HSEC-licentie configureren op SD-WAN XE Edge router

Inleiding

Dit document beschrijft hoe u HSECK9-licenties kunt installeren en oplossen op SD-WAN XE Edge-router.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco Software-defined Wide Area Network (SD-WAN)
• Cisco IOS® XE Command Line Interface (CLI)
• Smart Licensing
• Cisco Software Central

Gebruikte componenten

Dit document is gebaseerd op deze software- en hardwareversies:

• Cisco Edge-router C111-8PWE versie 17.6.3
• Cisco Edge-router c800v 17.12.3
• Cisco Smart Software Manager (CSSM)
• Cisco vManager 20.12.3.1

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Concepten

Smart Licensing Using Policy maakt gebruik van een verscheidenheid aan nieuwe concepten, zoals:

• Typen licentietypen
• Licentieduur
• Machtigingscode
• Doorvoerniveau dat Smart Licensing Authorisation Code (SLAC) vereist - routerplatforms die een SLAC nodig hebben
• Beleid
• Rapport van de meting van het hulpbronnengebruik (Rumrapport) en rapportbevestiging
• Vertrouwenscode

Voor meer informatie navigeer naar Smart Licensing met behulp van beleidsconcepten.

Doorvoergedrag

• Alle ISR1000 Series, ISR4000 Series, C8200, C8300, CSR1000v, C800v en ISRv blijven standaard op 250 Mbps als het product geen enkele vorm van HSECK9-licentie heeft.
• Voor alle ISR1000 Series, ISR4000 Series, C8200, C8300, CSR1000v, C800v en ISRv moet een HSECK9-licentie worden geïnstalleerd als de doorvoersnelheid hoger moet zijn dan 250 Mbps.
• Alle ASR 1000 Series hoeven geen HSECK9 voor >250 Mbps te hebben.
• Alle C8500 zal naar verwachting een HSECK9 licentie hebben geïnstalleerd in de fabriek. Als dit niet het geval is, kan de HSECK9-licentie handmatig worden geïnstalleerd.
• Er is geen doorvoerconfiguratie in de controller-beheerde modus. De HSECK9 licentie installatie automatisch laat de door:sturen kernen/Packet Processor Engines toe om de doorvoersnelheid te ontketenen.
• De maximale doorvoersnelheid na de installatie van de HSECK9-licentie is afhankelijk van de hardwaremogelijkheden van het platform. Bekijk de specifieke Platform Datasheet voor meer informatie.

Opmerking: Vanaf 20.9.2 en 17.9.2a kunnen HSEC-licenties direct vanaf vManager worden beheerd. Meer details zijn hier te vinden:
Cisco Catalyst SD-WAN Getting Started Guide - HSEC-licenties beheren [Cisco SD-WAN] - Cisco

Verificatie van beschikbaarheid van licenties

Stap 1. Navigeer naar Cisco Software Central.

Stap 2. Klik op Smart Software Manager.

Stap 3. Selecteer Inventaris in het bovenste menu.

Stap 4. Kies de juiste virtuele account.

Stap 5. Selecteer het tabblad Licenties onder de virtuele account.

Stap 6. Controleer dat de licentie wordt toegevoegd en met een positieve balans beschikbaar is.

Als er geen licentie beschikbaar is of als het saldo negatief (rood) is, opent u een case met Cisco Licensing Team.

Opmerking: Deze gids veronderstelt dat u reeds een HSECK9-licentie of router US Export-licentie voor DNA hebt gekocht en het wordt toegevoegd aan een geldig virtueel account binnen een smart account.

Bedieningsmodus router

Controleer of de router zich in de controller-beheerde modus bevindt met een van de opdrachten.

show platform software device-mode
show version | include mode

Voorbeeld:

EdgeRouter# show platform software device-mode
Device Operating-mode: Controller-Managed
Device-mode bootup status:
8/03 00:44:16 System is green
Bootup Success

EdgeRouter# show version | in mode 
Router operating mode: Controller-Managed

Opmerking: Als de bedrijfsmodus in Autonomous resulteert, verplaats de router naar Controller-Beheerd met controller-mode enable opdracht.

Configureren

Online methodiek voor CSSM

Type transport configureren en standaard CSM-URL instellen

Stap 1. Configureer het juiste transporttype en URL.

