Risoluzione dei problemi di Smart Licensing sulle piattaforme Catalyst

Introduzione

In questo documento viene spiegato come gestire le licenze software sui Catalyst switch con Cisco Smart Licensing (sistema basato su cloud).

Cos'è Cisco Smart Licensing?

Cisco Smart Licensing è un sistema di gestione delle licenze unificato basato su cloud che gestisce tutte le licenze software sui prodotti Cisco. Consente di acquistare, distribuire, gestire, registrare e rinnovare le licenze software Cisco. Fornisce inoltre informazioni sulla proprietà e l'utilizzo delle licenze su un'unica interfaccia utente.

La soluzione è costituita dagli Smart Account online (sul portale delle licenze Cisco Smart) utilizzati per tenere traccia delle risorse software Cisco e da Cisco Smart Software Manager (CSSM), utilizzato per gestire gli Smart Account. Nel CSSM è possibile eseguire tutte le attività relative alla gestione delle licenze, ad esempio la registrazione, l'annullamento della registrazione, lo spostamento e il trasferimento delle licenze. Il server CSSM permette inoltre di aggiungere utenti e concedere loro l'accesso e le autorizzazioni allo Smart Account e ad account virtuali specifici.

Per saperne di più su Cisco Smart Licensing, visitare:

a) Home page di Cisco Smart Licensing

b) Cisco Community - Formazione on-demand

Per ulteriori informazioni sulle nuove licenze Smart con il metodo Policy di Cisco IOS® XE 17.3.2 e versioni successive, visitare il sito Web relativo alle licenze Smart con il metodo Policy sugli switch Catalyst.

Per ulteriori informazioni su Smart Licensing e/o la gestione degli Smart Account, iscriversi al nuovo corso di formazione per amministratori e registrarsi a
Cisco Community - Acquisisci familiarità con Cisco Smart Accounts/Smart Licensing e con i diritti My Cisco.

Per creare gli Smart Account, vedere Smart Account

Per gestire gli Smart Account, vedere Smart Software Licensing

Metodi di implementazione di Smart Licensing

Cisco Smart Licensing può essere implementato in modi diversi in base al profilo di sicurezza dell'azienda. I metodi disponibili sono:

Accesso diretto al cloud

I prodotti Cisco inviano le informazioni sull'utilizzo direttamente su Internet protette dal protocollo HTTPS. Non sono richiesti altri componenti.

Accesso tramite un proxy HTTPS

I prodotti Cisco inviano le informazioni sull'utilizzo tramite un server proxy HTTP usando il protocollo HTTPS. È possibile utilizzare un server proxy esistente o implementarlo tramite Cisco Transport Gateway (fare clic qui per ulteriori informazioni).

Server delle licenze on-premises (chiamato anche Cisco Smart Software Manager satellite)

I prodotti Cisco inviano le informazioni sull'utilizzo a un server on-premises anziché direttamente su Internet. Una volta al mese, il server contatta tutti i dispositivi su Internet tramite HTTPS oppure i dati memorizzati vengono trasferiti manualmente per sincronizzare il database. Il server CSSM on-premises (Satellite) è disponibile come macchina virtuale e può essere scaricato qui. Per ulteriori informazioni, visitare la pagina Cisco Smart Software Manager Satellite.

Piattaforme Cisco IOS XE supportate

• A partire dalla versione Cisco IOS XE 16.9.1, le piattaforme Catalyst serie 3650/3850 e Catalyst 9000 Switch supportano esclusivamente Cisco Smart Licensing come metodo di gestione delle licenze.
• A partire dalla versione Cisco IOS XE 16.10.1, le piattaforme router come ASR1K, ISR1K, ISR4K e i router virtuali (CSRv / ISRv) supportano esclusivamente Cisco Smart Licensing come metodo di gestione delle licenze.

Conversione di una licenza esistente in una Smart License

Per convertire una licenza legacy, ad esempio una licenza RTU (Right-To-Use) o una chiave di attivazione del prodotto (PAK) in una licenza Smart, sono disponibili due metodi. Per i dettagli su quale metodo deve essere seguito, fare riferimento alle note sulla versione e/o alla guida alla configurazione relative al dispositivo Cisco in uso.

Conversione tramite DLC (Device-Led Conversion)

• DLC (Device-Led Conversion) è un metodo utilizzato una tantum in cui il prodotto Cisco può segnalare le licenze che utilizza e le licenze vengono automaticamente depositate nello Smart Account corrispondente sul Cisco Smart Software Manager (CSSM). La procedura DLC viene eseguita direttamente dall'interfaccia a riga di comando (CLI) del dispositivo Cisco interessato.

• La procedura DLC è supportata solo sui Catalyst 3650/3850 e su alcune piattaforme router. Per modelli di router specifici, consultare la guida alla configurazione della piattaforma in uso e le note sulla versione. Esempio: procedura DLC per Catalyst 3850 con Fuji versioni 16.9.x.

