SD-WAN XE Edge Router에서 HSEC 라이센스 구성
목차
소개
이 문서에서는 SD-WAN XE Edge 라우터에서 HSECK9 라이센스를 설치하고 문제를 해결하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco SD-WAN(Software-defined Wide Area Network)
- Cisco IOS® XE 명령줄 인터페이스(CLI)
- 스마트 라이선싱
- Cisco Software Central
사용되는 구성 요소
이 문서는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco Edge Router C1111-8PWE 버전 17.6.3
- Cisco Edge Router c8000v 17.12.3
- CSSM(Cisco Smart Software Manager)
- Cisco vManage 20.12.3.1
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
개념
Smart Licensing Using Policy에서는 다음과 같은 다양한 새로운 개념을 사용합니다.
- 라이센스 시행 유형
- 라이센스 기간
- 인증 코드
- SLAC(Smart Licensing Authorization Code)가 필요한 처리량 레벨 - SLAC가 필요한 라우터 플랫폼
- 정책
- 자원 가동률 측정 보고서(RUM 보고서) 및 보고서 승인
- 신뢰 코드
자세한 내용을 보려면 Smart Licensing Using Policy Concepts로 이동하십시오.
처리량 동작
- 제품에 어떤 형태의 HSECK9 라이센스도 없는 경우 모든 ISR1000 Series, ISR4000 Series, C8200, C8300, CSR1000v, C8000v 및 ISRv의 기본값은 250Mbps입니다.
- 처리량이 250Mbps보다 커야 하는 경우 모든 ISR1000 Series, ISR4000 Series, C8200, C8300, CSR1000v, C8000v 및 ISRv에 HSECK9 라이센스가 설치되어 있어야 합니다.
- 모든 ASR1000 Series에는 250Mbps를 초과하는 HSECK9가 필요하지 않습니다.
- 모든 C8500은 제조 사업장에 HSECK9 라이센스가 설치되어 있어야 합니다. 그렇지 않은 경우 HSECK9 라이센스를 수동으로 설치할 수 있습니다.
- 컨트롤러 관리 모드에서는 처리량 컨피그레이션이 없습니다. HSECK9 라이센스를 설치하면 포워딩 코어/패킷 프로세서 엔진이 자동으로 처리량을 가동할 수 있습니다.
- HSECK9 라이센스 설치 후 최대 처리량은 플랫폼의 하드웨어 기능에 따라 달라집니다. 자세한 내용은 특정 플랫폼 데이터시트를 참조하십시오.
라이센스 가용성 확인
1단계. 탐색 Cisco Software Central.
2단계. Smart Software Manager를 클릭합니다.
3단계. 최상위 메뉴에서 재고를 선택합니다.
4단계. 적절한 가상 어카운트를 선택합니다.
5단계. Virtual Account(가상 어카운트) 아래에서 Licenses(라이센스) 탭을 선택합니다.
6단계. 라이선스가 추가되고 사용 가능한지 확인하고 잔액이 양수인지 확인합니다.
사용 가능한 라이센스가 없거나 잔액이 음수(빨간색)인 경우 Cisco Licensing Team에 케이스를 여십시오.
라우터 작업 모드
라우터가 컨트롤러 관리 모드에서 명령 중 하나를 사용하는지 확인합니다.
show platform software device-mode
show version | include mode
예:
EdgeRouter# show platform software device-mode
Device Operating-mode: Controller-Managed
Device-mode bootup status:
8/03 00:44:16 System is green
Bootup Success
EdgeRouter# show version | in mode
Router operating mode: Controller-Managed
구성
CSSM에 대한 온라인 방법
전송 유형 구성 및 기본 CSSM URL 설정
1단계. 올바른 전송 유형 및 URL을 구성합니다.
EdgeRouter#config-transaction
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit
Commit complete.
2단계. 변경 사항이 올바르게 커밋되었는지 확인합니다.
