ASR9000 플랫폼의 스마트 라이센싱
목차
소개
이 문서에서는 Cisco IOS® XR 버전 5.2.0 이상의 Smart Licensing 소프트웨어 구성, 운영 및 문제 해결에 대해 설명합니다. 스마트 라이센싱은 Cisco 플랫폼 및 운영 체제(OS)에서 실행되는 다양한 기능 및 애플리케이션에 대한 라이센싱 요구 사항 관리를 해결하기 위해 개발되었습니다.
Smart Licensing 애플리케이션은 Cisco IOS XR용 ASR9000(ASR9K)뿐만 아니라 Cisco IOS 및 Cisco IOS-XE OS를 실행하는 다양한 플랫폼에서도 실행됩니다. 이 간단한 애플리케이션은 다양한 Cisco 장치, 시스템 및 플랫폼을 관리하는 데 필요한 노력을 크게 줄이고 라이센스 관리, 자격 및 운영 비용에 필요한 단순성을 제공합니다.
Smart Licensing 애플리케이션에서 사용하는 방법은 동적 '풀(pull)' 방법입니다. ASR9K 디바이스는 통화를 시작하고 Cisco 백엔드 서버에서 정보를 가져옵니다. Cisco 백엔드 서버는 통화나 디바이스에 대한 연결을 시작하지 않지만, 등록 및 엔타이틀먼트를 수신하려는 디바이스에서 연결 요청이 수신되면 항상 응답합니다.
초기 설정은 디바이스 운영자의 수동 개입이 거의 없어 안전하고 쉬우며 일반적인 TcL(Tool Command Language) 또는 Python Expect 스크립트를 통해 대규모 환경에서 자동화할 수 있습니다. 일반 브라우저를 통해 액세스할 수 있는 Cisco 백엔드 서버에서 제공하는 보고 기능은 고객이 디바이스 인벤토리, 라이센스 및 OOC(규정 위반) 모두에 구축된 기능을 부기하고 재프로비저닝하거나 지원을 요청할 필요 없이 리소스를 동적으로 이동할 수 있도록 지원합니다.
탑뷰
Smart Licensing은 Cisco 백엔드 서버에 연결하기 위해 전송 메커니즘으로 표준 HTTPS(HTTP Secure)를 사용합니다. 기술적으로 말해, ASR9K 디바이스에서 Smart Licensing 기능을 활성화하는 데 필요한 컨피그레이션 행은 하나뿐입니다.
RP/0/RSP0/CPU0:SAMDD(admin-config)#license smart enable
디바이스는 기본적으로 HTTPS 전송으로 설정되며, 등록 요청이 정상적으로 완료되면 엔타이틀먼트를 위해 백엔드 서버에 즉시 쿼리합니다. 디바이스에 기능에 대한 라이센스가 있는 Authorized(권한 부여됨) 또는 자격이 없거나 없거나 만료되었음을 나타내는 OOC가 반환됩니다.
Smart Licensing은 기존 라이센싱과 공존할 수 있지만, 둘 중 하나만 지정된 시간에 활성화할 수 있습니다. 관리 플레인에서 컨피그레이션을 추가하거나 삭제하여 손쉽게 전환할 수 있습니다. ASR9K 시스템은 이 'switch'가 발생하기 위해 다시 로드하거나 다시 시작할 필요가 없습니다. 기존 라이센싱은 향후 릴리스에서 스마트 라이센싱으로 완전히 교체될 예정입니다.
ASR9K 디바이스에서 라이센스가 필요한 기능을 사용하지 않는 경우, 자동으로 시스템이 Authorized(승인됨) 상태이므로 추가 작업을 수행할 필요가 없습니다. 라이센스가 필요한 기능의 '컨피그레이션'이 이루어진 경우에만 시스템은 Cisco 백엔드 서버에서 동적으로 라이센스를 취득하려고 시도합니다.
기존 라이센싱 운영과 스마트 라이센싱 운영 비교
다음은 라이센싱 모델 간의 몇 가지 차이점입니다. 지정된 시간에 둘 중 하나만 활성화됩니다.
| 기존(노드 잠금) 라이센싱 |
스마트(동적) 라이센싱 |
|---|---|
| 라이센스를 구매하고 PAK 파일을 통해 각 디바이스에 수동으로 설치해야 합니다. |
소프트웨어 설치가 필요/필요하지 않습니다. 디바이스는 HTTP/HTTPS call-home 세션을 시작하고, 사용 및 구성된 라이센스를 요청합니다. |
| 섀시에 연결된 라이센스, 이동 또는 재프로비저닝에는 백업 또는 재설치가 필요합니다. 모두 시간을 소모하는 수동 작업입니다. |
계정에 연결된 라이센스. 현재 섀시에서 사용되는 기능을 구성 취소하고 동일한 라이센스를 사용해야 하는 새 섀시에서 기능을 재구성합니다. 재프로비저닝은 새 디바이스가 call-home 프로세스를 통해 HTTP/HTTPS 요청을 시작할 때 동적으로 수행됩니다. |
| 노드 잠금 라이센스 - 라이센스가 특정 디바이스/슬롯과 연결됩니다. |
고객 어카운트에 이미 생성된 라이센스 풀로서 회사 어카운트에 따라 다르며 회사의 모든 ASR9K 디바이스에서 사용할 수 있습니다. |
| 구매한 라이센스 또는 소프트웨어 사용 트렌드를 볼 수 있는 일반적인 설치 기반 위치가 없습니다. 개별 섀시/시스템에 대한 라이센스 부기를 수동으로 유지 관리해야 합니다. |
라이센스는 24x7x365 액세스가 가능한 Cisco 백엔드 서버에 안전하게 저장됩니다. 라이센스 수는 고객 어카운트/풀별로 다르며, 많은 디바이스가 동일한 풀에 속할 수 있습니다. |
| 추가 라이센스에는 새로운 PAK 파일 및 디바이스와의 수동 개입/상호 작용이 필요합니다. |
Cisco URL 및 백엔드 서버에서 생성된 계정을 가리키는 웹 브라우저를 통해 추가 라이센스를 전송할 수 있습니다. 기본적으로 작업을 가리키고 클릭합니다. |
| 라이센스를 한 디바이스에서 다른 디바이스로 쉽게 이전할 수 없습니다. |
소프트웨어를 설치하지 않고도 제품 인스턴스 간에 라이센스를 이동할 수 있습니다. 웹 인터페이스를 사용하여 한 풀에서 다른 풀로 라이센스를 쉽게 전송할 수도 있습니다. |
운영 뷰
이 다이어그램은 두 라이센스 체계 간의 비교를 보여 줍니다.
