Licences intelligentes sur la plate-forme ASR9000

Introduction

Ce document décrit la configuration, le fonctionnement et le dépannage du logiciel Smart Licensing sur Cisco IOS^® XR version 5.2.0 et ultérieure. Smart Licensing a été développé afin de gérer les exigences de licence pour diverses fonctionnalités et applications exécutées sur les plates-formes et les systèmes d'exploitation Cisco.

L'application Smart Licensing s'exécute non seulement sur ASR9000 (ASR9K) pour Cisco IOS XR, mais également sur diverses plates-formes qui exécutent les systèmes d'exploitation Cisco IOS et Cisco IOS-XE. Cette application simple réduit considérablement les efforts nécessaires à la gestion de divers périphériques, systèmes et plates-formes Cisco et simplifie grandement la gestion des licences, les droits et les coûts d'exploitation.

La méthode utilisée par l'application Smart Licensing est une méthode « pull » dynamique ; le périphérique ASR9K initie l'appel et extrait les informations des serveurs principaux Cisco. Les serveurs dorsaux Cisco NE LANCERONT AUCUN appel ou connexion à un périphérique, mais répondent toujours lorsque les demandes de connexion proviennent des périphériques qui souhaitent s'enregistrer et recevoir l'autorisation.

La configuration initiale est sécurisée et facile avec très peu d'intervention manuelle de l'opérateur du ou des périphériques et peut être automatisée pour les environnements plus grands avec un Tool Command Language (TcL) régulier ou un script Python Expect. Les fonctionnalités de création de rapports fournies par les serveurs principaux Cisco, accessibles via un navigateur standard, aideront les clients à tenir une comptabilité de leur inventaire de périphériques, des fonctionnalités déployées sous licence et hors conformité (OOC) et à déplacer dynamiquement leurs ressources sans avoir à reprovisionner ou à demander de l'assistance.

Vue supérieure

Smart Licensing utilise le protocole standard HTTP Secure (HTTPS) comme mécanisme de transport pour atteindre les serveurs principaux Cisco. Techniquement parlant, il n'y a qu'une seule ligne de configuration nécessaire pour activer la fonctionnalité de licence intelligente sur le périphérique ASR9K :

RP/0/RSP0/CPU0:SAMDD(admin-config)#license smart enable

Le périphérique utilise par défaut le transport HTTPS et, lorsqu'une demande d'enregistrement a abouti, demande immédiatement l'autorisation aux serveurs principaux. Il renvoie soit Autorisé, ce qui signifie que le périphérique dispose de la licence de la fonction, soit OOC, ce qui signifie que le droit n'est pas présent, est manquant ou a expiré.

Remarque : l'état de conformité de la licence N'AFFECTERA EN AUCUN CAS la fonctionnalité du périphérique. L'application Current Smart Licensing est basée sur un système d'honneur et informe l'administrateur via les journaux syslog ou de console de l'état de conformité ou OOC. Il n'y a aucun obstacle fonctionnel dû à l'octroi de licences ou à leur absence. Cependant, Cisco encourage la conformité, ce qui donne beaucoup plus de visibilité aux clients en ce qui concerne leur inventaire de périphériques, la consommation de licences, les fonctionnalités utilisées par périphérique et dans le total agrégé/total, etc.

Remarque : la prise en charge HTTP des serveurs principaux est en cours d'abandon en 2019, mais HTTP vers un serveur satellite fonctionnera toujours.

Les licences Smart peuvent coexister avec les licences traditionnelles, mais une seule d'entre elles peut être active à un moment donné. Vous pouvez facilement passer d'une configuration à l'autre en ajoutant ou en supprimant la configuration du plan d'administration. Le système ASR9K ne nécessite AUCUN rechargement ou redémarrage pour que ce « commutateur » ait lieu. Les licences traditionnelles seront entièrement remplacées par des licences Smart dans les prochaines versions.

Si un périphérique ASR9K n'utilise pas une fonctionnalité nécessitant une licence, le système est automatiquement à l'état Autorisé et aucune autre action n'est nécessaire. Ce n'est que lors de la « configuration » d'une fonctionnalité nécessitant une licence que le système tente d'acquérir la licence de manière dynamique à partir des serveurs principaux Cisco.

Opérations de licences traditionnelles et intelligentes

Voici quelques différences entre les modèles de licence. Notez qu'un seul d'entre eux est actif à un moment donné.