EdgeRouter# show lic tech support | begin Smart Licensing Status
Smart Licensing Tech Support info
Smart Licensing Status
======================
Smart Licensing is ENABLED
License Conversion:
Automatic Conversion Enabled: True
Status: Not started
Export Authorization Key:
Features Authorized:
<none>
Utility:
Status: DISABLED
Smart Licensing Using Policy:
Status: ENABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Smart <<<<<<<<<<<<<<<<<<<<<<<<<<<< This must be Smart
URL: https://smartreceiver.cisco.com/licservice/license <<<<<<<<<<<<<<< URL must be pointed to smartreceiver.cisco.com
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: True
제품 인스턴스 등록 토큰 생성
1단계. 새 토큰을 생성합니다.
라이센스가 있는 동일한 가상 어카운트 내에서 General(일반) 탭으로 이동하고 New Token(새 토큰)을 클릭합니다.
2단계. 새 토큰 정보를 입력합니다.
설명: 토큰이 사용되는 용도에 대한 간략한 설명입니다.
다음 날짜 이후에 만료: 토큰이 제품 등록에 유효한 일 수입니다.
최대 사용 횟수: 토큰 최대 사용 수입니다. 선택 사항.
Allow export-controlled(내보내기 제어 허용) 옵션이 선택되어 있는지 확인합니다. 그렇지 않으면 라이센스 등록이 실패한 다음 Create Token(토큰 생성)을 클릭합니다.
3단계. 토큰을 복사합니다.
방금 생성한 토큰을 클립보드에 복사합니다. Actions(작업) > Copy(복사)로 이동하거나 토큰 문자열 옆에 있는 작은 파란색 아이콘을 수동으로 클릭합니다.
Edge 라우터와 CSSM 간에 신뢰 설정 생성
내보내기 제어 라이센스를 사용하도록 승인하려면 Edge 라우터가 CSSM과 신뢰를 설정해야 합니다. 핸드셰이크의 경우 에지 라우터는 이전 단계에서 CSSM에서 생성된 토큰을 사용합니다.
license smart trust idtoken TOKEN local force
예:
EdgeRouter# license smart trust idtoken ZThjOTlmM2UtMjQ2ZC00YjI1LTgwNjctZGIxZjIzYjZiYmVmLTE2NjM0NjI1%0AMjgyNTh8YWNVeTFiZU03N0lCdTFadmJ4ejZBL0toR2Mva21odElrQmxDa1FN%0AcVI3cz0%3D%0A local force
트러스트가 설정된 직후 로그에는 CSSM과의 통신이 표시됩니다.
EdgeRouter# show logging last 50
<snip>
*Aug 18 21:03:44.730: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair2 has been removed from key storage
*Aug 18 21:03:46.146: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair2 has been generated or imported by crypto-engine
*Aug 18 21:03:53.221: %SYS-6-PRIVCFG_ENCRYPT_SUCCESS: Successfully encrypted private config file
*Aug 18 21:03:56.107: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco Smart Software Manager (CSSM) restored
*Aug 18 21:03:56.347: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C1111-8PWE,S:FGL2149XXXX.
트러스트 설정 성공 카운터 확인
신뢰 설정 성공 카운터가 증가하는지 확인합니다. 즉, 라이센싱 에이전트가 CSSM에 연결할 수 있습니다.
EdgeRouter# show lic tech support | begin Communication Statistics
Communication Statistics:
=======================
Communication Level Allowed: DIRECT
Overall State: <empty>
Trust Establishment:
Attempts: Total=1, Success=1, Fail=0 Ongoing Failure: Overall=0 Communication=0 <<<<<<<<<<
Last Response: OK on Aug 18 21:03:56 2022 UTC
Failure Reason: <none>
Last Success Time: Aug 18 21:03:56 2022 UTC
Last Failure Time: Aug 18 21:00:43 2022 UTC
<snip>
권한 부여 요청
이때 신탁이 설정되지만 HSECK9 라이선스는 아직 사용되지 않습니다. 이는 라우터가 CSSM에 라이센스 사용을 요청해야 하기 때문입니다. 라이센스를 가져오려면 권한 부여 요청을 실행합니다.
EdgeRouter# license smart authorization request add hseck9 local
로그:
EdgeRouter# show logging | include SMART
*Aug 18 21:11:41.553: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 18 21:11:41.641: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9
추가 정보가 필요한 경우 스마트 라이센싱 이벤트 로그에 라이센스 요청 정보가 저장됩니다.
