ASR9000 プラットフォームのスマート ライセンス

概要

このドキュメントでは、Cisco IOS^® XRバージョン5.2.0以降でのスマートライセンスソフトウェアの設定、操作、およびトラブルシューティングについて説明します。Smart Licensingは、シスコのプラットフォームおよびオペレーティングシステム(OS)で実行されるさまざまな機能やアプリケーションのライセンス要件の管理に対応するために開発されました。

Smart Licensingアプリケーションは、Cisco IOS XR用のASR9000(ASR9K)だけでなく、Cisco IOSおよびCisco IOS-XE OSを実行するさまざまなプラットフォームでも動作します。このシンプルなアプリケーションにより、多様なシスコデバイス、システム、およびプラットフォームの管理に必要な労力が大幅に削減され、ライセンス管理、権限付与、および運用コストの大幅な簡素化が実現します。

Smart Licensingアプリケーションで使用される方法は、動的な「プル」方式です。ASR9Kデバイスがコールを開始し、シスコのバックエンドサーバから情報をプルします。シスコのバックエンドサーバはどのデバイスに対してもコールまたは接続を開始しませんが、登録して権限を受け取りたいデバイスからの接続要求に対しては常に応答します。

初期設定は安全かつ簡単で、デバイスのオペレータによる手動操作はほとんどありません。また、大規模な環境では、通常のTool Command Language(TcL)またはPython Expectスクリプトを使用して自動化できます。シスコのバックエンドサーバが提供するレポート機能には通常のブラウザからアクセスでき、お客様はデバイスのインベントリを記録し、ライセンスとコンプライアンス違反(OOC)の両方に対応する機能を導入して、リソースを動的に移動できます。再プロビジョニングやサポートの要請は不要です。

トップビュー

Smart Licensingは、シスコのバックエンドサーバに到達するための転送メカニズムとして、標準のHTTP Secure(HTTPS)を使用します。技術的には、ASR9Kデバイスでスマートライセンス機能を有効にするために必要な設定は1行だけです。

RP/0/RSP0/CPU0:SAMDD(admin-config)#license smart enable

デバイスはデフォルトでHTTPSトランスポートに設定され、登録要求が成功すると、ただちにバックエンドサーバに権限を問い合わせます。Authorized（デバイスが機能のライセンスを持っている）またはOOC（権限が存在しない、不足している、または期限切れであることを意味）が返されます。

注：ライセンスコンプライアンスの状態は、デバイスの機能に一切影響を及ぼしません(WILL NOT)。現在のSmart Licensingアプリケーションは名誉システムに基づいており、コンプライアンスまたはOOC状態についてsyslogまたはコンソールログを介して管理者に通知します。ライセンスの供与や不足により、機能面で何ら支障はありません。ただし、シスコは、デバイスのインベントリ、ライセンスの消費、デバイス単位および合計/合計単位で使用される機能などに関して、お客様に対してより多くの可視性を提供するコンプライアンスを推奨します。

注：バックエンドサーバへのHTTPサポートはCY2019で廃止されていますが、サテライトサーバへのHTTPは引き続き動作します。

スマートライセンスは従来のライセンスと共存できますが、一度にアクティブにできるのは1つだけです。管理プレーンから設定を追加または削除することで、簡単に切り替えることができます。ASR9Kシステムでは、この「スイッチ」を実行するためにリロードや再起動は必要ありません。今後のリリースでは、従来のライセンスはスマートライセンスに完全に置き換えられます。

ASR9Kデバイスがライセンスを必要とする機能を使用しない場合、システムは自動的に認証済み状態になり、それ以上のアクションは必要ありません。ライセンスを必要とする機能の「設定」時にのみ、システムはシスコのバックエンドサーバからライセンスを動的に取得しようとします。

従来のライセンス運用とスマートライセンス運用の比較

次に、ライセンスモデルの違いを示します。一度にアクティブになるのは1つだけであることに注意してください。

従来の（ノードロック）ライセンス	スマート（ダイナミック）ライセンス
ライセンスを調達し、PAKファイルを使用して各デバイスに手動でインストールする必要があります。	ソフトウェアのインストールは不要です。デバイスはHTTP/HTTPSコールホームセッションを開始し、使用するライセンスと設定されているライセンスを要求します。
シャーシ、移動、または再プロビジョニングに関連するライセンスには、バックアップまたは再インストールが必要です。いずれも手作業であり、時間を消費します。	お客様のアカウントに関連付けられているライセンス。現在のシャーシで使用されている機能の設定を解除し、同じライセンスを使用する必要がある新しいシャーシで機能を再設定します。新しいデバイスがcall-homeプロセス経由でHTTP/HTTPS要求を開始すると、再プロビジョニングが動的に行われます。
ノードロックライセンス：ライセンスは特定のデバイス/スロットに関連付けられます。	お客様のアカウントですでに作成されているライセンスプール。会社のアカウントに固有であり、会社の任意のASR9Kデバイスで使用できます。
購入したライセンスやソフトウェアの使用状況の傾向を表示するための共通のインストールベースの場所はありません。 ライセンスの簿記は、個々のシャーシ/システムに対して手動で行う必要があります。	ライセンスはシスコのバックエンドサーバに安全に保存され、24時間365日利用できます。ライセンス数は顧客アカウント/プール単位であり、多くのデバイスを同じプールに含めることができます。
追加ライセンスには、新しいPAKファイルと、デバイスとの手動による介入/対話が必要です。	追加ライセンスは、シスコのURLとバックエンドサーバで作成されたアカウントを指すWebブラウザを介して転送できます。基本的にはポイントアンドクリック操作です。
デバイス間でライセンスを簡単に転送する方法はありません。	ライセンスは、ソフトウェアをインストールしなくても製品インスタンス間で移動できます。また、Webインターフェイスを使用して、プール間でライセンスを簡単に転送することもできます。

