Configurar a licença HSEC no roteador de borda SD-WAN XE

Introdução

Este documento descreve como instalar e solucionar problemas de licenças HSECK9 no SD-WAN XE Edge Router.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Rede de longa distância definida por software da Cisco (SD-WAN)
• Interface de linha de comando (CLI) do Cisco IOS® XE
• Smart Licensing
• Cisco Software Central

Componentes Utilizados

Este documento é baseado nestas versões de software e hardware:

• Cisco Edge Router C1111-8PWE versão 17.6.3
• Roteador Cisco Edge c8000v 17.12.3
• Cisco Smart Software Manager (CSSM)
• Cisco vManage 20.12.3.1

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Conceitos

O Smart Licensing Using Policy usa uma variedade de novos conceitos, como:

• Tipos de Imposição de Licença
• Duração da licença
• Código de autorização
• Nível de rendimento que exige o Smart Licensing Authorization Code (SLAC) - Plataformas de roteador que precisam de um SLAC
• Política
• Relatório de Medição de Utilização de Recursos (relatório RUM) e Confirmação de Relatório
• Código de Confiança

Para obter mais informações, navegue até Smart Licensing Using Policy Concepts (Licenciamento inteligente usando conceitos de política).

Comportamento de throughput

• Todos os ISR1000 Series, ISR4000 Series, C8200, C8300, CSR1000v, C8000v e ISRv são padronizados para 250 Mbps se o produto não tiver nenhuma forma de licença HSECK9.
• Todos os ISR1000 Series, ISR4000 Series, C8200, C8300, CSR1000v, C8000v e ISRv precisam ter uma licença HSECK9 instalada se o throughput precisar ser superior a 250 Mbps.
• Todos os ASR1000 Series não precisam ter HSECK9 para >250 Mbps.
• Espera-se que todo C8500 tenha uma licença HSECK9 instalada no fabricante. Caso contrário, a licença HSECK9 poderá ser instalada manualmente.
• Não há configuração de throughput no modo gerenciado pelo controlador. A instalação da licença HSECK9 permite automaticamente que os Núcleos de encaminhamento/Mecanismos de processador de pacotes libertem throughput.
• O throughput máximo após a instalação da licença HSECK9 depende dos recursos de hardware da plataforma. Consulte a Ficha técnica da plataforma específica para obter mais informações.

Note: A partir das versões 20.9.2 e 17.9.2a, as licenças do HSEC são capazes de gerenciar diretamente do vManage. Mais detalhes estão aqui:
Guia de introdução do Cisco Catalyst SD-WAN - Gerenciamento de licenças HSEC [Cisco SD-WAN] - Cisco

Verificação de Disponibilidade de Licença

Etapa 1. Navegue até Cisco Software Central.

Etapa 2. Clique em Smart Software Manager.

Etapa 3. Selecione Inventário no menu superior.

Etapa 4. Escolha a Virtual Account apropriada.

Etapa 5. Selecione a guia Licenses na Virtual Account.

Etapa 6. Verificar se a licença foi adicionada e está disponível com um saldo positivo.

Se nenhuma licença estiver disponível ou o saldo for negativo (vermelho), abra um caso com a equipe de licenciamento da Cisco.

Note: Este guia supõe que você já tenha adquirido uma licença HSECK9 ou uma licença de exportação de roteador US para o DNA e que ela tenha sido adicionada a uma conta virtual válida em uma Smart Account.

Modo de operação do roteador

Verifique se o roteador está no modo gerenciado por controlador com um dos comandos.

show platform software device-mode
show version | include mode

Exemplo:

EdgeRouter# show platform software device-mode
Device Operating-mode: Controller-Managed
Device-mode bootup status:
8/03 00:44:16 System is green
Bootup Success

EdgeRouter# show version | in mode 
Router operating mode: Controller-Managed

Note: Se o modo operacional resultar em Autônomo, mova o roteador para Gerenciado por Controlador com controller-mode enable o comando.