EdgeRouter# show lic eventlog 0
**** Event Log ****
2022-08-18 21:11:41.538 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><dateStamp>2022-08-18T21:17:45</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feac79ca9112704623118db58bbc2c-09b6eebc91ae833f</correlationID></status></authorizationCode><signature>MEUCIBuNw8+ogfZmJAbsRa+8B+F0wnDZLrv5RXm822rN/he5AiEAtfzzFV9L3dqht4sUYDxRvnUHF2KYi+vFv2vivDF6rIs=</signature></smartLicenseAuthorization>"
2022-08-18 21:11:41.552 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-18 21:11:41.641 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.641 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:12:06.119 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><status><success>false</success><message>last update already confirmed</message><code>last update already confirmed</code><correlationID>62feac7c4be974f92eefc15a640f938b-f08787827763ca37</correlationID></status></authorizationCode><signature>MEUCIQDhI8x+Rzf7wyibdohvYY6q9/8puukf8SuJ4ok48d4y5QIgdl5/z/7rLu+LEd5gK9kgOxA2Vb+vnJUcTOVPo3/R0pc=</signature></smartLicenseAuthorization>"
정품 인증 성공 확인
이제 라이센스를 사용할 수 있고 올바르게 활성화했는지 확인하는 몇 가지 명령이 있습니다.
show license tech support | begin License Usage
show license authorization
show license summary
show license usage
예:
EdgeRouter# show license tech support | begin License Usage
License Usage
=============
Handle: 1
License: hseck9
Entitlement Tag: regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844
Description: hseck9
Count: 1
Version: 1.0
Status: IN USE(15) <<<<<<<<<<<<<<<<<<<<<<
Status time: Aug 18 21:11:41 2022 UTC
Request Time: Aug 18 21:11:41 2022 UTC
Export status: RESTRICTED - ALLOWED
Feature Name: hseck9
Feature Description: hseck9
Enforcement type: EXPORT RESTRICTED
License type: Perpetual
Measurements:
ENTITLEMENT:
Interval: 00:15:00
Current Value: 1
EdgeRouter# show license authorization
Overall status:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Status: SMART AUTHORIZATION INSTALLED on Aug 18 21:11:41 2022 UTC <<<<<<<<<<<<<<<
Last Confirmation code: 0cde51c5
Authorizations:
Router US Export Lic. for DNA (DNA_HSEC):
Description: U.S. Export Restriction Compliance license for DNA based Routers
Total available count: 1
Enforcement type: EXPORT RESTRICTED
Term information:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Authorization type: SMART AUTHORIZATION INSTALLED <<<<<<<<<<<<<
License type: PERPETUAL
Term Count: 1
Purchased Licenses:
No Purchase Information Available
Edge# show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
hseck9 (DNA_HSEC) 1 IN USE <<<<<<<<<<
CSSM에 대한 오프라인 방법
인터넷 액세스가 허용되지 않는 Air-Gapped Networks의 경우, CSSM에서 SLAC를 로컬로 예약하여 수출 통제 라이센스 설치를 수행할 수 있습니다.
로컬 라이센스 예약 생성
라이센스가 상주하는 동일한 가상 어카운트에서 Product Instances(제품 인스턴스) > Authorize License-Enforced Features(라이센스 시행 기능 권한 부여)로 이동합니다.
에지 라우터 UDI 정보 가져오기
로컬 라이센스를 예약하려면 에지 라우터의 UDI(Unique Device Identifier)가 필요합니다. 명령을 실행하여 show license udi 제품 ID(PID) 및 일련 번호(SN)를 얻습니다.
EdgeRouter# show license udi
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
예약 양식에서 Edge Router UDI 입력
Single Device(단일 디바이스)를 선택하고 에지 라우터의 SN 및 PID를 입력합니다. Next(다음)를 클릭합니다.
예약할 라이센스 수 선택
단일 디바이스이므로 예약된 라이센스는 하나이므로 상자에 번호를 입력합니다. 숫자가 사용 가능한 값을 초과하지 않는지 확인합니다.
License Device Type(라이센스 디바이스 유형) 선택
디바이스 유형은 DNA(Digital Network Architecture) On-Prem 또는 DNA Cloud일 수 있습니다. 이는 구매한 라이센스 유형에 따라 다릅니다.
