cisco. Le permite adquirir, implementar, gestionar, realizar un seguimiento y renovar licencias de software de Cisco. También proporciona información sobre la propiedad y el consumo de licencias a través de una única interfaz de usuario.

La solución consta de cuentas inteligentes online (en el portal Cisco Smart Licensing) que se utilizan para realizar el seguimiento de los recursos de software de Cisco y Cisco Smart Software Manager (CSSM), que se utiliza para gestionar las cuentas inteligentes. En CSSM se pueden realizar todas las tareas relacionadas con la gestión de licencias, como el registro, la anulación del registro, el traslado y la transferencia de licencias. Se pueden agregar usuarios y se pueden otorgar accesos y permisos a la cuenta inteligente y las cuentas virtuales específicas.

Para obtener más información sobre Cisco Smart Licensing, visite:

a) Página de inicio de Cisco Smart Licensing

b) Comunidad de Cisco: capacitaciones a pedido

Para obtener más información sobre la nueva licencia inteligente que utiliza el método de políticas en Cisco IOS® XE 17.3.2 y versiones posteriores, visite Licencias inteligentes que utilizan políticas en switches Catalyst.

¿Es nuevo en Smart Licensing o la administración de cuentas inteligentes? Visite e inscríbase en el nuevo curso y grabación de la capacitación para administradores:
Comunidad de Cisco: hágase inteligente con las cuentas inteligentes de Cisco/licencias inteligentes y los derechos de My Cisco.

Las cuentas inteligentes se pueden crear aquí: Cuentas inteligentes

Las cuentas inteligentes se pueden administrar aquí: Licencias de software inteligente

Métodos de implementación de Smart Licensing

Existen varios métodos para implementar Cisco Smart Licensing que se pueden aprovechar según el perfil de seguridad de la empresa, por ejemplo:

Acceso directo a la nube

Los productos Cisco envían información sobre el uso directamente a través de Internet de forma segura mediante HTTPS. No se requieren componentes adicionales.

Acceso a través de un proxy HTTPS

Los productos Cisco envían información sobre el uso a través de un servidor proxy HTTP de manera segura mediante HTTPS. Se puede utilizar un servidor proxy existente o implementarlo a través de Cisco Transport Gateway (haga clic aquí para obtener información adicional).

Servidor de licencias en las instalaciones (también conocido como Cisco Smart Software Manager secundario)

Los productos Cisco envían información sobre el uso al servidor en las instalaciones en lugar de directamente a través de Internet. Una vez al mes, el servidor se conecta a través de Internet a todos los dispositivos mediante HTTPS o se puede transferir manualmente para sincronizar la base de datos. CSSM en las instalaciones (secundario) está disponible como máquina virtual (VM) y se puede descargar aquí. Para obtener información adicional, visite la página Smart Software Manager secundario.

Plataformas Cisco IOS XE admitidas

• Desde la versión 16.9.1 de Cisco IOS XE en adelante, las plataformas de switch Catalyst 3650/3850 y Catalyst de la serie 9000 admiten el método Cisco Smart Licensing como único método de licencia.
• Desde la versión 16.10.1 de Cisco IOS XE en adelante, las plataformas de router tales como ASR1K, ISR1K, ISR4K y los routers virtuales (CSRv/ISRv) admiten el método Cisco Smart Licensing como único método de licencia.

Migración de licencias antiguas a licencias inteligentes

Existen dos métodos para convertir una licencia antigua, como el derecho de uso (RTU) o la clave de activación de producto (PAK) en una licencia inteligente. Para obtener más información sobre qué método debe seguirse, consulte las notas de la versión o la guía de configuración correspondientes al dispositivo Cisco específico.

Conversión mediante conversión basada en dispositivos (DLC)

• La conversión basada en dispositivos (DLC) es un método único mediante el cual el producto de Cisco puede informar de las licencias que utiliza y las licencias se depositan automáticamente en su cuenta inteligente correspondiente en Cisco Smart Software Manager (CSSM). El procedimiento de DLC se realiza directamente desde la interfaz de línea de comandos (CLI) del dispositivo Cisco específico.

• El proceso de DLC solo se admite en Catalyst 3650/3850 y en plataformas de router seleccionadas. Para obtener información sobre modelos de router específicos, consulte la guía de configuración de plataforma individual y las notas de la versión. Ejemplo: procedimiento de DLC para un Catalyst 3850 que ejecuta las versiones 16.9.x de Fuji.

Conversión mediante Cisco Smart Software Manager (CSSM) o el portal de registro de licencias (LRP)

Método Cisco Smart Software Manager (CSSM):

1. Inicie sesión en Cisco Smart Software Manager (CSSM) en https://software.cisco.com/.

2. Navegue hasta Licencias de software inteligente > Convertir en licencias inteligentes.

3. Seleccione Convertir PAK o Convertir licencias.

4. Para convertir una licencia PAK, localice la licencia en esta tabla. Para convertir una licencia sin PAK, utilice el Asistente para conversión de licencias para obtener instrucciones paso a paso.