運用ビュー

次の図は、2つのライセンス方式の比較を示しています。

スマートライセンスの手順は非常に簡単で直感的です。ギア/デバイスを購入すると、必要なライセンスを同時に注文することも、後で注文することもできます。シスコによるライセンスの購入およびプロビジョニングが完了した時点：

• シスコは、Webブラウザを使用して24時間365日ライセンス情報にアクセスするためのユーザ名、パスワード、およびUniform Resource Locator(URL)を提供します。

• このアカウントは、ライセンスを管理し、レポートを生成し、デバイスをグループ化し、ライセンスのプールを作成し、お客様/組織の運用ニーズを促進するその他の組織のニーズを作成します。

• このアカウントを使用すると、お客様はidtokenを生成できます。このidtokenは、お客様のデバイスと購入したライセンスエンタイトルメントを一意に識別します。トークンは1日から1年まで有効です。idtokenは、お客様がいつでも取り消し、削除、および再作成できます。これはセルフヘルプモデルです。

• お客様は、シスコが提供するアカウントで生成されたidtokenを使用して、1台のデバイスまたは1000台のデバイスを登録します。これは、同じトークンを使用できるデバイスの数に制限がないためです。このドキュメントでは、この機能を効率的に使用するためのヒントを提供しています。

• デバイスの登録は永続的で、システムのリロードとアップグレードを通じて維持されます。ASR9Kデバイスは、何らかの損失が発生した場合に、古いidtokenまたは新しいidtokenを使用して強制的に再登録することができます。

• 登録後に介入は必要ありません。ASR9Kシステムは、登録したアカウントに対して定期的にポーリングを行い、コンプライアンスを確認します。システムがOOCの場合、ユーザに警告するsyslogが生成されます。

Webインターフェイス/ポータル

登録プロセスが開始されるWebインターフェイスのクイックツアーを次に示します。

仮想アカウント(ライセンスプール)は、組織のニーズに応じてライセンスを論理的に格納および整理するために使用されます。ライセンスのコンテナであり、ライセンスを必要とする機能に対して登録されたデバイスです。サイトや部門ごとに1つのプールを作成できます。

ライセンスは、プール間で簡単に転送できます。

Idtokenはこのアカウントによって生成されるキーで、ASR9Kデバイスの登録に使用されます。有効期間は1日から1年までです。トークンの唯一の用途は、デバイスを登録することであり、その後は必要ありません。トークンは、リモートデバイスの登録を自動化するためにTcLまたはPythonスクリプトにコピーできるテキストのストリームです。

たとえば、ある日のトークンを作成してリモートサイトに送信し、デバイス登録のためにリモートハンドで使用できます。1日で期限が切れ、リモートハンドは他のデバイスを登録するためにそれを使用できません。会社に属さないデバイスの登録に使用した場合でも、デバイスは[Product Instance] タブに簡単に表示され、ライセンスを取り消すためのアクションを実行できます。

Reportは、さまざまな形式のインベントリを動的に生成し、オフラインでの使用、簿記、分析のためにExcel形式にエクスポートできます。

[License] タブには、さまざまなASR9Kデバイスによって要求されたライセンスが表示され、各ライセンスの数と状態が示されます。[Transfer] リンク項目をクリックすると、その項目を使用して、アカウント内の任意のプールとの間でライセンスを簡単に転送できます。

[Event Log] タブでは、プールに対するデバイスのアクティビティがsyslogタイプ形式で記録され、アカウントの各デバイスまたはユーザが実行するアクション（登録、登録解除など）がログに記録されます。このインターフェイスは、ナビゲーションやデバッグに簡単かつ直感的に使用できます。

コンフィギュレーション

この例では、従来のライセンスからスマートライセンスにアップグレードする方法を説明します。場合によっては、スマートライセンスがデフォルトになっている可能性があることに注意してください。