인증 코드 생성
컨피그레이션을 검토하고 Generate Authorization Code를 클릭합니다.
SLAC 다운로드
SLAC는 파일로 다운로드하거나 클립보드에 복사할 수 있습니다.
SLAC를 에지 라우터에 복사합니다.
SLAC 파일을 Edge Router에 복사하는 세 가지 옵션이 있습니다.
- USB 드라이브.
EdgeRouter# show file systems | include usb|Size
Size(b) Free(b) Type Flags Prefixes
15598043136 15596658688 disk rw usb0:
EdgeRouter# dir usb0:
Directory of usb0:/
5 -rwx 1557 Aug 19 2022 00:43:30 +00:00 AuthorizationCode_SN_FGL2149XXXX.txt
15598043136 bytes total (15596658688 bytes free)
EdgeRouter# copy usb0:AuthorizationCode_SN_FGL2149XXXX.txt bootflash:
Destination filename [AuthorizationCode_SN_FGL2149XXXX.txt]?
Copy in progress...C
1557 bytes copied in 0.020 secs (77850 bytes/sec)
- vManage through Control Connections(제어 연결을 통한 vManage)에서 Transfer Files between a Edge Router and vManage(에지 라우터와 vManage 간에 파일 전송)로 이동하여 자세한 내용을 확인합니다.
- 서비스 측의 SCP/FTP/TFTP.
SLAC 설치
Smart Import를 사용하여 bootflash에 SLAC 파일을 설치합니다.
EdgeRouter# license smart import bootflash:AuthorizationCode_SN_FGL2149XXXX.txt
Import Data Successful
Last Confirmation code UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Confirmation code: aaa6b57e
로그.
EdgeRouter# show logging | include SMART
*Aug 19 05:42:45.309: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 19 05:42:45.362: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9
EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-19 05:42:45.293 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>0ceadf0a-3145-4779-8cbb-743c5a234a05</piid><dateStamp>2022-08-19T05:43:11</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62ff22ec38ab5858bde12581a2589b39-bde12581a2589b39</correlationID></status></authorizationCode><signature>MEUCIQDrUe11CPAsnjonKRmUe40arqPiY/q/UfTGSJ1IdmkkrAIgF8G2zoHIxz04IVO2J7ZHA1M51+QMvLzUGyZsfvwK5tk=</signature></smartLicenseAuthorization>"
2022-08-19 05:42:45.308 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.333 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.334 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-19 05:42:45.362 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.362 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
설치 성공 확인
라이센스가 올바르게 설치되었는지 확인하려면 온라인 방법과 동일한 명령을 사용합니다.
show license authorization
show license summary
show license tech support | begin License Usage
설치가 올바르면 Virtual Account의 라이센스는 자동으로 In Use 카운터가 증가하고 Available to Use 카운터가 감소합니다.
또한 Product Instances(제품 인스턴스) 탭에도 에지 라우터의 UDI 정보가 표시됩니다. 라이센스 특성에 대한 자세한 내용을 보려면 항목을 클릭하십시오.
vManage 워크플로 방법
20.9.2 이후부터는 vManage에서 Workflows(워크플로)를 통해 HSECK9 라이센스를 설치할 수 있습니다.
온라인 워크플로
CSSM과 라이센스 동기화
1.- vMange GUI에서 Main Menu(기본 메뉴) > Workflows(워크플로) > Sync and Install HSEC Licenses(HSEC 라이센스 동기화 및 설치)로 이동합니다.
2.- 팝업 창에서 Let's Do it 버튼을 클릭합니다.
3.- Sync Licenses(라이센스 동기화) 작업을 선택하고 Next(다음)를 클릭합니다.
4.- 온라인 모드를 선택하고 다음을 클릭합니다.
5- Cisco CSSM 자격 증명을 입력하고 Next(다음)를 클릭합니다.
6.- HSEC License Sync Overview(HSEC 라이센스 동기화 개요)를 확인하고 Next(다음)를 클릭합니다.