Ubicación de los archivos de PAK conocidos asociados a la cuenta:

  

Ubicación del enlace del Asistente de conversión de licencias:

5. Localice la combinación de licencia y producto deseada.

6. Haga clic (en Acciones): Convertir en licencia inteligente.

7. Elija la cuenta virtual, la licencia, y haga clic en Next.

8. Revise las selecciones y, a continuación, haga clic en Convertir licencias.

Método del portal de registro de licencias de (LRP):

1. Inicie sesión en el portal de registro de licencias (LRP) https://slexui.cloudapps.cisco.com/SWIFT/LicensingUI/Home/a>

2. Navegue hasta Dispositivos > Agregar dispositivos.

3. Introduzca la familia de productos y el identificador único de dispositivo (UDI) de producto y el número de serie adecuados y, a continuación, haga clic en Aceptar. La información de UDI se puede obtener de show version o show Inventory tomado de la interfaz de línea de comandos (CLI) del dispositivo Cisco.

4. Elija el dispositivo agregado y Convierta las licencias en licencias inteligentes.

5. Asigne a la cuenta virtual adecuada, elija las licencias que desea convertir y haga clic en Enviar.

Sugerencia: la herramienta LRP también se puede utilizar consultando la licencia/familia de productos en la ficha PAK o Tokens. Haga clic en el círculo desplegable junto a PAK/Token y elija Convertir en licencia inteligente:

Convierta a través del Departamento de Operaciones de Licencias Globales (GLO) de Cisco y póngase en contacto con él

Puede comunicarse con el departamento de operaciones de licencias globales aquí en nuestros centros de contacto en todo el mundo.

Cambio de comportamiento de alto rendimiento de Catalyst 9500 de 16.9 a 16.12.3

Al igual que otros modelos Catalyst 9000, los modelos de alto rendimiento Catalyst 9500 se habilitaron para Smart Licensing en la serie de la versión 16.9 de Cisco IOS XE y posteriores. Sin embargo, para los modelos de alto rendimiento Catalyst 9500, cada modelo tenía su propia etiqueta de derechos de licencia específica. Posteriormente, los equipos de marketing y productos decidieron unificar las etiquetas de derechos de las plataformas C9500. Esta decisión cambió el comportamiento del uso de etiquetas de derechos específicas a licencias genéricas de C9500 en los modelos de alto rendimiento C9500.

Este cambio en el comportamiento se documenta en estos defectos:

a) ID de error de Cisco CSCvp30661

b) ID de error de Cisco CSCvt01955

Estos son el antes y el después de los cambios de licencia mencionados anteriormente para los modelos C9500 de alto rendimiento:

Versión 16.11.x de Cisco IOS XE y anteriores

Cada modelo de alto rendimiento C9600 tiene sus propias etiquetas de derechos.

Modelo	Licencia
C9500-32C	C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

Nota: las versiones 16.12.1 y 16.12.2 de Cisco IOS XE tienen defectos: Id. de error de Cisco CSCvp30661 e Id. de error de Cisco CSCvt01955. Estos defectos se abordan en 16.12.3a y posteriores.

Versión 16.12.3 de Cisco IOS XE y posteriores

Las plataformas de alto rendimiento de Catalyst 9500 ahora utilizan etiquetas de licencia de red genéricas y etiquetas de licencia DNA independientes. Esta tabla muestra los cambios de derechos que se resaltan en Cisco IOS XE versión 16.12.3 y posteriores:

Modelo	Licencia
C9500-32C	C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 Network Essentials C9500 Network Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

Nota: Las actualizaciones de las versiones 16.12.1 y 16.12.2 de Cisco IOS XE muestran este comportamiento de licencia. Las actualizaciones de las versiones 16.9.x, 16.10.x, 16.11.x a 16.12.3 de Cisco IOS XE reconocen configuraciones de licencia antiguas.

Preguntas frecuentes sobre el cambio de alto rendimiento de C9500

1. ¿Por qué Cisco admite la asignación de una licencia de red genérica, cuando mi dispositivo consume una licencia de red específica de dispositivo?

Se proporcionan etiquetas genéricas, ya que son las etiquetas de derechos adecuadas para el dispositivo de red. Esto permite el uso de etiquetas de derechos en toda la plataforma Cat9500, no solo en los modelos de alto rendimiento C9500 específicos. Las imágenes anteriores a 16.12.3 que solicitan etiquetas de licencia específicas del dispositivo cumplen con las etiquetas de licencia genéricas, ya que las licencias más específicas se incluyen en las licencias genéricas en la jerarquía de licencias.

2. ¿Por qué a veces aparecen dos etiquetas de red en la cuenta inteligente?

Este comportamiento se debe a la jerarquía de licencias y ocurre cuando el dispositivo se ejecuta en una imagen más antigua que utiliza etiquetas de licencias específicas del dispositivo. Las imágenes más antiguas que solicitan etiquetas de licencia específicas del dispositivo cumplen con las etiquetas de licencia genéricas, ya que las etiquetas más específicas se incluyen en las licencias genéricas en la jerarquía de licencias.