Smart Licensing 단계는 매우 쉽고 직관적입니다. 장비/디바이스를 구매할 때 필요한 라이센스를 동시에 주문하거나 나중에 주문할 수 있습니다. Cisco에서 라이센스 구매 및 프로비저닝을 완료한 후:
- Cisco는 웹 브라우저를 통해 라이센스 정보에 액세스할 수 있는 사용자 이름, 비밀번호 및 URL(Uniform Resource Locator)을 24x7 제공합니다.
- 이 어카운트는 라이센스를 관리하고, 보고서를 생성하고, 디바이스를 그룹화하고, 라이센스 풀 및 고객/조직의 운영 요구 사항을 해결하는 기타 모든 조직 요구 사항을 충족합니다.
- 이 어카운트를 통해 고객은 idtoken을 생성할 수 있습니다. 이는 구매한 고객 디바이스 및 라이센싱 엔타이틀먼트를 고유하게 식별합니다. 토큰은 1일에서 1년까지 유효할 수 있습니다. idtoken은 고객이 언제든지 취소, 삭제 및 재생성할 수 있습니다. 셀프 헬프 모델입니다.
- 고객은 Cisco 제공 계정에서 생성된 idtoken을 사용하여 장치 하나 또는 천 개의 장치를 등록합니다. 동일한 토큰을 사용할 수 있는 장치의 수에는 제한이 없기 때문입니다. 이 기능을 효율적으로 사용하는 방법에 대한 추가 팁이 이 문서에서 제공됩니다.
- 디바이스 등록은 영구적이며 시스템 재로드 및 업그레이드 시에도 유지됩니다. ASR9K 디바이스는 손실의 경우 기존 idtoken 또는 새로운 idtoken에 강제로 다시 등록할 수 있습니다.
- 등록 후에는 개입할 필요가 없습니다. ASR9K 시스템은 규정 준수를 위해 등록된 계정을 주기적으로 폴링합니다. 시스템이 OOC인 경우 사용자에게 경고하기 위해 syslog가 생성됩니다.
웹 인터페이스/포털
다음은 등록 프로세스가 시작되는 웹 인터페이스에 대한 간략한 설명입니다.
License Pool이라고도 하는 가상 어카운트는 조직의 필요에 따라 라이센스를 논리적으로 저장 및 구성하는 데 사용됩니다. 라이센스가 필요한 기능에 대해 등록된 라이센스의 컨테이너입니다. 사이트당, 부서당 등의 방식으로 하나의 풀을 생성할 수 있습니다.
라이센스를 하나의 풀에서 다른 풀로 쉽게 전송할 수 있습니다.
Idtoken은 ASR9K 장치를 등록하는 데 사용되는 이 계정에 의해 생성된 키입니다. 하루에서 1년까지 유효합니다. 토큰의 유일한 용도는 디바이스를 등록하는 것이며, 그 이후에는 필요하지 않습니다. 토큰은 원격 디바이스 등록을 자동화하기 위해 TcL 또는 Python 스크립트에 복사할 수 있는 텍스트 스트림입니다.
예를 들어, 1일 동안 토큰을 생성하여 원격 사이트에 보내 원격 사용자가 디바이스 등록에 사용할 수 있습니다. 하루 만에 만료되며 원격 사용자는 다른 디바이스를 등록하기 위해 이를 사용할 수 없습니다. 회사에 속하지 않은 디바이스를 등록하는 데 이 디바이스가 사용되더라도 Product Instance(제품 인스턴스) 탭에서 해당 디바이스를 쉽게 볼 수 있으며 라이센스를 취소하기 위한 작업을 수행할 수 있습니다.
보고서는 다양한 형식의 인벤토리를 동적으로 생성하며 오프라인으로 사용, 부기 또는 분석을 위해 Excel 형식으로 내보낼 수 있습니다.
License 탭은 다양한 ASR9K 디바이스에서 요청한 라이센스를 표시하며, 각 라이센스의 수 및 상태를 표시합니다. Transfer(이전) 링크 항목은 직접 클릭하면 사용할 수 있으며, 어카운트의 어떤 풀과도 손쉽게 라이센스를 이전할 수 있습니다.