Configurar

Método on-line para CSSM

Configurar o tipo de transporte e definir a URL do CSSM padrão

Etapa 1. Configure o tipo de transporte e o URL corretos.

EdgeRouter#config-transaction
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit
Commit complete.

Note: Se o roteador tiver um modelo anexado a ele: os comandos inteligentes para Transporte e URL são suportados e podem ser configurados com um Modelo de recurso CLI-Add On. Para obter mais informações, navegue até Modelos de recurso de complemento CLI.

Etapa 2. Verificar se as alterações foram confirmadas corretamente.

EdgeRouter# show lic tech support | begin Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: Smart <<<<<<<<<<<<<<<<<<<<<<<<<<<< This must be Smart
URL: https://smartreceiver.cisco.com/licservice/license <<<<<<<<<<<<<<< URL must be pointed to smartreceiver.cisco.com
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: True

Note: A URL padrão é ativada automaticamente e não há necessidade de modificá-la.

Gerar um token de registro de instância de produto

Etapa 1. Gere um novo token.

Na mesma Virtual Account onde a licença reside, navegue até a guia Geral e clique em Novo token.

Etapa 2. Preencha as informações do novo token.

Descrição: Breve descrição de para que o token é usado.
Expirar após: Número de dias em que o token é válido para registros de produtos.
Max. Número de Usos: Número máximo de usos do token. Opcional.

Certifique-se de que a opção Permitir exportação controlada esteja marcada. Caso contrário, o registro da licença falhará e clique em Create Token.

Note: O token expira quando a expiração ou o uso máximo é atingido.

Note: Para obter mais informações, navegue até Cisco Export Trade.

Etapa 3. Copie o token.

Copie o token recém-gerado para a área de transferência; navegue até Ações > Copiar ou manualmente no pequeno ícone azul ao lado da sequência de token.

Gerar um estabelecimento confiável entre o roteador de borda e o CSSM

Para fornecer autorização para usar uma licença de exportação controlada, o Roteador de Borda deve estabelecer confiança com o CSSM. Para o handshake, o Roteador de borda usa o token gerado no CSSM na etapa anterior.

license smart trust idtoken TOKEN local force

Exemplo:

EdgeRouter# license smart trust idtoken ZThjOTlmM2UtMjQ2ZC00YjI1LTgwNjctZGIxZjIzYjZiYmVmLTE2NjM0NjI1%0AMjgyNTh8YWNVeTFiZU03N0lCdTFadmJ4ejZBL0toR2Mva21odElrQmxDa1FN%0AcVI3cz0%3D%0A local force

Logo após o estabelecimento da relação de confiança, os logs mostram a comunicação com o CSSM.

EdgeRouter# show logging last 50
<snip>
*Aug 18 21:03:44.730: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair2 has been removed from key storage
*Aug 18 21:03:46.146: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair2 has been generated or imported by crypto-engine
*Aug 18 21:03:53.221: %SYS-6-PRIVCFG_ENCRYPT_SUCCESS: Successfully encrypted private config file
*Aug 18 21:03:56.107: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco Smart Software Manager (CSSM) restored
*Aug 18 21:03:56.347: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C1111-8PWE,S:FGL2149XXXX.

Verificar o Contador de Êxito do Estabelecimento de Confiança

Verifique se o contador de êxito do estabelecimento de confiança aumenta. Isso significa que o agente de licenciamento pode acessar o CSSM.

EdgeRouter# show lic tech support | begin Communication Statistics
Communication Statistics:
=======================
Communication Level Allowed: DIRECT
Overall State: <empty>
Trust Establishment:
Attempts: Total=1, Success=1, Fail=0 Ongoing Failure: Overall=0 Communication=0 <<<<<<<<<<
Last Response: OK on Aug 18 21:03:56 2022 UTC
Failure Reason: <none>
Last Success Time: Aug 18 21:03:56 2022 UTC
Last Failure Time: Aug 18 21:00:43 2022 UTC
<snip>

Note: Se o contador de falhas for incrementado, navegue até a seção Solução de problemas neste documento.