Conversione con Cisco Smart Software Manager (CSSM) o License Registration Portal (LRP)

Uso di Cisco Smart Software Manager (CSSM):

1. Accedere a Cisco Smart Software Manager (CSSM) all'indirizzo https://software.cisco.com/.

2. Passare a Licenze software Smart > Converti in licenze Smart.

3. Scegliere Converti chiave PAK o Converti licenze.

4. Per convertire una licenza PAK, individuare la licenza in questa tabella. Per convertire una licenza non PAK, usare la Conversione guidata licenza per istruzioni dettagliate.

Ubicazione dei file PAK noti associati all'account:

  

Ubicazione del link "License Conversion Wizard" (Conversione guidata delle licenze):

5. Individuare la combinazione di licenza e prodotto desiderata.

6. Fare clic su (in Azioni): Convert to Smart Licensing.

7. Scegliere account virtuale, licenza e fare clic su Avanti.

8. Rivedere le selezioni, quindi fare clic su Converti licenze.

Uso del portale di registrazione delle licenze, o LRP (License Registration Portal):

1. Accedere al portale di registrazione delle licenze (LRP) https://slexui.cloudapps.cisco.com/SWIFT/LicensingUI/Home/a>

2. Passare a Dispositivi > Aggiungi dispositivi.

3. Inserire l'ID prodotto e il numero di serie corretti per la famiglia di prodotti e l'UDI (Unique Device Identifier), quindi fare clic su OK. Le informazioni UDI possono essere ottenute dal comando show version o show inventory ottenuto dall'interfaccia della riga di comando (CLI) del dispositivo Cisco.

4. Scegliere il dispositivo aggiunto e convertire le licenze in licenze Smart.

5. Assegnare all'account virtuale corretto, scegliere le licenze da convertire e fare clic su Invia.

Suggerimento: lo strumento LRP può essere usato anche cercando la licenza o la famiglia di prodotti nella scheda PAK o Token. Fare clic sul cerchio a discesa accanto a PAK/Token e scegliere Converti in Smart Licensing:

Converti e contatta il reparto Cisco Global Licensing Operations (GLO)

Il reparto Global Licensing Operations ha sedi in tutto il mondo e può essere contattato qui.

Modifiche ai Catalyst 9500 High Performance dalla versione 16.9 alla versione 16.12.3

Analogamente ad altri modelli Catalyst 9000, la funzionalità Smart Licensing è stata abilitata sui modelli Catalyst 9500 High Performance nella versione Cisco IOS XE 16.9 e successive. Tuttavia, sulla serie Catalyst 9500 High Performance, ciascun modello aveva tag diversi con cui identificare i diritti di licenza. Successivamente, i team di prodotto e marketing hanno deciso di unificare i codici di matricola delle piattaforme C9500. In seguito a questa decisione, le piattaforme C9500 High Performance usano ora tag generici e validi per l'intera serie di modelli C9500.

Questo cambiamento di comportamento è documentato nei seguenti difetti:

a) ID bug Cisco CSCvp30661

b) ID bug Cisco CSCvt01955

Di seguito sono riportate le modifiche precedenti e successive alle licenze per i modelli C9500 High Performance:

Cisco IOS XE versione 16.11.x e precedenti

Ogni modello C9600 High Performance ha i propri codici di matricola.

Modello	Licenza
C9500-32C	C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

Nota: Cisco IOS XE versioni 16.12.1 e 16.12.2 presenta difetti con ID bug Cisco CSCvp30661 e ID bug Cisco CSCvt01955. Tali difetti sono stati risolti nella versione 16.12.3a e successive.

Cisco IOS XE versione 16.12.3 e successive

Le piattaforme Catalyst 9500 High Performance utilizzano ora tag di licenza di rete generici e tag di licenza DNA separati. Nella tabella vengono indicate le modifiche dei diritti evidenziate in Cisco IOS XE versione 16.12.3 e successive:

Modello	Licenza
C9500-32C	C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 Network Essentials C9500 Network Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

Nota: gli aggiornamenti da Cisco IOS XE versioni 16.12.1 e 16.12.2 mostrano questo comportamento della licenza. Gli aggiornamenti dalle versioni 16.9.x, 16.10.x, 16.11.x e 16.12.3 di Cisco IOS XE riconoscono le vecchie configurazioni di licenza.

Domande frequenti sulle modifiche a C9500 High Performance

1. Perché Cisco supporta l'allocazione di una licenza di rete generica quando il dispositivo utilizza una licenza di rete specifica del dispositivo?

I tag generici sono forniti al posto dei tag dei diritti di licenza specifici del dispositivo di rete. Il loro uso permette di identificare i diritti di licenza dell'intera piattaforma Cat9500, non solo dei modelli C9500 High Performance. Le immagini software delle versioni precedenti alla 16.12.3 che richiedono tag di licenza specifici del dispositivo sono conformi ai tag di licenza generici, in quanto rientrano nelle licenze generiche nella gerarchia delle licenze.

2. Perché due tag di rete a volte vengono visualizzati nello Smart Account?

Questo comportamento dipende da come sono organizzate gerarchicamente le licenze e si verifica quando il dispositivo usa un'immagine software precedente che usa ancora i tag di licenza specifici del dispositivo. Le immagini meno recenti che richiedono tag di licenza specifici del dispositivo sono conformi ai tag di licenza generici, in quanto rientrano gerarchicamente nelle licenze generiche.

