はじめに

このドキュメントでは、Catalyst 9800ワイヤレスLANコントローラ(WLC)でのポリシー(SLUP)を使用したスマートライセンス(SLUP)の設定とトラブルシューティングの方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• ポリシーを使用したスマートライセンス(SLUP)
• Catalyst 9800ワイヤレスLANコントローラ(WLC)

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

1. Cisco Smart Software Manager Cloud(CSSM Cloud)への直接接続
2. CSLU（Ciscoスマートライセンスユーティリティマネージャ）経由でCSSMに接続
3. オンプレミスのSmart Software Manager(SSM)経由でCSSMに接続（オンプレミスSSM）

この記事では、Catalyst 9800でのスマートライセンスのシナリオをすべてカバーしているわけではありません。詳細については、『ポリシー設定を使用したスマートライセンス』を参照してください。ただし、この記事では、Catalyst 9800でのポリシーの問題を使用した直接接続、CSLU、およびオンプレミスのSSMスマートライセンスのトラブルシューティングに役立つ一連のコマンドを示します。

オプション 1Cisco Smart Licensing Cloud Server(CSSM)への直接接続

オプション 2CSLU経由の接続

オプション 3オンプレミススマートソフトウェアマネージャ経由の接続（オンプレミスSSM）

注：この記事に記載されているすべてのコマンドは、バージョン17.3.2以降を実行するWLCにのみ適用できます。

従来のライセンスとSLUP

ポリシーを使用したスマートライセンス機能は、コードバージョン17.3.2でCatalyst 9800に導入されました。最初の17.3.2リリースでは、17.3.3リリースで導入されたWLC webUIのSLUP設定メニューが表示されません。SLUPは、いくつかの点で従来のスマートライセンスと異なります。

• WLCは、smartreceiver.cisco.comドメインではなく、tools.cisco.comドメインを介してCSSMと通信します。
• 登録する代わりに、WLCはCSSMまたはオンプレミスSSMとの信頼を確立します。
• CLIコマンドは若干変更されています。
• スマートライセンス予約(SLR)は廃止されました。代わりに、使用状況を定期的に手動でレポートできます。
• 評価モードはなくなりました。WLCは、ライセンスがなくてもフル機能で機能し続けます。このシステムは自己申告ベースであり、定期的に（エアギャップのあるネットワークの場合は自動または手動で）ライセンスの使用状況をレポートします。

コンフィギュレーション

直接接続CSSM

CSSMでトークンが作成されたら、信頼を確立するために次のコマンドを実行する必要があります。

注：Token Max.HA SSOのWLCの場合、使用数は2以上である必要があります。

configure terminal
ip http client source-interface <interface>
ip http client secure-trustpoint <TP>
license smart transport smart
license smart url default
exit
write memory
terminal monitor
license smart trust idtoken <token> all force

• ip http client source-interfaceコマンドでは、ライセンス関連のパケットの送信元となるL3インターフェイスを指定します
• ip http client secure-trustpointコマンドでは、CSSM通信に使用するトラストポイント/証明書を指定します。トラストポイント名は、show crypto pki trustpointsコマンドを使用して確認できます。自己署名証明書TP-self-signed-xxxxxxxxxx証明書、または製造元でインストールされる証明書（MICとも呼ばれ、9800-40、9800-80、および9800-Lでのみ使用可能）を使用することをお勧めします。通常はCISCO_IDEVID_SUDIと呼ばれます。
• terminal monitorコマンドは、WLCにログをコンソールに表示させ、信頼が正常に確立されたことを確認できるようにします。terminal no monitorを使用して無効にできます。
• 最後のコマンドのキーワードallは、HA SSOクラスタ内のすべてのWLCに対して、CSSMとの信頼を確立するように指示します。
• キーワードforceは、WLCに対して、以前に確立された信頼のいずれかを上書きして、新しい信頼を試行するように指示します。

注：信頼が確立されていない場合、9800はコマンドが実行されてから1分後に再試行し、しばらく再試行しません。新しい信頼確立を強制するには、再度tokenコマンドを入力します。

CSLUに接続

Cisco Smart License Utility Manager(CSLU)は、Windowsベースのアプリケーション（Linuxでも使用可能）です。このアプリケーションを使用すると、お客様は、ライセンスおよび関連する製品インスタンスを自社で管理できます。スマートライセンス対応の製品インスタンスをCisco Smart Software Manager(CSSM)に直接接続する必要はありません。