Solicitar autorização

Neste ponto, a confiança é estabelecida, mas a licença HSECK9 ainda não está em uso. Isso acontece porque é necessário fazer a solicitação do roteador ao CSSM para o uso da licença. Para buscar a licença, execute a solicitação de autorização.

EdgeRouter# license smart authorization request add hseck9 local

Logs:

EdgeRouter# show logging | include SMART
*Aug 18 21:11:41.553: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 18 21:11:41.641: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

No registro de eventos do licenciamento inteligente, as informações de solicitação de licença são salvas caso mais informações sejam necessárias.

EdgeRouter# show lic eventlog 0
**** Event Log ****
2022-08-18 21:11:41.538 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><dateStamp>2022-08-18T21:17:45</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feac79ca9112704623118db58bbc2c-09b6eebc91ae833f</correlationID></status></authorizationCode><signature>MEUCIBuNw8+ogfZmJAbsRa+8B+F0wnDZLrv5RXm822rN/he5AiEAtfzzFV9L3dqht4sUYDxRvnUHF2KYi+vFv2vivDF6rIs=</signature></smartLicenseAuthorization>"
2022-08-18 21:11:41.552 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-18 21:11:41.641 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.641 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:12:06.119 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><status><success>false</success><message>last update already confirmed</message><code>last update already confirmed</code><correlationID>62feac7c4be974f92eefc15a640f938b-f08787827763ca37</correlationID></status></authorizationCode><signature>MEUCIQDhI8x+Rzf7wyibdohvYY6q9/8puukf8SuJ4ok48d4y5QIgdl5/z/7rLu+LEd5gK9kgOxA2Vb+vnJUcTOVPo3/R0pc=</signature></smartLicenseAuthorization>"

Verifique se a ativação foi bem-sucedida

Há alguns comandos para verificar se a licença está disponível e ativada corretamente agora.

show license tech support | begin License Usage
show license authorization
show license summary
show license usage

Exemplo:

EdgeRouter# show license tech support | begin License Usage 
License Usage
=============
Handle: 1
License: hseck9
Entitlement Tag: regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844
Description: hseck9
Count: 1
Version: 1.0
Status: IN USE(15)               <<<<<<<<<<<<<<<<<<<<<<
Status time: Aug 18 21:11:41 2022 UTC
Request Time: Aug 18 21:11:41 2022 UTC
Export status: RESTRICTED - ALLOWED
Feature Name: hseck9
Feature Description: hseck9
Enforcement type: EXPORT RESTRICTED
License type: Perpetual
Measurements:
ENTITLEMENT:
Interval: 00:15:00
Current Value: 1

EdgeRouter# show license authorization 
Overall status:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Status: SMART AUTHORIZATION INSTALLED on Aug 18 21:11:41 2022 UTC   <<<<<<<<<<<<<<<
Last Confirmation code: 0cde51c5

Authorizations:
Router US Export Lic. for DNA (DNA_HSEC):
Description: U.S. Export Restriction Compliance license for DNA based Routers
Total available count: 1
Enforcement type: EXPORT RESTRICTED
Term information:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Authorization type: SMART AUTHORIZATION INSTALLED  <<<<<<<<<<<<<
License type: PERPETUAL
Term Count: 1

Purchased Licenses:
No Purchase Information Available


Edge# show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
hseck9 (DNA_HSEC) 1 IN USE     <<<<<<<<<<

Método off-line para CSSM

Para Redes Air-gapped em que o acesso à Internet não é permitido, a instalação da licença controlada pela exportação pode ser realizada com uma reserva local de um SLAC no CSSM. 

Note: Este método não requer um tipo de transporte nem um URL (Uniform Resource Locator) inteligente válido. 

Gerar uma Reserva de Licença Local

Na mesma Virtual Account em que a licença reside, navegue até Product Instances > Authorize License-Enforced Features.

Obter informações de UDI do Roteador de Borda

A reserva de licença local requer o identificador de dispositivo exclusivo (UDI) do roteador de borda, execute o show license udi comando para obter a ID do produto (PID) e o número de série (SN).