Configuración

Configuración Básica

Puede encontrar el procedimiento exacto sobre cómo configurar Smart Licensing en la Guía de configuración de administración del sistema disponible para cada versión/plataforma.

Por ejemplo: Guía de configuración de administración del sistema, Cisco IOS XE Fuji 16.9.x (switches Catalyst 9300)

Token de registro/Token de ID de dispositivo

Antes de registrar el dispositivo, se debe generar un token. El token de registro, también conocido como token de ID de dispositivo, es un token único generado desde el portal de licencias inteligentes o Cisco Smart Software Manager en las instalaciones mediante el registro inicial de un dispositivo Cisco en la cuenta inteligente correspondiente. Se puede utilizar un token individual para registrar varios dispositivos Cisco según los parámetros utilizados durante la creación.

El token de registro también se requiere durante el registro inicial de un dispositivo Cisco, ya que proporciona información al dispositivo para el soporte remoto del sistema interno de Cisco y lo vincula a la cuenta inteligente correcta. Una vez registrado el dispositivo de Cisco, el token ya no es necesario.

Para obtener más información sobre los tokens de registro y cómo se generan, haga clic aquí para obtener una guía general. Para obtener más detalles, consulte la guía de configuración del dispositivo Cisco específico.

Estados de licencia y registro

Al implementar y configurar Smart Licensing, hay varios estados posibles en los que puede encontrarse un dispositivo Cisco. Estos estados se pueden ver a través de show license all o show license status desde la interfaz de línea de comandos (CLI) del dispositivo Cisco.

A continuación se muestra una lista de todos los estados y su descripción:

Estado de evaluación (no identificado)

• La evaluación es el estado predeterminado del dispositivo cuando se arranca por primera vez.
• Por lo general, este estado se observa cuando un dispositivo Cisco aún no se ha configurado para Smart Licensing o no se ha registrado en una cuenta Smart Account.
• En este estado, todas las funciones están disponibles y el dispositivo puede cambiar libremente los niveles de licencia.
• El período de evaluación se utiliza cuando el dispositivo está en el estado no identificado. El dispositivo no intenta comunicarse con Cisco en este estado.
• Este período de evaluación es de 90 días de uso y no de 90 días naturales. Una vez que finaliza el período de evaluación, nunca se reinicia.
• Hay un período de evaluación para todo el dispositivo; no es un período de evaluación por derecho.
• Cuando el período de evaluación vence al final de 90 días, el dispositivo entra en el modo de CADUCIDAD DE EVALUACIÓN. Sin embargo, no hay impacto funcional o interrupción en la funcionalidad, incluso después de la recarga. Actualmente, no se aplica ninguna medida de ejecución.
• El tiempo de cuenta regresiva se mantiene entre reinicios.
• El período de evaluación se utiliza si el dispositivo aún no se ha registrado en Cisco y no ha recibido estos dos mensajes del back-end de Cisco:
  1. Respuesta correcta a una solicitud de registro.
  2. Respuesta satisfactoria a una solicitud de autorización de derechos.

Estado registrado

• Registrado es el estado esperado después de que el registro se haya completado correctamente.
• Este estado indica que el dispositivo de Cisco se ha podido comunicar correctamente con una cuenta inteligente de Cisco y registrarse.
• El dispositivo recibe un certificado de ID, válido durante un año, que se utiliza para futuras comunicaciones.
• El dispositivo envía una solicitud al CSSM para que autorice los derechos de las licencias que se utilizan en el dispositivo.
• En función de la respuesta del CSSM, el dispositivo entra en el estado Authorized (Autorizado) o Out of Compliance (Incumplimiento).
• El certificado de ID expira al final de un año. Transcurridos seis meses, el proceso del agente de software intenta renovar el certificado. Si el agente no puede comunicarse con el CSSM, seguirá intentando renovar el certificado de ID hasta la fecha de vencimiento (un año). Al final de un año, el agente vuelve al estado No identificado e intenta habilitar el período de evaluación. El CSSM elimina la instancia del producto de su base de datos.

Estado autorizado

• Autorizado es el estado esperado cuando el dispositivo está utilizando un derecho y está en conformidad (sin saldo negativo).
  
• Este estado indica que la cuenta virtual en CSSM tenía el tipo y el número de licencias correctos para autorizar el consumo de las licencias de este dispositivo.
• Al cabo de 30 días, el dispositivo envía una nueva solicitud al CSSM para renovar la autorización.
• Este estado tiene un período de tiempo de 90 días. Transcurridos 90 días (si no se renueva correctamente), el dispositivo pasa al estado Vencido de autorización.

Estado de incumplimiento

• Fuera de conformidad es el estado en el que el dispositivo está utilizando un derecho y no está en conformidad (saldo negativo).
  