EdgeRouter#config-transaction
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit
Commit complete.

Opmerking: Als de router een malplaatje in bijlage aan het heeft: de slimme opdrachten voor transport en URL worden ondersteund en kunnen worden geconfigureerd met een CLI-Add On Feature Template. Voor meer informatie, navigeer aan CLI Add-on functiesjablonen.

Stap 2. Controleer of de wijzigingen correct zijn vastgelegd.

EdgeRouter# show lic tech support | begin Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: Smart <<<<<<<<<<<<<<<<<<<<<<<<<<<< This must be Smart
URL: https://smartreceiver.cisco.com/licservice/license <<<<<<<<<<<<<<< URL must be pointed to smartreceiver.cisco.com
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: True

Opmerking: De standaard-URL wordt automatisch geactiveerd en het hoeft niet te worden aangepast.

Genereert een registratietoken voor productinstanties

Stap 1. Genereer een nieuwe token.

Navigeer binnen de virtuele account waarop de licentie zich bevindt naar het tabblad Algemeen en klik op Nieuw token.

Stap 2. Vul de nieuwe token-informatie in.

Beschrijving: Korte beschrijving van waarvoor het token wordt gebruikt.
Verlopen na: Aantal dagen dat de token is geldig voor productregistraties.
Max. Aantal toepassingen: Token maximum aantal toepassingen. Optioneel.

Zorg ervoor dat de optie Export toestaan is ingeschakeld. Anders mislukt de licentieregistratie en klikt u op Token maken.

Opmerking: Het token vervalt wanneer de verloopdatum of het maximale gebruik is bereikt.

Opmerking: Voor meer informatie, navigeer naar Cisco Export Trade.

Stap 3. Kopieer het token.

Kopieert de zojuist gegenereerde token naar het klembord. of navigeren naar Acties > Kopiëren of handmatig in het kleine blauwe pictogram naast de token string.

Een vertrouwensinstelling tussen de Edge-router en CSSM genereren

Om toestemming te verlenen om een exportgecontroleerde licentie te gebruiken, moet de Edge-router vertrouwen stellen in de CSM. Voor de handdruk gebruikt de Edge-router het token dat in de vorige stap op CSSM is gegenereerd.

license smart trust idtoken TOKEN local force

Voorbeeld:

EdgeRouter# license smart trust idtoken ZThjOTlmM2UtMjQ2ZC00YjI1LTgwNjctZGIxZjIzYjZiYmVmLTE2NjM0NjI1%0AMjgyNTh8YWNVeTFiZU03N0lCdTFadmJ4ejZBL0toR2Mva21odElrQmxDa1FN%0AcVI3cz0%3D%0A local force

Direct nadat het vertrouwen is gevestigd, tonen de logboeken communicatie met CSSM.

EdgeRouter# show logging last 50
<snip>
*Aug 18 21:03:44.730: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair2 has been removed from key storage
*Aug 18 21:03:46.146: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair2 has been generated or imported by crypto-engine
*Aug 18 21:03:53.221: %SYS-6-PRIVCFG_ENCRYPT_SUCCESS: Successfully encrypted private config file
*Aug 18 21:03:56.107: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco Smart Software Manager (CSSM) restored
*Aug 18 21:03:56.347: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C1111-8PWE,S:FGL2149XXXX.

Controleer de Trust Establishment Success Counter

Controleer dat de succesteller van de vertrouwensinstelling toeneemt. Dit betekent dat de licentieverlener CSSM kan bereiken.

EdgeRouter# show lic tech support | begin Communication Statistics
Communication Statistics:
=======================
Communication Level Allowed: DIRECT
Overall State: <empty>
Trust Establishment:
Attempts: Total=1, Success=1, Fail=0 Ongoing Failure: Overall=0 Communication=0 <<<<<<<<<<
Last Response: OK on Aug 18 21:03:56 2022 UTC
Failure Reason: <none>
Last Success Time: Aug 18 21:03:56 2022 UTC
Last Failure Time: Aug 18 21:00:43 2022 UTC
<snip>

Opmerking: Als de teller mislukt, navigeer dan naar de sectie Problemen oplossen in dit document.

Toestemming aanvragen

Op dit moment is de trust opgericht, maar de HSECK9 licentie is nog niet in gebruik. Dit gebeurt omdat het nodig is om de routeraanvraag naar CSSM te maken voor het licentieverbruik. Voer de autorisatieaanvraag uit om de licentie te halen.