7.- vManage는 클라우드에 연결하여 사용 가능한 모든 Virtual Account를 쿼리합니다. 드롭다운에서 유효한 HSEC 라이센스 및 양수 HSEC 라이센스가 포함된 Virtual Account를 선택합니다.
8.- HSEC 라이센스를 설치할 대상 장치를 선택합니다.
9.- 요청 요약을 검토 및 확인하고 Sync를 클릭합니다.
10.- Check HSEC Assignment Status(HSEC 할당 상태 확인)를 클릭하여 SLAC 예약을 실시간으로 확인합니다.
11.- CSSM에서 라이센스를 가져와 vManage에 저장하면 상태가 Success(성공)로 표시됩니다.
가져온 라이센스 설치
1.- vMange GUI에서 Main Menu(기본 메뉴) > Workflows(워크플로) > Sync and Install HSEC Licenses(HSEC 라이센스 동기화 및 설치)로 이동합니다.
2.- 라이선스 설치 작업을 선택합니다.
3.- HSEC 라이센스를 가져온 디바이스를 선택합니다.
4.- 설치 요약을 확인하고 Install(설치)을 클릭합니다.
5.- Check HSEC Assignment Status(HSEC 할당 상태 확인)를 클릭하여 설치 상태를 실시간으로 확인합니다.
6.- vManage가 라우터와 통신하고 SLAC를 전송한 후 설치합니다. 최종 상태는 성공이어야 합니다.
7.- Action(작업) 아이콘을 클릭하여 HSEC 설치에 대한 자세한 로그를 표시합니다.
오프라인 워크플로
CSSM과 라이센스 동기화
1.- vMange GUI에서 Main Menu(기본 메뉴) > Workflows(워크플로) > Sync and Install HSEC Licenses(HSEC 라이센스 동기화 및 설치)로 이동합니다.
2.- 팝업 창에서 Let's Do it 버튼을 클릭합니다.
3.- Sync Licenses(라이센스 동기화) 작업을 선택하고 Next(다음)를 클릭합니다.
4.- 오프라인 모드를 선택하고 다음을 클릭합니다.
5.- 프로세스 개요를 주의 깊게 검토하고 Next(다음)를 클릭합니다.
6.- Download Process(다운로드 프로세스) 옵션을 선택하고 Next(다음)를 클릭합니다.
7.- 검색 표시줄에서 라이센스를 설치할 디바이스를 필터링합니다.
8.- 작업 요약을 검토하고 Download HSEC Device File (.SUDI)(HSEC 장치 파일 다운로드(.SUDI))을 클릭합니다.
9.- 라이센스 사용 자동 다운로드가 시작됩니다.
10.- Open Cisco Smart Software Manager(Cisco Smart Software Manager 열기)를 클릭하거나 Cisco Software Central(Cisco Software Central)로 이동합니다.
11.- 선택한 Smart Account에서 Cisco Software Central > Smart Software Licensing으로 이동하고 Reports(보고서) > Usage Data Files(사용 데이터 파일) > Upload Usage Data(사용 데이터 업로드)...를 클릭합니다..
12.- Upload Usada Data(Usada 데이터 업로드) 팝업창에서 Browse(찾아보기)를 클릭하고 방금 다운로드한 파일을 선택한 후 Upload Data(데이터 업로드)를 클릭합니다.
13.- 시스템에서 파일 처리를 시작합니다. 완료하는 데 5~10분 정도 소요됩니다. 그런 다음 Download(다운로드)를 클릭합니다.
14.- 시스템에서 ACK 파일을 생성하고 자동으로 다운로드합니다.
15.- vMange GUI에서 Main Menu(기본 메뉴) > Workflows(워크플로) > Sync and Install HSEC Licenses(HSEC 라이센스 동기화 및 설치) > Sync Licenses(라이센스 동기화) > Offline(오프라인) > Next(다음) > Upload Process(업로드 프로세스)로 다시 이동합니다.
16.- Choose a File(파일 선택)을 클릭하거나 다운로드한 파일을 상자 안에 끌어다 놓고 Upload(업로드)를 클릭합니다.
17.- 작업 요약을 확인하고 Upload(업로드)를 클릭합니다.