このセクションでは、9800ワイヤレス設定のみをカバーしています。CSLUを使用してライセンスを設定するには他の手順（CSLUのインストール、CSLUソフトウェアの設定など）も実行します。これについては『設定ガイド』を参照してください。製品インスタンスから開始する方法とCSLUから開始する方法のいずれの方法を実装するか、または対応する一連のタスクを実行するか、を選択します。

製品インスタンス起動 

1. コントローラからCSLUへのネットワーク到達可能性の確認 
2. トランスポートタイプがcsluに設定されていることを確認します。 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. コントローラでCSLUを検出する場合は、次の操作を実行する必要があります。DNSを使用してCSLUを検出する場合は、何もする必要はありません。URLを使用して検出する場合は、次のコマンドを入力します。 
   

   (config)#license smart url cslu http://<cslu_ip>:8182/cslu/v1/pi
   (config)#exit
   #copy running-config startup-config

CSLU開始 

CSLU開始通信を設定する場合、必要な唯一のアクションは、コントローラからCSLUへのネットワーク到達可能性を確認し、確認することです。 

オンプレミスのSSMに接続

オンプレミスSSMでの設定は、直接接続に非常によく似ています。オンプレミスでは、バージョン8-202102以降を実行する必要があります。SLUPリリース（17.3.2以降）では、CSLU URLとトランスポートタイプを使用することを推奨します。このURLは、オンプレミスWebUIインターフェイスのSmart Licensing > Inventory > <Virtual Account> > Generalセクションから取得できます。

configure terminal
 ip http client source-interface <interface>
 ip http client secure-trustpoint <TP>
 license smart transport cslu
 license smart url cslu http://<SSMOn-PremIP>/cslu/v1/pi/<tenantID> (see previous paragraph on how to get exact URL)
 crypto pki trustpoint SLA-TrustPoint
  revocation-check none 
 exit
write memory
terminal monitor

オンプレミスSSMでは、信頼トークンを使用する必要はありません。

HTTPSプロキシによるスマートトランスポートの設定

スマートトランスポートモードの使用時にプロキシサーバを使用してCSSMと通信するには、次の手順を実行します。

configure terminal
  ip http client source-interface <interface>
  ip http client secure-trustpoint <TP>
  license smart transport smart
  license smart url default
  license smart proxy address <proxy ip/fqdn>
  license smart proxy port <proxy port>
exit
write memory
terminal monitor
license smart trust idtoken <token> all force

通信周波数

CLIまたはGUIで設定できるレポート間隔は影響しません。

9800 WLCは、WebインターフェイスまたはCLIを使用してどのレポーティングインターバルが設定されていても、CSSMまたはオンプレミスのSmart Software Manager(SSM)と8時間ごとに通信します。つまり、新しく加入したアクセスポイントは、最初に加入してから最大8時間後までCSSMに表示されます。

ライセンスが次回計算され、レポートされる時刻は、show license air entities summaryコマンドで表示できます。このコマンドは、一般的なshow techコマンドやshow license allコマンドの出力には含まれていません。

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

ライセンスの初期設定へのリセット

Catalyst 9800 WLCでは、すべてのライセンス設定とtrust factoryによるリセットを使用でき、その他の設定は保持されます。これにはWLCのリロードが必要です。

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

RMAまたはハードウェア交換の場合

9800 WLCを交換する必要がある場合、新しいデバイスはCSSM/オンプレミスSmart Software Managerに登録する必要があり、新しいデバイスとして認識されます。以前のデバイスのライセンス数をリリースするには、「製品インスタンス」で手動で削除する必要があります。

特定のライセンス登録(SLR)からのアップグレード

17.3.2よりも前の古いWLCリリースでは、Specific License Registration(SLR)と呼ばれる特別なオフラインライセンス方式が使用されていました。このライセンス方式は、SLUP（17.3.2以降）を使用するリリースでは非推奨となっています。

SLRを使用していた9800コントローラをリリース17.3.2または17.4.1以降にアップグレードする場合は、SLRコマンドを使用するのではなく、オフラインのSLUPレポートに移行することをお勧めします。ライセンス使用状況RUMファイルを保存し、スマートライセンスポータルに登録します。新しいリリースではSLRが存在しなくなったため、正しいライセンス数が報告され、未使用のライセンスが解放されます。ライセンスはブロックされなくなりますが、正確な使用数がレポートされます。