EdgeRouter# show license udi
UDI: PID:C1111-8PWE,SN:FGL2149XXXX

Preencher o UDI do Roteador de Borda no Formulário de Reserva

Selecione Single Device e preencha o SN e o PID do Edge Router. Clique em Next.

Selecione o número de licenças a serem reservadas

Como é um dispositivo único, a licença reservada é um, digite o número na caixa. Verifique se o número não excede os números disponíveis.

Selecione o tipo de dispositivo de licença 

O tipo de dispositivo pode ser Digital Network Architecture (DNA) On-Prem ou DNA Cloud. Isso depende do tipo de licença adquirida.

Gerar o Código de Autorização

Revise a configuração e clique em Gerar código de autorização.

Download do SLAC

O SLAC pode ser baixado como um arquivo ou copiado para a área de transferência.

Copie o SLAC para o roteador de borda

Há três opções para copiar o arquivo SLAC para o Roteador de Borda.

• Com uma unidade USB.

EdgeRouter# show file systems | include usb|Size
Size(b)        Free(b)  Type Flags Prefixes
15598043136 15596658688 disk  rw     usb0:

EdgeRouter# dir usb0:
Directory of usb0:/

5 -rwx 1557 Aug 19 2022 00:43:30 +00:00 AuthorizationCode_SN_FGL2149XXXX.txt

15598043136 bytes total (15596658688 bytes free)

EdgeRouter# copy usb0:AuthorizationCode_SN_FGL2149XXXX.txt bootflash:
Destination filename [AuthorizationCode_SN_FGL2149XXXX.txt]? 
Copy in progress...C
1557 bytes copied in 0.020 secs (77850 bytes/sec)

• Com o vManage por meio de conexões de controle, navegue até Transfer Files between a Edge Router and vManage para obter mais informações.
• SCP/FTP/TFTP no lado do serviço.

Instalar o SLAC

Use a Importação inteligente para instalar o arquivo SLAC no flash de inicialização.

EdgeRouter# license smart import bootflash:AuthorizationCode_SN_FGL2149XXXX.txt
Import Data Successful
Last Confirmation code UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Confirmation code: aaa6b57e

Logs.

EdgeRouter# show logging | include SMART
*Aug 19 05:42:45.309: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 19 05:42:45.362: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

EdgeRouter# show license eventlog 0
**** Event Log ****

2022-08-19 05:42:45.293 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>0ceadf0a-3145-4779-8cbb-743c5a234a05</piid><dateStamp>2022-08-19T05:43:11</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62ff22ec38ab5858bde12581a2589b39-bde12581a2589b39</correlationID></status></authorizationCode><signature>MEUCIQDrUe11CPAsnjonKRmUe40arqPiY/q/UfTGSJ1IdmkkrAIgF8G2zoHIxz04IVO2J7ZHA1M51+QMvLzUGyZsfvwK5tk=</signature></smartLicenseAuthorization>"
2022-08-19 05:42:45.308 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.333 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.334 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-19 05:42:45.362 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.362 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"

Verifique se a instalação foi bem-sucedida

Use o mesmo comando do método on-line para verificar se a licença está instalada corretamente.

show license authorization
show license summary
show license tech support | begin License Usage 

Se a instalação estiver correta, a licença na Virtual Account incrementa automaticamente o contador Em uso e diminui o contador Disponível para uso.

Também na guia Product Instances, as informações de UDI do Edge Router são mostradas. Clique na entrada para obter mais informações sobre as características da licença.

Método de vManage Workflows

A partir de 20.9.2, o vManage permite instalar uma licença HSECK9 com a ajuda de fluxos de trabalho. 

Note: Esse método funciona apenas com "Router US Export Lic. para as licenças de ADN; As licenças HSEC específicas do dispositivo, como ISR4300_HSEC ou ISR4400_HSEC, não funcionam mais. Para obter mais informações sobre como converter uma licença HSEC específica de dispositivo em DNA HSEC, visite a seção Restrições para gerenciamento de licenças HSEC.