従来のライセンス

従来のライセンスを確認するには、いくつかのコマンドを管理プレーンから実行できます。スマートライセンスと比較して出力が異なる製品をいくつか示します。

注：従来のライセンスは、Cisco IOS XRリリース5.3.0以前のデフォルトのライセンスモードです。

RP/0/RSP1/CPU0:ROA(admin)#show license pools

Pool: Owner
Feature: A9K-24X10-OPT-LIC A9K-24X10-VID-LIC A9K-24X10G-AIP-SE A9K-24X10G-AIP-TR
 A9K-2X100-OPT-LIC A9K-2X100-VID-LIC A9K-2X100G-AIP-SE A9K-2X100G-AIP-TR
 A9K-36X10-OPT-LIC A9K-36X10-VID-LIC A9K-36X10G-AIP-SE A9K-36X10G-AIP-TR
 A9K-400G-AIP-SE A9K-400G-AIP-TR A9K-400G-OPT-LIC A9K-400G-VID-LIC
 A9K-800G-AIP-SE A9K-800G-AIP-TR A9K-800G-OPT-LIC A9K-800G-VID-LIC
 A9K-ADV-OPTIC-LIC A9K-ADV-VIDEO-LIC A9K-AIP-LIC-B A9K-AIP-LIC-E

RP/0/RSP1/CPU0:ROA(admin)#show license allocated

FeatureID: A9K-800G-AIP-SE (Slot based, Permanent)
Total licenses 1
Status: Allocated   1
   Pool: Owner
     Total licenses in pool: 1
     Status: Operational:   1
     Locations with licenses: (Active/Allocated) [SDR]
             0/0/CPU0       (0/1) [Owner]

従来のライセンスコマンドのサブセットもexec planeから実行できますが、完全なリストを持つadmin planeから実行することをお勧めします。

RP/0/RSP1/CPU0:ROA#show license ?    
WORD       Feature ID
active     Currently checked-out/being used by applications.
allocated  Allocated to a slot but not used.
available  Not currently active.
evaluation Display the evaluation licenses.
expired    Display evaluation licenses already expired.
location   Show information for a specific location
log        The operational or administrative logs.
|          Output Modifiers
<cr>

Smart Licensing

スマートライセンスはまだ有効になっていませんが、これがシステムに表示されます。

設定が適用されていない場合でも、call_homeのデフォルトの組み込みプロファイルではHTTPSが使用され、システム管理ポート経由でシスコのバックエンドサーバを指します。call_homeの詳細については、このドキュメントの後半を参照してください。

RP/0/RSP1/CPU0:ROA#show run call-home  
% No such configuration item(s)

RP/0/RSP1/CPU0:ROA#show call-home detail | i https
   http proxy: Not yet set up
   HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService

最小限の設定を行う場合は、ステップ1と4のみが必要です。残りの手順は、情報、検証、およびレポート用です。

1. adminモードで、次のコマンドを入力します。

   RP/0/RSP1/CPU0:ROA(admin-config)#license smart enable
   RP/0/RSP1/CPU0:ROA(admin-config)#commit

2. execモードで、電子メールアドレスなどのより多くのノブを設定するか、管理者設定がコミットされたときに自動的に生成されるこのデフォルトプロファイルを使用します。

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   contact-email-addr sch-smart-licensing@cisco.com
   profile CiscoTAC-1
   active
   destination transport-method http

3. adminモードで、Smart Licensingのバージョンを確認します。

   RP/0/RSP1/CPU0:ROA(admin)#show license version
   Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

4. adminモードで、次のコマンドを入力します。

   RP/0/RSP1/CPU0:ROA(admin)#license smart register idtoken
    NjgyMWM2NDItMzI5My00YzQ2LThmMDItMzhhNWI2Mzk2YWUwLTE0MzUzMzM3%
   0aMDQwNDB8SWRzSGkvR0d2MWZTZEhzK2RWUmJWMmh0U1ZIa2tBVzBLZKl1ZHhs%0AZGRPbz0%3D%0A ?
   force Force Registration
   <cr>  
   
   license smart register: Registration process is in progress. Please check
    the syslog for the registration status and result

   キーワードForceは、以前に登録されたデバイスに関するすべての情報を上書きして消去します。キーワードforceは慎重に、また特別な場合に使用する必要があります。または、Webユーザインターフェイス(WUI)を使用して、アカウントからデバイスを削除することもできます。

5. オペレーションのステータスを問い合せます。

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Completed
          Registration Start Time: Wed Dec 17 2014 13:07:23 PST
          Next ID Cert Renew Time: Mon Jun 15 2015 14:07:45 PST
          Next ID Cert Expiration Time: Thu Dec 17 2015 13:01:41 PST
          Last Response Time: Wed Dec 17 2014 13:07:45 PST
          Last Response Message: OK: OK

