Inleiding
Dit document beschrijft hoe u kunt werken met Cisco Smart Licensing (cloudgebaseerd systeem) voor het oplossen en beheren van softwarelicenties op Nexus-switches.
Wat is Cisco Smart Licensing?
Een Cisco Smart Account is een beheerde gegevensopslagplaats die volledige zichtbaarheid en toegangscontrole biedt voor Cisco-softwarelicenties, -rechten en -productinstanties in het hele bedrijf
Is Smart Licensing en/of Smart Account Administration nieuw voor u?
Meld u aan voor de nieuwe trainingscursus voor beheerders, met opnames:
Ondersteunde Cisco Nexus-platforms
Nexus 3000 en 9000
NX-OS-versies voor 9.3(3) ondersteunen alleen traditionele licenties. NX-OS-versies van 9.3(3) tot 10.1(2) ondersteunen zowel traditionele licenties als slimme licenties, die in dit document worden behandeld. NX-OS-versies na 10.1(2) ondersteunen alleen Smart Licensing Use Policy, dat verschilt van Smart Licensing. Raadpleeg in plaats daarvan deze handleiding voor versies nieuwer dan 10.1(2).
Nexus 7000 switch
Smart Licensing wordt ondersteund op Cisco Nexus 7000 met NX-OS 8.0(1) en nieuwer.
Ondersteunde methoden voor slimme licentiëring op Nexus-Switches
Smart Licensing-gebruikerswerkstroom
Smart License-productstaten
Geregistreerd
Licenties
Verzoek tot verlenging
Verlenging
Registratie- en licentiestatussen
Terwijl Smart Licensing is ingesteld, zijn er meerdere mogelijke statussen waarin een Cisco-apparaat kan worden geplaatst. Deze staten kunnen worden weergegeven door "alle licenties te tonen of licentiestatus weer te geven" via de Command Line Interface (CLI) op het Cisco-apparaat.
Hier volgt een lijst van alle staten en hun betekenis:
De status Evaluatie (niet-geïdentificeerd)
- Dit is een standaardstatus van het apparaat wanneer het voor het eerst wordt opgestart.
- Dit is doorgaans de status wanneer een Cisco-apparaat nog niet is geconfigureerd voor Smart Licensing of geregistreerd voor een Smart Account.
- In deze status zijn alle functies beschikbaar en kan het apparaat licentieniveaus onbeperkt wijzigen.
- De evaluatieperiode wordt gebruikt wanneer het apparaat de niet-geïdentificeerde status heeft. Het apparaat probeert in deze status niet met Cisco te communiceren.
- Dit is 90 dagen van gebruik en niet 90 kalenderdagen. Wanneer het is verlopen wordt het nooit opnieuw ingesteld.
- Er geldt één evaluatieperiode voor het hele apparaat, niet per recht
- Wanneer de evaluatieperiode na 90 dagen verloopt, wordt op het apparaat de EVAL EXPIRY-modus ingeschakeld, maar dit heeft geen enkele impact op de functionaliteit, ook niet na opnieuw laden. Momenteel is er geen handhaving geïmplementeerd.
- De afteltijd wordt bijgehouden bij reboots.
- De evaluatieperiode wordt gebruikt als het apparaat nog niet bij Cisco is geregistreerd en deze twee berichten niet van het Cisco-backend heeft ontvangen:
- Successful response to a registration request (Geslaagde reactie op een registratieaanvraag)
- Successful response to an entitlement authorization request (Geslaagde reactie op een aanvraag voor autorisatie van rechten).
De status Geregistreerd
- Dit is de status die wordt verwacht nadat de registratie is voltooid.
- Het Cisco-apparaat heeft kunnen communiceren met een Cisco Smart Account en zich kunnen registreren.
- Het apparaat ontvangt een ID-certificaat dat een jaar geldig is en dat wordt gebruikt voor toekomstige communicatie.
- Het toestel dient een verzoek in bij de CSSM om de rechten voor de op het toestel in gebruik zijnde licenties toe te staan.