Licence traditionnelle (noeud verrouillé)	Licences Smart (dynamiques)
Vous devez vous procurer la licence et l'installer manuellement sur chaque périphérique via le fichier PAK.	Aucune installation logicielle n'est nécessaire/nécessaire. Le périphérique lance une session d'appel à distance HTTP/HTTPS et demande les licences qu'il utilise et pour lesquelles il est configuré.
Les licences liées au châssis, au déplacement ou au réapprovisionnement nécessitent une sauvegarde ou une réinstallation. Toutes sont des opérations manuelles qui consomment du temps.	Licences liées à votre compte. Annulez la configuration de la fonctionnalité utilisée dans le châssis actuel et reconfigurez la fonctionnalité sur un nouveau châssis qui doit utiliser la même licence. Un reprovisionnement se produit dynamiquement lorsque le nouveau périphérique lance une requête HTTP/HTTPS via le processus d'appel à distance.
Licence verrouillée sur le noeud : la licence est associée à un périphérique/emplacement spécifique.	Pool(s) de licences créé(s) déjà dans le compte client, spécifique au compte de l'entreprise et pouvant être utilisé avec n'importe quel périphérique ASR9K de votre entreprise.
Aucun emplacement de base d'installation commun pour afficher les licences achetées ou les tendances d'utilisation des logiciels. La comptabilité des licences doit être tenue manuellement pour chaque châssis/système.	Les licences sont stockées en toute sécurité sur des serveurs principaux Cisco, accessibles 24h/24, 7j/7 et 365 jours par an. Le nombre de licences est par compte/pool de clients et de nombreux périphériques peuvent faire partie du même pool.
Une licence supplémentaire nécessite un nouveau fichier PAK et une intervention/interaction manuelle avec le périphérique.	Une licence supplémentaire peut être transférée via un navigateur Web qui pointe vers l'URL Cisco et le compte créé dans les serveurs principaux. Essentiellement, les opérations pointer-cliquer.
Pas de moyen simple de transférer des licences d'un périphérique à un autre.	Les licences peuvent être déplacées d'une instance de produit à l'autre sans AUCUNE installation logicielle. Vous pouvez également transférer facilement des licences d'un pool à l'autre à l'aide d'une interface Web.

Vue Opérationnelle

Ce diagramme montre la comparaison entre les deux régimes de licences.

Les étapes de gestion des licences Smart sont très simples et intuitives. Lorsque vous achetez l'équipement ou le périphérique, vous pouvez commander les licences dont vous avez besoin en même temps ou plus tard. Lors de l'achat et de la mise à disposition des licences par Cisco :

• Cisco vous fournit un nom d'utilisateur, un mot de passe et une URL (Uniform Resource Locator) pour accéder aux informations de licence via un navigateur Web 24 h/24, 7 j/7.

• Ce compte gère les licences, génère des rapports, regroupe les périphériques, crée des pools de licences et tout autre besoin organisationnel qui facilite les besoins opérationnels du client/de l'organisation.

• Le compte permet au client de générer un idtoken, qui identifie de manière unique le périphérique client et le droit de licence acheté. Le jeton peut être valide d'un jour à un an. L'idtoken peut être révoqué, supprimé et recréé par le client à tout moment. C'est un modèle d'auto-assistance.

• Le Client utilise l'idtoken généré dans le compte fourni par Cisco afin d'enregistrer un périphérique ou un millier de périphériques, car il n'y a pas de limite sur le nombre de périphériques pouvant utiliser le même jeton. Ce document fournit des conseils supplémentaires sur l'utilisation efficace de cette fonctionnalité.

• L'enregistrement des périphériques est persistant et survit lors des rechargements et des mises à niveau du système. Le périphérique ASR9K peut être forcé de se réenregistrer avec l'ancien idtoken ou un nouveau si on le souhaite, en cas de perte.

• Aucune intervention n'est nécessaire après l'enregistrement. Le système ASR9K interroge régulièrement le compte auprès duquel il s'est enregistré pour vérifier sa conformité. Si le système est OOC, un syslog est généré pour avertir l'utilisateur.

Interface Web/Portail

Voici un aperçu rapide de l'interface Web où commence le processus d'inscription :

Le compte virtuel ou pool de licences est utilisé pour héberger et organiser logiquement les licences en fonction des besoins d'une organisation. Il s'agit d'un conteneur de licences, de périphériques enregistrés pour les fonctionnalités qui nécessitent une licence. Vous pouvez créer un pool par site, par service, etc.

Les licences peuvent être facilement transférées d'un pool à un autre.

Idtoken est une clé générée par ce compte, qui est utilisée pour enregistrer les périphériques ASR9K. Il peut être valable d'un jour à un an. La seule utilisation du jeton est d'enregistrer le périphérique et ensuite il n'est plus nécessaire. Le jeton est un flux de texte qui peut être copié dans un script TcL ou Python afin d'automatiser l'enregistrement des périphériques distants.

Par exemple, vous pouvez créer un jeton pour une journée et l'envoyer à un site distant afin qu'il soit utilisé par des mains distantes pour l'enregistrement des périphériques. Il expire dans un jour et les mains distantes ne peuvent pas l'utiliser pour enregistrer un autre périphérique. Même s'il est utilisé pour enregistrer des périphériques qui n'appartiennent pas à votre société, vous verrez facilement le périphérique dans l'onglet Instance de produit et vous pouvez prendre des mesures afin de révoquer la licence.

Le rapport génère dynamiquement diverses formes d'inventaire et peut être exporté au format Excel pour une utilisation hors ligne, la comptabilité ou l'analyse.

L'onglet Licence affiche les licences demandées par divers périphériques ASR9K, qui indique le nombre et l'état de chaque licence. Le lien Transfer peut être utilisé lorsque vous cliquez dessus directement et transfère facilement les licences vers et depuis n'importe quel pool du compte.