   [Status]が[Completed]でない場合は、コンソールまたはsyslogにメッセージが表示されます。成功したsyslogメッセージを次に示します。

   RP/0/RSP1/CPU0:Dec 17 13:07:45.285 : licmgr[310]: SMART_LIC-6-AGENT_REG_SUCCESS:
   Smart Agent for Licensing Registration with Cisco licensing cloud successful
   RP/0/RSP1/CPU0:Dec 17 13:08:18.357 : licmgr[310]: SMART_LIC-3-OUT_OF_COMPLIANCE:
   One or more entitlements are out of compliance':

6. このシステムでは、ライセンスを必要とする機能はほとんど設定されておらず、次の出力は「Out of compliance」のステータスを示しています。

   RP/0/RSP1/CPU0:ROA(admin)#show license entitlement | i Tag | e Not | u sort
      Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,
   1.0_66d3ccf7-a374-4409-a3f9-6bc56d645f1c, Version: 1.0, Enforce Mode:
    Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10-VID-LIC,1.0_9f03b94f-3c76-4a39-82f2
   -1b53cdf5cb15, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10G-AIP-TR,1.0_e5d7cec3-e8e3-43c6-88c9
   -a113b76679f8, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-OPT-LIC,1.0_0f74bb00-42af-4c4d-b162
   -bcb346c7510a, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-VID-LIC,1.0_a482b964-6371-4aad-8e82
   -2083c5749205, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100G-AIP-SE,1.0_ce447831-e4af-4def-a98b
   -3297fab65561, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-36X10-OPT-LIC,1.0_92a8597a-f591-4afc-adeb
   -9b212cee11be, Version: 1.0, Enforce Mode: Out of compliance

7. 従来のライセンスで使用したコマンドの出力は異なります。

   スマートライセンスまたは従来のライセンスCLIは、いつでも使用できます。両方を使用することはできません。

   プール名は、デバイスを整理/分類するために使用されます。地域/地域、部門または機能領域、または財務グループごとに1つのプールを使用できます。各企業は、ピジョンホールライセンスをどのように購入したいかを決定できます。また、プール間でのライセンスの表示、変更、または移動、ライセンス数の追加または変更を通常のブラウザで簡単に行うことができ、シスコの支援がなくても24時間いつでも簡単に行うことができます。

   RP/0/RSP1/CPU0:ROA(admin)#show license pool
   Assigned Pool Info: PATRICK_NO_LIC

8. ここから、システムはコンプライアンスを毎日自動的にチェックします。障害が発生した場合、システムは20分ごとに4時間、その後は1日1回、30日間試行します。接続、到達可能性、通信などの障害の理由を示すsyslogメッセージが表示されます。デバッグについては、このドキュメントの後半で説明します。
9. デバイスの登録を解除するには、次のコマンドを入力します。

   RP/0/RSP1/CPU0:ROA(admin)#license smart deregister
   
   license smart deregister: Success
   
   
   License command "license smart deregister " completed successfully. 

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Not Registered

10. 特定のシャーシで使用可能なライセンスを確認するには、次のコマンドを入力します。

    RP/0/RSP1/CPU0:ROA(admin)#show license features
    
    Platform Feature ID:
    A9K-ADV-OPTIC-LIC
    A9K-ADV-VIDEO-LIC
    A9K-iVRF-LIC
    A9K-AIP-LIC-B
    A9K-AIP-LIC-E
    A9K-MOD80-AIP-TR
    A9K-MOD80-AIP-SE
    A9K-MOD160-AIP-TR
    A9K-MOD160-AIP-SE
    A9K-2X100G-AIP-TR
    . . . output snipped . . .

アプリケーションの分析とフロー

アプリケーションのメカニズムを理解するには、そのコンポーネントに関する基本的な知識が必要です。ただし、本ソフトウェアの運用または導入に関しては、公開されているガイドラインに従う以外に、事前の知識は必要ありません。このセクションは、詳細を知りたいテクニカルスタッフおよびエンジニアを対象としています。

導入、設定、およびオプション

Smart Licensingは、お客様のセキュリティ、管理性、および運用モードに関する要件に応じて、いくつかのシナリオで導入できます。

以下に、いくつかの例を示します。

• ASR9Kがシスコのクラウド/バックエンドサーバと「直接接続」することを許可しないことを選択できます。この場合、社内で「プロキシ」サーバを使用して、ファイアウォール、トラフィックフロー、およびSmart Licensingアプリケーションが組織のセキュリティニーズにどのように適合するかを管理できます。これは、WindowsまたはLinux OS上で動作するオープンソースのApacheソフトウェアを使用して簡単に設定できます。
• または、すべてのASR9Kデバイスをアグリゲータホストに接続し、すべてのASR9Kデバイスからのすべてのローカル要求を受信してから、シスコのバックエンドサーバに転送することもできます。これは、LinuxおよびWindowsで動作するTransport Gatewayソフトウェアのジョブで、Cisco Transport-Gatewayダウンロードでダウンロードできます。
• または、LinuxおよびWindows上で稼働するオンプレミスのソフトウェアを使用して完全にオフラインで運用し、シスコクラウドとのライセンス情報交換の通話を行い、エンドデバイスにコンプライアンスの状態に関する情報を提供するために「このオンプレミスのホスト」のみを使用することもできます。このソフトウェアはリリース 5.3.1 以降で利用できます。