Configurazione

Configurazione di base

Una procedura esatta su come configurare Smart Licensing è disponibile nella Guida alla configurazione di System Management per ciascuna release/piattaforma.

Ad esempio, Guida alla configurazione della gestione del sistema, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 Switch)

Token di registrazione / Token dell'ID dispositivo

Prima di registrare il dispositivo, è necessario generare un token. Il token di registrazione, noto anche come token ID dispositivo, è un token univoco generato dal portale delle licenze smart o da Cisco Smart Software Manager in locale quando si registra inizialmente un dispositivo Cisco con lo smart account corrispondente. È possibile usare un unico token per registrare più dispositivi Cisco a seconda dei parametri usati durante la creazione.

Inoltre, il token di registrazione è richiesto solo durante la registrazione iniziale di un dispositivo Cisco, in quanto fornisce al dispositivo le informazioni necessarie per richiamare il server di backend Cisco ed essere associato allo Smart Account corretto. Dopo aver registrato il dispositivo Cisco, il token non è più necessario.

Per ulteriori informazioni sui token di registrazione e su come vengono generati, fare clic qui per una guida generale. Per ulteriori dettagli, consultare la guida alla configurazione del dispositivo Cisco specifico.

Registrazione e stati della licenza

Durante la distribuzione e la configurazione di Smart Licensing, è possibile che un dispositivo Cisco si trovi in diversi stati. I diversi stati possono essere visualizzati con il comando show license all o show license status dall'interfaccia a riga di comando (CLI) del dispositivo Cisco.

Di seguito è riportato un elenco di tutti gli stati con la relativa descrizione:

Stato Eval Mode (Valutazione) (non identificato)

• La valutazione è lo stato predefinito del dispositivo al primo avvio.
• In genere, questo stato si verifica quando un dispositivo Cisco non è ancora stato configurato per Smart Licensing o registrato in uno Smart Account.
• In questo stato, tutte le funzionalità sono disponibili e il dispositivo può modificare liberamente i livelli di licenza.
• Il periodo di valutazione viene applicato ai dispositivi non sono stati ancora identificati. Il dispositivo non tenta di comunicare con Cisco in questo stato.
• Il periodo di valutazione è di 90 giorni e non di 90 giorni di calendario. Una volta scaduto, il periodo di valutazione non viene più reimpostato.
• Esiste un periodo di valutazione per l'intero dispositivo; non è un periodo di valutazione per ciascun diritto.
• Quando il periodo di valutazione scade alla fine di 90 giorni, il dispositivo entra in modalità EVAL EXPIRY. Tuttavia, non vi è alcun impatto funzionale o interruzione delle funzionalità, anche dopo il riavvio. Al momento non vi è alcuna applicazione in atto.
• La scadenza viene calcolata a prescindere dal numero di riavvii.
• Il periodo di valutazione è utilizzato se il dispositivo non è ancora stato registrato con Cisco e non ha ricevuto questi due messaggi dal back-end Cisco:
  1. Risposta a una richiesta di registrazione riuscita.
  2. Successful response to an entitlement authorization request (Risposta corretta a una richiesta di attivazione dei diritti di licenza).

Stato Registered (Registrato)

• Registrato è lo stato previsto dopo il completamento della registrazione.
• Questo stato indica che il dispositivo Cisco è stato in grado di comunicare con uno Smart Account e registrarsi.
• Il dispositivo riceve un certificato ID, valido per un anno, che viene utilizzato per le comunicazioni future.
• Il dispositivo invia una richiesta al CSM per autorizzare i diritti per le licenze in uso sul dispositivo.
• A seconda della risposta CSM, il dispositivo passa quindi allo stato Autorizzato o Non conforme.
• Il certificato di identità scade dopo un anno. Dopo sei mesi, l'agente software tenta di rinnovare il certificato. Se l'agente non è in grado di comunicare con il modulo CSM, continua a tentare di rinnovare il certificato ID fino alla data di scadenza (un anno). Alla fine di un anno, l'agente torna allo stato Non identificato e tenta di abilitare il periodo di valutazione. Il modulo CSM rimuove l'istanza del prodotto dal relativo database.

Stato Authorized (Autorizzato)

• Autorizzato è lo stato previsto quando il dispositivo utilizza un diritto ed è conforme (nessun saldo negativo).
  
• Questo stato indica che l'account virtuale in CSM disponeva del tipo e del numero di licenze corretti per autorizzare l'utilizzo delle licenze per questo dispositivo.
• Al termine di 30 giorni, il dispositivo invia una nuova richiesta al CSM per rinnovare l'autorizzazione.
• Questo stato ha una durata di 90 giorni. Dopo 90 giorni (se il rinnovo non ha avuto esito positivo), il dispositivo viene portato allo stato Autorizzazione scaduta.

Stato Out of Compliance (Non conforme)

• Non conforme è lo stato in cui si trova il dispositivo che sta utilizzando un'autorizzazione e non è conforme (saldo negativo).
  
