Configurer et dépanner la politique de licences Smart sur les plates-formes ACI

Introduction

Ce document décrit comment utiliser Smart Licensing Policy pour gérer les licences logicielles sur la plate-forme Cisco ACI (Application Centric Infrastructure).

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Ce document décrit comment utiliser la politique de licence intelligente de Cisco pour dépanner, configurer et gérer les licences logicielles sur la plate-forme Cisco ACI (Application Centric Infrastructure).

Qu'est-ce que Cisco Smart Licensing Policy (SLP) ?

Cisco Smart Licensing est une plate-forme de gestion logicielle qui gère toutes les licences de produits Cisco. Sur la base de vos commentaires, Cisco Smart Licensing a été amélioré et une nouvelle plate-forme, appelée SLP, a été proposée. L'objectif de SLP est de simplifier les licences Smart et de vous permettre de configurer et de gérer. Il est introduit dans la version 5.2(4) de l'ACI.

Êtes-vous nouveau dans l'administration des licences Smart et/ou des comptes Smart ?

Visitez et inscrivez-vous au nouveau cours de formation des administrateurs et enregistrez :

• Communauté Cisco - Devenez intelligent avec les comptes/licences Smart Cisco et Mes droits Cisco
• Les comptes Smart peuvent être créés ici : Comptes Smart 
• Les comptes Smart peuvent être gérés ici : Smart Software Licensing

Qu'est-ce qu'un jeton ID ?

Utilisé pour enregistrer des produits en toute sécurité sur un compte Smart et un compte virtuel. Les jetons d'ID sont des « identificateurs d'organisation » utilisés pour établir l'identité lors de l'enregistrement d'un produit. Ces jetons dans SLP sont utilisés avec une autre méthode d'enregistrement qui est expliquée plus loin dans ce document.

Générer un jeton d'ID à partir de CSSM

Afin de générer, accédez à Cisco Software Central et naviguez jusqu'à Manage Licenses > Inventory > General > New Token comme indiqué dans l'image.

Une fois généré, vous pouvez le copier ou le télécharger dans Actions :

Licence SLP et états des produits

Dans ACI SLP, il n'est plus nécessaire de disposer de 90 jours pour la période d'évaluation et l'enregistrement du produit. L'enregistrement du produit n'est plus nécessaire. Vous devez signaler l'utilisation de la licence au mieux. En outre, l'état d'autorisation de licence sur la vue client est éliminé. Une autorisation de licence a désormais deux statuts : En cours d'utilisation ou Non utilisé. Comme le contrôleur APIC ne gère que les licences actuellement utilisées, sur l'interface utilisateur/l'interface de ligne de commande APIC, vous ne pouvez voir que toutes les autorisations de licence actuellement utilisées. 

Méthodes prises en charge avec SLP

Il existe différentes méthodes de configuration de la politique de licences Smart, qui peuvent être différenciées comme suit : 

1. Mode en ligne

2. Mode hors connexion

Dans ACI SLP, présentez le concept de rapport de mesure de l'utilisation des ressources (rapport RUM). Un rapport RUM est un fichier au format XML qui contient le rapport d'utilisation de licence. Ainsi, la terminologie license usage report et Rum reportsont interchangeables ; les deux se réfèrent à l'utilisation de la licence de rapport. Avec le mode en ligne, un utilisateur doit configurer le réseau et pour que le contrôleur APIC soit connecté à CSSM directement ou indirectement, également en mode en ligne, APIC peut envoyer automatiquement des rapports RUM à CSSM et obtenir un accusé de réception de ce dernier.

En mode hors connexion, comme le contrôleur APIC est complètement isolé sans aucune connexion réseau avec le CSSM, directement ou indirectement, un utilisateur doit télécharger périodiquement le rapport RUM du contrôleur APIC, l'importer dans le CSSM, télécharger l'accusé de réception du CSSM et l'importer dans le contrôleur APIC.

En fonction de la connectivité de l'APIC avec CSSM, vous pouvez décider d'utiliser le mode en ligne ou hors ligne, qui a donc également plusieurs méthodes en mode en ligne, expliquées comme suit : 



Méthode 1. Connexion directe au CSSM

Cette méthode est le mode réseau le plus couramment utilisé. Le contrôleur Cisco APIC doit disposer d'une connectivité Internet pour pouvoir envoyer directement des rapports RUM au CSSM. Le DNS doit être configuré et le nom d'hôte CSSM (tools.cisco.com) doit pouvoir être envoyé par ping.