가져온 라이센스 설치
1.- 워크플로 라이브러리 동기화 및 라이선스 설치로 돌아가서 라이선스 설치를 클릭합니다.
2.- 목록에서 라이센스 권한이 부여된 동일한 디바이스를 선택하고 Next(다음)를 클릭합니다.
3.- 작업 요약을 검토하고 Install(설치)을 클릭합니다.
4.- 프로세스가 완료될 때까지 기다립니다. 설치 상태는 Success여야 합니다.
5.- Action(작업) 아이콘을 클릭하여 HSEC 설치에 대한 자세한 로그를 표시합니다.
HSECK9 라이센스 반환
온라인 방법
현재 컨트롤러 관리 모드에서는 온라인 또는 오프라인 방법 모두에서 라이센스를 반환할 수 없습니다.
EdgeRouter# license smart authorization return local online
Operation cannot be completed because license is in use
EdgeRouter# license smart authorization return local offline
Operation cannot be completed because license is in use
라이센스 설치를 제거하려면 라우터를 자동 모드로 변경해야 합니다.
EdgeRouter# controller-mode disable
Disabling controller mode erases the nvram filesystem, remove all configuration files, and reload the box!
Ensure the BOOT variable points to a valid image
Continue? [confirm]
라우터가 자동 모드에 있으면 인터넷 및 DNS(Domain Name System) 확인에 연결할 수 있도록 몇 가지 기본 컨피그레이션을 수행해야 합니다.
- WAN 인터페이스에 대한 IP 주소 및 마스크 구성
- WAN 인터페이스의 전원 켜기
- 기본 IP 경로 구성
- DNS 사용
- DNS 서버 구성
HSECK9 또는 Cisco DNA 내보내기 제어 라이센스가 있는 동일한 Virtual Account의 토큰을 사용합니다. 활성 토큰이 없는 경우 새 토큰을 생성합니다.
Edge Router에서와 동일한 절차를 수행하여 CSSM과 설정된 신뢰를 생성합니다.
EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# end
EdgeRouter# license smart trust idtoken TOKEN local force
EdgeRouter# license smart authorization request add hseck9 local
통신이 완료되면 라이센스를 가상 어카운트의 휴지통으로 되돌립니다.
EdgeRouter# license smart authorization return local online
Authorization already returned with this code:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CmJHqn-5CFUkd-effkCh-4XqCpQ-SgK5Sz-fQFfM8-6qH7MA-33hDbX-sXT
로그.
EdgeRouter# show logging | include SMART
*Aug 18 22:00:22.998: %SMART_LIC-6-AUTHORIZATION_REMOVED: A licensing authorization code has been removed from PID:C1111-8PWE,SN:FGL2149XXXX.
Router#show license eventlog 0
**** Event Log ****
2022-08-18 22:08:53.275 UTC SAEVT_RESERVE_RETURN_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>519e0f72-85d6-4a57-8805-5999e7b712be</piid><dateStamp>2022-08-18T22:08:17</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feb851b0b3a2264144901cb3491c22-ff31e87ded74ffde</correlationID></status></authorizationCode><signature>MEUCIQCTL9Y/HrhJXgR3+oxCWH/mpLxezThnvoAMFRIO7BHzJgIgBNDnvAD4u1eiQZ3Qrg8uGc4I6rLkbR/pn3fDv67eG5c=</signature></smartLicenseAuthorization>"
Offline 메서드
반환 코드를 생성하려면 라우터가 자동 모드여야 합니다. 모드를 변경하려면 Online Method(온라인 방법)를 완료합니다.
반환 코드 생성
반환 코드는 라우터의 로컬 권한 부여를 사용하여 CSSM에서 예약된 라이센스를 검증하는 데 필요합니다.
EdgeRouter# license smart authorization return local offline
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CCKUTq-Qg2Ytw-ZhSLq5-bDFw7e-VvWgf2-QwwBed-3MaRcT-fFfGcn-X6e <<<< Copy the string
예약 제거
Product Instances(제품 인스턴스) > Actions(작업) > Remove(제거)로 이동합니다. 라우터에서 방금 복사한 반환 코드를 붙여 넣고 Remove Reservation(예약 제거)을 클릭합니다.