Event Log 탭은 syslog 유형 형식으로 풀에 대한 디바이스 활동을 기록하고, 등록, 등록 취소 등과 같이 각 디바이스 또는 어카운트 사용자가 취하는 작업을 기록합니다. 이 인터페이스는 탐색 또는 디버깅에 사용하기 쉽고 직관적입니다.
설정
이 예에서는 기존 라이센싱에서 스마트 라이센싱으로 업그레이드하는 방법을 살펴봅니다. 경우에 따라 Smart Licensing이 기본값이 될 수 있습니다.
기존 라이선싱
Traditional Licensing을 확인하기 위해 관리 플레인에서 몇 가지 명령을 실행할 수 있습니다. 다음은 Smart Licensing과 비교할 때 출력이 다른 몇 가지 사항입니다.
RP/0/RSP1/CPU0:ROA(admin)#show license pools
Pool: Owner
Feature: A9K-24X10-OPT-LIC A9K-24X10-VID-LIC A9K-24X10G-AIP-SE A9K-24X10G-AIP-TR
A9K-2X100-OPT-LIC A9K-2X100-VID-LIC A9K-2X100G-AIP-SE A9K-2X100G-AIP-TR
A9K-36X10-OPT-LIC A9K-36X10-VID-LIC A9K-36X10G-AIP-SE A9K-36X10G-AIP-TR
A9K-400G-AIP-SE A9K-400G-AIP-TR A9K-400G-OPT-LIC A9K-400G-VID-LIC
A9K-800G-AIP-SE A9K-800G-AIP-TR A9K-800G-OPT-LIC A9K-800G-VID-LIC
A9K-ADV-OPTIC-LIC A9K-ADV-VIDEO-LIC A9K-AIP-LIC-B A9K-AIP-LIC-E
RP/0/RSP1/CPU0:ROA(admin)#show license allocated
FeatureID: A9K-800G-AIP-SE (Slot based, Permanent)
Total licenses 1
Status: Allocated 1
Pool: Owner
Total licenses in pool: 1
Status: Operational: 1
Locations with licenses: (Active/Allocated) [SDR]
0/0/CPU0 (0/1) [Owner]
기존 라이센싱 명령의 하위 집합도 exec 플레인에서 실행할 수 있지만 전체 목록이 있는 관리 플레인에서 실행하는 것이 좋습니다.
RP/0/RSP1/CPU0:ROA#show license ?
WORD Feature ID
active Currently checked-out/being used by applications.
allocated Allocated to a slot but not used.
available Not currently active.
evaluation Display the evaluation licenses.
expired Display evaluation licenses already expired.
location Show information for a specific location
log The operational or administrative logs.
| Output Modifiers
<cr>
스마트 라이선싱
Smart Licensing은 아직 활성화되지 않았지만, 시스템에 표시되는 내용입니다.
컨피그레이션이 적용되지 않더라도 기본 내장된 call_home 프로파일은 시스템 관리 포트를 통해 Cisco 백엔드 서버를 가리키는 HTTPS를 사용합니다. 이 문서의 뒷부분에서 call_home에 대한 자세한 내용을 참조하십시오.
RP/0/RSP1/CPU0:ROA#show run call-home
% No such configuration item(s)
RP/0/RSP1/CPU0:ROA#show call-home detail | i https
http proxy: Not yet set up
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
최소 컨피그레이션의 경우 1단계와 4단계만 수행하면 됩니다. 나머지 단계는 정보, 확인 및 보고에 대한 것입니다.
- 관리자 모드에서 다음 명령을 입력합니다.
RP/0/RSP1/CPU0:ROA(admin-config)#license smart enable
RP/0/RSP1/CPU0:ROA(admin-config)#commit - EXEC 모드에서 이메일 주소와 같은 더 많은 knob를 구성하거나, 관리자 컨피그레이션이 커밋될 때 자동으로 생성되는 이 기본 프로필을 사용합니다.
RP/0/RSP1/CPU0:ROA#show run call-home
call-home
service active
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination transport-method http - 관리자 모드에서 Smart Licensing 버전을 확인합니다.
RP/0/RSP1/CPU0:ROA(admin)#show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16 - 관리자 모드에서 다음 명령을 입력합니다.
RP/0/RSP1/CPU0:ROA(admin)#license smart register idtoken
NjgyMWM2NDItMzI5My00YzQ2LThmMDItMzhhNWI2Mzk2YWUwLTE0MzUzMzM3%
0aMDQwNDB8SWRzSGkvR0d2MWZTZEhzK2RWUmJWMmh0U1ZIa2tBVzBLZKl1ZHhs%0AZGRPbz0%3D%0A ?
force Force Registration
<cr>
license smart register: Registration process is in progress. Please check
the syslog for the registration status and resultForce 키워드는 이전에 등록된 디바이스와 관련된 모든 정보를 덮어쓰고 지웁니다. force 키워드는 드물게 그리고 특별한 경우에 사용해야 합니다. 또는 웹 사용자 인터페이스를 사용하여 어카운트에서 디바이스를 제거할 수 있습니다.