EdgeRouter# license smart authorization request add hseck9 local

Logboeken:

EdgeRouter# show logging | include SMART
*Aug 18 21:11:41.553: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 18 21:11:41.641: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

In het gebeurtenissenlogboek voor slimme licenties wordt de informatie over de licentieaanvraag opgeslagen voor het geval er meer informatie nodig is.

EdgeRouter# show lic eventlog 0
**** Event Log ****
2022-08-18 21:11:41.538 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><dateStamp>2022-08-18T21:17:45</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feac79ca9112704623118db58bbc2c-09b6eebc91ae833f</correlationID></status></authorizationCode><signature>MEUCIBuNw8+ogfZmJAbsRa+8B+F0wnDZLrv5RXm822rN/he5AiEAtfzzFV9L3dqht4sUYDxRvnUHF2KYi+vFv2vivDF6rIs=</signature></smartLicenseAuthorization>"
2022-08-18 21:11:41.552 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-18 21:11:41.641 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.641 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:12:06.119 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><status><success>false</success><message>last update already confirmed</message><code>last update already confirmed</code><correlationID>62feac7c4be974f92eefc15a640f938b-f08787827763ca37</correlationID></status></authorizationCode><signature>MEUCIQDhI8x+Rzf7wyibdohvYY6q9/8puukf8SuJ4ok48d4y5QIgdl5/z/7rLu+LEd5gK9kgOxA2Vb+vnJUcTOVPo3/R0pc=</signature></smartLicenseAuthorization>"

Controleer of de activering succesvol is

Er zijn een aantal opdrachten om te controleren of de licentie nu beschikbaar en correct geactiveerd is.

show license tech support | begin License Usage
show license authorization
show license summary
show license usage

Voorbeeld:

EdgeRouter# show license tech support | begin License Usage 
License Usage
=============
Handle: 1
License: hseck9
Entitlement Tag: regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844
Description: hseck9
Count: 1
Version: 1.0
Status: IN USE(15)               <<<<<<<<<<<<<<<<<<<<<<
Status time: Aug 18 21:11:41 2022 UTC
Request Time: Aug 18 21:11:41 2022 UTC
Export status: RESTRICTED - ALLOWED
Feature Name: hseck9
Feature Description: hseck9
Enforcement type: EXPORT RESTRICTED
License type: Perpetual
Measurements:
ENTITLEMENT:
Interval: 00:15:00
Current Value: 1

EdgeRouter# show license authorization 
Overall status:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Status: SMART AUTHORIZATION INSTALLED on Aug 18 21:11:41 2022 UTC   <<<<<<<<<<<<<<<
Last Confirmation code: 0cde51c5

Authorizations:
Router US Export Lic. for DNA (DNA_HSEC):
Description: U.S. Export Restriction Compliance license for DNA based Routers
Total available count: 1
Enforcement type: EXPORT RESTRICTED
Term information:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Authorization type: SMART AUTHORIZATION INSTALLED  <<<<<<<<<<<<<
License type: PERPETUAL
Term Count: 1

Purchased Licenses:
No Purchase Information Available


Edge# show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
hseck9 (DNA_HSEC) 1 IN USE     <<<<<<<<<<

Offline methode voor CSM

Voor Air-gapped Networks waar internettoegang niet is toegestaan, kan de door Export gecontroleerde licentieinstallatie worden uitgevoerd met een lokale reservering van een SLAC op de CSSM. 

Opmerking: Deze methode vereist geen transporttype of geldige smart Uniform Resource Locator (URL). 

Een lokaal licentiereservering genereren

In de virtuele account waarin de licentie zich bevindt, navigeer naar productinstanties > Licentie-afgedwongen functies toestaan.

Ontvang de Edge-router UDI-informatie

De lokale licentiereservering vereist de unieke Device Identifier (UDI) van de Edge-router, voer de show license udi opdracht uit om de Product-ID (PID) en het serienummer (SN) te verkrijgen.

EdgeRouter# show license udi
UDI: PID:C1111-8PWE,SN:FGL2149XXXX

Vul de Edge-router UDI in het reserveringsformulier in

Selecteer één apparaat en vul het SN en PID van de Edge-router in. Klik op Next (Volgende).