라이선스 예약이 제거됨 알림이 바로 표시됩니다. 다시 Actions(작업) > Remove(제거) > Remove Instance(인스턴스 제거)로 이동합니다.
활성화 - 다시 로드해야 합니까?
8500 기반 플랫폼에서 HSEC을 활성화하려면 다시 로드해야 한다는 것이 사실입니까?
예. 8500 플랫폼 제품군은 자동 또는 컨트롤러 모드에서 다시 로드해야 합니다.
HSEC 활성화 후 C8000v를 다시 로드해야 합니까?
아니요, 필요하지 않습니다. 라이센스는 C8000v의 설계에 따라 '사용 안 함'으로 유지되지만, 디바이스는 hsec 설치 직후 무제한 처리량을 얻게 됩니다.
CSR1000v에 대한 다시 로드는 HSEC의 활성화 이후에 수행됩니까?
아니요, hsec의 사후 활성화, CSR1000v는 다시 로드할 필요가 없습니다.
SD-WAN 모드와 비 SD-WAN 모드의 다시 로드 동작은 동일합니까?
아니요. HSEC 활성화와 관련된 SD-WAN 모드와 비 SD-WAN 모드는 매우 다릅니다.
SD-WAN 모드에서는 HSEC를 활성화/활성화하기 위해 다시 로드해야 하지만 비 SD-WAN 모드에서는 CLI '라이센스 기능 hsec'가 디바이스에서 hsec를 활성화/활성화합니다. SD-WAN 모드의 CSR1000v 및 C8000V 플랫폼에서는 다시 로드할 필요가 없습니다.
HSEC 라이센스의 비활성화도 마찬가지입니까?
비 SD-WAN 모드(자동)에서는 HSEC 라이센스를 제거할 수 있지만, 이 기능이 사용 중인 동안에는 HSEC 라이센스를 제거할 수 없습니다. 사용자는 CLI 'no license feature hsec'를 사용하여 HSEC 라이센스를 비활성화/비활성화하고 라이센스가 'not-in-use' 상태가 되도록 디바이스를 다시 로드한 다음 uninstall 명령을 시작해야 합니다. SD-WAN 모드의 HSEC 라이센스 'uninstall'은 이 기능을 비활성화할 수 없으므로 지원되지 않습니다. 그러나 사용자는 자동 모드로 이동하여 모드 변경과 관련하여 알려진 문제가 발생하는 경우 해결 방법으로 제거할 수 있습니다. SD-WAN 모드에서 CSSM에 라이센스를 반환하는 방법에 대한 지침을 받으려면 TAC 케이스를 여십시오.
라이센스 가용성 확인
다음을 확인합니다.
설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.
유용한 명령
검증 절차는 온라인 또는 오프라인 방법에 대한 각 단계에서 설명합니다.
show license tech support
show license status
show license authorization
show license summary
show license history message
show license eventlog
license smart clear event log
license smart sync local
license smart factory reset
문제 해결
이 섹션에서는 설정 문제 해결에 사용할 수 있는 정보를 제공합니다.
Smart Licensing Using Policy는 인터넷을 통해 Edge Router와 CSSM 간의 보안 양방향 통신을 사용하여 등록 및 라이센스 가져오기에 유리한 승인 및 악수를 교환합니다.
디바이스 간에 메시지를 올바르게 교환할 수 없는 일반적인 시나리오가 있습니다.
일반적인 문제
DNS 확인이 작동하지 않음
smartreceiver.com에 도달하려면 에지 라우터가 도메인 이름을 확인할 수 있어야 합니다. 그렇지 않으면 URL이 라우팅 가능한 IP로 변환되지 않으며 통신이 실패합니다. 이 오류는 일반적으로 트러스트 설정 시도 후에 나타납니다.
*Aug 18 20:45:10.345: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart License Utility (CSLU) : Unable to resolve server hostname/domain name
인터넷에 IP 연결이 있는지 확인합니다.
ping 8.8.8.8
텔넷을 사용하여 URL에 연결하는 대신 외부 장치에 의해 ICMP(Internet Control Message Protocol)가 차단된 경우 URL에 Ping을 수행하여 DNS가 작동하는지 여부를 확인합니다.
ping cisco.com
telnet cisco.com 80
테스트가 실패할 경우 DNS 서버를 구성하고 DNS 확인을 활성화합니다.
ip domain lookup
ip name-server 8.8.8.8
외부 DNS 서버를 구성할 수 없는 경우 라우터에서 로컬 DNS 확인을 구성합니다.
