Inleiding

Dit document beschrijft hoe u slimme licenties kunt configureren en oplossen met behulp van Policy (SLUP) op Catalyst 9800 draadloze LAN-controller (WLC).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Slim licentiëren met beleid (SLUP)
• Catalyst 9800 draadloze LAN-controller (WLC)

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

1. Direct verbinding met Cisco Smart Software Manager Cloud (CSM Cloud)
2. Verbonden met CSM via CSLU (Cisco Smart License Utility Manager)
3. Verbonden met CSM via On-Prem Smart Software Manager (On-Presence SSM)

Dit artikel is niet van toepassing op alle scenario's voor slimme licenties op Catalyst 9800. Raadpleeg de handleiding voor slimme licenties met behulp van beleidsconfiguratie voor meer informatie. In dit artikel wordt echter wel een aantal nuttige opdrachten gegeven voor het oplossen van problemen met Direct Connect, CSLU en On-Premium SSM Smart Licensing met behulp van beleidsproblemen op Catalyst 9800.

Optie 1. Direct connect naar Cisco Smart Licensing Cloud Servers (CSSM)

Optie 2. Verbinding via CSLU

Optie 3. Verbinding via On-Prem Smart Software Manager (On-Prem SSM)

Opmerking: alle opdrachten die in dit artikel worden vermeld, zijn alleen van toepassing op WLC's die versie 17.3.2 of hoger uitvoeren.

Traditionele licentiëring vs SLUP

De functie Slimme licentiëring met beleidsoptie is op de Catalyst 9800 met de codeversie 17.3.2 geïntroduceerd. De eerste 17.3.2 release mist de configuratie van de SLUP in de WLC webUI, die werd geïntroduceerd met de 17.3.3 release. De SLUP verschilt op verschillende manieren van de traditionele 'slimme' licentiëring:

• WLC communiceert nu met CSSM via het smartreceiver.cisco.com-domein in plaats van het tools.cisco.com-domein.
• In plaats van te registreren, stelt de WLC nu vertrouwen met de CSM of On-Prem SSM.
• CLI-opdrachten zijn enigszins gewijzigd.
• Er is geen Smart Licensing Reservation (SLR) meer. In plaats daarvan kunt u periodiek uw gebruik handmatig melden.
• Er is geen evaluatiemodus meer. De WLC blijft op volle capaciteit werken, zelfs zonder licentie. Het systeem is op eer gebaseerd en u wordt verondersteld om uw licentieverbruik periodiek (automatisch of handmatig in het geval van airgapped netwerken) te melden.

Configuratie

Direct Connect CSSM

Zodra het token op de CSM is gemaakt, moeten deze opdrachten worden uitgevoerd om vertrouwen te creëren:

Opmerking: Token Max. Het aantal toepassingen moet ten minste 2 zijn in een geval van WLC in HA SSO.

configure terminal
ip http client source-interface <interface>
ip http client secure-trustpoint <TP>
license smart transport smart
license smart url default
exit
write memory
terminal monitor
license smart trust idtoken <token> all force

• De opdracht bron-interface van de ip http-client specificeert de L3-interface waaruit licenties voor verwante pakketten zullen worden betrokken
• De opdracht ip http client secure-trustpoint specificeert welk trustpoint/certificaat wordt gebruikt voor CSM-communicatie. De trustpoint naam kan worden gevonden met behulp van show crypto pki trustpoints opdracht. Aanbevolen wordt om een zelf-ondertekend cert TP-self-signed-xxxxxxxxx certificaat of door de fabrikant geïnstalleerd certificaat te gebruiken (ook bekend als MIC, alleen beschikbaar op 9800-40, 9800-80 en 9800-L), doorgaans Cisco_IDEVID_SUDI genoemd.
• Terminal monitor commando maakt de WLC afdrukken van de logbestanden naar de console en helpen te bevestigen dat vertrouwen met succes is gevestigd. Het kan worden uitgeschakeld met behulp van terminal geen monitor.
• Trefwoord alles in de laatste opdracht vertelt alle WLC's in het HA SSO-cluster om het vertrouwen met de CSSM te vestigen.
• Keyword force vertelt de WLC om een van de eerder ingestelde trusts te negeren en een nieuwe te proberen.

Opmerking: Als het vertrouwen niet wordt opgericht, probeert de 9800 1 minuut later opnieuw nadat het commando is uitgevoerd en probeert het niet voor enige tijd opnieuw. Voer de opdracht voor een token opnieuw in om een nieuwe vertrouwensinstelling te forceren.