• Este estado se ve cuando el dispositivo no tiene una licencia disponible en la cuenta virtual correspondiente en la que está registrado el dispositivo Cisco para la cuenta inteligente de Cisco. 
• Para entrar en el estado Compliance / Authorized (Cumplimiento / Autorizado), debe agregar el número y el tipo de licencias correctos a la Smart Account.
• Cuando un dispositivo se encuentra en el estado Fuera de conformidad, envía automáticamente una solicitud de renovación de autorización todos los días.
• Las licencias y las funciones siguen funcionando y no hay impacto funcional.

Estado de autorización vencida

• La autorización caducada es el estado en el que el dispositivo está utilizando un derecho y no ha podido comunicarse con la cuenta Cisco Smart Account asociada durante más de 90 días.
• Este estado se observa normalmente si el dispositivo de Cisco pierde el acceso a Internet o no puede conectarse a tools.cisco.com después del registro inicial.
• Los métodos en línea de licencias inteligentes requieren que los dispositivos Cisco se comuniquen como mínimo cada 90 días para evitar este estado.
• CSSM devuelve todas las licencias en uso de este dispositivo al grupo, ya que no ha mantenido ninguna comunicación con el dispositivo durante 90 días.
• Mientras se encuentre en este estado, el dispositivo seguirá intentando ponerse en contacto con Cisco cada hora para renovar la autorización de derechos, hasta que caduque el período de registro (certificado de ID).
• Si el agente de software restablece las comunicaciones con Cisco y recibe su solicitud de autorización, procesa las respuestas normales y entra en uno de los estados establecidos.

Consideraciones y advertencias

A partir de la versión 16.9.1 para los switches y la versión 16.10.1 para los routers, se genera un perfil de inicio de llamada predeterminado denominado CiscoTAC-1 para facilitar la migración a Smart Licensing.  De manera predeterminada, este perfil está configurado para el método de acceso directo a la nube.               

#show call-home profile CiscoTAC-1 

Profile Name: CiscoTAC-1 

Profile status: ACTIVE 

Profile mode: Full Reporting 

Reporting Data: Smart Call Home, Smart Licensing 

Preferred Message Format: xml 

Message Size Limit: 3145728 Bytes 

Transport Method: http 

HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

Other address(es): default 

<snip>

Cuando se utiliza un servidor Cisco Smart Software Manager en las instalaciones, la dirección de destino en la configuración activa de soporte remoto debe apuntar a este (distingue mayúsculas de minúsculas):

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https://<IP/FQDN>/Transportgateway/services/DeviceRequestHandler

Se requiere el DNS para resolver tools.cisco.com. Si la conectividad del servidor DNS está en un VRF, asegúrese de que la interfaz de origen y el VRF adecuados estén definidos:

Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>

VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]     <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>

De forma alternativa, si DNS no está disponible, configure de forma estática la asignación de DNS local a IP (en función de la resolución de DNS local del dispositivo final) o sustituya el nombre DNS en la configuración de inicio de llamada por la dirección IP. Consulte el ejemplo de acceso directo a la nube (para Cisco Smart Software Manager en las instalaciones que utiliza su propio nombre de DNS en lugar de tools.cisco.com):  

(config)#ip host tools.cisco.com <x.x.x.x>

Si la comunicación a tools.cisco.com debe originarse desde la interfaz en un VRF específico (por ejemplo, Mgmt-vrf), entonces esta CLI debe configurarse: 

(config)#ip http client source-interface <VRF_INTERFACE>

Se puede consumir un número diferente de licencias en función de la configuración del dispositivo de Cisco, por ejemplo, con switches Catalyst que se ejecutan en StackWise o StackWise Virtual:

Switches compatibles con la pila tradicional (por ejemplo, Catalyst serie 9300):

Licencia de red: se consume 1 licencia por switch de la pila

Licencia de DNA: se consume 1 licencia por switch de la pila

Chasis modular (por ejemplo, Catalyst serie 9400):

Licencia de red: se consume 1 licencia por supervisor en el chasis

Licencia DNA: se consume 1 licencia por chasis

Switches compatibles con soluciones virtuales de pila fija (por ejemplo, Catalyst serie 9500):