L'onglet Journal des événements enregistre les activités des périphériques par rapport au pool avec un format de type syslog et consigne les actions que chaque périphérique ou utilisateur du compte effectue, telles que l'enregistrement, l'annulation de l'enregistrement, etc. L'interface est facile et intuitive pour la navigation ou le débogage.

Configuration

Cet exemple montre comment mettre à niveau la licence traditionnelle vers la licence intelligente. Notez que dans certains cas, Smart Licensing peut être la valeur par défaut.

Licence traditionnelle

Afin de vérifier les licences traditionnelles, quelques commandes peuvent être exécutées à partir du plan admin. En voici quelques-uns dont les résultats sont différents de ceux de Smart Licensing.

Remarque : la licence traditionnelle est le mode de licence par défaut dans Cisco IOS XR versions 5.3.0 et antérieures.

RP/0/RSP1/CPU0:ROA(admin)#show license pools

Pool: Owner
Feature: A9K-24X10-OPT-LIC A9K-24X10-VID-LIC A9K-24X10G-AIP-SE A9K-24X10G-AIP-TR
 A9K-2X100-OPT-LIC A9K-2X100-VID-LIC A9K-2X100G-AIP-SE A9K-2X100G-AIP-TR
 A9K-36X10-OPT-LIC A9K-36X10-VID-LIC A9K-36X10G-AIP-SE A9K-36X10G-AIP-TR
 A9K-400G-AIP-SE A9K-400G-AIP-TR A9K-400G-OPT-LIC A9K-400G-VID-LIC
 A9K-800G-AIP-SE A9K-800G-AIP-TR A9K-800G-OPT-LIC A9K-800G-VID-LIC
 A9K-ADV-OPTIC-LIC A9K-ADV-VIDEO-LIC A9K-AIP-LIC-B A9K-AIP-LIC-E

RP/0/RSP1/CPU0:ROA(admin)#show license allocated

FeatureID: A9K-800G-AIP-SE (Slot based, Permanent)
Total licenses 1
Status: Allocated   1
   Pool: Owner
     Total licenses in pool: 1
     Status: Operational:   1
     Locations with licenses: (Active/Allocated) [SDR]
             0/0/CPU0       (0/1) [Owner]

Un sous-ensemble de commandes de licence traditionnelle peut également être exécuté à partir du plan d'exécution, mais il est conseillé de les exécuter à partir du plan d'administration, qui contient la liste complète.

RP/0/RSP1/CPU0:ROA#show license ?    
WORD       Feature ID
active     Currently checked-out/being used by applications.
allocated  Allocated to a slot but not used.
available  Not currently active.
evaluation Display the evaluation licenses.
expired    Display evaluation licenses already expired.
location   Show information for a specific location
log        The operational or administrative logs.
|          Output Modifiers
<cr>

Licences Smart

Smart Licensing n'a pas encore été activé, mais c'est ce que le système affiche.

Même si aucune configuration n'est appliquée, le profil intégré par défaut de call_home utilise HTTPS, qui pointe vers les serveurs principaux Cisco via les ports de gestion des systèmes. Voir plus sur call_home plus loin dans ce document.

RP/0/RSP1/CPU0:ROA#show run call-home  
% No such configuration item(s)

RP/0/RSP1/CPU0:ROA#show call-home detail | i https
   http proxy: Not yet set up
   HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService

Pour une configuration minimale, vous n'avez besoin que des étapes 1 et 4. Le reste des étapes concerne les informations, la vérification et la création de rapports.

1. En mode admin, entrez les commandes suivantes :

   RP/0/RSP1/CPU0:ROA(admin-config)#license smart enable
   RP/0/RSP1/CPU0:ROA(admin-config)#commit

2. En mode exec, configurez d'autres boutons, tels que l'adresse e-mail, ou utilisez ce profil par défaut qui est généré automatiquement lorsque la configuration admin est validée.

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   contact-email-addr sch-smart-licensing@cisco.com
   profile CiscoTAC-1
   active
   destination transport-method http

3. En mode admin, vérifiez la version de Smart Licensing :

   RP/0/RSP1/CPU0:ROA(admin)#show license version
   Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

4. En mode admin, entrez cette commande :

   RP/0/RSP1/CPU0:ROA(admin)#license smart register idtoken
    NjgyMWM2NDItMzI5My00YzQ2LThmMDItMzhhNWI2Mzk2YWUwLTE0MzUzMzM3%
   0aMDQwNDB8SWRzSGkvR0d2MWZTZEhzK2RWUmJWMmh0U1ZIa2tBVzBLZKl1ZHhs%0AZGRPbz0%3D%0A ?
   force Force Registration
   <cr>  
   
   license smart register: Registration process is in progress. Please check
    the syslog for the registration status and result

   Le mot clé Force écrase et efface toutes les informations relatives au périphérique qui a été enregistré précédemment. Le mot clé force doit être utilisé avec parcimonie et dans des cas particuliers. L'interface utilisateur Web peut également être utilisée pour supprimer le périphérique du compte.