- 작업 상태에 대한 쿼리:
RP/0/RSP1/CPU0:ROA(admin)#show license register-status
Registration Status: Completed
Registration Start Time: Wed Dec 17 2014 13:07:23 PST
Next ID Cert Renew Time: Mon Jun 15 2015 14:07:45 PST
Next ID Cert Expiration Time: Thu Dec 17 2015 13:01:41 PST
Last Response Time: Wed Dec 17 2014 13:07:45 PST
Last Response Message: OK: OK상태가 '완료됨'이 아니면 콘솔 또는 syslog에 메시지가 표시됩니다. 다음은 성공적인 syslog 메시지입니다.
RP/0/RSP1/CPU0:Dec 17 13:07:45.285 : licmgr[310]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful
RP/0/RSP1/CPU0:Dec 17 13:08:18.357 : licmgr[310]: SMART_LIC-3-OUT_OF_COMPLIANCE:
One or more entitlements are out of compliance': - 이 시스템에는 라이센스가 필요한 몇 가지 기능이 구성되어 있으며 이 출력은 '규정 위반' 상태를 나타냅니다.
RP/0/RSP1/CPU0:ROA(admin)#show license entitlement | i Tag | e Not | u sort
Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,
1.0_66d3ccf7-a374-4409-a3f9-6bc56d645f1c, Version: 1.0, Enforce Mode:
Out of compliance
Tag: regid.2014-04.com.cisco.A9K-24X10-VID-LIC,1.0_9f03b94f-3c76-4a39-82f2
-1b53cdf5cb15, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-04.com.cisco.A9K-24X10G-AIP-TR,1.0_e5d7cec3-e8e3-43c6-88c9
-a113b76679f8, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-2X100-OPT-LIC,1.0_0f74bb00-42af-4c4d-b162
-bcb346c7510a, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-2X100-VID-LIC,1.0_a482b964-6371-4aad-8e82
-2083c5749205, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-2X100G-AIP-SE,1.0_ce447831-e4af-4def-a98b
-3297fab65561, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-36X10-OPT-LIC,1.0_92a8597a-f591-4afc-adeb
-9b212cee11be, Version: 1.0, Enforce Mode: Out of compliance - 기존 라이센싱에서 사용한 명령을 살펴봅니다. 명령의 출력이 다릅니다.
Smart Licensing 또는 Traditional Licensing CLI는 어느 때나 사용할 수 있으며 둘 다 사용할 수는 없습니다.
풀 이름은 디바이스를 구성/분류하는 데 사용됩니다. 지역/지역, 부서 또는 기능 영역, 재무 그룹당 하나의 풀을 사용할 수 있습니다. 각 회사는 라이센스를 어떻게 할당할지 결정할 수 있습니다. 또한 일반적인 브라우저를 사용하여 풀 간에 라이센스를 확인, 변경 또는 이동하고, 라이센스 수를 추가 또는 변경할 수 있으며, Cisco의 도움 없이 24시간 독립적으로 이를 쉽게 수행할 수 있습니다.
RP/0/RSP1/CPU0:ROA(admin)#show license pool
Assigned Pool Info: PATRICK_NO_LIC - 여기서부터 시스템은 매일 자동으로 컴플라이언스를 확인합니다. 장애가 발생하면 시스템은 4시간 동안 20분마다 시도하고 그 후에는 30일 동안 하루에 한 번씩 시도합니다. Syslog 메시지가 인쇄되며, 이는 연결, 연결 가능성, 통신 등을 실패 이유로 나타냅니다. 디버깅에 대해서는 이 문서의 뒷부분에서 자세히 설명합니다.
- 디바이스의 등록을 취소하려면 다음 명령을 입력합니다.
RP/0/RSP1/CPU0:ROA(admin)#license smart deregister
license smart deregister: Success
License command "license smart deregister " completed successfully.RP/0/RSP1/CPU0:ROA(admin)#show license register-status
Registration Status: Not Registered - 지정된 섀시에서 어떤 라이센스를 사용할 수 있는지 알아보려면 다음 명령을 입력합니다.
RP/0/RSP1/CPU0:ROA(admin)#show license features
Platform Feature ID:
A9K-ADV-OPTIC-LIC
A9K-ADV-VIDEO-LIC
A9K-iVRF-LIC
A9K-AIP-LIC-B
A9K-AIP-LIC-E
A9K-MOD80-AIP-TR
A9K-MOD80-AIP-SE
A9K-MOD160-AIP-TR
A9K-MOD160-AIP-SE
A9K-2X100G-AIP-TR
. . . output snipped . . .
애플리케이션 구조 및 흐름
응용 프로그램의 메커니즘을 이해하기 위해 구성 요소에 대한 기본 적 인 이해가 필요합니다. 그러나 소프트웨어의 운영 또는 구축의 경우 게시된 지침을 따르는 것 외에는 사전 지식이 필요하지 않습니다. 이 섹션에서는 세부 사항을 알고 싶어하는 기술 직원과 엔지니어를 대상으로 합니다.
구축, 구성 및 옵션
Smart Licensing은 고객의 보안, 관리 용이성 및 운영 모드와 관련된 요구 사항에 따라 여러 시나리오로 구축할 수 있습니다.
예를 들면 다음과 같습니다.
- ASR9K가 Cisco 클라우드/백엔드 서버에 '직접' 연결하도록 허용하지 않을 수 있습니다. 이 경우 구내에서 '프록시' 서버를 사용하고 방화벽, 트래픽 흐름 및 Smart Licensing 애플리케이션이 조직의 보안 요구 사항에 어떻게 부합하는지 관리할 수 있습니다. 이것은 Windows 또는 Linux OS에서 실행되는 오픈 소스 Apache 소프트웨어를 통해 쉽게 설정할 수 있습니다.