- Op basis van de CSM-respons voert het apparaat vervolgens geautoriseerde of niet-conforme gegevens in
- Het ID-certificaat verloopt na één jaar. Na 6 maanden probeert de software Agent het certificaat te vernieuwen. Als de Agent niet kan communiceren met Cisco Smart Software Manager, blijft de Agent proberen het ID-certificaat te vernieuwen tot de verloopdatum (1 jaar). Aan het eind van een jaar, gaat de agent terug naar de Ongeïdentificeerde staat en probeert om de evaluatieperiode toe te laten. CSSM verwijdert de productinstantie uit de database.
De status Geautoriseerd
- Dit is de verwachte toestand wanneer het apparaat een recht gebruikt en voldoet aan de voorschriften (geen negatief saldo);
- De Virtual-account op CSSM had het juiste type en aantal licenties om het gebruik van de apparaatlicenties toe te staan.
- Na 30 dagen stuurt het apparaat een nieuw verzoek naar CSSM om de autorisatie te verlengen.
- Deze status heeft een tijdspanne van 90 dagen waarna (indien niet verlengd) wordt overgegaan naar de status Autorisatie verlopen.
Status van niet-naleving
- Dit is de staat wanneer het apparaat een recht gebruikt en niet in Naleving is (negatieve balans).
- Deze status is van toepassing als voor de licentie geen licentie beschikbaar is in de bijbehorende Virtual Account waarvoor het Cisco-apparaat is geregistreerd in de Cisco Smart Account.
- Om de status Compliance / Authorised in te voeren, moet u het juiste aantal en type licenties toevoegen aan de Smart Account.
- In deze staat stuurt het toestel automatisch elke dag een aanvraag tot verlenging van de autorisatie.
- Licenties en functies blijven functioneren en er is geen sprake van functionele gevolgen.
De status Autorisatie verlopen
- Dit is de status wanneer een apparaat een recht gebruikt en niet meer kan communiceren met de Cisco Smart Account die meer dan 90 dagen is gekoppeld.
- Dit gebeurt doorgaans als het Cisco-apparaat geen toegang meer heeft tot internet of geen verbinding meer kan maken met tools.cisco.com na de eerste registratie.
- Voor online Smart Licensing-methoden moeten Cisco-apparaten minstens elke 90 dagen communiceren om deze status te voorkomen.
- CSSM retourneert alle gebruikslicenties voor dit apparaat terug naar de pool omdat het 90 dagen geen communicatie heeft gehad.
- Terwijl in deze staat het apparaat blijft proberen om contact op te nemen met Cisco, elk uur, om de machtiging voor rechten te verlengen, tot de registratieperiode (ID-certificaat) verloopt.
- Licenties en functies blijven in werking en er is geen functionele impact.
- Als de software Agent de communicatie met Cisco opnieuw tot stand brengt en naar zijn autorisatieverzoek ontvangt, verwerkt hij dat antwoord normaal en treedt hij in een van de ingestelde statussen.
Ondersteunde methoden voor Nexus en configuratie
Methode 1 (Direct Cloud Access)
Basisconfiguratie:
switch# show run callhome
!Command: show running-config callhome
!Running configuration last done at: Wed Jun 22 16:14:37 2022
!Time: Wed Jun 22 16:16:28 2022
version 9.3(4) Bios:version 07.67
callhome
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
switch# show license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: ldap_user_test
Virtual Account: Default
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Jun 22 16:15:41 2022 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Dec 19 16:15:41 2022 UTC
Registration Expires: Jun 22 16:13:53 2023 UTC
License Authorization:
Status: AUTHORIZED on Jun 22 16:15:44 2022 UTC
Last Communication Attempt: SUCCEEDED on Jun 22 16:15:44 2022 UTC
Next Communication Attempt: Jul 22 16:15:43 2022 UTC
Communication Deadline: Sep 20 16:12:55 2022 UTC
Smart License Conversion:
Automatic Conversion Enabled: False
Status: Not started
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/nx-os/licensing/guide/b_Cisco_NX-OS_Licensing_Guide/m-smart-licensing-for-cisco-nexus-3000-and-9000-series-switches.html
Methode-2 (toegang via een HTTP-proxy)
switch# show run callhome
version 9.3(4) Bios:version 07.67
call home
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService transport http proxy server X.X.X.X port 80 transport http use-vrf management transport http proxy enable Switch# license smart register idtoken XXXX (force) Initiated device registration with backend. run show license status, for registration status
Methode 3 (on-prem - online)
switch# show run callhome
version 9.3(4) Bios:version 07.67
callhome
email-contact sch-smart-licensing@cisco.com
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http https://10.106.41.xx/Transportgateway/services/DeviceRequestHandlerend
transport http use-vrf management
enable
Switch# license smart register idtoken XXXX (force)
Initiated device registration with backend. run show license status, for registration status
Methode-4 (Op kantoor - offline )
Wat is ID Token?