Verbonden met CSLU

Cisco Smart License Utility Manager (CSLU) is een op Windows gebaseerde toepassing (ook beschikbaar op Linux) waarmee klanten licenties en hun bijbehorende productinstanties kunnen beheren vanuit hun bedrijfslocatie in plaats van hun Smart Licensed enabled-productinstanties rechtstreeks te moeten verbinden met Cisco Smart Software Manager (CSSM).

Dit deel heeft alleen betrekking op de 9800 draadloze configuratie. Er zijn andere stappen die u moet uitvoeren om licenties te configureren met CSLU (zoals het installeren van CSLU, het configureren van de CSLU-software enzovoort). Dit wordt besproken in de Configuratiehandleidingen. Of u nu een door een productinstantie geïnitieerde of door CSLU geïnitieerde communicatiemethode wilt implementeren, of de corresponderende reeks taken wilt voltooien.

Door productinstanties geïnitieerd 

1. Verzeker netwerkbereikbaarheid van de controller naar CSLU 
2. Zorg ervoor dat het transporttype is ingesteld op cslu: 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. Als u wilt dat CSLU wordt ontdekt door de controller, moet u de actie uitvoeren. Als u wilt dat CSLU wordt ontdekt met behulp van DNS, is geen actie vereist. Als u het wilt ontdekken met behulp van een URL, voer dan deze opdracht in: 
   

   (config)#license smart url cslu http://<cslu_ip>:8182/cslu/v1/pi
   (config)#exit
   #copy running-config startup-config

Door CSLU geïnitieerd 

Wanneer u door CSLU geïnitieerde communicatie configureert, is de enige actie die nodig is om te controleren op netwerkbereikbaarheid naar CSLU vanuit de controller en deze te verzekeren. 

Verbonden met SSM on-prem

De configuratie met SSM op het platform is vergelijkbaar met directe verbinding. Op dit moment moet versie 8-202102 of nieuwer worden uitgevoerd. Voor versies van de SLUP (17.3.2 en hoger) wordt aanbevolen de URL en het transporttype van de CSLU te gebruiken. De URL kan worden verkregen via de webinterface op het platform onder Smart Licensing > Inventory > <Virtual Account> Algemene sectie.

configure terminal
 ip http client source-interface <interface>
 ip http client secure-trustpoint <TP>
 license smart transport cslu
 license smart url cslu http://<SSMOn-PremIP>/cslu/v1/pi/<tenantID> (see previous paragraph on how to get exact URL)
 crypto pki trustpoint SLA-TrustPoint
  revocation-check none 
 exit
write memory
terminal monitor

SSM op kantoor vereist geen gebruik van een vertrouwensteken.

Smart Transport configureren via een HTTPS-proxy

Om een volmachtsserver te gebruiken om met CSSM te communiceren wanneer het gebruiken van de Slimme vervoerwijze, voltooi deze stappen:

configure terminal
  ip http client source-interface <interface>
  ip http client secure-trustpoint <TP>
  license smart transport smart
  license smart url default
  license smart proxy address <proxy ip/fqdn>
  license smart proxy port <proxy port>
exit
write memory
terminal monitor
license smart trust idtoken <token> all force

Communicatiefrequentie

Het meldingsinterval dat u in CLI of GUI kunt configureren, heeft geen effect.

De 9800 WLC communiceert met CSSM of On-prem Smart Software Manager om de 8 uur, ongeacht welk rapportageinterval via webinterface of CLI is geconfigureerd. Dit betekent dat pas aangesloten toegangspunten tot 8 uur nadat ze zich bij de eerste keer hebben aangesloten, op de CSM kunnen verschijnen.

U kunt uitrekenen wanneer licenties de volgende keer worden berekend en gerapporteerd met de opdracht samenvatting luchtvaartemissierechten weergeven. Deze opdracht maakt geen deel uit van de typische show tech of toon licentie alle output:

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

Licentie fabriek opnieuw instellen

Catalyst 9800 WLC kan alle licentieconfiguraties en vertrouwen fabrieksreset hebben en nog steeds alle andere configuraties behouden. Dit vereist een WLC-herlading:

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

In het geval van RMA of hardwarevervanging

Als de 9800 WLC moet worden vervangen, moet het nieuwe apparaat zich registreren bij CSSM/On-prem Smart Software Manager en wordt het als een nieuw apparaat beschouwd. Het vrijgeven van de licentietelling van het vorige apparaat vereist het handmatig wissen onder Product Instanties:

Upgraden van specifieke licentieregistratie (SLR)

Oudere WLC-releases, eerder dan 17.3.2, gebruikten een speciale offline licentiemethode genaamd Specific License Registration (SLR). Deze licentiemethode wordt in de publicaties met behulp van de SLUP (17.3.2 en hoger) afgezwakt.