HTTPSのサポートに加えて、ソフトウェアをVirtual Routing Forwarding(VRF)設定で実行するように設定することもできます。これにより、ライセンス情報の転送方法をより細かく制御できます。

さらに、IPv6はネイティブにサポートされており、インターネット経由でシスコのバックエンドサーバと通信するために必要なのはシステム上の有効なIP6アドレスだけです。

これらの設定では、外部ネットワークに到達するためにホスト名を解決できるように、ドメインネームシステム(DNS)またはIPv4/IPv6ドメインホストでASR9Kが設定されていることを前提としています。

システムとバックエンド証明書サーバの同期を維持するには、ネットワークタイムプロトコル(NTP)の設定が必要です。

RP/0/RSP0/CPU0:ROA#show run domain
domain name cisco.com
domain list cisco.com
domain name-server 171.70.168.183
domain name-server 2001:420:68d:4001::a

RP/0/RSP0/CPU0:ROA#show run | i ipv6 host
Building configuration...
domain ipv6 host tools.cisco.com 2001:420:1101:5::a

HTTPプロキシの設定

Apacheの設定はこの文書の範囲外ですが、インターネット上には手順を説明できる優れた文書がたくさんあります。この機能を実証するために、Apacheはポート80の簡易プロキシ用に設定されています。次に示すApacheのmod_proxyのデバッグ出力を参照してください。

ただし、Smart Licensingの設定は非常に簡単で、プロキシサーバの名前とポートを指定するだけです。この設定では、シスコのバックエンドサーバに直接連絡する代わりに、プロキシサーバに要求を転送するだけです。プロキシサーバは、要求を転送するように設定されているトランスポートを介してサーバに接続します。HTTPSを使用することを推奨します。http-proxy mybastion.cisco.com port 80を除き、他の設定は必要ありません。

RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
http-proxy mybastion.cisco.com port 80
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http

登録コマンドadmin license smart register idtoken <idtoken>を入力し、出力にASR9Kによる要求/応答が表示されることを確認します。タイムスタンプとSuccess列のカウンタに注意してください。

RP/0/RSP0/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT        1       0       0       0       2015-01-12 21:06:56
DEREGISTRATION     0       0       0       0             n/a
REGISTRATION       1       0       0       0       2015-01-12 21:06:21
ACKNOWLEDGEMENT    1       0       0       0       2015-01-12 21:06:38

次に、要求がポート443、HTTPSプロトコルで送信されたことを示すApacheアクセスログのスニペットを示します。

root@mybastion:/var/log/httpd #tail -f proxy-*

==> proxy-error.log <==
[Mon Jan 12 21:06:10 2015] [debug] mod_proxy_connect.c(70): proxy: CONNECT:
 canonicalising URL tools.cisco.com:443
[Mon Jan 12 21:06:10 2015] [debug] proxy_util.c(1515): [client 172.27.130.65] proxy:
 *: found forward proxy worker for tools.cisco.com:443
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(109): [client 172.27.130.65]
 (70014)End of file found: proxy: CONNECT: error on client - ap_get_brigade
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(425): proxy: CONNECT:
 finished with poll() - cleaning up

==> proxy-access.log <==
172.27.130.65 - - [12/Jan/2015:21:06:10 -0800] "CONNECT tools.cisco.com:443 HTTP/1.1" 200 -

Transport Gatewayの設定

このシナリオでは、Transport GatewayアプリケーションをLinuxまたはWindowsホストにインストールし、顧客宅内のASR9Kデバイスからライセンス要求を受信して、シスコのバックエンドサーバに中継するように設定します。詳細については、『Transport Gateway導入およびユーザガイド』を参照してください。

ASR9Kの設定は1行だけです。次に例を示します。ご使用の環境に必要な正確な設定については、マニュアルを参照してください。

call-home
profile CiscoTAC-1
destination address http
https://TG-IP-or-FQDN/Transportgateway/services/DeviceRequestHandler

VRFの設定

VRFを使用すると、管理トラフィックをより詳細に制御でき、Smart Licensingに対してほぼ透過的です。ただし、Smart Licensingソフトウェアがシスコのバックエンドサーバに到達しようとする際に、基盤となるソフトウェアがグローバルテーブルではなくVRFテーブルを参照するようにするには、1行の設定が必要です。