5. Recherchez le statut de l'opération :

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Completed
          Registration Start Time: Wed Dec 17 2014 13:07:23 PST
          Next ID Cert Renew Time: Mon Jun 15 2015 14:07:45 PST
          Next ID Cert Expiration Time: Thu Dec 17 2015 13:01:41 PST
          Last Response Time: Wed Dec 17 2014 13:07:45 PST
          Last Response Message: OK: OK

   Si l'état n'est pas 'Terminé', vous verrez des messages sur la console ou le syslog. Voici le message syslog réussi :

   RP/0/RSP1/CPU0:Dec 17 13:07:45.285 : licmgr[310]: SMART_LIC-6-AGENT_REG_SUCCESS:
   Smart Agent for Licensing Registration with Cisco licensing cloud successful
   RP/0/RSP1/CPU0:Dec 17 13:08:18.357 : licmgr[310]: SMART_LIC-3-OUT_OF_COMPLIANCE:
   One or more entitlements are out of compliance':

6. Sur ce système, peu de fonctionnalités configurées nécessitent des licences et ce résultat indique l'état « Non conforme » :

   RP/0/RSP1/CPU0:ROA(admin)#show license entitlement | i Tag | e Not | u sort
      Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,
   1.0_66d3ccf7-a374-4409-a3f9-6bc56d645f1c, Version: 1.0, Enforce Mode:
    Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10-VID-LIC,1.0_9f03b94f-3c76-4a39-82f2
   -1b53cdf5cb15, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10G-AIP-TR,1.0_e5d7cec3-e8e3-43c6-88c9
   -a113b76679f8, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-OPT-LIC,1.0_0f74bb00-42af-4c4d-b162
   -bcb346c7510a, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-VID-LIC,1.0_a482b964-6371-4aad-8e82
   -2083c5749205, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100G-AIP-SE,1.0_ce447831-e4af-4def-a98b
   -3297fab65561, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-36X10-OPT-LIC,1.0_92a8597a-f591-4afc-adeb
   -9b212cee11be, Version: 1.0, Enforce Mode: Out of compliance

7. Examinez les commandes que vous avez utilisées dans la gestion des licences traditionnelles, qui ont des résultats différents.

   L'interface de ligne de commande de licences Smart OU de licences traditionnelles est disponible à tout moment, pas les deux.

   Le nom du pool est utilisé pour organiser/classer les périphériques. Vous pouvez utiliser un pool par région/zone géographique, par service ou par domaine fonctionnel, par regroupement financier, etc. Chaque entreprise peut décider de la manière dont elle souhaite classer les licences. Notez également qu'il est très facile d'utiliser votre navigateur normal pour afficher, modifier ou déplacer des licences entre les pools, ajouter ou modifier le nombre de licences, et ce facilement sans aucune aide de Cisco, indépendamment, 24 heures sur 24.

   RP/0/RSP1/CPU0:ROA(admin)#show license pool
   Assigned Pool Info: PATRICK_NO_LIC

8. À partir de ce moment, le système vérifie chaque jour automatiquement la conformité. En cas de panne, le système effectue une tentative toutes les 20 minutes pendant quatre heures, puis une fois par jour pendant 30 jours. Des messages Syslog sont imprimés, qui indiquent la connectivité, l'accessibilité, la communication, etc., pour les raisons des pannes. Le débogage est traité plus loin dans ce document.
9. Pour annuler l'enregistrement du périphérique, entrez les commandes suivantes :

   RP/0/RSP1/CPU0:ROA(admin)#license smart deregister
   
   license smart deregister: Success
   
   
   License command "license smart deregister " completed successfully. 

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Not Registered

10. Afin de savoir quelles licences sont disponibles sur un châssis donné, entrez cette commande :

    RP/0/RSP1/CPU0:ROA(admin)#show license features
    
    Platform Feature ID:
    A9K-ADV-OPTIC-LIC
    A9K-ADV-VIDEO-LIC
    A9K-iVRF-LIC
    A9K-AIP-LIC-B
    A9K-AIP-LIC-E
    A9K-MOD80-AIP-TR
    A9K-MOD80-AIP-SE
    A9K-MOD160-AIP-TR
    A9K-MOD160-AIP-SE
    A9K-2X100G-AIP-TR
    . . . output snipped . . .

Anatomie et flux de l'application

Afin de comprendre le fonctionnement de l'application, vous devez avoir une compréhension de base de ses composants. Toutefois, pour l'exploitation ou le déploiement du logiciel, aucune connaissance préalable n'est nécessaire, si ce n'est pour suivre les directives publiées. Cette section s'adresse davantage au personnel technique et aux ingénieurs qui souhaitent en savoir plus.

Déploiement, configuration et options

Les licences Smart peuvent être déployées dans plusieurs scénarios en fonction des exigences en matière de sécurité, de facilité de gestion et de mode opérationnel du client.