Fluxo de Trabalho Online

Sincronizar licenças com CSSM

1.- Na GUI do vManage, navegue para o Menu principal > Fluxos de trabalho > Sincronizar e instalar licenças HSEC.

2.- Clique no botão Vamos fazer na janela pop-up.

3.- Selecione a tarefa Sync Licenses e clique em Next.

4.- Selecione o modo Online e clique em Next.

5- Insira suas credenciais do Cisco CSSM e clique em Next.

6.- Verifique a Visão geral da sincronização da licença HSEC e clique em Avançar.

7.- O vManage se conecta à nuvem e consulta todas as Virtual Accounts disponíveis. Selecione no menu suspenso a Virtual Account que contém uma licença de HSEC de contagem válida e positiva.

Observação: as credenciais inseridas na etapa 6 devem ter uma função de administrador na Smart Account e na Virtual Account em que as licenças do HSEC são depositadas.

8.- Selecione o dispositivo no qual a licença HSEC deve ser instalada.

Note: Somente dispositivos compatíveis com HSEC são exibidos

9.- Revise e verifique o resumo da solicitação e clique em Sync.

10.- Clique em Check HSEC Assignment Status para verificar a reserva de SLAC em tempo real.

11.- Quando a licença é obtida no CSSM e armazenada no vManage, o status é mostrado como Sucesso.

Instalar licenças buscadas

1.- Na GUI do vManage, navegue para o Menu principal > Fluxos de trabalho > Sincronizar e instalar licenças HSEC.

2.- Selecione a tarefa Instalar licenças.

3.- Selecione o dispositivo para o qual as licenças de HSEC foram buscadas.

4.- Verifique o resumo da instalação e clique em Install.

5.- Clique em Check HSEC Assignment Status para verificar o status da instalação em tempo real.

6.- O vManage comunica-se com o roteador, envia o SLAC para ele e o instala. O status final deve ser Êxito.

7.- Clique no ícone Action para exibir logs mais detalhados da instalação do HSEC.

Fluxo de Trabalho Offline

Sincronizar licenças com CSSM

1.- Na GUI do vManage, navegue para o Menu principal > Fluxos de trabalho > Sincronizar e instalar licenças HSEC.

2.- Clique no botão Vamos fazer na janela pop-up.

3.- Selecione a tarefa Sync Licenses e clique em Next.

4.- Selecione o modo Offline e clique em Next.

5.- Revise cuidadosamente a visão geral do processo e clique em Avançar.

6.- Selecione a opção Download Process e clique em Next.

7.- Na barra de pesquisa, filtre o dispositivo para o qual a licença deve ser instalada.

8.- Revise o resumo da tarefa e clique em Download HSEC Device File (.SUDI)

9.- Um download automático do uso da licença é iniciado.

10.- Clique em Abrir o Cisco Smart Software Manager ou navegue para: Cisco Software Central.

11.- Na Smart Account selecionada, navegue para Cisco Software Central > Smart Software Licensing e clique em Reports > Usage Data Files > Upload Usage Data....

12.- No Carregar Dados Usada Pop-up, clique em Procurar e selecione o arquivo que acabou de baixar e clique em Carregar Dados.

13.- O sistema começa a processar o arquivo. Leva cerca de 5 a 10 minutos para ser concluído. Em seguida, clique em Download.

Note: Para gerar o arquivo ACK, o status do relatório deve ser "Sem erros"; se houver um erro, clique no ícone expandir para obter mais informações sobre o erro. Abra um caso do Cisco TAC, se necessário.

14.- O sistema gera o arquivo ACK e ele faz o download automaticamente.

15.- Na GUI do vManage, navegue novamente para Menu principal > Fluxos de trabalho > Sincronizar e instalar licenças HSEC > Sincronizar licenças > Offline > Avançar > Processo de carregamento.

16.- Clique em Escolher um arquivo ou arraste e solte o arquivo baixado na caixa e clique em Carregar.

17.- Verifique o resumo da tarefa e clique em Upload.

Instalar licenças buscadas

1.- Volte para a biblioteca de fluxo de trabalho Sincronizar e instalar licenças e clique em Instalar licenças.