Licencia de red: se consume 1 licencia por switch de la pila

Licencia de DNA: se consume 1 licencia por switch de la pila

• Solo un perfil de soporte remoto puede estar activo para Smart Licensing.
• Las licencias solo se consumen si se configura una función correspondiente.
• Los dispositivos de Cisco configurados para Smart Licensing deben estar configurados con la fecha y hora del sistema correctas para garantizar que estén sincronizados correctamente con la cuenta inteligente de Cisco correspondiente. Si hay demasiada diferencia de hora en el dispositivo Cisco, puede fallar el registro. El reloj debe configurarse o ajustarse manualmente mediante un protocolo de temporización, como el protocolo de tiempo de la red (NTP) o el protocolo de tiempo de precisión (PTP). Para conocer los pasos exactos necesarios para implementar estos cambios, consulte la guía de configuración del dispositivo Cisco específico.
• La clave de la infraestructura de clave pública (PKI) que se genera durante el registro del dispositivo de Cisco debe guardarse si no se guarda automáticamente después del registro. Si el dispositivo no puede guardar la clave PKI, se genera un syslog que le solicita que guarde la configuración mediante el comando copy running-config startup-config o write memory.
• Si la clave de PKI del dispositivo Cisco no se guarda correctamente, el estado de la licencia se puede perder en la conmutación por falla o la recarga.  
• Smart Licensing no admite la interceptación de certificados SSL de proxy HTTPS de forma predeterminada cuando se utilizan proxies de terceros para el método de proxy HTTPS. Para admitir esta función, puede deshabilitar la intercepción de SSL en el proxy o importar manualmente la certificación enviada desde el proxy.

How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

Al utilizar el proxy HTTP de gateway de transporte, la dirección IP debe cambiarse de tools.cisco.com al proxy como en este ejemplo:

DESDE
       dirección de destino http: https://tools.cisco.com/its/service/oddce/services/DDCEService
A
       dirección de destino http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler 

La dirección IP del gateway de transporte se puede encontrar navegando a la configuración de HTTP y buscando en las URL de servicio HTTP en la GUI del gateway de transporte de Cisco.

Para obtener más información, consulte la guía de configuración de la puerta de enlace de transporte de Cisco aquí.

Troubleshoot

Al migrar un dispositivo de Cisco a una versión de software habilitada para Smart Licensing, puede utilizar este diagrama de flujo como guía general para los tres métodos (acceso directo a la nube, proxy HTTPS y Cisco Smart Software Manager en las instalaciones).

                  Dispositivo actualizado o enviado con una versión de software que admite Smart Licensing (consulte la sección 1.3 para obtener una lista de las versiones de Cisco IOS XE admitidas). 

Estos pasos para solucionar problemas se concentran principalmente en un escenario en el que el dispositivo no puede registrarse. 

El dispositivo no puede registrarse 

Después de la configuración inicial, para habilitar Smart Licensing, el token, que se genera en CSSM/Cisco Smart Software Manager secundario, debe registrarse en el dispositivo a través de la CLI:

license smart register idtoken <TOKEN>

Esta acción genera estos eventos:

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result 

!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) 

%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine 

%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration 

!
! Call-home start registration process
! 

%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. 

!
! Smart Licensing process connects with CSSM and check entitlement.
! 

%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed 

%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> 

%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved 

%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized 

%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>

Para comprobar la configuración de la llamada de inicio, ejecute esta CLI:

#show call-home profile all 

  

Profile Name: CiscoTAC-1 

    Profile status: ACTIVE 

    Profile mode: Full Reporting 

    Reporting Data: Smart Call Home, Smart Licensing 

    Preferred Message Format: xml 

    Message Size Limit: 3145728 Bytes 

    Transport Method: http 

    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

    Other address(es): default 

  

    Periodic configuration info message is scheduled every 1 day of the month at 09:15 

  

    Periodic inventory info message is scheduled every 1 day of the month at 09:00 

  

    Alert-group               Severity 

    ------------------------  ------------ 

    crash                     debug 

    diagnostic                minor 

    environment               warning 

    inventory                 normal 

  

    Syslog-Pattern            Severity 

    ------------------------  ------------ 

    APF-.-WLC_.*              warning 

    .*                        major

Para comprobar el estado de Smart Licensing, ejecute esta CLI:

#show license summary 

Smart Licensing is ENABLED 

  

Registration: 

  Status: REGISTERED 

  Smart Account: TAC Cisco Systems, Inc. 

  Virtual Account: Krakow LAN-SW 

  Export-Controlled Functionality: ALLOWED 

  Last Renewal Attempt: None 

  Next Renewal Attempt: Nov 22 21:24:32 2019 UTC 

  

License Authorization: 

  Status: AUTHORIZED 

  Last Communication Attempt: SUCCEEDED 

 Next Communication Attempt: Jun 25 21:24:37 2019 UTC 

  

License Usage: 

  License                 Entitlement tag               Count Status 

  ----------------------------------------------------------------------------- 

  C9500 Network Advantage (C9500 Network Advantage)         1 AUTHORIZED 

  C9500-DNA-40X-A         (C9500-40X DNA Advantage)         1 AUTHORIZED

Si el dispositivo no se registra (y el estado es diferente de REGISTRADO), el incumplimiento indica un problema en CSSM, como una licencia faltante en una cuenta virtual inteligente, una asignación incorrecta (por ejemplo, el uso de un token de una cuenta virtual diferente donde las licencias no están disponibles), etc. 

Compruebe estos elementos: 

1. Verifique las configuraciones y los escenarios de falla comunes.

Consulte la sección 2.1 para conocer los pasos de configuración básica. Asimismo, consulte la sección 5 para conocer los escenarios de fallos habituales observados sobre el terreno.