ここに表示される文字列は、システムで設定されているVRF名です。

RP/0/RSP0/CPU0:ROA(config)#http client vrf MGMT

Call Homeの詳細出力

Call Homeが正常に動作しているかどうかを確認するための出力例を次に示します。

RP/0/RSP0/CPU0:ROA#show call-home detail

Current call home settings:
   call home feature : enable
   call home message's from address: mylab-roa@cisco.com ; optional, any address
   call home message's reply-to address: pasoltan@cisco.com ; optional,
 recipient address

   vrf for call-home messages: Not yet set up ; Not supported natively yet

   contact person's email address: sch-smart-licensing@cisco.com ; default

   contact person's phone number: +1-408-526-8438 ; optional
   street address: 1550 Soltani Lane, Cisco System Drive, North Pole, NP 99709
   customer ID: Not yet set up
   contract ID: Not yet set up
   site ID: BUILDING20-125 ; optional

   source interface: Not yet set up ; can be configured to use a specific interface.
   Mail-server[1]: Address: bastion.cisco.com Priority: 1 ; optional
   Mail-server[2]: Address: 171.68.58.10 Priority: 10     ; optional
   Mail-server[3]: Address: 173.37.183.72 Priority: 20   ; optional
   http proxy: Not yet set up ; when configured will change.

   Smart licensing messages: enabled
   Profile: CiscoTAC-1 (status: ACTIVE) ; default profile supported.
Can not be renamed, deleted, but can be modified, activated, deactivated.

   aaa-authorization: disable      ; optional
   aaa-authorization username: callhome (default) ; default
   data-privacy: normal     ; can be configured to use the hostname or not.
   syslog throttling: enable

   Rate-limit: 5 message(s) per minute

   Snapshot command: Not yet set up
; Non-smart licensing configuration for alerts, data collection, defaults.
Available alert groups:
   Keyword                State   Description
   ---------------------- ------- -------------------------------
   configuration         Enable configuration info
   environment           Enable environmental info
   inventory             Enable inventory info
   snapshot              Enable snapshot info
   syslog                Enable syslog info

Profiles:

Profile Name: CiscoTAC-1
   Profile status: ACTIVE
   Profile mode: Full Reporting
   Reporting Data: Smart Call Home, Smart Licensing
   Preferred Message Format: xml
   Message Size Limit: 3145728 Bytes
   Transport Method: http
   Email address(es): callhome@cisco.com
   HTTP address(es): ; Only configuration needed if default is not desired.
http://tools.cisco.com/its/service/oddce/services/DDCEService
                       https://tools.cisco.com/its/service/oddce/services/DDCEService

   Periodic inventory info message is scheduled every 23 day of the month at 11:2

   Alert-group              Severity
   ------------------------ ------------
   environment               minor      
   inventory                 normal    

   Syslog-Pattern           Severity
   ------------------------ ------------
   .*                        critical

Call Home非スマートライセンスの設定オプション

Call Homeは、syslogおよび診断データの収集とコアダンプを実行するように設定したり、完了するスマートライセンスの処理に加えて、イベントなどの電子メール通知を送信するように設定できます。

https://tools.cisco.com/sch/reports/deviceReport.doでスマートライセンスのユーザ名とパスワードを使用して、Call Homeの収集情報を表示できます。

この機能を使用して環境を改善する方法の詳細については、「関連情報」セクションにリンクされているドキュメントを参照してください。電子メール通知の例は、「オッズとエンド」セクションにも記載されています。

デバッグ

パッケージを構成する多くのコンポーネントが原因で、Smart Licensingソフトウェアをデバッグするための厳密で迅速なルールはありません。しかし、いくつかの一般的なアプローチ方法によって、通常は問題が絞り込まれます。ここでは、いくつかの提案です。

Syslog

まずsyslogを調べます。最初にチェックする必要があるコンポーネントに関する手がかりが得られます。これらのメッセージには、証明書の問題とCall Home HTTPメッセージの送信の失敗が含まれており、最終的に通信が復元されます。

RP/0/RSP0/CPU0:ROA#sh log | i SMART

RP/0/RSP1/CPU0:Dec 17 20:01:28.522 : licmgr[308]: SMART_LIC-3-ID_CERT_RENEW_FAILED:
ID certificate renewal failed: Response error: {"product_instance_identifier":
["ProductInstance '8baecfb5-2688-429b-8519-10a3f0dec6b5' is not valid"]}

RP/0/RSP1/CPU0:Dec 17 20:01:34.273 : licmgr[308]: SMART_LIC-3-AUTH_RENEW_FAILED:
Authorization renewal with Cisco licensing cloud failed: Response error:
 LS_UNMATCH_SIGNED_DATA: Signed data and certificate does not match

RP/0/RSP0/CPU0: Dec 17 18:26:24.009 : licmgr[314]: SMART_LIC-3-COMM_FAILED:
Communications failure with Cisco licensing cloud: Fail to send out Call Home
 HTTP message

RP/0/RSP0/CPU0:Dec 17 18:28:03.057 : licmgr[314]: SMART_LIC-3-AGENT_REG_FAILED:
Smart Agent for Licensing Registration with Cisco licensing cloud failed:
 Communication message send error