2.- Selecione na lista o mesmo dispositivo para o qual a autorização de licença foi feita e clique em Avançar.

3.- Revise o resumo da tarefa e clique em Install.

4.- Aguarde a conclusão do processo, o status da instalação deve ser Êxito.

5.- Clique no ícone Action para exibir logs mais detalhados da instalação do HSEC.

Devolver a licença HSECK9

Método on-line

Atualmente, não há implementação no modo gerenciado por controlador para retornar uma licença nos métodos on-line ou off-line.

EdgeRouter# license smart authorization return local online
Operation cannot be completed because license is in use

EdgeRouter# license smart authorization return local offline
Operation cannot be completed because license is in use

Para remover a instalação da licença, o roteador precisa ser alterado para o modo autônomo.

EdgeRouter# controller-mode disable
Disabling controller mode erases the nvram filesystem, remove all configuration files, and reload the box!
Ensure the BOOT variable points to a valid image
Continue? [confirm]

Note: Essa alteração de modo remove a configuração SD-WAN atual. É altamente recomendável fazer backup da configuração em um local seguro. Isso ajuda a reconstruir as Conexões de Controle quando o Roteador de Borda é movido de volta para o modo gerenciado por Controlador.

Uma vez que o roteador esteja no modo autônomo, alguma configuração básica deverá ser feita para ter acessibilidade à Internet e à resolução do Sistema de Nome de Domínio (DNS):

1. Configurar um endereço IP e uma máscara para a interface WAN 
2. Ligar a interface WAN
3. Configurar uma rota IP padrão
4. Habilitar DNS
5. Configurar um servidor DNS

Note: O Modo Autônomo usa o comando configure terminal para entrar no modo de configuração, em vez do comando configuration-transaction.

Note: O Modo autônomo não precisa confirmar as alterações, em vez disso, qualquer configuração feita é salva no arquivo de configuração atual.

Use um token da mesma Virtual Account na qual reside a licença de controle de exportação HSECK9 ou Cisco DNA. Se não houver nenhum token ativo, gere um novo.

Conclua o mesmo procedimento que no Roteador de Borda para gerar uma relação de confiança estabelecida com o CSSM.

EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# end
EdgeRouter# license smart trust idtoken TOKEN local force
EdgeRouter# license smart authorization request add hseck9 local

Observação: use os mesmos comandos explicados antes para verificar se o tipo de transporte correto e a URL do receptor inteligente estão habilitados e se o estabelecimento de confiança foi concluído com êxito.

Quando a comunicação estiver concluída, devolva a licença ao compartimento na Virtual Account.

EdgeRouter# license smart authorization return local online 
Authorization already returned with this code:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CmJHqn-5CFUkd-effkCh-4XqCpQ-SgK5Sz-fQFfM8-6qH7MA-33hDbX-sXT

Logs.

EdgeRouter# show logging | include SMART
*Aug 18 22:00:22.998: %SMART_LIC-6-AUTHORIZATION_REMOVED: A licensing authorization code has been removed from PID:C1111-8PWE,SN:FGL2149XXXX.

Router#show license eventlog 0 
**** Event Log ****
2022-08-18 22:08:53.275 UTC SAEVT_RESERVE_RETURN_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>519e0f72-85d6-4a57-8805-5999e7b712be</piid><dateStamp>2022-08-18T22:08:17</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feb851b0b3a2264144901cb3491c22-ff31e87ded74ffde</correlationID></status></authorizationCode><signature>MEUCIQCTL9Y/HrhJXgR3+oxCWH/mpLxezThnvoAMFRIO7BHzJgIgBNDnvAD4u1eiQZ3Qrg8uGc4I6rLkbR/pn3fDv67eG5c=</signature></smartLicenseAuthorization>"

Note: Mova o roteador de volta para o modo gerenciado por controlador com controller-mode enableo comando.

Método Offline

Para gerar o código de retorno, o roteador deve estar no modo autônomo. Complete o Método on-line para alterar o modo.