2. Compruebe la conectividad básica.

Verifique que el dispositivo pueda alcanzar (y abrir el puerto TCP) a tools.cisco.com (en caso de acceso directo) o al servidor en las instalaciones de Cisco Smart Software Manager: 

#show run all | in destination address http 

  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 

! 

! check connectivity 

! 

#telnet tools.cisco.com 443 /source-interface gi0/0 

Trying tools.cisco.com (x.x.x.x, 443)... Open 

[Connection to tools.cisco.com closed by foreign host]

Si estos comandos no funcionan, vuelva a verificar las reglas de ruteo, la interfaz de origen y la configuración del firewall.

Consulte la sección: 3. Consideraciones y advertencias de este documento para obtener más instrucciones sobre cómo configurar los detalles de DNS y HTTP. 

3. Verifique la configuración de Smart License.

Recopile el resultado de:

#show tech-support license

y valide la configuración y los registros recopilados (adjunte este resultado en caso de que decida abrir un caso de Cisco TAC para realizar una investigación más exhaustiva). 

4. Habilitar depuraciones.

Habilite estas depuraciones para recopilar información adicional sobre el proceso de Smart Licensing.

#debug call-home smart-licensing [all | trace | error] 

#debug ip http client [all | api | cache | error | main | msg | socket]

Para las depuraciones internas, habilite y lea los seguimientos binarios:

! enable debug 

#set platform software trace ios [switch] active R0 infra-sl debug 

! 

! read binary traces infra-sl process logs 

#show platform software trace message ios [switch] active R0

Escenarios de ejemplo comunes

En esta sección se describen algunos escenarios de fallas comunes que se podrían experimentar durante o después del registro de un dispositivo Cisco:

Situación #1: Registro del switch "Motivo del fallo: el producto ya está registrado"

Recorte de "show license all":

Registro:

  Estado: NO REGISTRADO: FALLA DE REGISTRO

  Funcionalidad de exportación controlada: no permitida

  Registro inicial: FALLÓ el 22 de octubre 14:25:31 2018 EST

   Motivo del fallo: el producto ya está registrado

  Siguiente intento de registro: Oct 22 14:45:34 2018 EST

Pasos siguientes:

- El dispositivo Cisco debe registrarse de nuevo.

- Si el dispositivo Cisco se ve en el CSSM, se debe utilizar el parámetro force (es decir, license smart register idtoken <TOKEN> force).

Nota: El motivo del fallo también puede mostrarse como:
   - Motivo del fallo: el producto <X> y el identificador de servicio que contiene udiSerialNumber:<SerialNumber>,udiPid:<Product> ya se han registrado.
   - Motivo del fallo: la instancia del producto existente tiene un indicador de consumo y de fuerza falso

Situación #2: Registro de switch "Motivo del fallo: su solicitud no se ha podido procesar en este momento. Vuelva a intentarlo"

Recorte de "show license all":

Registro:

  Estado: REGISTRO - REGISTRO EN CURSO

  Funcionalidad de exportación controlada: no permitida

  Registro inicial: FALLÓ el 24 de octubre 15:55:26 2018 EST

  Motivo de falla: La solicitud no se puede procesar en este momento Vuelva a intentarlo

  Siguiente intento de registro: Oct 24 16:12:15 2018 EST

Pasos siguientes:

- Habilite las depuraciones como se menciona en la sección 4 para obtener más información sobre el problema.

- Genere un nuevo token en CSSM en Smart Licensing y vuelva a intentarlo. 

Escenario #3: Motivo del error "La fecha del dispositivo 1526135268653 se ha desplazado más allá del límite de tolerancia permitido

Recorte de "show license all":

Registro:

  Estado: REGISTRO - REGISTRO EN CURSO

  Funcionalidad de exportación controlada: no permitida

  Registro inicial: FALLÓ el Nov 117:55:46 2018 EST

    Motivo de falla:{"timestamp":["The device date '1526135268653' is offset beyond the allowed tolerance limit."]}

  Próximo intento de registro: Nov 11 18:12:17 2018 EST

Registros posibles:

%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: error en la validación de la cadena de certificados.  El certificado (SN: XXXXXX) aún no es válido. El período de validez comienza el 2018-12-12:43Z.

Pasos siguientes:

- Verifique que el reloj del dispositivo Cisco muestre la hora correcta (show clock).

- Configure el protocolo de tiempo de la red (NTP), si es posible, para asegurarse de que el reloj está configurado correctamente.

- Si NTP no es posible, verifique que el reloj configurado manualmente (reloj configurado) sea correcto (mostrar reloj) y que esté configurado como fuente de tiempo confiable verificando que el reloj válido para el calendario esté configurado

Nota: de forma predeterminada, el reloj del sistema no es de confianza. Se requiere un calendario del reloj válido.

Situación #4: registro del switch "Motivo del fallo: transporte de comunicaciones no disponible".