- 또는 모든 ASR9K 디바이스를 Cisco 백엔드 서버로 전달하기 전에 모든 ASR9K 디바이스의 모든 로컬 요청을 수신할 수 있는 취합기 호스트에 모든 ASR9K 디바이스를 연결하고자 할 수 있습니다. Linux 및 Windows에서 실행되는 전송 게이트웨이 소프트웨어 작업이며 Cisco 전송 게이트웨이 다운로드에서 다운로드할 수 있습니다.
- 또는 Linux 및 Windows에서 실행되는 온프레미스 소프트웨어를 사용하여 완전히 오프라인으로 작업하고 '이 온프레미스 호스트'만 Cisco Cloud와의 라이센싱 정보 교환을 위한 상담을 수행할 수 있도록 허용하고, 최종 디바이스에 규정 준수 상태에 대한 정보를 제공할 수도 있습니다. 이 소프트웨어는 릴리스 5.3.1 이상에서 사용할 수 있습니다.
HTTPS를 지원하는 것 외에도 VRF(Virtual Routing Forwarding) 설정에서 소프트웨어를 실행하도록 구성할 수 있습니다. 이 설정을 통해 라이센스 정보의 전송 방식을 더 세부적으로 제어할 수 있습니다.
또한 IPv6는 기본적으로 지원되며 인터넷을 통해 Cisco 백엔드 서버와 통신하기 위해서는 시스템에 유효한 IP6 주소만 있으면 됩니다.
이러한 컨피그레이션에서는 ASR9K가 DNS(Domain Name System) 또는 IPv4/IPv6 도메인 호스트로 구성되어 외부 네트워크에 연결하기 위해 호스트 이름을 확인할 수 있다고 가정합니다.
백엔드 인증서 서버와 시스템을 동기화하려면 NTP(Network Time Protocol)를 구성해야 합니다.
RP/0/RSP0/CPU0:ROA#show run domain
domain name cisco.com
domain list cisco.com
domain name-server 171.70.168.183
domain name-server 2001:420:68d:4001::a
RP/0/RSP0/CPU0:ROA#show run | i ipv6 host
Building configuration...
domain ipv6 host tools.cisco.com 2001:420:1101:5::a
HTTP 프록시 구성
아파치 구성은 이 논문의 범위를 벗어났지만, 인터넷에는 여러 단계를 안내할 수 있는 좋은 문서들이 많이 있다. 기능을 보여주기 위해, 아파치는 포트 80에서 간단한 프록시를 위해 구성된다. 여기에 표시된 Apache의 mod_proxy의 디버그 출력을 참조하십시오.
그러나 Smart Licensing의 경우 프록시 서버의 이름과 포트만 언급하면 구성이 매우 간단합니다. 컨피그레이션은 Cisco 백엔드 서버에 직접 연결하는 대신 프록시 서버에 요청을 전달하기만 합니다. 프록시 서버는 요청을 전달하도록 구성된 모든 전송을 통해 서버에 접속합니다. HTTPS를 사용하는 것이 좋습니다. http-proxy mybastion.cisco.com 포트 80 외에 다른 컨피그레이션은 필요하지 않습니다.
RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
http-proxy mybastion.cisco.com port 80
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http
registration 명령 admin license smart register idtoken <idtoken>을 입력하고 출력에 ASR9K가 수행한 요청/응답이 표시되는지 확인합니다. timestamps 및 Success 열 카운터를 확인합니다.
RP/0/RSP0/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.
Msg Subtype Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT 1 0 0 0 2015-01-12 21:06:56
DEREGISTRATION 0 0 0 0 n/a
REGISTRATION 1 0 0 0 2015-01-12 21:06:21
ACKNOWLEDGEMENT 1 0 0 0 2015-01-12 21:06:38
다음은 요청이 포트 443, HTTPS 프로토콜에서 나가는 것을 보여주는 Apache 액세스 로그의 조각입니다.
root@mybastion:/var/log/httpd #tail -f proxy-*
==> proxy-error.log <==
[Mon Jan 12 21:06:10 2015] [debug] mod_proxy_connect.c(70): proxy: CONNECT:
canonicalising URL tools.cisco.com:443
[Mon Jan 12 21:06:10 2015] [debug] proxy_util.c(1515): [client 172.27.130.65] proxy:
*: found forward proxy worker for tools.cisco.com:443
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(109): [client 172.27.130.65]
(70014)End of file found: proxy: CONNECT: error on client - ap_get_brigade
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(425): proxy: CONNECT:
finished with poll() - cleaning up
==> proxy-access.log <==
172.27.130.65 - - [12/Jan/2015:21:06:10 -0800] "CONNECT tools.cisco.com:443 HTTP/1.1" 200 -
전송 게이트웨이 구성
이 시나리오에서는 Transport Gateway 애플리케이션이 Linux 또는 Windows 호스트에 설치되고 고객 구내의 ASR9K 디바이스에서 라이센스 요청을 수신하여 Cisco 백엔드 서버로 릴레이하도록 구성됩니다. 자세한 내용은 Transport Gateway Deployment and User Guide를 참조하십시오.