• Questo stato viene visualizzato quando il dispositivo non ha un licenza disponibile nell'account virtuale corrispondente con cui il dispositivo Cisco è stato registrato sul Cisco Smart Account.  
• Per entrare nello stato di conformità/autorizzazione, è necessario aggiungere il numero e il tipo di licenze corretti allo Smart Account.
• Quando un dispositivo si trova nello stato Non conforme, invia automaticamente ogni giorno una richiesta di rinnovo dell'autorizzazione.
• Le licenze e le funzionalità continuano a funzionare e non vi è alcun impatto funzionale.

Stato Authorization Expired (Autorizzazione scaduta)

• Autorizzazione scaduta è lo stato in cui il dispositivo sta utilizzando un diritto e non è stato in grado di comunicare con lo Smart Account Cisco associato per oltre 90 giorni.
• Questo stato si verifica in genere se il dispositivo Cisco perde l'accesso a Internet o non è in grado di connettersi a tools.cisco.com dopo la registrazione iniziale.
• Per evitare questo stato, i metodi online di Smart Licensing richiedono che i dispositivi Cisco comunichino almeno una volta ogni 90 giorni.
• CSSM restituisce tutte le licenze in uso per il dispositivo al pool poiché non ha avuto comunicazioni con il dispositivo per 90 giorni.
• In questo stato, il dispositivo continua a tentare di contattare Cisco ogni ora per rinnovare l'autorizzazione di accesso, fino alla scadenza del periodo di registrazione (certificato ID).
• Se l'agente software ristabilisce le comunicazioni con Cisco e riceve la richiesta di autorizzazione, elabora la risposta normalmente ed entra in uno degli stati stabiliti.

Considerazioni e avvertenze

A partire dalla versione 16.9.1 per gli switch e dalla versione 16.10.1 per i router, viene generato un profilo Call-Home predefinito denominato CiscoTAC-1 per supportare la migrazione a Smart Licensing.  Per impostazione predefinita, questo profilo è impostato per il metodo Direct Cloud Access.               

#show call-home profile CiscoTAC-1 

Profile Name: CiscoTAC-1 

Profile status: ACTIVE 

Profile mode: Full Reporting 

Reporting Data: Smart Call Home, Smart Licensing 

Preferred Message Format: xml 

Message Size Limit: 3145728 Bytes 

Transport Method: http 

HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

Other address(es): default 

<snip>

Quando si usa il server Cisco Smart Software Manager on-premises, l'indirizzo di destinazione nella configurazione call-home attiva deve puntare a questo profilo (sensibile alla distinzione tra maiuscole e minuscole):

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https://<IP/FQDN>/Transportgateway/services/DeviceRequestHandler

Per risolvere l'indirizzo tools.cisco.com, usare il server DNS. Se la connettività del server DNS è in un VRF, verificare che siano definiti l'interfaccia di origine e il VRF appropriati:

Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>

VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]     <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>

In alternativa, se il DNS non è disponibile, configurare in modo statico il mapping da DNS locale a IP (in base alla risoluzione DNS locale sul dispositivo finale) oppure sostituire il nome DNS nella configurazione call-home con l'indirizzo IP. Fare riferimento all'esempio di accesso diretto al cloud (per Cisco Smart Software Manager on-premises usare il nome DNS anziché tools.cisco.com):    

(config)#ip host tools.cisco.com <x.x.x.x>

Se la comunicazione con tools.cisco.com deve avere origine dall'interfaccia di un VRF specifico (ad esempio, Mgmt-vrf), è necessario configurare questa CLI: 

(config)#ip http client source-interface <VRF_INTERFACE>

È possibile usare un numero diverso di licenze in base alla configurazione del dispositivo Cisco, ad esempio con gli switch Catalyst che vengono eseguiti in StackWise o StackWise Virtual:

Switch tradizionali supportati per stack (ad esempio, Catalyst serie 9300):

Licenza di rete: nello stack viene usata 1 licenza per ciascuno switch

Licenza DNA: 1 licenza per switch nello stack

Chassis modulare (ad esempio, Catalyst serie 9400):

Licenza di rete: nello chassis viene utilizzata 1 licenza per supervisore

Licenza DNA: 1 licenza per chassis

Switch supportati virtuali a stack fisso (ad esempio, Catalyst serie 9500):