Exemple :

• Vous pouvez choisir de NE PAS autoriser l'ASR9K à se connecter « directement » aux serveurs cloud/back-end Cisco. Dans ce cas, vous pouvez utiliser un serveur « proxy » dans vos locaux et gérer le pare-feu, le flux de trafic et la manière dont l'application de licence Smart s'adapte aux besoins de sécurité de l'entreprise. Cela peut être facilement configuré via le logiciel Open Source Apache qui fonctionne sur les systèmes d'exploitation Windows ou Linux.
• Vous pouvez également connecter tous vos périphériques ASR9K à un hôte d'agrégation qui peut recevoir toutes les requêtes locales de tous les périphériques ASR9K avant de les transférer aux serveurs Cisco Backend. Il s’agit d’une tâche du logiciel de passerelle de transmission qui fonctionne sur Linux et Windows et qui est téléchargeable sur la page .
• Vous pouvez également opter pour un fonctionnement totalement hors ligne avec un logiciel On-Prem fonctionnant sous Linux et Windows et vous permettant de n'avoir que « cet hôte On-Prem » pour échanger des informations de licence avec le cloud Cisco et, à son tour, fournir des informations aux périphériques finaux quant à leur état de conformité. Ce logiciel sera disponible dans la version 5.3.1 ou ultérieure.

En plus de la prise en charge du protocole HTTPS, le logiciel peut également être configuré pour s'exécuter dans un paramètre VRF (Virtual Routing Forwarding) qui permet un plus grand niveau de contrôle sur la manière dont les informations de licence sont transportées.

En outre, IPv6 est pris en charge de manière native et ne nécessite qu'une adresse IPv6 valide sur le système pour communiquer avec les serveurs principaux Cisco sur Internet.

Ces configurations supposent que l'ASR9K est configuré avec l'hôte de domaine DNS (Domain Name System) ou IPv4/IPv6 afin qu'il puisse résoudre les noms d'hôtes afin d'atteindre le réseau externe.

La configuration du protocole NTP (Network Time Protocol) est nécessaire pour maintenir le système synchronisé avec les serveurs de certificats principaux.

RP/0/RSP0/CPU0:ROA#show run domain
domain name cisco.com
domain list cisco.com
domain name-server 171.70.168.183
domain name-server 2001:420:68d:4001::a

RP/0/RSP0/CPU0:ROA#show run | i ipv6 host
Building configuration...
domain ipv6 host tools.cisco.com 2001:420:1101:5::a

Configurer le proxy HTTP

La configuration d'Apache sort du cadre de ce document, mais il existe de nombreux documents intéressants sur Internet qui peuvent vous guider tout au long des étapes. Afin de démontrer la fonctionnalité, Apache est configuré pour un proxy simple sur le port 80. Reportez-vous à la sortie de débogage du mod_proxy d'Apache présentée ici.

Pour Smart Licensing, cependant, la configuration est très simple. Il suffit de mentionner le nom du serveur proxy et le port. La configuration transfère simplement la demande au serveur proxy au lieu de contacter directement les serveurs principaux Cisco. Le serveur proxy contacte les serveurs sur tout transport configuré pour transférer les requêtes ; HTTPS est recommandé. En dehors de http-proxy mybastion.cisco.com port 80, aucune autre configuration n'est requise.

RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
http-proxy mybastion.cisco.com port 80
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http

Entrez la commande d'enregistrement admin license smart register idtoken <idtoken> et observez que le résultat montre la requête/réponse effectuée par l'ASR9K. Notez les horodatages et les compteurs de la colonne Success.

RP/0/RSP0/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT        1       0       0       0       2015-01-12 21:06:56
DEREGISTRATION     0       0       0       0             n/a
REGISTRATION       1       0       0       0       2015-01-12 21:06:21
ACKNOWLEDGEMENT    1       0       0       0       2015-01-12 21:06:38

Voici un extrait des journaux d'accès Apache qui montre que la requête sort sur le port 443, protocole HTTPS.

root@mybastion:/var/log/httpd #tail -f proxy-*

==> proxy-error.log <==
[Mon Jan 12 21:06:10 2015] [debug] mod_proxy_connect.c(70): proxy: CONNECT:
 canonicalising URL tools.cisco.com:443
[Mon Jan 12 21:06:10 2015] [debug] proxy_util.c(1515): [client 172.27.130.65] proxy:
 *: found forward proxy worker for tools.cisco.com:443
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(109): [client 172.27.130.65]
 (70014)End of file found: proxy: CONNECT: error on client - ap_get_brigade
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(425): proxy: CONNECT:
 finished with poll() - cleaning up

==> proxy-access.log <==
172.27.130.65 - - [12/Jan/2015:21:06:10 -0800] "CONNECT tools.cisco.com:443 HTTP/1.1" 200 -

Configuration de la passerelle de transport

Dans ce scénario, l'application Passerelle de transport est installée sur un hôte Linux ou Windows et configurée pour recevoir les demandes de licence des périphériques ASR9K sur le site du client et les relayer vers les serveurs principaux Cisco. Pour plus d'informations, reportez-vous au Guide de déploiement et d'utilisation de la passerelle de transport.

La configuration du routeur ASR9K ne comporte qu'une seule ligne. Voici un exemple. Consultez la documentation pour connaître les configurations exactes requises pour votre environnement.

call-home
profile CiscoTAC-1
destination address http
https://TG-IP-or-FQDN/Transportgateway/services/DeviceRequestHandler

Configurer VRF

Les VRF permettent un meilleur contrôle du trafic de gestion et sont presque transparents pour les licences Smart. Cependant, une configuration de ligne est nécessaire pour que le logiciel sous-jacent consulte la table VRF plutôt que la table globale lorsque le logiciel Smart Licensing tente d'atteindre les serveurs principaux Cisco.