Pour configurer :

Étape 1. Connectez-vous à l'interface graphique Cisco APIC.

Étape 2. Dans la barre de menus, accédez à System > Smart Licensing > Actions > Configure Network Settings.

Étape 3. Sélectionnez Direct connect to CSSM.

Étape 4. L'URL et le numéro de port ne peuvent pas être modifiés ici.

Étape 5. Collez le jeton d'ID d'instance de produit, qui est déjà obtenu à partir de votre compte virtuel CSSM.

Étape 6. Cliquer OK.

ID d'instance de produit

Une fois synchronisés avec CSSM, les noms des comptes Smart et virtuels sont mis à jour sur la page de gestion des licences Smart, comme illustré dans l'image.

Les noms des comptes Smart et virtuels sont mis à jour

Méthode 2. Passerelle de transport Cisco

Avec cette méthode, le contrôleur APIC Cisco ne nécessite pas de connectivité Internet. Le contrôleur APIC Cisco envoie des rapports RUM au CSSM à l'aide de la passerelle de transport. Le middleware de la passerelle de transport Cisco doit être déjà installé dans le centre de données et accessible au contrôleur APIC. Pour le mode Passerelle de transport, le format d'URL est : http<s>://<ip or hostname>:<port>/Transportgateway/services/DeviceRequestHandler, où IP ou hostname est l'IP ou le nom d'hôte de la passerelle de transport. Le numéro de port doit être saisi s'il ne s'agit pas du port HTTP 80 ou HTTPS 443 par défaut. De plus, un jeton d'ID d'instance de produit est requis et peut être obtenu à partir de votre compte virtuel CSSM.

Afin d'installer et de configurer la passerelle de transport, un utilisateur peut consulter la documentation de la passerelle de transport Cisco :

https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf

Pour configurer :

Étape 1. Connectez-vous à l'interface graphique Cisco APIC.

Étape 2. Dans la barre de menus, accédez à System > Smart Licensing > Actions > Configure Network Settings.

Étape 3. Sélectionnez Cisco Transport Gateway.

Étape 4. Modifiez l'URL avec l'adresse IP (IP de la passerelle de transport Cisco) et le port corrects ;http<s>://<ip or hostname><port>/Transportgateway/services/DeviceRequestHandler.

Étape 5. Collez le jeton d'ID d'instance de produit, qui est déjà obtenu à partir de votre compte virtuel CSSM.

Étape 6. Cliquez sur OK.

Méthode 3. Proxy HTTP/HTTPS

Avec cette méthode, le contrôleur APIC Cisco ne nécessite pas de connectivité Internet. Le contrôleur APIC Cisco envoie des rapports RUM au CSSM à partir de votre proxy Web. Assurez-vous que le serveur proxy Web est configuré pour autoriser les messages de licence Smart. En outre, le pare-feu doit avoir des règles pour transmettre la communication afin d'atteindre la destination (https://tools.cisco.com/its/service/oddce/services/DDCEService).

En mode Proxy, un utilisateur doit configurer l'adresse IP et le port du proxy. De plus, un jeton d'ID d'instance de produit est requis et peut être obtenu à partir du compte virtuel CSSM de l'utilisateur.

Pour configurer :

Étape 1. Connectez-vous à l'interface graphique Cisco APIC.

Étape 2. Dans la barre de menus, accédez àSystem > Smart Licensing > Actions > Configure Network Settings.

Étape 3. SélectionnezCisco HTTP/HTTPS Proxy.

Étape 4. Indiquez l'adresse IP et le numéro de port du proxy.

Étape 5. Collez le jeton d'ID d'instance de produit, qui peut être obtenu à partir de votre compte virtuel CSSM.

Étape 6. Cliquez surOK.

Méthode 4. Sur Site

Avec cette méthode, le contrôleur APIC Cisco ne nécessite pas de connectivité Internet, alors qu'On-Prem nécessite une connectivité Internet. Le contrôleur APIC Cisco envoie des rapports RUM au module CSSM via le module On-Prem. Le middleware On-Prem doit être déjà installé dans le data center. Ce mode était auparavant connu sous le nom de Cisco Smart Software Manager Satellite (Manager Satellite) dans Cisco ACI Smart Licensing (SL). 

Pour configurer :



Étape 1. Connectez-vous à l'interface graphique Cisco APIC.

Étape 2. Dans la barre de menus, accédez àSystem > Smart Licensing > Actions > Configure Network Settings.