Recorte de "show license all":

Registro: Estado: NO REGISTRADO - ERROR DE REGISTRO

Funcionalidad de exportación controlada: no permitida

Registro inicial: FALLÓ el 09 de marzo 21:42:02 2019 CST

   Motivo del fallo: el transporte de comunicación no está disponible.

Registros posibles:

%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: Error al habilitar la llamada de inicio desde Smart Agent para licencias: el comando no pudo habilitar la llamada de inicio inteligente debido a un perfil de usuario activo existente. Si utiliza un perfil de usuario que no sea el perfil CiscoTAC-1 para enviar datos al servidor SCH en Cisco, introduzca reporting smart-licensing-data en el modo de perfil para configurar ese perfil para las licencias inteligentes. Para obtener más información sobre SCH, visite http://www.cisco.com/go/
%SMART_LIC-3-AGENT_REG_FAILED: error de Smart Agent para registro de licencias con Cisco Smart Software Manager o satélite: transporte de comunicaciones no disponible.
%SMART_LIC-3-COMM_FAILED: error de comunicaciones con Cisco Smart Software Manager o satélite: transporte de comunicaciones no disponible.

Pasos siguientes:

- Verifique que call-home esté habilitado con service call-home en la salida show running-config del dispositivo Cisco.

- Asegúrese de que el perfil de llamada a domicilio correcto esté activo.

- Compruebe que la notificación de datos de licencias inteligentes está configurada en el perfil de call-home activo.

Situación #5: Autorización de licencia de switch "Motivo del error: error al enviar el mensaje HTTP de llamada a casa".

Recorte de "show license all":

Autorización de licencia:

  Estado: FUERA DE CUMPLIMIENTO el 26 de julio 09:24:09 2018 UTC

  Último intento de comunicación: FALLÓ el 2 de agosto a las 14:26:23 de 2018 UTC

    Motivo del error: error al enviar el mensaje HTTP de Call Home.

  Siguiente intento de comunicación: Ago 02 14:26:53 2018 UTC

  Fecha límite de comunicación: 25 de octubre de 2018 09:21:38 UTC

Registros posibles:

%CALL_HOME-5-SL_MESSAGE_FAILED: error al enviar el mensaje de licencia inteligente a: https://<ip>/its/service/oddce/services/DDCEService (ERR 2005: solicitud anulada)

%SMART_LIC-3-COMM_FAILED:Error de comunicaciones con Cisco Smart Software Manager o satélite: error al enviar el mensaje HTTP de Call Home.

%SMART_LIC-3-AUTH_RENEW_FAILED:Renovación de autorización con Cisco Smart Software Manager o satélite: Error de envío de mensaje de comunicación para el identificador de proyecto (PID) de unidad de medida: XXX, SN: XXX

Pasos siguientes:

- Compruebe que el dispositivo de Cisco puede hacer ping a tools.cisco.com.

- Si DNS no está configurado, configure un servidor DNS o una sentencia de host ip para la IP nslookup local para tools.cisco.com.

- Intente establecer Telnet desde el dispositivo Cisco a tools.cisco.com en el puerto TCP 443 (puerto utilizado por HTTPS).

- Verifique que la interfaz de origen del cliente HTTPs esté definida y sea correcta.

- Verifique que la URL/IP en el perfil de inicio de llamada esté configurada correctamente en el dispositivo Cisco mediante show call-home profile all.

- Verifique que la ruta ip apunte al siguiente salto correcto.

- Asegúrese de que el puerto TCP 443 no esté bloqueado en el dispositivo Cisco, la ruta a Smart Call Home Server o Cisco Smart Software Manager en las instalaciones (satélite).

- Asegúrese de que la instancia de Virtual Routing and Forwarding (VRF) correcta esté configurada en call-home, si procede.

Escenario #6: Motivo del error "Falta el campo del número de serie del certificado de Id.; Falta el campo del número de serie del certificado de firmas; Los datos firmados y el certificado no coinciden" Registro

Este comportamiento se ve cuando se trabaja con un servidor de CSSM en las instalaciones cuyo certificado de cifrado ha caducado, como se documenta en el ID de error de Cisco CSCvr41393. Este es el comportamiento esperado, ya que se debe permitir que el CSSM en las instalaciones sincronice y renueve su certificado para evitar un problema de sincronización de la certificación con cualquier dispositivo de registro.

Recorte de "show license all":

Registro:
  Estado: NO REGISTRADO
  Cuenta inteligente: cuenta de ejemplo
  Funcionalidad de exportación controlada: PERMITIDA

Autorización de licencia:
 Estado: MODO EVAL
 Período de evaluación restante: 65 días, 18 horas, 43 minutos, 0 segundos

Registros posibles:

Este error se observa en show logging o show license eventlog:
SAVE_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Falta el campo del número de serie del certificado de Id.; Falta el campo del número de serie del certificado de firma; Los datos y el certificado firmados no coinciden"

Pasos siguientes:

- Verifique que el dispositivo Cisco tenga conectividad IP con el servidor CSSM en las instalaciones.
- Si utiliza HTTPS, confirme que se está utilizando la certificación C-Name en la configuración de llamada a casa de los dispositivos.
- Si un servidor DNS no está disponible para resolver el nombre C de certificación, configure una sentencia ip host estática para asignar el nombre de dominio y la dirección IP.