Licenza di rete: nello stack viene usata 1 licenza per ciascuno switch

Licenza DNA: 1 licenza per switch nello stack

• In Smart Licensing può essere attivo un solo profilo call-home.
• Le licenze vengono utilizzate solo se è stata configurata una funzionalità corrispondente.
• I dispositivi Cisco configurati per Smart Licensing devono essere configurati con l'ora e la data di sistema corrette per garantire la corretta sincronizzazione con lo Smart Account Cisco corrispondente. Se la differenza temporale del dispositivo Cisco è troppo grande, la registrazione del dispositivo potrebbe non riuscire. L'orologio deve essere impostato o configurato manualmente tramite un protocollo di temporizzazione quale NTP (Network Time Protocol) o PTP (Precision Time Protocol). Per i passaggi esatti necessari per implementare queste modifiche, fare riferimento alla guida alla configurazione del dispositivo Cisco specifico.
• La chiave PKI (Public Key Infrastructure) generata durante la registrazione del dispositivo Cisco deve essere salvata se non viene salvata automaticamente dopo la registrazione. Se il dispositivo non riesce a salvare la chiave PKI, viene generato un syslog che chiede di salvare la configurazione tramite il comando copy running-config startup-config o write memory.
• Se la chiave PKI del dispositivo Cisco non viene salvata correttamente, lo stato della licenza può andare perso in caso di failover o ricaricamento.    
• Per impostazione predefinita, Smart Licensing non supporta l'intercettazione dei certificati SSL del proxy HTTPS quando si utilizzano proxy di terze parti per il metodo Proxy HTTPS. Per supportare questa funzionalità, disabilitare l'intercettazione SSL sul proxy o importare manualmente la certificazione inviata dal proxy.

How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

Quando si utilizza il proxy HTTP del gateway di trasporto, l'indirizzo IP deve essere modificato da tools.cisco.com al proxy come nell'esempio seguente:

DA
       indirizzo di destinazione http https://tools.cisco.com/its/service/oddce/services/DDCEService
A
       indirizzo di destinazione http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler 

Per trovare l'IP del gateway di trasporto, accedere alle impostazioni HTTP e cercare gli URL del servizio HTTP sulla GUI di Cisco Transport Gateway.

Per ulteriori informazioni, vedere qui la guida alla configurazione di Cisco Transport Gateway.

Risoluzione dei problemi

Quando si esegue la migrazione di un dispositivo Cisco a una versione software abilitata per Smart Licensing, è possibile utilizzare questo diagramma di flusso come guida generale per tutti e tre i metodi (accesso diretto al cloud, proxy HTTPS e Cisco Smart Software Manager on-prem).

                  Dispositivo aggiornato o spedito con versione software che supporta Smart Licensing (fare riferimento alla sezione 1.3 per l'elenco delle versioni Cisco IOS XE supportate).  

Le procedure per la risoluzione dei problemi riguardano principalmente uno scenario in cui il dispositivo non riesce a eseguire la registrazione. 

Impossibile completare la registrazione  

Dopo la configurazione iniziale, per abilitare Smart Licensing, il CSSM (Cisco Smart Software Manager on-premises) deve generare un token che dovrà essere registrato sul dispositivo dalla CLI:

license smart register idtoken <TOKEN>

Questa azione genera gli eventi seguenti:

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result 

!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) 

%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine 

%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration 

!
! Call-home start registration process
! 

%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. 

!
! Smart Licensing process connects with CSSM and check entitlement.
! 

%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed 

%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> 

%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved 

%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized 

%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>

Per controllare la configurazione "call-home", eseguire questa CLI:

#show call-home profile all 

  

Profile Name: CiscoTAC-1 

    Profile status: ACTIVE 

    Profile mode: Full Reporting 

    Reporting Data: Smart Call Home, Smart Licensing 

    Preferred Message Format: xml 

    Message Size Limit: 3145728 Bytes 

    Transport Method: http 

    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

    Other address(es): default 

  

    Periodic configuration info message is scheduled every 1 day of the month at 09:15 

  

    Periodic inventory info message is scheduled every 1 day of the month at 09:00 

  

    Alert-group               Severity 

    ------------------------  ------------ 

    crash                     debug 

    diagnostic                minor 

    environment               warning 

    inventory                 normal 

  

    Syslog-Pattern            Severity 

    ------------------------  ------------ 

    APF-.-WLC_.*              warning 

    .*                        major

Per verificare lo stato di Smart Licensing, eseguire questa CLI:

#show license summary 

Smart Licensing is ENABLED 

  

Registration: 

  Status: REGISTERED 

  Smart Account: TAC Cisco Systems, Inc. 

  Virtual Account: Krakow LAN-SW 

  Export-Controlled Functionality: ALLOWED 

  Last Renewal Attempt: None 

  Next Renewal Attempt: Nov 22 21:24:32 2019 UTC 

  

License Authorization: 

  Status: AUTHORIZED 

  Last Communication Attempt: SUCCEEDED 

 Next Communication Attempt: Jun 25 21:24:37 2019 UTC 

  

License Usage: 

  License                 Entitlement tag               Count Status 

  ----------------------------------------------------------------------------- 

  C9500 Network Advantage (C9500 Network Advantage)         1 AUTHORIZED 

  C9500-DNA-40X-A         (C9500-40X DNA Advantage)         1 AUTHORIZED

Se il dispositivo non riesce a completare la registrazione (e lo stato è diverso da REGISTRATO), lo stato Non conforme segnala un problema su CSSM, ad esempio una licenza mancante nell'account virtuale Smart o una mappatura errata (ad esempio, è stato usato il token di un account virtuale diverso ma le licenze non erano disponibili) e così via.  

Controllare quanto segue:  

1. Verificare le impostazioni di configurazione e gli scenari di errore comuni.

Fare riferimento alla sezione 2.1 per la procedura di configurazione base. Vedere anche la sezione 5 per gli scenari di errore più comuni osservati sul campo.