Selecteer het aantal licenties dat moet worden gereserveerd

Aangezien het één apparaat is, is de gereserveerde licentie één, typt u het nummer in het vak. Zorg ervoor dat het nummer niet hoger is dan de beschikbare nummers.

Selecteer het type licentieapparaat 

Het apparaattype kan een digitale netwerkarchitectuur (DNA) op de werkbalk of een DNA-cloud zijn. Dit is afhankelijk van het type licentie dat is aangeschaft.

De autorisatiecode genereren

Controleer de configuratie en klik op Generate Authorisation Code.

Download de SLAC

De SLAC kan als bestand worden gedownload of naar het klembord worden gekopieerd.

Kopieert de SLAC naar de Edge-router

Er zijn drie opties om het SLAC-bestand naar de Edge-router te kopiëren.

• Met een USB Drive.

EdgeRouter# show file systems | include usb|Size
Size(b)        Free(b)  Type Flags Prefixes
15598043136 15596658688 disk  rw     usb0:

EdgeRouter# dir usb0:
Directory of usb0:/

5 -rwx 1557 Aug 19 2022 00:43:30 +00:00 AuthorizationCode_SN_FGL2149XXXX.txt

15598043136 bytes total (15596658688 bytes free)

EdgeRouter# copy usb0:AuthorizationCode_SN_FGL2149XXXX.txt bootflash:
Destination filename [AuthorizationCode_SN_FGL2149XXXX.txt]? 
Copy in progress...C
1557 bytes copied in 0.020 secs (77850 bytes/sec)

• Met vManager via Control Connections navigeer je naar Bestanden overdragen tussen een Edge-router en vManager voor meer informatie.
• SCP/FTP/TFTP aan de servicekant.

Installeer de SLAC

Gebruik Smart Import om het SLAC-bestand in bootflash te installeren.

EdgeRouter# license smart import bootflash:AuthorizationCode_SN_FGL2149XXXX.txt
Import Data Successful
Last Confirmation code UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Confirmation code: aaa6b57e

Logboeken.

EdgeRouter# show logging | include SMART
*Aug 19 05:42:45.309: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 19 05:42:45.362: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

EdgeRouter# show license eventlog 0
**** Event Log ****

2022-08-19 05:42:45.293 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>0ceadf0a-3145-4779-8cbb-743c5a234a05</piid><dateStamp>2022-08-19T05:43:11</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62ff22ec38ab5858bde12581a2589b39-bde12581a2589b39</correlationID></status></authorizationCode><signature>MEUCIQDrUe11CPAsnjonKRmUe40arqPiY/q/UfTGSJ1IdmkkrAIgF8G2zoHIxz04IVO2J7ZHA1M51+QMvLzUGyZsfvwK5tk=</signature></smartLicenseAuthorization>"
2022-08-19 05:42:45.308 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.333 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.334 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-19 05:42:45.362 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.362 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"

Controleer of de installatie is geslaagd

Gebruik dezelfde opdracht als in de online methode om te controleren of de licentie correct is geïnstalleerd.

show license authorization
show license summary
show license tech support | begin License Usage 

Als de installatie correct is, wordt de licentie in de virtuele account automatisch verhoogd in de teller Gebruik en wordt de teller Beschikbaar voor gebruik verlaagd.

Ook op het tabblad Product wordt de UDI-informatie van de Edge-router weergegeven. Klik op het item om meer informatie te krijgen over de licentiekenmerken.

vManager-werkstroommethode

Vanaf 20.9.2 maakt vManager het mogelijk om een HSECK9 licentie te installeren met behulp van Workflows. 

Opmerking: Deze methode werkt alleen met "Router US Export LLC. voor DNA-vergunningen; apparaatspecifieke HSEC-licenties zoals ISR4300_HSEC of ISR4400_HSEC werken niet langer. Voor meer informatie over het converteren van een Device Specific HSEC-licentie naar DNA HSEC, bezoek Restricties voor het beheren van HSEC-licenties.

Online werkstroom

Sync-licenties met CSSM

1. - In vManager GUI navigeer naar het hoofdmenu > Workflows > HSEC-licenties synchroniseren en installeren.

2.- Klik op de knop Let's Do in het pop-upvenster.

3. - Selecteer de taak Licenties synchroniseren en klik op Volgende.