Étape 3. Sélectionnez Cisco Smart Software Manager On-Prem.

Vous devez fournir l'URL vers Cisco Smart Software Manager On-Prem. Pour obtenir l'URL, connectez-vous à l'interface utilisateur graphique de Cisco Smart Software Manager On-Prem. Accédez à Inventory > General et cliquez sur le lien CSLU TransportURL.

Étape 4. Copiez l'URL CSLU et collez-la dans le champ URL de l'interface graphique Cisco APIC.

Vous n'avez pas besoin de spécifier votre jeton d'ID d'instance de produit. Le contrôleur APIC Cisco utilise un certificat intégré pour communiquer avec le gestionnaire de logiciel Cisco Smart On-Prem.

Une fois la synchronisation réussie, l'inventaire Smart-Software-Manager On-Prem est mis à jour avec les licences utilisées.



Méthode 5. Utilitaire Cisco Smart Licensing

Avec cette méthode, le contrôleur APIC Cisco ne nécessite pas de connectivité Internet. Le contrôleur APIC Cisco envoie des rapports RUM au CSSM via le CSLU. Le CSLU, qui est la version Microsoft Windows du middleware, doit être déjà installé dans le centre de données. L'URL de la CSLU peut être configurée dans APIC selon le format suivant :http://ip_or_hostname:port/cslu/v1/pi

Ici IP ou hostname est l'adresse IP ou le nom d'hôte CSLU. HTTPS n'est pas pris en charge.



Pour configurer :

Étape 1. Connectez-vous à l'interface graphique Cisco APIC.

Étape 2. Dans la barre de menus, accédez à Inventory System > Smart Licensing > Actions > Configure Network Settings .

Étape 3. Sélectionnez Cisco Smart Licensing Utility (CSLU).

Dans l'URL précédente, le port est pris à partir du port de service d'instance de produit sous les préférences de l'interface utilisateur graphique de CSLU.

Une fois l'opération terminée, la page de licence de synchronisation est mise à jour avec le nom du compte Smart et le nom du compte virtuel, comme indiqué dans l'image.

Méthode 6. Offline, méthode

En mode hors ligne, le contrôleur Cisco APIC est isolé sans aucune connexion réseau avec le CSSM, directement ou indirectement. Comme le contrôleur APIC Cisco ne peut pas atteindre le module CSSM via une connexion réseau, vous devez télécharger un rapport RUM tous les 12 mois à partir du contrôleur APIC Cisco et importer le rapport dans le module CSSM. Ensuite, vous devez télécharger un accusé de réception à partir du CSSM et l'importer dans le contrôleur APIC Cisco.

Pour configurer :

Étape 1. Connectez-vous à l'interface graphique Cisco APIC.

Étape 2. Dans la barre de menus, accédez à System > Smart Licensing.

Étape 3. Dans le volet Travail, accédez à Actions > Download Rum Report.

Le fichier de rapport RUM est automatiquement téléchargé dans le dossier par défaut de votre navigateur.


Une fois le rapport téléchargé (LicenseUsageRumReport.xml), vous pouvez l'importer dans CSSM.

Étape 4. Connectez-vous à Software.cisco.com et accédez à Gérer la licence.

Étape 5. Dans le menu, cliquez sur Reportset sélectionnez l'Usage Data Filesoption comme indiqué dans l'image.

Étape 6. Cliquez  Upload Usage Datasur et sélectionnez LicenseUsageRumReport.xmlles fichiers comme indiqué dans l'image.

Étape 7. Sélectionnez les comptes virtuels qui possèdent les licences.

Une fois envoyé, vous devez attendre que l'état de rapport devienne No Errorset que le champ Accusé de réception ait la possibilité de télécharger.

Étape 8. Une fois que l'option de téléchargement est disponible, cliquez sur Download et est téléchargéAcknowledgement sous le ACK_LicenseUsageRumReport.xmlnom de fichier comme indiqué dans l'image.

Vous devez importer l'accusé de réception dans le contrôleur APIC :

Étape 9. Connectez-vous à l'interface graphique Cisco APIC.

Étape 10. Dans la barre de menus, accédez àSystem > Smart Licensing.

Étape 11. Dans le volet Travail, accédez àActions > Import Acknowledgement.

Étape 12. CliquezChoose File sur, accédez à l'emplacement où vous avez téléchargé le fichier d'accusé de réception, sélectionnez le fichier et cliquez sur Open.

Étape 13. Cliquez sur OK.