- Compruebe que el estado del certificado en CSSM en las instalaciones sigue siendo válido.
- Si el certificado CSSM en las instalaciones ha caducado, utilice una de las soluciones temporales documentadas en la identificación de error de Cisco CSCvr41393

Nota: de forma predeterminada, HTTPS realiza una comprobación de identidad del servidor durante el protocolo de enlace SSL para verificar que la dirección URL o IP es la misma que el certificado proporcionado desde el servidor. Esto puede causar problemas al utilizar direcciones IP en lugar de una entrada de DNS si el nombre de host y la IP no coinciden. Si DNS no es posible, o una declaración de host de IP estática, no se puede configurar ninguna comprobación de identidad del servidor http seguro para deshabilitar esta comprobación de certificación.

Situación #7: autorización de licencia de switch "Motivo del error: esperando respuesta" 

Recorte de "show license all":

Autorización de licencia:
 Estado: FUERA DE CUMPLIMIENTO el 26 de julio 09:24:09 2018 UTC
 Último intento de comunicación: PENDIENTE el 2 de agosto 14:34:51 2018 UTC
  Motivo del fallo: esperando respuesta
 Siguiente intento de comunicación: Ago 02 14:53:58 2018 UTC
 Fecha límite de la comunicación: Oct 25 09:21:39 2018 UTC

Registros posibles:

%PKI-3-CRL_FETCH_FAIL: Error en la recuperación de CRL para el punto de confianza SLA-TrustPoint Motivo: error al seleccionar el socket. Tiempo de espera: 5 (tiempo de espera de conexión agotado)
%PKI-3-CRL_FETCH_FAIL: Error en la recuperación de CRL para el punto de confianza SLA-TrustPoint Motivo: error al seleccionar el socket. Tiempo de espera: 5 (tiempo de espera de conexión agotado)

Pasos siguientes:

- Para corregir este problema, SLA-TrustPoint debe configurarse como none en la configuración en ejecución

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revocation-check none

¿Qué es una CRL?

Una lista de revocación de certificados (CRL) es una lista de certificados revocados. La autoridad de certificación (CA) que emitió originalmente los certificados crea y firma digitalmente la CRL. La CRL contiene fechas de cuándo se emitió y cuándo caduca cada certificado. Encontrará más información sobre la CRL aquí.

Situación #8: la licencia se encuentra en estado "FUERA DE CONFORMIDAD"

Recorte de "show license all":

Autorización de licencia:
 Estado: FUERA DE CUMPLIMIENTO el 26 de julio 09:24:09 2018 UTC
 Último intento de comunicación: PENDIENTE el 2 de agosto 14:34:51 2018 UTC
  Motivo del fallo: esperando respuesta
 Siguiente intento de comunicación: Ago 02 14:53:58 2018 UTC
 Fecha límite de la comunicación: Oct 25 09:21:39 2018 UTC

Registros posibles:

%SMART_LIC-3-OUT_OF_COMPLIANCE: uno o más derechos no cumplen las normas.

Pasos siguientes:

- Verifique si se ha utilizado el token de la cuenta Smart Virtual adecuada.

- Verifique la cantidad de licencias disponibles aquí.

Situación #9: autorización de licencia de switch "Motivo del error: los datos y la firma no coinciden "

Recorte de "show license all":

Autorización de licencia:

 Estado: AUTORIZADO el 12 de marzo 09:17:45 2020 EDT

 Último intento de comunicación: FALLÓ el 12 de marzo 09:17:45 2020 EDT

  Motivo del fallo: los datos y la firma no coinciden

 Siguiente intento de comunicación: Mar 12 09:18:15 2020 EDT

 Fecha límite de la comunicación: mayo 09 21:22:43 2020 EDT

Registros posibles:

%SMART_LIC-3-AUTH_RENEW_FAILED: Renovación de autorización con Cisco Smart Software Manager (CSSM): error recibido de Smart Software Manager: los datos y la firma no coinciden con el PID de la unidad de medida: C9000,SN:XXXXXXXXXXX

Pasos siguientes:

- Anule el registro del switch con la cancelación de la licencia inteligente.

- A continuación, registre el switch con un nuevo token con el símbolo de registro inteligente de licencias <TOKEN> force.

Referencias

1) Página de inicio de Cisco Smart Licensing

2) Comunidad de Cisco: capacitaciones a pedido

3) Cuenta inteligente: portal de administración: Smart Software Licensing

4) Cuenta inteligente: creación de cuentas nuevas: Cuentas inteligentes

5) Guía de configuración (ejemplo): Guía de configuración de administración del sistema, Cisco IOS XE Fuji 16.9.x (switches Catalyst 9300)