4. - Selecteer Online mode en klik op Next.

5- Voer uw Cisco CSM-referenties in en klik op Volgende.

6.- Controleer het HSEC-licentiesynchrone overzicht en klik op Volgende.

7.- vManager maakt verbinding met de cloud en vraagt alle beschikbare virtuele accounts. Selecteer in de dropdown de virtuele account die een geldige en positieve HSEC-tellingslicentie bevat.

Opmerking: de aanmeldingsgegevens die in stap 6 zijn ingevoerd, moeten een beheerdersrol hebben in de Smart Account en Virtual Account waar de HSEC-licenties zijn opgeslagen.

8.- Selecteer het apparaat waarin de HSEC-licentie moet worden geïnstalleerd.

Opmerking: Er worden alleen apparaten weergegeven die compatibel zijn met HSEC

9.- Controleer en controleer het aanvraagoverzicht en klik op Sync.

10.- Klik op HSEC Assignment Status controleren om de SLAC-reservering in realtime te verifiëren.

11. Zodra de licentie uit de CSSM is gehaald en in vManager is opgeslagen, wordt de status weergegeven als Success.

Afgehaalde licenties installeren

1. - In vManager GUI navigeer naar het hoofdmenu > Workflows > HSEC-licenties synchroniseren en installeren.

2. - Selecteer de taak Licenties installeren.

3.- Selecteer het apparaat waarvoor de HSEC-licenties zijn opgehaald.

4. - Controleer de installatiesamenvatting en klik op Installeren.

5. Klik op HSEC Assignment Status controleren om de installatiestatus in real time te controleren.

6.- vManager communiceert met de router, verstuurt de SLAC naar de router en installeert deze. De uiteindelijke status moet Success zijn.

7. - Klik op het pictogram Action om meer gedetailleerde logbestanden van de HSEC-installatie weer te geven.

Offline werkstroom

Sync-licenties met CSSM

1. - In vManager GUI navigeer naar het hoofdmenu > Workflows > HSEC-licenties synchroniseren en installeren.

2.- Klik op de knop Let's Do in het pop-upvenster.

3. - Selecteer de taak Licenties synchroniseren en klik op Volgende.

4. - Selecteer de modus Offline en klik op Volgende.

5.- Bekijk het procesoverzicht zorgvuldig en klik op Volgende.

6. - Selecteer de optie Downloadproces en klik op Volgende.

7.- Filter in de zoekbalk het apparaat waarvoor de licentie is bedoeld.

8.- Bekijk de samenvatting van de taak en klik op Download HSEC Device File (.SUDI)

9.- Er wordt automatisch gestart met het downloaden van het licentiegebruik.

10.- Klik op Open Cisco Smart Software Manager of navigeer naar: Cisco Software Central.

11. - In de geselecteerde slimme account navigeer je naar Cisco Software Central > Smart Software Licensing en klik je op Reports > Usage Data Files > Upload Usage Data....

12. - Klik in het pop-upvenster Upload Usada Data op Bladeren en selecteer het bestand dat zojuist is gedownload en klik op Upload Data.

13.- Het systeem begint het bestand te verwerken. Het duurt ongeveer 5 tot 10 minuten. Klik vervolgens op Downloaden.

Opmerking: Om het ACK-bestand te genereren, moet de rapportagestatus "Geen fouten" zijn; als er een fout is, klik op het pictogram van de uitbreiding om meer informatie over de fout te verkrijgen. Open indien nodig een Cisco TAC-case.

14.- Het systeem genereert het ACK-bestand en downloadt het automatisch.

15. - In vManager GUI, navigeer opnieuw naar Hoofdmenu > Werkstromen > HSEC-licenties synchroniseren en installeren > Licenties voor synchronisatie > Offline > Volgende > Uploadproces.

16. - Klik op Kies een bestand of sleep het gedownloade bestand in het vak en klik op Upload.

17. - Controleer de samenvatting van de taak en klik op Upload.

Afgehaalde licenties installeren

1.- Ga terug naar de werkstroombibliotheek Licenties synchroniseren en installeren en klik op Licenties installeren.

2.- Selecteer uit de lijst het apparaat waarvoor de licentie is goedgekeurd en klik op Volgende.

3.- Bekijk de taaksamenvatting en klik op Installeren.

4.- Wacht tot het proces is voltooid. De status van de installatie moet Success zijn.