RP/0/RSP0/CPU0:Dec 17 18:30:09.247 : licmgr[314]: SMART_LIC-5-COMM_RESTORED:
Communications with Cisco licensing cloud restored

RP/0/RSP0/CPU0:Dec 17 18:30:21.923 : licmgr[314]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful

showコマンドの出力をチェックして、ボックス/コンポーネントの状態を把握します。ここでは、モビリティ、インターネットプロトコルセキュリティ(IPsec)、およびオプティカルライセンスが表示されます。

RP/0/RSP0/CPU0:ROA#admin show license entitlement
Entitlement:
  Tag: regid.2014-06.com.cisco.A9K-MOBILE-LIC,1.0_e447924c-0a6f-41be-9202-8ae60fcc2972,
 Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-09.com.cisco.A9K-IPSEC-20G-LIC,1.0_a165db99-eb3f-474b-bdf0-
ce4b140d9b45, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

 Tag: INSTALLMGR, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,1.0_66d3ccf7-a374-4409-a3f9-
6bc56d645f1c, Version: 1.0, Enforce Mode: Out of compliance
  Requested Time : Mon Jan 12 2015 20:47:07 PST, Requested Count: 1
  Vendor String:
... output snipped ...

ライセンスのコンプライアンスを確認します。

RP/0/RSP0/CPU0:ROA#admin show license status
Compliance Status: Out of compliance

どのプールがアクティブであるかを確認します。

RP/0/RSP0/CPU0:ROA#admin show licence pool
Assigned Pool Info: PATRICK_NO_LIC

ライセンス証明書を確認します。

RP/0/RSP0/CPU0:ROA#admin show license cert
 Licensing Certificates:
   ID Cert Info:
    Start Date: Mon Jan 12 2015 21:00:13 PST. Expiry Date: Tue Jan 12 2016 21:00:13 PST
    Serial Number: 24724
    Version: 3
    Subject/SN: 60fe47f8-aaaa-40fc-ae3e-fae9c7b6d0ac
    Common Name: 138091632beb1f2e38069e9eec8f9c626de471ac::1,2
   Signing Cert Info:
    Start Date: Wed Sep 11 2013 12:05:34 PST. Expiry Date: Sun May 30 2038 12:48:46 PST
    Serial Number: 3
    Version: 3

ライセンスのバージョンを確認します。

RP/0/RSP0/CPU0:ROA#admin show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

このコマンドは、成功または失敗したcall-homeの試行に関する統計情報を表示します。

RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
REGISTRATION    1       0       0       0       2014-12-17 21:07:53
ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
RENEW           1       0       0       0       2014-12-17 21:08:57 

Call Homeプロセス

次に、call_homeプロセスのトレースファイルを確認します。これは、ASR9KとCiscoクラウド間の転送がASR9Kによって管理されるためです。

RP/0/RSP0/CPU0:ROA#show call-home trace error last 2

81 wrapping entries (576 possible, 320 allocated, 0 filtered, 81 total)!
Jan 28 10:10:29.729 call_home/error 0/RSP0/CPU0 t10 call_home_http_resp_data(),
 httpc response error, Host name resolution failed

Jan 28 10:10:39.730 call_home/error 0/RSP0/CPU0 t19 call_home_events_handler() failure status 67

Smartlicチェック（ソフトウェアエージェント）

Smartlicトレースを確認します。これらのトレースは、Ciscoクラウドサーバとのライセンスの相互作用を示しています。

RP/0/RSP0/CPU0:ROA#admin show license trace smartlic last 2
987 wrapping entries (1088 possible, 0 filtered, 987 total)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 Failed to bind to SysDB - 'Subsystem(2091)' detected the 'success' condition
 'Code(45)': Unknown Error(292)

Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 SMART ERROR - SASACKExpirationJob: expirySeconds=3842

Licmgrプロセスの確認

このプロセスは、ASR9Kのスマートライセンスへの主要なインターフェイスであり、さまざまなコンポーネント間の連携を考慮しています。

RP/0/RSP1/CPU0:ROA#admin show license trace
557 wrapping entries (576 possible, 0 filtered, 5403 total)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 Client search success pkg/bin/rsi_agent (No error)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 A9K-MOD160-AIP-SE regid.2014-06.com.cisco.A9K-MOD160-AIP-SE,
1.0_7f1b3d9c-a183-41d1-8d0b-d98dcc2751a8 (No error)

プラットフォーム依存トレース

コードのプラットフォーム依存(PD)部分は単なるダイナミックリンクライブラリですが、ライセンスの権限付与の要求をトリガーする上で重要な役割を果たします。したがって、ライセンスの種類、数などに関する問題が解決されます。