Gebruikt om producten veilig te registreren op een slimme account en virtuele account
ID Tokens zijn organisatorische identificatoren die worden gebruikt om de identiteit vast te stellen wanneer een product wordt geregistreerd.
Hoe te om de Token van identiteitskaart van CSSM te produceren
https://software.cisco.com/software/csws/ws/platform/home?locale=en_US#
Licenties beheren -> Inventaris -> Algemeen -> Nieuwe token -> Een token maken
Problemen oplossen
Wanneer een Cisco-apparaat is gemigreerd naar een softwareversie die voor Smart Licensing is ingeschakeld, kan dit stroomschema worden gebruikt als algemene gids voor alle drie de methoden (Direct Cloud Access, HTTPS Proxy en Cisco Smart Software Manager On-Prem).
werkstroom
Bekende problemen
- Het probleem om N9K-C9348GC-FXP te registreren voor slimme licenties.
1. Fout - Verzend Call Home HTTP niet uit
[+] Call home-configuraties
Switch# show running-config callhome
version 9.3(5) Bios:version 07.68
callhome
email-contact abc@example.com
phone-contact +919XXXXXXXXX
streetaddress ST3, RD 4, Bangalore
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
[+] Bevestigd bereikbaar via tools.cisco.com.
DC-DMZ(config)# ping tools.cisco.com vrf management
PING tools.cisco.com (72.163.4.38): 56 data bytes
64 bytes from 72.163.4.38: icmp_seq=0 ttl=232 time=237.581 ms
64 bytes from 72.163.4.38: icmp_seq=1 ttl=232 time=237.859 ms
64 bytes from 72.163.4.38: icmp_seq=2 ttl=232 time=237.562 ms
64 bytes from 72.163.4.38: icmp_seq=3 ttl=232 time=237.413 ms
64 bytes from 72.163.4.38: icmp_seq=4 ttl=232 time=237.995 ms
DC-DMZ(config)# telnet tools.cisco.com 443 vrf management
Trying 2001:420:1101:5::a...
Trying 72.163.4.38...
Connected to tools.cisco.com.
Escape character is '^]'.
^CConnection closed by foreign host.
+ HTTP-broninterface is geconfigureerd voor interface VLAN 27; gewijzigd in mgmt0
2. Fout - De responsgegevens van de SCH-server kunnen niet worden geparseerd
++ HTTP wordt niet langer ondersteund om backend van Cisco te bereiken; HTTPS wordt alleen ondersteund. Huidige configuratie verwijderd en het doeladres bijgewerkt om HTTPS te gebruiken.
Previous config
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable
New config added
(config)#callhome
(config-callhome)#enable
(config-callhome)# destination-profile CiscoTAC-1 transport-method http
(config-callhome no destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
(config-callhome destination-profile CiscoTAC-1 http https://tools.cisco.com/its/service/oddce/services/DDCEService
3. Fout - Verzend de Berichten van het Huis van de Vraag van de Uitzending HTTP (slaagt om IPC te vestigen verbinden met het Huis van de Vraag - Quo Vadis Root CA)
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
4. Fout - Gebrek aan DNS-respons veroorzaakt CallHome MTS-berichten vastgelopen
Cisco Bug-id CSCv67469