La chaîne affichée ici est le nom VRF configuré dans le système.

RP/0/RSP0/CPU0:ROA(config)#http client vrf MGMT

Sortie détaillée de Call Home

Un exemple de sortie permettant de vérifier si Call Home fonctionne correctement est affiché ici.

RP/0/RSP0/CPU0:ROA#show call-home detail

Current call home settings:
   call home feature : enable
   call home message's from address: mylab-roa@cisco.com ; optional, any address
   call home message's reply-to address: pasoltan@cisco.com ; optional,
 recipient address

   vrf for call-home messages: Not yet set up ; Not supported natively yet

   contact person's email address: sch-smart-licensing@cisco.com ; default

   contact person's phone number: +1-408-526-8438 ; optional
   street address: 1550 Soltani Lane, Cisco System Drive, North Pole, NP 99709
   customer ID: Not yet set up
   contract ID: Not yet set up
   site ID: BUILDING20-125 ; optional

   source interface: Not yet set up ; can be configured to use a specific interface.
   Mail-server[1]: Address: bastion.cisco.com Priority: 1 ; optional
   Mail-server[2]: Address: 171.68.58.10 Priority: 10     ; optional
   Mail-server[3]: Address: 173.37.183.72 Priority: 20   ; optional
   http proxy: Not yet set up ; when configured will change.

   Smart licensing messages: enabled
   Profile: CiscoTAC-1 (status: ACTIVE) ; default profile supported.
Can not be renamed, deleted, but can be modified, activated, deactivated.

   aaa-authorization: disable      ; optional
   aaa-authorization username: callhome (default) ; default
   data-privacy: normal     ; can be configured to use the hostname or not.
   syslog throttling: enable

   Rate-limit: 5 message(s) per minute

   Snapshot command: Not yet set up
; Non-smart licensing configuration for alerts, data collection, defaults.
Available alert groups:
   Keyword                State   Description
   ---------------------- ------- -------------------------------
   configuration         Enable configuration info
   environment           Enable environmental info
   inventory             Enable inventory info
   snapshot              Enable snapshot info
   syslog                Enable syslog info

Profiles:

Profile Name: CiscoTAC-1
   Profile status: ACTIVE
   Profile mode: Full Reporting
   Reporting Data: Smart Call Home, Smart Licensing
   Preferred Message Format: xml
   Message Size Limit: 3145728 Bytes
   Transport Method: http
   Email address(es): callhome@cisco.com
   HTTP address(es): ; Only configuration needed if default is not desired.
http://tools.cisco.com/its/service/oddce/services/DDCEService
                       https://tools.cisco.com/its/service/oddce/services/DDCEService

   Periodic inventory info message is scheduled every 23 day of the month at 11:2

   Alert-group              Severity
   ------------------------ ------------
   environment               minor      
   inventory                 normal    

   Syslog-Pattern           Severity
   ------------------------ ------------
   .*                        critical

Options de configuration des licences non Smart Call Home

Vous pouvez configurer Call Home pour qu'il collecte les données de syslog et de diagnostic ainsi que les vidages de mémoire, ou pour qu'il envoie des notifications par e-mail pour les événements et ainsi de suite avec les tâches de gestion des licences Smart qu'il effectue.

Vous pouvez afficher les informations collectées par Call Home avec votre nom d'utilisateur et votre mot de passe Smart Licensing à l'adresse https://tools.cisco.com/sch/reports/deviceReport.do.

Pour plus d'informations sur l'utilisation de cette fonctionnalité dans votre environnement, reportez-vous aux documents liés dans la section « Informations connexes ». Vous trouverez également un exemple de notification par e-mail dans la section « Cotes et fins » .

Déboguer

Il n'y a pas de règles strictes pour déboguer le logiciel Smart Licensing en raison de nombreux composants qui composent le package. Cependant, quelques méthodes d'approche communes permettent généralement de réduire les problèmes. Voici quelques suggestions.

SYSLOG

Examinez d'abord le journal système. Vous obtiendrez quelques indices sur le composant qui doit être vérifié en premier. Dans ces messages, vous voyez des problèmes de certificat et un échec d'envoi de messages HTTP Call Home ; enfin, la communication est restaurée.

RP/0/RSP0/CPU0:ROA#sh log | i SMART

RP/0/RSP1/CPU0:Dec 17 20:01:28.522 : licmgr[308]: SMART_LIC-3-ID_CERT_RENEW_FAILED:
ID certificate renewal failed: Response error: {"product_instance_identifier":
["ProductInstance '8baecfb5-2688-429b-8519-10a3f0dec6b5' is not valid"]}

RP/0/RSP1/CPU0:Dec 17 20:01:34.273 : licmgr[308]: SMART_LIC-3-AUTH_RENEW_FAILED:
Authorization renewal with Cisco licensing cloud failed: Response error:
 LS_UNMATCH_SIGNED_DATA: Signed data and certificate does not match