Gerar o código de retorno

O código de retorno é necessário para validar a licença reservada no CSSM com a autorização local no roteador.

EdgeRouter# license smart authorization return local offline
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CCKUTq-Qg2Ytw-ZhSLq5-bDFw7e-VvWgf2-QwwBed-3MaRcT-fFfGcn-X6e <<<< Copy the string

Remover Reserva

Navegue até Product Instances > Actions > Remove (Instâncias de Produto > Ações > Remover). Cole o código de retorno recém-copiado do roteador e clique em Remove Reservation.

A notificação Reserva de licença removida com êxito é exibida logo após. Novamente, navegue até Ações > Remover > Remover instância.

Ativação - É necessário recarregar?

É verdade que em plataformas baseadas em 8500 é necessário recarregar para que o HSEC seja ativado?

Sim, a família de plataformas 8500 requer uma recarga no modo autônomo ou no modo de controlador.

É necessário recarregar o C8000v após a ativação do HSEC?

Não, não é necessário. A licença permanece como "não em uso" de acordo com o design do C8000v, mas o dispositivo obtém produtividade ilimitada imediatamente após a instalação do hsec.

Há uma recarga para CSR1000v após a ativação de HSEC?

Não, após a ativação do hsec, o CSR1000v não requer uma recarga.

O comportamento de recarga é o mesmo para os modos SD-WAN e não SD-WAN?

Não, os modos SD-WAN e não SD-WAN em relação à habilitação de HSEC são bem diferentes.

No modo SD-WAN, uma recarga é necessária para ativar/ativar o HSEC, enquanto no modo não-SD-WAN, o 'recurso de licença hsec' do CLI ativa/ativa o hsec no dispositivo. Não é necessário recarregar as plataformas CSR1000v e C8000V no modo SD-WAN.

Isso também vale para a desativação da licença HSEC?

A licença HSEC pode ser desinstalada no modo não SD-WAN (Autônomo); no entanto, a licença HSEC não pode ser desinstalada enquanto o recurso estiver em uso. O usuário deve desabilitar/desativar a licença HSEC com a CLI 'no license feature hsec' e recarregar o dispositivo para que a licença esteja no estado 'not-in-use' e, em seguida, iniciar o comando uninstall. Não há suporte para a licença 'uninstall' do HSEC no modo SD-WAN, pois o recurso não pode ser desabilitado. No entanto, o usuário tem a opção de ir para o modo autônomo e desinstalar como uma solução alternativa sobre desafios conhecidos com as alterações de modo. Abra um caso TAC para receber orientação sobre como devolver a licença ao CSSM no modo SD-WAN.

Note: Para obter mais informações, visite: Perguntas frequentes sobre licenças de HSEC para SD-WAN.

Verificação de Disponibilidade de Licença

Verificar 

Use esta seção para confirmar se a sua configuração funciona corretamente.

Comandos úteis

O procedimento de verificação é descrito em cada etapa para os métodos on-line ou off-line. 

show license tech support
show license status
show license authorization
show license summary
show license history message
show license eventlog 
    
    
license smart clear event log
license smart sync local
license smart factory reset

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

O Smart Licensing Using Policy depende da comunicação bidirecional segura entre o Edge Router e o CSSM pela Internet, para trocar reconhecimentos e handshakes que favorecem o registro e a busca de licença.

Há cenários comuns que não permitem que mensagens sejam trocadas corretamente entre dispositivos.

Problemas comuns

A resolução DNS não funciona

Para acessar smartreceiver.com, o Roteador de Borda deve ser capaz de resolver um nome de domínio. Caso contrário, o URL não será convertido em um IP roteável e a comunicação falhará. Esse erro normalmente aparece após a tentativa de estabelecimento de confiança.

*Aug 18 20:45:10.345: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart License Utility (CSLU) : Unable to resolve server hostname/domain name

Verifique se há conectividade IP com a Internet.

ping 8.8.8.8

Faça ping em um URL para verificar se o DNS funciona ou não se o Internet Control Message Protocol (ICMP) estiver bloqueado por um dispositivo externo com o uso de telnet para um URL.

ping cisco.com
telnet cisco.com 80

Se o teste falhar, configure um servidor DNS e habilite a resolução DNS.

ip domain lookup
ip name-server 8.8.8.8

Se não for possível configurar um servidor DNS externo, configure a Resolução DNS local no roteador.