RP/0/RSP1/CPU0:ROA#admin show license trace platform all last 5
1849 wrapping entries (5440 possible, 3136 allocated, 0 filtered, 183450 total)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start: ver:1,
 node:0x00000041 cmd:Audit(5) req:Mobile(9) feature:A9K-MOBILE-LIC(13) grant:
 Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start #2:
 client restarted:False up for a day:True
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License Start:
 request:Mobile(9) slot:4 grant:Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License End:
 request:Mobile(9) slot:4 grant:Not Pending(0) rc: 0x00000000 No error
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Cmd End:Audit(5),
 slot:4 rc:0x00000000 No error

デバッグをオンにする

他のすべてが失敗した場合は、デバッグをオンにし、証明書または資格の更新のためのオンデマンド要求を入力します。このデバッグでは、ASR9KとCisco Cloud Services間のすべてのトランザクションを収集する必要があります。

RP/0/RSP0/CPU0:ROA#debug smartlic
RP/0/RSP1/CPU0:ROA#show debug

#### debug flags set from tty 'aux0_RSP1_CPU0' ####
smartlic debug flag is ON with value 0

UI/Cisco Cloud Serverの直接デバッグは使用できません。問題がある場合は、asr9k-smart-lic@cisco.comに電子メールを送信します。

オッズとエンド

1. 複数のボックスが同じライセンスプールから権限を取得するように設定されている場合、1つのライセンスで短いデバイスが1つだけの場合でも、すべてのデバイスがOOCになります。これは主に、コンテナとしてプールのビューを持つ設計によるものです。新しいモデルであるプールの階層構造は、将来のリリースでの動作に対応しています。
2. コンソールから直接showコマンドの出力を電子メールで受け取ります。各コマンドの後には二重引用符を付け、セミコロンを使用します。Call Homeは、スマートライセンスに関連しない多くの操作を実行します。次に、Call Homeの使用例を示します。これは、任意の環境に合わせて変更できる実行コンフィギュレーションです。

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   site-id BUILDING20-125
   sender reply-to pasoltan@cisco.com
   sender from roa@cisco.com
   alert-group syslog
   alert-group snapshot
   alert-group inventory
   mail-server 171.68.58.10 priority 10
   mail-server 173.37.183.72 priority 20
   mail-server 2001:420:303:2008::24 priority 2
   mail-server mybastion.cisco.com priority 1
   phone-number +1-408-526-8438
   contact-email-addr sch-smart-licensing@cisco.com
   street-address 1550 E.Tasman Drive, San Jose, CA 9513
   profile CiscoTAC-1
   active
   destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
   reporting smart-call-home-data
   reporting smart-licensing-data
   destination transport-method http
   
   RP/0/RP1/CPU0:ROA#call-home send "show run call; admin show platform"
    email pasoltan@cisco.com msg-format long-text
   
   Sending ondemand CLI output call-home message ...
   Please wait. This may take some time ...

3. show call-home smartlic statusコマンドでは、「success」という単語が使用されています。これは、単にコールホームプロセスの観点から見ると、ASR9KからCiscoクラウドサーバへのメッセージの転送が成功したことを意味します。ただし、これはCisco Cloud Serverのエンドツーエンドのライセンス操作が成功したことを意味するものではありません。たとえば、アカウントや証明書に問題がある場合、Call Homeはメッセージを転送して成功を示しますが、バックエンドサーバによるライセンスの検証の合計操作は失敗する可能性があります。

   RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
   Success: Successfully sent and response received.
   Failed : Failed to send or response indicated error occurred.
   Inqueue: In queue waiting to be sent.
   Dropped: Dropped due to incorrect call-home configuration.
   
   Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
   ----------------------------------------------------------------------
   ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
   DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
   REGISTRATION    1       0       0       0       2014-12-17 21:07:53
   ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
   RENEW           1       0       0       0       2014-12-17 21:08:57

4. IPv4とIPv6の両方を使用して管理インターフェイスを設定する場合、名前をIPアドレスまたはDNS解決に解決する順序は最初にIPv6になります。

   RP/0/RSP1/CPU0:ROA#show run int M*
   interface MgmtEth0/RSP0/CPU0/0
   cdp
   ipv4 address 172.27.130.64 255.255.255.128
   ipv6 address fe80::172:27:130:64 link-local
   ipv6 address 2001:420:303:2008:0:28:1:64/80
   ... snipped output ...

   RP/0/RSP1/CPU0:ROA#ping tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 2001:420:1201:5::a, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 44/45/49 ms

   RP/0/RSP1/CPU0:ROA#ping ipv4 tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 173.37.145.8, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 43/44/45 ms

関連情報

• Smart Call Homeユーザガイド – HTML
• Smart Call Homeユーザガイド – PDF
• Smart Call Homeセキュリティ
• シスコ サポート コミュニティ
• ビデオ：Call Homeの設定
• スマートライセンスコマンド – HTML
• スマートライセンスコマンド – PDF
• 一般情報：スマートライセンス
• スマートライセンスに関するFAQ
• Transport Gatewayガイド
• Transport Gateway FAQ
• テクニカル サポートとドキュメント – Cisco Systems