トラブルシューティング

インターネットアクセス、ポートチェック、Ping

従来のスマートライセンスで使用されていたtools.cisco.comの代わりに、新しいSLUPではsmartreceiver.cisco.comドメインを使用して信頼を確立します。この記事を書いている時点で、このドメインは複数の異なるIPアドレスに解決されます。すべてのアドレスにpingが通るわけではありません。WLCからのインターネット到達可能性テストとしてpingを使用することはできません。これらのサーバに対してpingを実行できないことは、サーバが正常に動作していないことを意味するものではありません。

pingの代わりに、到達可能性テストとしてポート443経由のtelnetを使用する必要があります。Telnetは、smartreceiver.cisco.comドメインに対して、またはサーバのIPアドレスに対して直接確認できます。トラフィックがブロックされていない場合、ポートは出力でオープンとして表示される必要があります。

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]

Syslog

トークンの設定中にterminal monitorコマンドが有効になっている場合、WLCはCLIで関連ログを出力します。これらのメッセージは、show loggingコマンドを実行して取得することもできます。信頼が正常に確立された場合のログは次のようになります。

WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.

DNSサーバが定義されていない、または機能していないDNSサーバがあるWLCのログ：

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

DNSサーバは機能しているが、インターネットにアクセスできないWLCのログ：

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

パケット キャプチャ

WLCとCSSM/オンプレミスSSM間の通信は暗号化され、HTTPSを経由しますが、パケットキャプチャを実行すると、信頼が確立されない原因が明らかになります。パケットキャプチャを収集する最も簡単な方法は、WLC Webインターフェイスを使用する方法です。

Troubleshooting > Packet Captureの順に移動します。新しいキャプチャポイントを作成します。

Monitor Control Planeチェックボックスがオンになっていることを確認します。バッファサイズを最大100 MBに増やします。キャプチャする必要があるインターフェイスを追加します。スマートライセンスのトラフィックは、デフォルトではワイヤレス管理インターフェイスから、またはip http client source-interfaceコマンドで定義されたインターフェイスから、送信されます。

キャプチャを開始し、license smart trust idtoken <token> all forceコマンドを実行します。

信頼確立のパケットキャプチャには、次の手順が含まれている必要があります。

1. SYN、SYN-ACK、およびACKシーケンスを使用したTCPセッションの確立
2. サーバとクライアントの両方の証明書交換によるTLSセッションの確立確立は、新しいセッションチケットパケットで終了します
3. WLCがライセンス使用状況をレポートする暗号化パケット交換(アプリケーションデータフレーム)
4. FIN-PSH-ACK、FIN-ACK、およびACKシーケンスによるTCPセッションの終了

注：パケットキャプチャには、TCPウィンドウアップデートとアプリケーションデータフレームの倍数を含む、さらに多くのフレームが含まれています

CSSMクラウドは3つの異なるパブリックIPアドレスを使用するため、WLCとCSSM間のすべてのパケットキャプチャをフィルタリングするには、次のWiresharkフィルタを使用します。

ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144 

オンプレミスSSMを使用している場合は、SSMのIPアドレスをフィルタリングします。

ip.addr==<on-prem-ssm-ip>

例：フィルタリングされたすべての重要なパケットキャプチャを使用して、直接接続されたCSSMを使用した、正常な信頼確立のパケットキャプチャ。

show コマンド

次のshowコマンドには、信頼の確立に関する有用な情報が含まれています。

show license status
show license summary
show tech-support license
show license tech-support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

show license history messageコマンドは、WLCから送信されCSSMから受信した実際のメッセージを表示できるため、より便利なコマンドの1つです。

信頼が正常に確立されると、「REQUEST: Aug 23 10:18:08 2021 Central」と「RESPONSE: Aug 23 10:18:10 2021 Central」の両方のメッセージが表示されます。RESPONSE行の後に何もない場合は、WLCがCSSMから応答を受信しなかったことを意味します。

次に、信頼が正常に確立された場合のshow license historyメッセージの出力例を示します。

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

デバッグ/btrace

license smart trust idtoken all forceコマンドを使用して信頼確立が試行されてから数分後にこのコマンドを実行します。IOSRPログは非常に詳細です。追加 | include smart-agent」コマンドを実行して、スマートライセンスのログのみを取得します。

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

また、次のデバッグを実行してから、ライセンスコマンドを再設定して、新しい接続を強制的に使用することもできます。

debug license events
debug license errors
debug license agent all

一般的な問題

WLCにインターネットアクセスがない、またはファイアウォールがトラフィックをブロック/変更する

WLCの組み込みパケットキャプチャは、WLCがCSSMまたはオンプレミスSSMから何かを受信したかどうかを簡単に確認する方法です。応答がない場合、ファイアウォールが何かをブロックしている可能性があります。