5. - Klik op het pictogram Action om meer gedetailleerde logbestanden van de HSEC-installatie weer te geven.

De HSECK9-licentie retourneren

Online methode

Op dit moment is er geen implementatie in controller-beheerde modus om een licentie terug te geven in zowel online als offline methoden.

EdgeRouter# license smart authorization return local online
Operation cannot be completed because license is in use

EdgeRouter# license smart authorization return local offline
Operation cannot be completed because license is in use

Om de vergunningsinstallatie te verwijderen, moet de router in autonome wijze worden veranderd.

EdgeRouter# controller-mode disable
Disabling controller mode erases the nvram filesystem, remove all configuration files, and reload the box!
Ensure the BOOT variable points to a valid image
Continue? [confirm]

Opmerking: Deze moduswijziging verwijdert de huidige SD-WAN configuratie, wordt het sterk aanbevolen om back-up van de configuratie op een veilige plaats. Dit helpt om Control Connections te herbouwen wanneer de Edge-router wordt terugverplaatst naar de controller-beheerde modus.

Zodra de router op autonome wijze is, moet sommige basisconfiguratie worden gedaan om bereikbaarheid aan de resolutie van het Systeem van de Naam van het Internet en van het Domein te hebben (DNS):

1. Een IP-adres en een masker voor de WAN-interface configureren 
2. Voeding op de WAN-interface
3. Een standaard IP-route configureren
4. DNS inschakelen
5. Een DNS-server configureren

Opmerking: Het autonome gebruik van de Wijze vormt eindbevel om in configuratiewijze, in plaats van configuratie-transactie bevel te krijgen.

Opmerking: Autonomous Mode hoeft geen wijzigingen aan te brengen, maar elke uitgevoerde configuratie wordt opgeslagen in het lopende configuratiebestand.

Gebruik een token van dezelfde Virtual Account waar de HSECK9 of Cisco DNA export-gecontroleerde licentie zich bevindt. Als er geen actief token is, genereert u een nieuwe.

Voltooi de zelfde procedure zoals in Edge Router om een vertrouwen te produceren dat met CSSM wordt gevestigd.

EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# end
EdgeRouter# license smart trust idtoken TOKEN local force
EdgeRouter# license smart authorization request add hseck9 local

Opmerking: Gebruik de dezelfde opdrachten die eerder zijn uitgelegd om te controleren of het juiste transporttype en de slimme ontvanger-URL zijn ingeschakeld en de vertrouwensinstelling is met succes voltooid.

Wanneer de communicatie is voltooid, retourneert u de licentie terug naar de bin in de virtuele account.

EdgeRouter# license smart authorization return local online 
Authorization already returned with this code:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CmJHqn-5CFUkd-effkCh-4XqCpQ-SgK5Sz-fQFfM8-6qH7MA-33hDbX-sXT

Logboeken.

EdgeRouter# show logging | include SMART
*Aug 18 22:00:22.998: %SMART_LIC-6-AUTHORIZATION_REMOVED: A licensing authorization code has been removed from PID:C1111-8PWE,SN:FGL2149XXXX.

Router#show license eventlog 0 
**** Event Log ****
2022-08-18 22:08:53.275 UTC SAEVT_RESERVE_RETURN_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>519e0f72-85d6-4a57-8805-5999e7b712be</piid><dateStamp>2022-08-18T22:08:17</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feb851b0b3a2264144901cb3491c22-ff31e87ded74ffde</correlationID></status></authorizationCode><signature>MEUCIQCTL9Y/HrhJXgR3+oxCWH/mpLxezThnvoAMFRIO7BHzJgIgBNDnvAD4u1eiQZ3Qrg8uGc4I6rLkbR/pn3fDv67eG5c=</signature></smartLicenseAuthorization>"

Opmerking: Verplaats de router terug naar de controller-beheerde modus met controller-mode enableopdracht.

Offline methode

Om de terugkeercode te genereren moet de router in autonome modus staan. Voltooi de Online Methode om de wijze te veranderen.

De retourcode genereren

De retourcode is nodig om de gereserveerde licentie in CSSM met de lokale autorisatie in de router te valideren.