2. Controllare la connettività di base.

Verificare che il dispositivo possa raggiungere (e aprire la porta TCP) l'indirizzo tools.cisco.com (in caso di accesso diretto) o il server locale Cisco Smart Software Manager: 

#show run all | in destination address http 

  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 

! 

! check connectivity 

! 

#telnet tools.cisco.com 443 /source-interface gi0/0 

Trying tools.cisco.com (x.x.x.x, 443)... Open 

[Connection to tools.cisco.com closed by foreign host]

Se questi comandi non funzionano, verificare le regole di routing, l'interfaccia di origine e le impostazioni del firewall.

Fare riferimento alla sezione: 3. Considerazioni e avvertenze in questo documento per ulteriori linee guida su come configurare i dettagli DNS e HTTP. 

3. Verificare le impostazioni di Smart License.

Esaminare l'output del comando:

#show tech-support license

e convalidare la configurazione e i log raccolti (allegare questo output a un'eventuale richiesta di assistenza a Cisco TAC per ulteriori indagini).  

4. Abilita debug.

Abilitare questi debug per raccogliere ulteriori informazioni sul processo di gestione delle licenze Smart.

#debug call-home smart-licensing [all | trace | error] 

#debug ip http client [all | api | cache | error | main | msg | socket]

Per i debug interni, abilitare e leggere le tracce binarie:

! enable debug 

#set platform software trace ios [switch] active R0 infra-sl debug 

! 

! read binary traces infra-sl process logs 

#show platform software trace message ios [switch] active R0

Scenari di errore comuni

In questa sezione vengono descritti alcuni scenari di errore comuni che possono verificarsi durante o dopo la registrazione di un dispositivo Cisco:

Scenario 1: registrazione dello switch "Motivo dell'errore: prodotto già registrato"

Frammento del comando "show license all":

Registration:

  Status: UNREGISTERED - REGISTRATION FAILED

  Funzionalità sottoposta a controllo per l'esportazione: non consentita

  Registrazione iniziale: non riuscita il 22 ottobre 14:25:31 2018 EST

   Motivo errore: prodotto già registrato

  Prossimo tentativo di registrazione: Ott 22 14:45:34 2018 EST

Passaggi successivi:

- Il dispositivo Cisco deve essere registrato di nuovo.

- Se il dispositivo Cisco viene rilevato nel CSM, è necessario utilizzare il parametro force, ovvero license smart register idtoken <TOKEN> force.

Nota: il motivo dell'errore può essere indicato anche come:
   - Motivo dell'errore: il prodotto <X> e il file sudi contenente udiSerialNumber:<SerialNumber>,udiPid:<Product> sono già stati registrati.
   - Motivo dell'errore: l'istanza del prodotto esistente è associata a Consumo e il flag di forzatura è False

Scenario 2: registrazione switch "Motivo dell'errore: impossibile elaborare la richiesta in questo momento. Riprova"

Frammento del comando "show license all":

Registration:

  Stato: REGISTRAZIONE - REGISTRAZIONE IN CORSO

  Funzionalità sottoposta a controllo per l'esportazione: non consentita

  Registrazione iniziale: non riuscita il 24 ottobre 15:55:26 2018 EST

    Failure reason: Your request could not be processed right now. Riprova

  Prossimo tentativo di registrazione: Ott 24 16:12:15 2018 EST

Passaggi successivi:

- Abilitare i debug come indicato nella sezione 4 per ottenere ulteriori informazioni sul problema.

- Generare un nuovo token in CSSM nel proprio Smart Licensing e fare un altro tentativo.  

Scenario 3: Motivo dell'errore "La data del dispositivo 1526135268653 è oltre il limite di tolleranza consentito

Frammento del comando "show license all":

Registration:

  Stato: REGISTRAZIONE - REGISTRAZIONE IN CORSO

  Funzionalità sottoposta a controllo per l'esportazione: non consentita

  Registrazione iniziale: non riuscita il Nov 1117:55:46 2018 EST

    Motivo dell'errore:{"timestamp":["The device date '1526135268653' is offset beyond the allowed tolerance limit."]}

  Prossimo tentativo di registrazione: Nov 11 18:12:17 2018 EST

Possibili log visualizzati:

%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: convalida della catena di certificati non riuscita.  Il certificato (SN: XXXXXX) non è ancora valido. Validity period starts on 2018-12-12:43Z (La convalida della catena di certificati non è riuscita. Il certificato (numero di serie: XXXXXX) non è ancora valido. Il periodo di validità inizia in data 2018-12-12:43Z.)

Passaggi successivi:

- Verificare che l'orologio del dispositivo Cisco mostri l'ora corretta (show clock).

- Configurare il protocollo NTP (Network Time Protocol), se possibile, per verificare che l'orologio sia impostato correttamente.

- Se il protocollo NTP non è possibile, verificare che l'orologio impostato manualmente (set di orologio) sia corretto (show clock) e configurato come origine ora attendibile verificando che sia configurato clock calendar-valid

Nota: per impostazione predefinita, l'orologio di sistema non è attendibile. È necessario specificare un calendario orologio valido.