Als u een 9800-controller met SLR upgradt naar een release na 17.3.2 of 17.4.1, wordt aanbevolen om over te schakelen naar offline rapportage uit de SLUP in plaats van te vertrouwen op de SLR-opdrachten. Sla het licentiegebruik RUM-bestand op en registreer dat met de Smart Licensing Portal. Aangezien SLR niet meer bestaat in nieuwere releases, rapporteert dit de juiste licentietelling en geeft eventuele ongebruikte licenties vrij. Licenties worden niet meer geblokkeerd, maar de exacte gebruikstelling wordt gerapporteerd.

Probleemoplossing

Internettoegang, poortcontroles en pings

In plaats van het tools.cisco.com dat traditionele slimme licenties gebruikten, maakt de nieuwe SLUP gebruik van het smartreceiver.cisco.com-domein om vertrouwen te scheppen. Op het moment van schrijven van dit artikel, dit domein lost op meerdere verschillende IP-adressen. Niet al deze adressen zijn pingable. Pings moet niet als Internet bereikbaarheidstest van WLC worden gebruikt. Het niet in staat zijn om deze servers te pingen betekent niet dat ze niet goed werken.

In plaats van pings, moet Telnet over haven 443 als bereikbaarheidstest worden gebruikt. Telnet kan worden gecontroleerd via het smartreceiver.cisco.com domein of direct via de IP-adressen van de server. Als er geen verkeer wordt geblokkeerd, moet de poort als open worden weergegeven in de uitvoer:

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]

Syslog

Als de terminal monitor opdracht is ingeschakeld terwijl het token wordt geconfigureerd, drukt de WLC de relevante logs in de CLI af. Deze berichten kunnen ook worden verkregen als u de opdracht logboekregistratie tonen uitvoert. Logs van een succesvol gevestigd vertrouwen ziet er als volgt uit:

WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.

Logbestanden van een WLC zonder een gedefinieerde DNS-server of met een niet-functionerende DNS-server:

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

Logbestanden van een WLC met een functionerende DNS-server, maar zonder internettoegang:

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

PacketCapture

Alhoewel de communicatie tussen WLC en CSM/On-Presence SSM versleuteld is en via HTTPS verloopt, kan het uitvoeren van pakketopnamen laten zien wat ervoor zorgt dat het vertrouwen niet wordt gevestigd. De gemakkelijkste manier om pakketopnamen te verzamelen is via de WLC-webinterface.

Ga naar Problemen oplossen > Packet Capture. Een nieuw opnamepunt maken:

Zorg ervoor dat het aanvinkvakje Monitorbesturingsplane is ingeschakeld. Vergroot de buffergrootte tot maximaal 100MB. Voeg de interface toe die moet worden opgenomen. Smart-licentieverkeer wordt standaard afkomstig van de draadloze beheerinterface of van de interface die is gedefinieerd met de opdracht bron-interface van de ip http-client:

Start de opnamen en voer de opdracht all force <token> voor smart trust idtoken uit:

Het pakket vangt van een vertrouwensonderneming moet deze stappen bevatten:

1. TCP-sessie met behulp van SYN, SYN-ACK & ACK sequentie
2. TLS-sessieinstelling met uitwisseling van server- en clientcertificaten. Vestiging eindigt met het nieuwe pakket Sessieticket
3. Versleuteld pakketverkeer (Application Data frames) waarbij WLC licentiegebruik rapporteert
4. TCP-sessiebeëindiging via FIN-PSH-ACK, FIN-ACK & ACK-reeks

Opmerking: het pakket bevat veel meer frames, waaronder meerdere TCP-vensterupdates en Application Data frames

Aangezien CSSM Cloud 3 verschillende openbare IP-adressen gebruikt om alle pakketopnamen tussen WLC en CSSM uit te filteren, gebruikt u deze wireshark-filter:

ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144 

Als u een on-prem SSM gebruikt, filtert u voor het SSM IP-adres:

ip.addr==<on-prem-ssm-ip>

Voorbeeld: Packet Captures van een succesvol trustbedrijf met direct verbonden CSM met alle belangrijke pakketopnamen gefilterd:

Opdrachten weergeven

Deze tonen opdrachten bevatten nuttige informatie over vertrouwensinstelling:

show license status
show license summary
show tech-support license
show license tech-support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

Het bevel van het showvergunningsbericht is één van de nuttigere bevelen aangezien het de daadwerkelijke berichten kan tonen die van WLC worden verzonden en van CSSM worden ontvangen.