ASR9K의 컨피그레이션은 한 줄에 불과합니다. 다음은 샘플입니다. 환경에 필요한 정확한 컨피그레이션은 설명서를 참조하십시오.
call-home
profile CiscoTAC-1
destination address http
https://TG-IP-or-FQDN/Transportgateway/services/DeviceRequestHandler
VRF 구성
VRF는 관리 트래픽을 더 잘 제어할 수 있도록 하며 Smart Licensing에 거의 영향을 미치지 않습니다. 그러나 Smart Licensing 소프트웨어가 Cisco 백엔드 서버에 연결하려고 할 때 기본 소프트웨어가 전역 테이블이 아닌 VRF 테이블을 참조하도록 하려면 한 줄 컨피그레이션이 필요합니다.
여기에 표시된 문자열은 시스템에 구성된 VRF 이름입니다.
RP/0/RSP0/CPU0:ROA(config)#http client vrf MGMT
Call Home 상세 출력
Call Home이 제대로 작동하는지 확인하는 샘플 출력이 여기에 표시됩니다.
RP/0/RSP0/CPU0:ROA#show call-home detail
Current call home settings:
call home feature : enable
call home message's from address: mylab-roa@cisco.com ; optional, any address
call home message's reply-to address: pasoltan@cisco.com ; optional,
recipient address
vrf for call-home messages: Not yet set up ; Not supported natively yet
contact person's email address: sch-smart-licensing@cisco.com ; default
contact person's phone number: +1-408-526-8438 ; optional
street address: 1550 Soltani Lane, Cisco System Drive, North Pole, NP 99709
customer ID: Not yet set up
contract ID: Not yet set up
site ID: BUILDING20-125 ; optional
source interface: Not yet set up ; can be configured to use a specific interface.
Mail-server[1]: Address: bastion.cisco.com Priority: 1 ; optional
Mail-server[2]: Address: 171.68.58.10 Priority: 10 ; optional
Mail-server[3]: Address: 173.37.183.72 Priority: 20 ; optional
http proxy: Not yet set up ; when configured will change.
Smart licensing messages: enabled
Profile: CiscoTAC-1 (status: ACTIVE) ; default profile supported.
Can not be renamed, deleted, but can be modified, activated, deactivated.
aaa-authorization: disable ; optional
aaa-authorization username: callhome (default) ; default
data-privacy: normal ; can be configured to use the hostname or not.
syslog throttling: enable
Rate-limit: 5 message(s) per minute
Snapshot command: Not yet set up
; Non-smart licensing configuration for alerts, data collection, defaults.
Available alert groups:
Keyword State Description
---------------------- ------- -------------------------------
configuration Enable configuration info
environment Enable environmental info
inventory Enable inventory info
snapshot Enable snapshot info
syslog Enable syslog info
Profiles:
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
Email address(es): callhome@cisco.com
HTTP address(es): ; Only configuration needed if default is not desired.
http://tools.cisco.com/its/service/oddce/services/DDCEService
https://tools.cisco.com/its/service/oddce/services/DDCEService
Periodic inventory info message is scheduled every 23 day of the month at 11:2
Alert-group Severity
------------------------ ------------
environment minor
inventory normal
Syslog-Pattern Severity
------------------------ ------------
.* critical
Call Home Non-Smart Licensing 구성 옵션
syslog 및 진단 데이터 수집과 코어 덤프를 수행하도록 Call Home을 구성하거나, 완료된 스마트 라이센싱 작업과 함께 이벤트 등에 대한 이메일 알림을 전송하도록 할 수 있습니다.
Call Home에서 수집한 정보는 Smart Licensing 사용자 이름 및 비밀번호(https://tools.cisco.com/sch/reports/deviceReport.do)를 통해 확인할 수 있습니다.
이 기능을 사용하여 환경에 혜택을 주는 방법에 대한 자세한 내용은 "관련 정보" 섹션에서 연결된 문서를 참조하십시오. 이메일 알림의 샘플도 "Odds and Ends" 섹션에 있습니다.
디버그
패키지를 구성하는 많은 구성 요소 때문에 Smart Licensing 소프트웨어를 디버깅하는 데 필요한 빠르고 하드 규칙은 없습니다. 그러나 몇 가지 일반적인 접근 방법은 대개 문제를 좁힌다. 여기 몇 가지 제안이 있습니다.
Syslog
먼저 syslog를 확인합니다. 어떤 부품을 먼저 검사해야 하는지에 대한 단서를 얻을 수 있습니다. 이러한 메시지에는 일부 인증서 문제와 Call Home HTTP 메시지 전송 실패가 표시됩니다. 마지막으로 통신이 복원됩니다.