Une fois l'opération terminée, la page de licence de synchronisation est mise à jour avec le nom du compte Smart et le nom du compte virtuel, comme indiqué dans l'image.

Dépannage de la politique de licences Smart Cisco ACI

Défauts

Dans l'ACI, une erreur est déclenchée lorsqu'une condition problématique spécifique ou un avertissement se produit avant que vous ne commenciez le dépannage. Il est toujours bon de vérifier s'il existe un défaut qui nous redirige dans la bonne direction, le tableau répertorie les défauts de licence intelligente :

F3057	Il s'agit d'une erreur d'avertissement, qui indique que vous n'avez pas encore configuré de paramètre réseau. Même si vous souhaitez choisir le mode hors connexion, configurez le paramètre Réseau hors connexion. Configurez un paramètre réseau qui efface cette erreur.
F4290	Cette erreur indique que le jeton d'ID d'instance de produit que vous avez entré est un jeton non valide ou expiré. Connectez-vous au CSSM et créez un nouveau jeton d'enregistrement d'instance de produit. Connectez-vous à l'interface utilisateur graphique du contrôleur APIC (Application Policy Infrastructure Controller) de Cisco pour entrer le nouveau jeton d'ID et reconfigurer le paramètre réseau. Cette action efface le défaut.
F4291	Cette erreur indique que la connectivité réseau entre le contrôleur APIC Cisco et le module CSSM ou entre le contrôleur APIC Cisco et le serveur de transport (passerelle, proxy, sur site ou CSLU) présente un problème. Le contrôleur APIC Cisco ne peut pas communiquer avec le CSSM ou le serveur de transport. Après avoir résolu le problème de connectivité réseau, connectez-vous à l'interface utilisateur graphique du contrôleur APIC Cisco, accédez à System > Smart Licensing et sélectionnezActions > Synchronize CSSM. Cette action efface le défaut peu de temps après.
F422	Cette erreur indique que le contrôleur APIC Cisco n'a pas reçu d'accusé de réception d'un rapport RUM depuis longtemps et que l'accusé de réception a expiré. En mode hors connexion, téléchargez manuellement un rapport RUM et importez l'accusé de réception. Lorsque vous importez le fichier d'accusé de réception dans le contrôleur APIC Cisco, il efface l'erreur. Dans les modes en ligne, cette erreur indique qu'en raison d'un problème de réseau, le contrôleur APIC Cisco est désynchronisé du CSSM depuis longtemps. Dépannez le problème de connectivité réseau entre le contrôleur APIC Cisco et le module CSSM ou entre le contrôleur APIC Cisco et le serveur de transport, ainsi qu'entre le serveur de transport et le module CSSM. Après avoir résolu le problème de connectivité réseau, connectez-vous à l'interface utilisateur graphique du contrôleur APIC Cisco, accédez à System > Smart Licensing, puis sélectionnez Actions > Synchronize CSSM. Cette action force le contrôleur APIC Cisco à renvoyer le rapport RUM. Si le paramètre réseau est On-Prem, connectez-vous à l'interface utilisateur graphique On-Prem pour effectuer une synchronisation manuelle de On-Prem ou CSLU vers le CSSM. Une fois la synchronisation terminée, le problème est résolu dans les 10 à 15 minutes.
F4310	Cette erreur indique que vous avez importé le mauvais accusé de réception d'un rapport RUM. Un accusé de réception est associé de manière unique à un rapport RUM. L'accusé de réception importé doit correspondre au rapport RUM que vous avez téléchargé. Téléchargez à nouveau manuellement le rapport RUM et importez l'accusé de réception correct dans le contrôleur APIC Cisco, qui efface la défaillance.

Commandes show

Deux show commandes CLI sont utiles pour le dépannage. Pour utiliser ces commandes, connectez-vous au noeud 1 du contrôleur APIC (Application Policy Infrastructure Controller) Cisco du cluster en tant qu'utilisateur admin.

# show license all

Cette commande show affiche les informations de licence Smart du magasin de confiance Smart Agent (SA). La section « Rapports d'utilisation » affiche l'horodatage du dernier rapport RUM envoyé et du dernier accusé de réception reçu, ainsi que le moment d'envoyer le prochain rapport RUM et le moment d'interroger le prochain accusé de réception. Si l'horodatage du dernier accusé de réception reçu est plus récent que celui du dernier rapport RUM envoyé, cela indique que le contrôleur APIC Cisco a envoyé avec succès le rapport RUM et reçu l'accusé de réception.