Een succesvolle vertrouwensinstelling heeft zowel "VERZOEK: 23 aug 10:18:08 2021 Central" als "ANTWOORD: 23 aug 10:18:10 2021 Central" berichten gedrukt. Als er niets na de REACTIE lijn is, betekent dat dat de WLC geen reactie van de CSM heeft ontvangen.

Dit is een voorbeeld van een show licentie geschiedenisbericht output voor een succesvolle vertrouwensinstelling:

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

Debugs/btrace

Voer deze opdracht een paar minuten nadat een vertrouwensinstelling is geprobeerd met behulp van een licentie smart trust idtoken all force commando. De logboeken van IOSRP zijn uiterst breedsprakig. toevoegen | omvat "smart-agent" aan de opdracht om alleen slimme licentielogboeken te krijgen.

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

U kunt deze debugs ook uitvoeren en vervolgens de licentieopdrachten opnieuw configureren om een nieuwe verbinding af te dwingen:

debug license events
debug license errors
debug license agent all

Veelvoorkomende problemen

WLC heeft geen toegang tot internet of firewall blokkeert/wijzigt verkeer

Ingesloten pakketvastlegging op de WLC is een makkelijke manier om te zien of WLC iets terug ontvangt van de CSM of On-prime SSM. Als er geen reactie was, is de kans groot dat de firewall iets blokkeert.

De opdracht historie van de show drukt een leeg antwoord af 1 seconde nadat het verzoek is verzonden als er geen antwoord is ontvangen van de CSM Cloud of On-prem SSM.

Dit kan er bijvoorbeeld toe leiden dat men gelooft dat er een leeg antwoord is ontvangen, maar in werkelijkheid was er helemaal geen antwoord:

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

N.B.: Er is momenteel een verbeteringsverzoek van Cisco bug-ID CSC84684 dat laat zien dat het bericht over de licentiegeschiedenis een leeg antwoord afdrukt wanneer er geen antwoord is. Dit is om de output van de opdracht van het bericht van de showlicentie te verbeteren

Onbekende CA-waarschuwing in pakketvastlegging

Voor communicatie met CSM of On-Prem SSM is een fatsoenlijk certificaat aan de 9800-zijde vereist. Het kan zelf-ondertekend zijn, maar het kan niet ongeldig zijn of verlopen. In een dergelijk geval toont een pakketopname een TLS-waarschuwing voor onbekende CA die door CSSM wordt verzonden wanneer het 9800 HTTP-clientcertificaat is verlopen.

Slimme licenties maken gebruik van de configuratie van de ip http client, die verschilt van de ip http server die door de WLC Web interface wordt gebruikt. Dit betekent dat deze opdrachten goed moeten worden geconfigureerd:

ip http client source-interface <interface>
ip http client secure-trustpoint <TP>

De trustpoint naam kan worden gevonden met de opdracht show crypto pki trustpoints. Aanbevolen wordt om een zelf ondertekend cert TP-self-signed-xxxxxxxxx certificaat of door de fabrikant geïnstalleerd certificaat (MIC) te gebruiken dat doorgaans Cisco_IDEVID_SUDI wordt genoemd en alleen beschikbaar is op 9800-80, 9800-40 en 9800-L.

Het is belangrijk om op te merken dat apparaten die TLS-onderschepping uitvoeren, zoals een firewall met de functie SSL-decryptie, kunnen voorkomen dat de C9800 een succesvolle handdruk vormt met de Cisco-licentieserver, aangezien het gepresenteerde HTTPS-certificaat het firewallcertificaat is in plaats van het Cisco-licentieservercertificaat.

Opmerking: Zorg ervoor dat u zowel de opdrachten source-interface en secure-trustpoint configureert. Een bron-interface opdracht is nodig zelfs als WLC slechts één L3 interface heeft.

Gerelateerde informatie

• Smart Licensing met Air Gap-modus op de 9800
• Cisco Technical Support en downloads