Scenario 4: registrazione switch "Motivo errore: trasporto comunicazione non disponibile".

Frammento del comando "show license all":

Registrazione: Stato: UNREGISTERED - REGISTRAZIONE NON RIUSCITA

Funzionalità Controllata Per L'Esportazione: Non Consentito

Registrazione iniziale: NON RIUSCITA il Mar 09 21:42:02 2019 CST

   Motivo dell'errore: trasporto di comunicazione non disponibile.

Possibili log visualizzati:

%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: impossibile abilitare la chiamata a casa da Smart Agent per la gestione licenze. Il comando non è riuscito ad abilitare la chiamata a casa a causa di un profilo utente attivo esistente. Se si utilizza un profilo utente diverso da Cisco TAC-1 per inviare dati al server SCH in Cisco, immettere reporting smart-licensing-data in modalità profilo per configurare il profilo per smart licensing. Per ulteriori informazioni su SCH, visitare il sito http://www.cisco.com/go/
%SMART_LIC-3-AGENT_REG_FAILED: registrazione di Smart Agent per la gestione delle licenze con Cisco Smart Software Manager o satellite non riuscita: trasporto comunicazioni non disponibile.
%SMART_LIC-3-COMM_FAILED: errore di comunicazione con Cisco Smart Software Manager o satellite. Trasporto di comunicazione non disponibile.

Passaggi successivi:

- Verificare che call-home sia abilitato con service call-home nell'output show running-config del dispositivo Cisco.

- Accertarsi che sia attivo il profilo call-home corretto.

- Verificare che i dati di creazione di rapporti relativi alle licenze intelligenti siano configurati nel profilo call-home attivo.

Scenario 5: autorizzazione switch licenza "Motivo dell'errore: impossibile inviare il messaggio HTTP Call Home."

Frammento del comando "show license all":

License Authorization:

  Stato: NON CONFORME il 26 luglio 09:24:09 2018 UTC

  Ultimo tentativo di comunicazione: non riuscito il 02 ago 14:26:23 2018 UTC

    Motivo dell'errore: impossibile inviare il messaggio HTTP della chiamata a domicilio.

  Prossimo tentativo di comunicazione: 02 ago 14:26:53 2018 UTC

  Termine della comunicazione: 25 ott 09:21:38 2018 UTC

Possibili log visualizzati:

%CALL_HOME-5-SL_MESSAGE_FAILED: impossibile inviare il messaggio di Smart Licensing a: https://<ip>/its/service/oddce/services/DDCEService (ERR 205: richiesta interrotta)

%SMART_LIC-3-COMM_FAILED:Errore di comunicazione con Cisco Smart Software Manager o satellite: impossibile inviare il messaggio HTTP Call Home.

%SMART_LIC-3-AUTH_RENEW_FAILED:Rinnovo dell'autorizzazione con Cisco Smart Software Manager o satellite: errore di invio del messaggio di comunicazione per UDI PID:XXX, SN: XXX

Passaggi successivi:

- Verificare che il dispositivo Cisco possa eseguire il ping tools.cisco.com.

- Se DNS non è configurato, configurare un server DNS o un'istruzione host IP per l'indirizzo IP nslookup locale per tools.cisco.com.

- Tentativo di connessione telnet dal dispositivo Cisco a tools.cisco.com sulla porta TCP 443 (porta utilizzata da HTTPS).

- Verificare che l'interfaccia di origine del client HTTPs sia definita e corretta.

- Verificare che l'URL/IP nel profilo call home sia impostato correttamente sul dispositivo Cisco tramite show call-home profile all.

- Verificare che il percorso IP sia indirizzato all'hop successivo corretto.

- Verificare che la porta TCP 443 non sia bloccata sul dispositivo Cisco, sul percorso di Smart Call Home Server o su Cisco Smart Software Manager on-prem (satellite).

- Verificare che l'istanza VRF (Virtual Routing and Forwarding) corretta sia configurata in call-home, se applicabile.

Scenario 6: Motivo dell'errore "Campo Numero di serie certificato ID mancante; campo Numero di serie certificato firma mancante; dati firmati e certificato non corrispondenti" Registro

Questo comportamento viene rilevato quando si lavora con un server CSM in locale il cui certificato crittografico è scaduto, come documentato nell'ID bug Cisco CSCvr41393. Questo è il comportamento previsto in quanto il CSM locale deve essere autorizzato a sincronizzare e rinnovare il proprio certificato per evitare un problema di sincronizzazione della certificazione con qualsiasi dispositivo di registrazione.