RP/0/RSP0/CPU0: Dec 17 18:26:24.009 : licmgr[314]: SMART_LIC-3-COMM_FAILED:
Communications failure with Cisco licensing cloud: Fail to send out Call Home
 HTTP message

RP/0/RSP0/CPU0:Dec 17 18:28:03.057 : licmgr[314]: SMART_LIC-3-AGENT_REG_FAILED:
Smart Agent for Licensing Registration with Cisco licensing cloud failed:
 Communication message send error

RP/0/RSP0/CPU0:Dec 17 18:30:09.247 : licmgr[314]: SMART_LIC-5-COMM_RESTORED:
Communications with Cisco licensing cloud restored

RP/0/RSP0/CPU0:Dec 17 18:30:21.923 : licmgr[314]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful

Vérifiez le résultat de la commande show afin d'obtenir une poignée sur quel état se trouve la boîte/le composant. Vous voyez ici la mobilité, la sécurité du protocole Internet (IPsec) et les licences optiques.

RP/0/RSP0/CPU0:ROA#admin show license entitlement
Entitlement:
  Tag: regid.2014-06.com.cisco.A9K-MOBILE-LIC,1.0_e447924c-0a6f-41be-9202-8ae60fcc2972,
 Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-09.com.cisco.A9K-IPSEC-20G-LIC,1.0_a165db99-eb3f-474b-bdf0-
ce4b140d9b45, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

 Tag: INSTALLMGR, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,1.0_66d3ccf7-a374-4409-a3f9-
6bc56d645f1c, Version: 1.0, Enforce Mode: Out of compliance
  Requested Time : Mon Jan 12 2015 20:47:07 PST, Requested Count: 1
  Vendor String:
... output snipped ...

Vérifiez la conformité de la licence.

RP/0/RSP0/CPU0:ROA#admin show license status
Compliance Status: Out of compliance

Vérifiez quel pool est actif.

RP/0/RSP0/CPU0:ROA#admin show licence pool
Assigned Pool Info: PATRICK_NO_LIC

Vérifiez le certificat de licence.

RP/0/RSP0/CPU0:ROA#admin show license cert
 Licensing Certificates:
   ID Cert Info:
    Start Date: Mon Jan 12 2015 21:00:13 PST. Expiry Date: Tue Jan 12 2016 21:00:13 PST
    Serial Number: 24724
    Version: 3
    Subject/SN: 60fe47f8-aaaa-40fc-ae3e-fae9c7b6d0ac
    Common Name: 138091632beb1f2e38069e9eec8f9c626de471ac::1,2
   Signing Cert Info:
    Start Date: Wed Sep 11 2013 12:05:34 PST. Expiry Date: Sun May 30 2038 12:48:46 PST
    Serial Number: 3
    Version: 3

Vérifiez la version de licence.

RP/0/RSP0/CPU0:ROA#admin show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

Cette commande affiche les statistiques sur les tentatives d'appel à distance qui ont réussi et/ou échoué.

RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
REGISTRATION    1       0       0       0       2014-12-17 21:07:53
ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
RENEW           1       0       0       0       2014-12-17 21:08:57 

Processus Call Home

Vérifiez ensuite les fichiers de trace pour le processus call_home, puisque le transport entre le ASR9K et le cloud Cisco est géré par lui.

RP/0/RSP0/CPU0:ROA#show call-home trace error last 2

81 wrapping entries (576 possible, 320 allocated, 0 filtered, 81 total)!
Jan 28 10:10:29.729 call_home/error 0/RSP0/CPU0 t10 call_home_http_resp_data(),
 httpc response error, Host name resolution failed

Jan 28 10:10:39.730 call_home/error 0/RSP0/CPU0 t19 call_home_events_handler() failure status 67

Smartlic Check (agent logiciel)

Vérifiez les traces intelligentes. Ces traces révèlent l'interaction des licences avec les serveurs cloud Cisco.

RP/0/RSP0/CPU0:ROA#admin show license trace smartlic last 2
987 wrapping entries (1088 possible, 0 filtered, 987 total)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 Failed to bind to SysDB - 'Subsystem(2091)' detected the 'success' condition
 'Code(45)': Unknown Error(292)

Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 SMART ERROR - SASACKExpirationJob: expirySeconds=3842

Vérification du processus Licmgr

Ce processus est l'interface principale de la gestion des licences Smart sur l'ASR9K et il est considéré comme la colle entre les différents composants.

RP/0/RSP1/CPU0:ROA#admin show license trace
557 wrapping entries (576 possible, 0 filtered, 5403 total)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 Client search success pkg/bin/rsi_agent (No error)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 A9K-MOD160-AIP-SE regid.2014-06.com.cisco.A9K-MOD160-AIP-SE,
1.0_7f1b3d9c-a183-41d1-8d0b-d98dcc2751a8 (No error)

Traces dépendantes de la plateforme

Bien que la partie dépendante de la plate-forme (PD) du code ne soit qu'une bibliothèque de liens dynamiques, elle joue un rôle important dans le déclenchement des demandes d'autorisation de licence. Il résout donc les problèmes liés aux types de licences, aux nombres, etc.