EdgeRouter# license smart authorization return local offline
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CCKUTq-Qg2Ytw-ZhSLq5-bDFw7e-VvWgf2-QwwBed-3MaRcT-fFfGcn-X6e <<<< Copy the string

Reservering verwijderen

Navigeer naar Product Instanties > Acties > Verwijderen. Plak de retourcode die net uit de router is gekopieerd en klik op Reservering verwijderen.

De melding van de met succes verwijderde Licentiereservering verschijnt direct daarna. Nogmaals, navigeer naar Handelingen > Verwijderen > Installatie verwijderen.

Activering - Is opnieuw laden vereist?

Is het waar dat op 8500-gebaseerde platforms een herlading nodig is voor HSEC om geactiveerd te worden?

Ja, de 8500 platformfamilie vereist een herlading in ofwel autonome ofwel controllermodus.

Is een herladen nodig voor C8000v na activering van HSEC?

Nee, dat is niet nodig. De licentie blijft als 'niet-in-use' in overeenstemming met het ontwerp op C8000v, maar het apparaat krijgt onbeperkte doorvoersnelheid onmiddellijk na de hsec-installatie.

Is een herladen voor CSR1000v na activering van HSEC?

Nee, na activering van hsec hoeft de CSR1000v niet opnieuw te worden geladen.

Is het herlaadgedrag hetzelfde voor SD-WAN en niet-SD-WAN modi?

Nee, de SD-WAN en niet-SD-WAN modi met betrekking tot de HSEC-mogelijkheid zijn heel anders.

In de SD-WAN modus is een herladen nodig om HSEC in te schakelen/te activeren, terwijl in de niet-SD-WAN modus de CLI 'licentie hsec' hsec op het apparaat inschakelt/activeert. Op de CSR1000v- en C800V-platforms in de SD-WAN-modus is geen opnieuw laden nodig.

Geldt dit ook voor de deactivering van de HSEC-licentie?

De HSEC-licentie kan worden verwijderd in de niet-SD-WAN-modus (Autonoom), maar de HSEC-licentie kan niet worden verwijderd als de functie in gebruik is. De gebruiker moet de HSEC-licentie uitschakelen/deactiveren met CLI'no-licentiefunctie hsec' en het apparaat opnieuw laden om de licentie in de 'not-in-use' staat te laten staan en vervolgens de opdracht verwijderen starten. De HSEC-licentie 'verwijderen' in de SD-WAN modus wordt niet ondersteund omdat de functie niet kan worden uitgeschakeld. De gebruiker heeft echter een optie om naar de autonome modus te gaan en te verwijderen als een tijdelijke oplossing op bekende uitdagingen met de moduswijzigingen. Open een TAC-case om advies te ontvangen over de manier waarop u de licentie kunt retourneren aan de CSSM terwijl u in de SD-WAN modus werkt.

Opmerking: Voor meer informatie, bezoek: HSEC Licentie Veelgestelde vragen voor SD-WAN.

Verificatie van beschikbaarheid van licenties

Verifiëren 

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Nuttige opdrachten

De verificatieprocedure wordt in elke stap beschreven voor de online- of offline-methoden. 

show license tech support
show license status
show license authorization
show license summary
show license history message
show license eventlog 
    
    
license smart clear event log
license smart sync local
license smart factory reset

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Smart Licensing Using Policy maakt gebruik van beveiligde bidirectionele communicatie tussen de Edge-router en de CSSM via het internet om bevestigingen en handdrukken uit te wisselen die de registratie en licentielevering begunstigen.

Er zijn gemeenschappelijke scenario's die niet toestaan dat berichten correct tussen apparaten worden uitgewisseld.

Veelvoorkomende problemen

DNS-resolutie werkt niet

Om smartreceiver.com te bereiken, moet de Edge-router in staat zijn een domeinnaam op te lossen. Anders wordt de URL niet vertaald naar een routeerbaar IP en mislukt de communicatie. Deze fout verschijnt gewoonlijk na de poging van de vertrouwensinstelling.

*Aug 18 20:45:10.345: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart License Utility (CSLU) : Unable to resolve server hostname/domain name

Zorg ervoor dat er IP-verbinding met het internet is.

ping 8.8.8.8

Ping een URL om te verifiëren of DNS werkt of niet als Internet Control Message Protocol (ICMP) wordt geblokkeerd door een extern apparaat met het gebruik van telnet in plaats daarvan aan een URL.

ping cisco.com
telnet cisco.com 80

Als de test mislukt, configureer dan een DNS-server en schakel de DNS-resolutie in.

ip domain lookup
ip name-server 8.8.8.8

Als het niet mogelijk is om een externe DNS server te configureren, configureer dan lokale DNS-resolutie in de router.