Frammento del comando "show license all":

Registration:
  Stato: NON REGISTRATO
  Smart Account: account di esempio
  Funzionalità sottoposta a controllo per l'esportazione: CONSENTITA

License Authorization:
 Stato: EVAL MODE
 Periodo di valutazione rimanente: 65 giorni, 18 ore, 43 minuti, 0 secondi

Possibili log visualizzati:

Questo errore viene visualizzato in show logging o show license eventlog:
SAEVT_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Campo del numero di serie del certificato ID mancante; campo del numero di serie del certificato di firma mancante; i dati firmati e il certificato non corrispondono"

Passaggi successivi:

- Verificare che il dispositivo Cisco possa connettersi al server CSSM on-premises tramite indirizzo IP.
- Se si utilizza il protocollo HTTPS, verificare che il nome C di certificazione sia in uso nella configurazione call-home dei dispositivi.
- Se non è disponibile un server DNS per risolvere il nome C di certificazione, configurare un'istruzione host IP statica per mappare il nome di dominio e l'indirizzo IP.

- Verificare che lo stato del certificato sul server CSSM on-premises sia ancora valido.
- Se il certificato CSM in sede è scaduto, usare una delle soluzioni documentate nell'ID bug Cisco CSCvr41393

Nota: per impostazione predefinita, HTTPS esegue un controllo dell'identità del server durante l'handshake SSL per verificare che l'URL o l'IP corrisponda al certificato fornito dal server. Ciò può causare problemi quando si usano gli indirizzi IP anziché una voce DNS se il nome host e l'indirizzo IP non corrispondono. Se il DNS non è possibile o un'istruzione host IP statica, non è possibile configurare il controllo dell'identità del server sicuro http in modo da disattivare il controllo della certificazione.

Scenario n. 7: autorizzazione switch license "Motivo errore: in attesa di risposta" 

Frammento del comando "show license all":

License Authorization:
 Stato: NON CONFORME il 26 luglio 09:24:09 2018 UTC
 Ultimo tentativo di comunicazione: IN SOSPESO il 2 agosto 02 14:34:51 2018 UTC
  Motivo dell'errore: in attesa di risposta
 Prossimo tentativo di comunicazione: 02 ago 14:53:58 2018 UTC
 Termine della comunicazione: 25 ott 09:21:39 2018 UTC

Possibili log visualizzati:

%PKI-3-CRL_FETCH_FAIL: recupero CRL per SLA-TrustPoint del trust point non riuscito. Motivo: impossibile selezionare il socket. Timeout : 5 (timeout della connessione)
%PKI-3-CRL_FETCH_FAIL: recupero CRL per SLA-TrustPoint del trust point non riuscito. Motivo: impossibile selezionare il socket. Timeout : 5 (timeout della connessione)

Passaggi successivi:

- Per risolvere il problema, il SLA-TrustPoint deve essere configurato come none (nessuno) nella configurazione corrente

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revocation-check none

Cos'è un CRL?

Un CRL (Certificate Revocation List) è un elenco di certificati revocati. Il CRL viene creato e firmato digitalmente dall'autorità di certificazione (CA) che ha emesso originariamente i certificati. Il CRL contiene le date di emissione di ciascun certificato e le date di scadenza. Ulteriori informazioni sul CRL sono disponibili qui.

Scenario 8: stato della licenza "NON CONFORME"

Frammento del comando "show license all":

License Authorization:
 Stato: NON CONFORME il 26 luglio 09:24:09 2018 UTC
 Ultimo tentativo di comunicazione: IN SOSPESO il 2 agosto 02 14:34:51 2018 UTC
  Motivo dell'errore: in attesa di risposta
 Prossimo tentativo di comunicazione: 02 ago 14:53:58 2018 UTC
 Termine della comunicazione: 25 ott 09:21:39 2018 UTC

Possibili log visualizzati:

%SMART_LIC-3-OUT_OF_COMPLIANCE: uno o più diritti non sono conformi.

Passaggi successivi:

- Verificare se è stato utilizzato un token creato dallo Smart Account corretto.

- Verificare il numero di licenze disponibili qui.

Scenario 9: "Autorizzazione licenza switch" Motivo dell'errore: dati e firma non corrispondenti "

Frammento del comando "show license all":

License Authorization:

 Stato: AUTORIZZATO il Mar 12 09:17:45 2020 EDT

 Ultimo tentativo di comunicazione: non riuscito il mar 12 09:17:45 2020 EDT

  Motivo dell'errore: dati e firma non corrispondenti

 Prossimo tentativo di comunicazione: mar 12 09:18:15 2020 EDT

 Termine della comunicazione: 09 maggio 21:22:43 2020 EDT

Possibili log visualizzati:

%SMART_LIC-3-AUTH_RENEW_FAILED: rinnovo autorizzazione con Cisco Smart Software Manager (CSSM): errore ricevuto da Smart Software Manager. Dati e firma non corrispondenti per UDI PID:C9000,SN:XXXXXXXXX

Passaggi successivi:

- Annullare la registrazione dello switch con lo smart deregistrator della licenza.

- Registrare quindi lo switch con un nuovo token con la forza license smart register idtoken <TOKEN>.

Riferimenti

1) Home page di Cisco Smart Licensing

2) Cisco Community - Formazione on-demand.

3) Smart Account - Portale di gestione: Smart Software Licensing

4) Smart Account - Creazione di nuovi account:  Smart Accounts

5) Guida alla configurazione (esempio) - Guida alla configurazione della gestione del sistema, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 Switch)