RP/0/RSP1/CPU0:ROA#admin show license trace platform all last 5
1849 wrapping entries (5440 possible, 3136 allocated, 0 filtered, 183450 total)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start: ver:1,
 node:0x00000041 cmd:Audit(5) req:Mobile(9) feature:A9K-MOBILE-LIC(13) grant:
 Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start #2:
 client restarted:False up for a day:True
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License Start:
 request:Mobile(9) slot:4 grant:Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License End:
 request:Mobile(9) slot:4 grant:Not Pending(0) rc: 0x00000000 No error
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Cmd End:Audit(5),
 slot:4 rc:0x00000000 No error

Activer le débogage

Si tout le reste échoue, activez le débogage et entrez une demande de renouvellement à la demande des certificats ou des droits. Ce débogage doit collecter toutes les transactions entre l'ASR9K et les services cloud Cisco.

RP/0/RSP0/CPU0:ROA#debug smartlic
RP/0/RSP1/CPU0:ROA#show debug

#### debug flags set from tty 'aux0_RSP1_CPU0' ####
smartlic debug flag is ON with value 0

Aucun débogage direct de l'interface utilisateur/du serveur cloud Cisco n'est disponible. Envoyez un e-mail à l'adresse asr9k-smart-lic@cisco.com en cas de problème.

Cotes et extrémités

1. Lorsque plusieurs cases sont configurées pour acquérir des droits à partir du même POOL DE LICENCES, même si un seul périphérique est court par une licence, alors TOUS vos périphériques sont OOC. Cela est principalement dû à la conception qui a la vue de la piscine comme le conteneur. Le nouveau modèle, l'organisation hiérarchique des pools, qui est en cours d'élaboration, traite du comportement dans les versions futures.
2. Envoyez-vous par e-mail les résultats de la commande show directement depuis la console. Notez les guillemets doubles et l'utilisation de points-virgules après chaque commande. Call Home effectue de nombreuses opérations qui ne sont pas liées aux licences Smart. Voici un exemple de ce à quoi Call Home peut servir. Il s'agit d'une configuration en cours qui peut être modifiée pour n'importe quel environnement.

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   site-id BUILDING20-125
   sender reply-to pasoltan@cisco.com
   sender from roa@cisco.com
   alert-group syslog
   alert-group snapshot
   alert-group inventory
   mail-server 171.68.58.10 priority 10
   mail-server 173.37.183.72 priority 20
   mail-server 2001:420:303:2008::24 priority 2
   mail-server mybastion.cisco.com priority 1
   phone-number +1-408-526-8438
   contact-email-addr sch-smart-licensing@cisco.com
   street-address 1550 E.Tasman Drive, San Jose, CA 9513
   profile CiscoTAC-1
   active
   destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
   reporting smart-call-home-data
   reporting smart-licensing-data
   destination transport-method http
   
   RP/0/RP1/CPU0:ROA#call-home send "show run call; admin show platform"
    email pasoltan@cisco.com msg-format long-text
   
   Sending ondemand CLI output call-home message ...
   Please wait. This may take some time ...

3. La commande show call-home smartlic status utilise le mot « success », ce qui signifie simplement que du point de vue du processus d'appel à distance, le transport des messages de l'ASR9K vers les serveurs cloud Cisco a réussi. Cependant, cela ne signifie PAS que l'opération de licence de bout en bout avec les serveurs cloud Cisco a réussi. Par exemple, en cas de problème avec le compte, le certificat, etc., du portail, call-home transporte le message et affiche la réussite, mais l'opération totale de vérification des licences par les serveurs principaux peut échouer.

   RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
   Success: Successfully sent and response received.
   Failed : Failed to send or response indicated error occurred.
   Inqueue: In queue waiting to be sent.
   Dropped: Dropped due to incorrect call-home configuration.
   
   Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
   ----------------------------------------------------------------------
   ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
   DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
   REGISTRATION    1       0       0       0       2014-12-17 21:07:53
   ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
   RENEW           1       0       0       0       2014-12-17 21:08:57

4. Lorsque vous configurez les interfaces de gestion avec IPv4 et IPv6, l'ordre de résolution des noms en adresse IP ou en résolution DNS est IPv6 en premier.

   RP/0/RSP1/CPU0:ROA#show run int M*
   interface MgmtEth0/RSP0/CPU0/0
   cdp
   ipv4 address 172.27.130.64 255.255.255.128
   ipv6 address fe80::172:27:130:64 link-local
   ipv6 address 2001:420:303:2008:0:28:1:64/80
   ... snipped output ...

   RP/0/RSP1/CPU0:ROA#ping tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 2001:420:1201:5::a, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 44/45/49 ms

   RP/0/RSP1/CPU0:ROA#ping ipv4 tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 173.37.145.8, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 43/44/45 ms

Informations connexes

• Guide de l'utilisateur Smart Call Home - HTML
• Guide de l'utilisateur Smart Call Home - PDF
• Smart Call Home Security
• Communauté de soutien Cisco
• Vidéo : configuration de Call Home
• Commandes de licences Smart - HTML
• Commandes de licences Smart - PDF
• Informations générales : licences Smart
• FAQ sur les licences Smart
• Guide de la passerelle de transport
• Passerelle de transport - FAQ
• Assistance et documentation techniques - Cisco Systems