EdgeRouter# config-transaction
EdgeRouter(config)# ip host smartreceiver.com A.B.C.D
EdgeRouter(config)# commit

Note: Se precisar saber quais IPs respondem a smartreceiver.com, execute um nslookup comando em uma máquina Windows ou Linux.

Note: A resolução de DNS local não é recomendada, pois os IPs do respondente podem mudar com o tempo, e a Cisco não notifica sobre a mudança.

Uma mensagem de erro comum é vista no log de eventos do Smart Licensing (SL).

EdgeRouter# show license eventlog 0
**** Event Log ****

2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

Túnel SD-WAN bloqueia DNS

Um problema semelhante acontece se a ACL implícita no túnel SD-WAN bloqueia as respostas de DNS de entrada.

EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

Certifique-se de que, no momento do registro, o serviço DNS seja permitido.

EdgeRouter# show sdwan running-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns <<<<<<<<<<<<<<<<<< MUST be allowed
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit

A URL de transporte não está correta

Para instalações iniciantes (novas), o tipo de transporte padrão é Cisco Smart Licensing Utility (CSLU).

EdgeRouter# show license tech support | include Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: cslu         <<<<<<<<<<<<<<<<<<
Cslu address: <empty>
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: False

Erros comuns em logs.

EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed info

Note: O CSLU não é suportado no Cisco SD-WAN (Cisco vManage) e o CSLU não pode ser usado para relatar o uso de licenças para instâncias de produtos de roteamento gerenciadas pelo Cisco vManage. Para obter mais informações, navegue até o Cisco Smart License Utility (CSLU).

Configure manualmente a URL padrão e o tipo de transporte do agente inteligente e tente a relação de confiança estabelecida com o token novamente.

EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit

Túnel SD-WAN bloqueia HTTPS

A comunicação do Smart Licensing é baseada na porta 443 do Hypertext Transfer Protocol Secure (HTTPS), portanto, se o túnel SD-WAN bloquear respostas HTTPS de entrada, o registro, a solicitação de autorização e a notificação de relatórios RUM falharão.

O erro comum em log e eventlog.

*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Verifique se o serviço HTTPS é permitido no túnel SD-WAN no momento do registro. Caso contrário, permita-o e tente novamente o Estabelecimento de Confiança com o token.

EdgeRouter# show sdwan runnning-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns 
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https <<<<<<<<<<<<<<<<<< MUST be allowed
no allow-service snmp
no allow-service bfd
exit

O firewall externo bloqueia URL, IPs ou a porta 443 do CSSM

Se a arquitetura do site usar um firewall para controlar o tráfego, verifique se a porta 443 para smartreceiver.cisco.com não está bloqueada. Entre em contato com a equipe de firewall ou com o provedor de serviços de Internet (ISP) para verificar mais.

Do roteador.

EdgeRouter# telnet smartreceiver.com 443        
Trying smartreceiver.com (X.X.X.X, 443)...Open

A partir de um host VRF de serviço.

ericgar@cisco$ telnet smartreceiver.cisco.com 443
Trying X.X.X.X...
Connected to smartreceiver.cisco.com.   
Escape character is '^]'.

Várias interfaces com a Internet

Em alguns cenários em que há mais de uma interface, a comunicação com o CSSM falha; a interface de origem HTTP pode ser alterada para qualquer interface disponível no roteador.

EdgeRouter# config-transaction
EdgeRouter(config)# ip http client source-interface INTERFACE
EdgeRouter(config)# commit

Informações Relacionadas

• Licenciamento inteligente usando políticas para plataformas de roteamento empresarial da Cisco
• Gerenciar licenças para Smart Licensing usando a política SD-WAN
• Suporte Técnico e Documentação - Cisco Systems