EdgeRouter# config-transaction
EdgeRouter(config)# ip host smartreceiver.com A.B.C.D
EdgeRouter(config)# commit

Opmerking: Als u moet weten welke IP's reageren op smartreceiver.com, voert u een nslookup opdracht uit vanuit een Windows- of Linux-machine.

Opmerking: Lokale DNS-resolutie wordt niet aanbevolen, omdat de IP-beantwoorders in de loop van de tijd kunnen wijzigen en Cisco niet op de hoogte stelt van de wijziging.

De gemeenschappelijke foutenmelding wordt gezien in Smart Licensing (SL) eventlog.

EdgeRouter# show license eventlog 0
**** Event Log ****

2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

SD-WAN tunnelblokkeringen - DNS

Een soortgelijk probleem doet zich voor als de impliciete ACL in de SD-WAN Tunnel inkomende DNS-reacties blokkeert.

EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

Zorg ervoor dat op het registratietijdstip de DNS-service is toegestaan.

EdgeRouter# show sdwan running-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns <<<<<<<<<<<<<<<<<< MUST be allowed
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit

Transport URL is niet correct

Voor greenfieldinstallaties (nieuwe) is het standaardtransporttype Cisco Smart Licensing Utility (CSLU).

EdgeRouter# show license tech support | include Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: cslu         <<<<<<<<<<<<<<<<<<
Cslu address: <empty>
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: False

Veelvoorkomende fouten in logbestanden.

EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed info

Opmerking: CSLU wordt niet ondersteund in Cisco SD-WAN (Cisco vManager) en CSLU kan niet worden gebruikt om licentiegebruik te melden voor het routing van productinstanties die worden beheerd door Cisco vManager. Ga voor meer informatie naar Cisco Smart License Utility (CSLU).

Configureer de standaard URL en het transporttype voor de slimme agent handmatig en probeer het vertrouwen dat met het token is opgebouwd opnieuw.

EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit

SD-WAN tunnelblokken HTTP

Smart Licensing-communicatie is gebaseerd op HTTPS-poort 443 (Hypertext Transfer Protocol Secure). Als de SD-WAN-tunnel dus inkomende HTTPS-reacties blokkeert, worden de registratie, autorisatieaanvraag en RUM-meldingen niet gemeld.

De veelvoorkomende fout in log en eventlog.

*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Zorg ervoor dat de HTTPS-service in de SD-WAN-tunnel is toegestaan op het moment van registratie. Als dit niet het geval is, laat u het dan toe en probeer het vertrouwensbureau opnieuw met het token.

EdgeRouter# show sdwan runnning-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns 
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https <<<<<<<<<<<<<<<<<< MUST be allowed
no allow-service snmp
no allow-service bfd
exit

Externe firewall blokkeert CSM URL, IP’s of poort 443

Als de sitearchitectuur een firewall gebruikt om verkeer te controleren, zorg er dan voor dat poort 443 naar smartreceiver.cisco.com niet wordt geblokkeerd. Neem contact op met uw firewallteam of Internet Service Provider (ISP) om dit verder te verifiëren.

Van de router.

EdgeRouter# telnet smartreceiver.com 443        
Trying smartreceiver.com (X.X.X.X, 443)...Open

Van een Service VRF-host.

ericgar@cisco$ telnet smartreceiver.cisco.com 443
Trying X.X.X.X...
Connected to smartreceiver.cisco.com.   
Escape character is '^]'.

Meervoudige interfaces met het internet

In sommige scenario's waar er meer dan één interface is, ontbreekt de communicatie met CSSM; de HTTP-broninterface kan worden gewijzigd in elke beschikbare interface in de router.

EdgeRouter# config-transaction
EdgeRouter(config)# ip http client source-interface INTERFACE
EdgeRouter(config)# commit

Gerelateerde informatie

• Smart Licensing met beleid voor Cisco Enterprise Routing-platforms
• Licenties voor slimme licenties beheren met Policy SD-WAN
• Technische ondersteuning en documentatie – Cisco Systems