EdgeRouter# config-transaction
EdgeRouter(config)# ip host smartreceiver.com A.B.C.D
EdgeRouter(config)# commit
SL(Smart Licensing) 이벤트 로그에 일반적인 오류 메시지가 표시됩니다.
EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given
SD-WAN 터널 블록 DNS
SD-WAN 터널의 암시적 ACL이 수신 DNS 응답을 차단하는 경우에도 유사한 문제가 발생합니다.
EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given
등록 시 DNS 서비스가 허용되는지 확인합니다.
EdgeRouter# show sdwan running-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns <<<<<<<<<<<<<<<<<< MUST be allowed
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit
전송 URL이 올바르지 않습니다.
신규(신규) 설치의 경우 기본 전송 유형은 CSLU(Cisco Smart Licensing Utility)입니다.
EdgeRouter# show license tech support | include Smart Licensing Status
Smart Licensing Tech Support info
Smart Licensing Status
======================
Smart Licensing is ENABLED
License Conversion:
Automatic Conversion Enabled: True
Status: Not started
Export Authorization Key:
Features Authorized:
<none>
Utility:
Status: DISABLED
Smart Licensing Using Policy:
Status: ENABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: cslu <<<<<<<<<<<<<<<<<<
Cslu address: <empty>
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: False
로그의 일반적인 오류입니다.
EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed info
스마트 에이전트의 기본 URL 및 전송 유형을 수동으로 구성하고 토큰으로 설정된 트러스트를 다시 시도하십시오.
EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit
SD-WAN 터널 차단 HTTPS
Smart Licensing 통신은 HTTPS(Hypertext Transfer Protocol Secure) 포트 443을 기반으로 하므로, SD-WAN 터널이 수신 HTTPS 응답을 차단하는 경우 등록, 권한 부여 요청 및 RUM 보고서 알림이 실패합니다.
로그 및 eventlog의 일반적인 오류입니다.
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given
등록 시 HTTPS 서비스가 SD-WAN 터널에서 허용되는지 확인합니다. 그렇지 않은 경우 허용하고 토큰으로 Trust Establishment를 다시 시도하십시오.
EdgeRouter# show sdwan runnning-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https <<<<<<<<<<<<<<<<<< MUST be allowed
no allow-service snmp
no allow-service bfd
exit
외부 방화벽에서 CSSM URL, IP 또는 포트 443 차단
사이트 아키텍처가 방화벽을 사용하여 트래픽을 제어하는 경우 smartreceiver.cisco.com에 대한 포트 443이 차단되지 않았는지 확인합니다. 자세한 내용은 방화벽 팀 또는 인터넷 서비스 공급자(ISP)에 문의하십시오.
라우터에서.
EdgeRouter# telnet smartreceiver.com 443
Trying smartreceiver.com (X.X.X.X, 443)...Open
서비스 VRF 호스트에서.
ericgar@cisco$ telnet smartreceiver.cisco.com 443
Trying X.X.X.X...
Connected to smartreceiver.cisco.com.
Escape character is '^]'.
인터넷에 대한 다중 인터페이스
인터페이스가 두 개 이상인 일부 시나리오에서는 CSSM과의 통신에 실패합니다. http 소스 인터페이스는 라우터에서 사용 가능한 인터페이스로 변경할 수 있습니다.
EdgeRouter# config-transaction
EdgeRouter(config)# ip http client source-interface INTERFACE
EdgeRouter(config)# commit
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
3.0 |
12-Sep-2024 |
온라인 및 오프라인 방법으로 vManage 워크플로를 추가했습니다. |
2.0 |
30-Jul-2024 |
'follow' 사용이 수정되었습니다. 탐색 및 GUI를 굵게 표시로만 수정했습니다. 수정된 문법 오류. 끊어진 링크를 수정했습니다. |
1.0 |
06-Sep-2022 |
최초 릴리스 |
피드백