RP/0/RSP0/CPU0:ROA#sh log | i SMART
RP/0/RSP1/CPU0:Dec 17 20:01:28.522 : licmgr[308]: SMART_LIC-3-ID_CERT_RENEW_FAILED:
ID certificate renewal failed: Response error: {"product_instance_identifier":
["ProductInstance '8baecfb5-2688-429b-8519-10a3f0dec6b5' is not valid"]}
RP/0/RSP1/CPU0:Dec 17 20:01:34.273 : licmgr[308]: SMART_LIC-3-AUTH_RENEW_FAILED:
Authorization renewal with Cisco licensing cloud failed: Response error:
LS_UNMATCH_SIGNED_DATA: Signed data and certificate does not match
RP/0/RSP0/CPU0: Dec 17 18:26:24.009 : licmgr[314]: SMART_LIC-3-COMM_FAILED:
Communications failure with Cisco licensing cloud: Fail to send out Call Home
HTTP message
RP/0/RSP0/CPU0:Dec 17 18:28:03.057 : licmgr[314]: SMART_LIC-3-AGENT_REG_FAILED:
Smart Agent for Licensing Registration with Cisco licensing cloud failed:
Communication message send error
RP/0/RSP0/CPU0:Dec 17 18:30:09.247 : licmgr[314]: SMART_LIC-5-COMM_RESTORED:
Communications with Cisco licensing cloud restored
RP/0/RSP0/CPU0:Dec 17 18:30:21.923 : licmgr[314]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful
상자/구성 요소가 있는 상태에 대한 핸들을 가져오려면 show 명령 출력을 선택합니다. 여기에는 모빌리티, IPsec(Internet Protocol Security) 및 옵티컬 라이센스가 표시됩니다.
RP/0/RSP0/CPU0:ROA#admin show license entitlement
Entitlement:
Tag: regid.2014-06.com.cisco.A9K-MOBILE-LIC,1.0_e447924c-0a6f-41be-9202-8ae60fcc2972,
Version: 1.0, Not In Use
Requested Time : NA, Requested Count: NA
Vendor String:
Tag: regid.2014-09.com.cisco.A9K-IPSEC-20G-LIC,1.0_a165db99-eb3f-474b-bdf0-
ce4b140d9b45, Version: 1.0, Not In Use
Requested Time : NA, Requested Count: NA
Vendor String:
Tag: INSTALLMGR, Version: 1.0, Not In Use
Requested Time : NA, Requested Count: NA
Vendor String:
Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,1.0_66d3ccf7-a374-4409-a3f9-
6bc56d645f1c, Version: 1.0, Enforce Mode: Out of compliance
Requested Time : Mon Jan 12 2015 20:47:07 PST, Requested Count: 1
Vendor String:
... output snipped ...
라이센스 규정 준수를 확인합니다.
RP/0/RSP0/CPU0:ROA#admin show license status
Compliance Status: Out of compliance
어떤 풀이 활성 상태인지 확인합니다.
RP/0/RSP0/CPU0:ROA#admin show licence pool
Assigned Pool Info: PATRICK_NO_LIC
라이센싱 인증서를 확인합니다.
RP/0/RSP0/CPU0:ROA#admin show license cert
Licensing Certificates:
ID Cert Info:
Start Date: Mon Jan 12 2015 21:00:13 PST. Expiry Date: Tue Jan 12 2016 21:00:13 PST
Serial Number: 24724
Version: 3
Subject/SN: 60fe47f8-aaaa-40fc-ae3e-fae9c7b6d0ac
Common Name: 138091632beb1f2e38069e9eec8f9c626de471ac::1,2
Signing Cert Info:
Start Date: Wed Sep 11 2013 12:05:34 PST. Expiry Date: Sun May 30 2038 12:48:46 PST
Serial Number: 3
Version: 3
라이센싱 버전을 확인합니다.
RP/0/RSP0/CPU0:ROA#admin show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16
이 명령은 성공 및/또는 실패한 콜 홈 시도에 대한 통계를 표시합니다.
RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.
Msg Subtype Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT 1 0 0 0 2014-12-17 21:08:35
DEREGISTRATION 1 0 0 0 2014-12-17 14:33:17
REGISTRATION 1 0 0 0 2014-12-17 21:07:53
ACKNOWLEDGEMENT 1 0 1 0 2014-12-17 21:08:09
RENEW 1 0 0 0 2014-12-17 21:08:57
Call Home 프로세스
ASR9K와 Cisco Cloud 간의 전송은 ASR9K에서 관리하므로 다음으로 call_home 프로세스에 대한 추적 파일을 확인합니다.
RP/0/RSP0/CPU0:ROA#show call-home trace error last 2
81 wrapping entries (576 possible, 320 allocated, 0 filtered, 81 total)!
Jan 28 10:10:29.729 call_home/error 0/RSP0/CPU0 t10 call_home_http_resp_data(),
httpc response error, Host name resolution failed
Jan 28 10:10:39.730 call_home/error 0/RSP0/CPU0 t19 call_home_events_handler() failure status 67
스마트 검사(소프트웨어 에이전트)
스마트 추적을 확인합니다. 이러한 추적은 Cisco 클라우드 서버와의 라이센스 상호 작용을 나타냅니다.
RP/0/RSP0/CPU0:ROA#admin show license trace smartlic last 2
987 wrapping entries (1088 possible, 0 filtered, 987 total)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
Failed to bind to SysDB - 'Subsystem(2091)' detected the 'success' condition
'Code(45)': Unknown Error(292)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
SMART ERROR - SASACKExpirationJob: expirySeconds=3842
Licmgr 프로세스 검사
이 프로세스는 ASR9K의 스마트 라이센싱에 대한 기본 인터페이스이며 다양한 구성 요소 간의 연결로 간주됩니다.
RP/0/RSP1/CPU0:ROA#admin show license trace
557 wrapping entries (576 possible, 0 filtered, 5403 total)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
Client search success pkg/bin/rsi_agent (No error)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
A9K-MOD160-AIP-SE regid.2014-06.com.cisco.A9K-MOD160-AIP-SE,
1.0_7f1b3d9c-a183-41d1-8d0b-d98dcc2751a8 (No error)
플랫폼 종속 추적
코드의 PD(Platform Dependent) 부분은 동적 링크 라이브러리일 뿐이지만 라이센스 엔타이틀먼트 요청을 트리거하는 데 중요한 역할을 합니다. 따라서 라이센스 유형, 개수 등과 관련된 문제를 해결합니다.