# show license tech support

Cette commande show affiche des informations beaucoup plus détaillées que show license all. La console ne peut pas afficher le résultat complet en raison de sa longueur, mais vous pouvez ouvrir le fichier /tmp/SA_Show_Tech_Support.txt pour afficher tous les résultats.


Journaux

En cas de problème avec la licence Smart, collectez les journaux suivants :

/var/log/dme/log/svc_ifc_licensemgr.bin.log
/var/log/dme/log/ch_dbg.log
/var/log/dme/log/sa.log

Assistance technique de l'APIC.

Problème connu

1. Échec de l'enregistrement en raison d'un problème de communication (DNS non configuré)

En mode Connexion directe à CSSM, si vous avez oublié de configurer DNS sur la communication Cisco Application Policy Infrastructure Controller (APIC) vers tools.cisco.com échoue.

assurez-vous que DNS est configuré dans le contrôleur APIC et que vous pouvez envoyer une requête ping à tools.cisco.com

Pour vérifier si DNS est configuré, cat /etc/resolv.confexécutez APIC CLI :

apic1# cat /etc/resolv.conf # Generated by IFC search apic.local nameserver 10.0.0.1 nameserver XX.163.128.140

Afin de vérifier si la commande ping fonctionne, exécutez la commande ping sur l'interface de ligne de commande du contrôleur APIC, la commande ping doit fonctionner pour tools.cisco.com.

apic1# ping tools.cisco.com PING tools.cisco.com (XX.163.4.38) 56(84) bytes of data. 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=1 ttl=235 time=250 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=2 ttl=235 time=249 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=3 ttl=235 time=249 ms

2. Considération de la mise à niveau de la politique de licence intelligente Cisco ACI

Si vous prévoyez d'effectuer une mise à niveau vers la version 5.2(4) ou ultérieure du contrôleur Cisco APIC, que le contrôleur Cisco APIC est déjà enregistré et que le mode réseau ou transport est Connexion directe au CSSM, à la passerelle de transport ou au proxy HTTP/HTTPS, vous pouvez mettre à niveau directement le contrôleur Cisco APIC de la licence intelligente de l'infrastructure axée sur les applications (ACI) de Cisco vers la licence intelligente (SL) SLP. Il n'est pas nécessaire d'effectuer une procédure spéciale. Après la mise à niveau, le contrôleur APIC Cisco est toujours connecté au CSSM et peut envoyer des rapports RUM au CSSM sans aucun problème.

Si le contrôleur APIC Cisco est déjà enregistré et que le mode réseau ou transport est Manager Satellite, vous ne pouvez pas mettre directement à niveau le contrôleur APIC Cisco de SL à SLP. En effet, le type de transport et l'URL ont été modifiés pour le mode réseau sur site de Cisco Smart Software Manager qui remplace Manager Satellite. Vous devez effectuer les actions suivantes :

1. Mettez à niveau Manager Satellite vers la dernière version de Cisco Smart Software Manager On-Prem qui prend en charge SLP. Après la mise à niveau, assurez-vous qu'On-Prem dispose d'une connectivité réseau avec le CSSM et que la synchronisation fonctionne toujours entre On-Prem et le CSSM.

2. Mettez à niveau le contrôleur Cisco APIC vers la version 5.2(4) ou ultérieure. Après la mise à niveau, l'interface graphique utilisateur du contrôleur APIC Cisco indique que le mode réseau est Passerelle de transport plutôt que Satellite Manager. Vous devez reconfigurer le mode réseau sur Cisco Smart Software Manager On-Prem et copier l'URL appropriée à partir de l'interface utilisateur graphique On-Prem.

3. Erreur - Échec de l'envoi du message HTTP Call Home (Quo Vadis Root CA)

QuoVadis Root CA 2 est mis hors service et peut avoir un impact sur la communication SSL à partir de l'APIC, ce qui entraîne une erreur « Fail to send out Call Home HTTP ». Afin de vérifier la même chose, vous pouvez analyser les journaux d'appel à distance sous/var/log/dme/log/ch_dbg.log. S'il imprime ces lignes, il suit le BOGUE et l'avis de champ donnés :

 CH-TRANS-ERROR: ch_pf_curl_send_msg[539], failed to perform, err code 60, err string "Peer certificate cannot be authenticated with given CA certificates" * 

 CH-TRANS-DETAIL: ch_pf_http_long_buf_dump[264], dump:"SSL certificate problem: self signed certificate in certificate chain" 

https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html

ID de bogue Cisco CSCwa97230