CSSMクラウドまたはオンプレミスのSSMから応答を受信していない場合、show license history messageコマンドでは、要求が送信された後1秒後に空の応答が表示されます。

たとえば、空の応答が受信されたと思い込んでしまうかもしれませんが、実際には応答が全くありませんでした。

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"MIICnjCCAYYCAQAwODE2MDQGA1UEAxMtMjlCQUM2OEQ3MDQ0NzQ1NzE2QjVDOEYxODdGM0Q0Q0QxNTIwOEVGRjo6MSwyMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAmGCVOO1Q/LiZs3je+Zvo+OsJilTb1vpL7sA80TjprHyLkqQ9mMCub1GunwtF18jzIRa1COUPk9vDsY7bD9btvIG80x2MQFAPPmiNFR4ccvuLYzGl+XjjTjgjbsZpov6S6n3rRGJVyd5aS0S8+JCCljzwtv2rHV628RlWFwlEyzcp4Kt5dm8QBnc+dcYWWIn/X9aExPbf9P96HVL6T6+SomKT/h5hQP8wyz8ycol3XjcXN6gD/XZFyOydZ3oayi/RWjRlA0NThHPQy03bdtFiEakA8ZEWmduNRvTnmSsqKQBVVa43gjgoBzANTAOyXv6e33TRN3bQdV6UuSLcqrw1PwIDAQABoCEwHwYJKoZIhvcNAQkOMRIwEDAOBgNVHQ8BAf8EBAMCBaAwDQYJKoZIhvcNAQEFBQADggEBAHwhn+YcbEuJyYrkcFlaEfzRbJcz9KXXAZASykW7ql3fSlv+PaHePdrh9vsxmkXiVo+UnBbk4Kr5a/mdXEG/4NOeToGUwEqf38ktZMJyL81Whl/FEj83Lhmy7Z5paJrSCWwPc14nHFEFJ4BuelbfmPwiK+Y6X0RHEL92ySH6UNNlVgsWsQbHnHLbacDBsjOcyf9N3xAZc/IDxakSUSYMgFGnBXwkP4aN6XZLfKKGvXtYuIs7D+omRpMijYxQfHzvVnauGi7jiDXEAJjUueNHyztgpPi191j84oEVFHvAEhhMRNakrEEp4jyD2bYOr+CVbbxbYiBd2GKDs1/I1N1XSgM=\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

注：現在、機能拡張要求Cisco Bug ID CSCvy84684（登録ユーザ専用）が存在します。この要求により、応答がない場合にshow license historyメッセージには空の応答が表示されます。これは、show license history messageコマンドの出力を拡張することです

パケットキャプチャの不明なCAアラート

CSSMまたはオンプレミスSSMとの通信には、9800側でちゃんとした証明書が必要です。自己署名できますが、無効または期限切れにすることはできません。この場合、パケットキャプチャは、9800 HTTPクライアント証明書が期限切れになった際にCSSMから送信された不明なCAのTLSアラートを示します。

スマートライセンスではip http client設定を使用します。これは、WLC Webインターフェイスで使用されるip http serverとは異なります。つまり、次のコマンドを正しく設定する必要があります。

ip http client source-interface <interface>
ip http client secure-trustpoint <TP>

トラストポイント名は、show crypto pki trustpointsコマンドを使用して確認できます。自己署名証明書TP-self-signed-xxxxxxxxxx証明書、または製造元でインストールされる証明書(MIC)の使用が推奨されます。通常はCISCO_IDEVID_SUDIと呼ばれ、9800-80、9800-40、および9800-Lでのみ使用可能です。

提示されるHTTPS証明書はシスコライセンスサーバ証明書ではなくファイアウォール証明書であるため、SSL復号化機能を備えたファイアウォールなどのTLS代行受信を実行するデバイスは、C9800がCiscoライセンスサーバとの正常なハンドシェイクを確立することを妨げる可能性があることに注意してください。

注：source-interfaceコマンドとsecure-trustpointコマンドの両方が設定されていることを確認してください。WLCにL3インターフェイスが1つしかない場合でも、source-interfaceコマンドが必要です。

関連情報

• 9800でのエアギャップモードを使用したスマートライセンス
• シスコのテクニカルサポートとダウンロード