RP/0/RSP1/CPU0:ROA#admin show license trace platform all last 5
1849 wrapping entries (5440 possible, 3136 allocated, 0 filtered, 183450 total)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start: ver:1,
node:0x00000041 cmd:Audit(5) req:Mobile(9) feature:A9K-MOBILE-LIC(13) grant:
Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start #2:
client restarted:False up for a day:True
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License Start:
request:Mobile(9) slot:4 grant:Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License End:
request:Mobile(9) slot:4 grant:Not Pending(0) rc: 0x00000000 No error
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Cmd End:Audit(5),
slot:4 rc:0x00000000 No error
디버그 켜기
다른 모든 것이 실패 할 경우, 디버그를 켜고 인증서 또는 엔타이틀먼트의 갱신을 위한 온디맨드 요청을 입력 합니다. 이 디버그는 ASR9K와 Cisco Cloud Services 간의 모든 트랜잭션을 수집해야 합니다.
RP/0/RSP0/CPU0:ROA#debug smartlic
RP/0/RSP1/CPU0:ROA#show debug
#### debug flags set from tty 'aux0_RSP1_CPU0' ####
smartlic debug flag is ON with value 0
직접 UI/Cisco Cloud Server 디버깅을 사용할 수 없습니다. 문제가 있는 경우 asr9k-smart-lic@cisco.com으로 이메일을 보내 주십시오.
확률
- 동일한 라이센스 풀에서 엔타이틀먼트를 얻기 위해 여러 개의 박스가 구성된 경우, 단 하나의 디바이스에 라이센스가 부족하더라도 모든 디바이스가 OOC입니다. 이는 주로 풀장을 컨테이너로 보는 관점을 가진 디자인 때문이다. 새로운 모델인 계층적 풀 구성은 향후 릴리스에서 발생할 수 있는 동작을 해결합니다.
- 콘솔에서 직접 show 명령 출력을 이메일로 직접 보냅니다. 큰따옴표와 각 명령 뒤에 세미콜론을 사용합니다. Call Home은 Smart Licensing과 관련되지 않은 많은 작업을 수행합니다. 다음은 Call Home의 활용 사례입니다. 모든 환경에 대해 수정할 수 있는 실행 중인 컨피그레이션입니다.
RP/0/RSP1/CPU0:ROA#show run call-home
call-home
service active
site-id BUILDING20-125
sender reply-to pasoltan@cisco.com
sender from roa@cisco.com
alert-group syslog
alert-group snapshot
alert-group inventory
mail-server 171.68.58.10 priority 10
mail-server 173.37.183.72 priority 20
mail-server 2001:420:303:2008::24 priority 2
mail-server mybastion.cisco.com priority 1
phone-number +1-408-526-8438
contact-email-addr sch-smart-licensing@cisco.com
street-address 1550 E.Tasman Drive, San Jose, CA 9513
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
reporting smart-call-home-data
reporting smart-licensing-data
destination transport-method http
RP/0/RP1/CPU0:ROA#call-home send "show run call; admin show platform"
email pasoltan@cisco.com msg-format long-text
Sending ondemand CLI output call-home message ...
Please wait. This may take some time ... - show call-home smartlic status 명령은 '성공'이라는 단어를 사용합니다. 이는 Call-home 프로세스의 관점에서 단순히 ASR9K에서 Cisco Cloud Server로의 메시지 전송이 성공적이었음을 의미합니다. 그러나 그렇다고 해서 Cisco Cloud Servers를 사용한 엔드 투 엔드 라이센싱 작업이 성공했다고 볼 수는 없습니다. 예를 들어 포털에 계정, 인증서 등에 문제가 있는 경우 call-home은 메시지를 전송하고 성공으로 표시하지만 백엔드 서버의 라이센스를 검사하는 전체 작업이 실패할 수 있습니다.
RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.
Msg Subtype Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT 1 0 0 0 2014-12-17 21:08:35
DEREGISTRATION 1 0 0 0 2014-12-17 14:33:17
REGISTRATION 1 0 0 0 2014-12-17 21:07:53
ACKNOWLEDGEMENT 1 0 1 0 2014-12-17 21:08:09
RENEW 1 0 0 0 2014-12-17 21:08:57 - IPv4와 IPv6를 모두 사용하여 관리 인터페이스를 구성할 경우, 이름 확인 순서에서 IP 주소 또는 DNS 확인은 먼저 IPv6입니다.
RP/0/RSP1/CPU0:ROA#show run int M*
interface MgmtEth0/RSP0/CPU0/0
cdp
ipv4 address 172.27.130.64 255.255.255.128
ipv6 address fe80::172:27:130:64 link-local
ipv6 address 2001:420:303:2008:0:28:1:64/80
... snipped output ...RP/0/RSP1/CPU0:ROA#ping tools.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:420:1201:5::a, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/45/49 msRP/0/RSP1/CPU0:ROA#ping ipv4 tools.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 173.37.145.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 43/44/45 ms
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
10-Jul-2015 |
최초 릴리스 |
피드백