简介
本文档介绍如何使用智能许可策略管理思科以应用为中心的基础设施(ACI)平台上的软件许可证。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
本文档介绍如何利用思科智能许可策略对思科以应用为中心的基础设施(ACI)平台上的软件许可证进行故障排除、配置和管理。
什么是思科智能许可策略(SLP)?
思科智能许可是一个管理所有思科产品许可证的软件管理平台。根据您的反馈,思科智能许可已得到增强,并推荐了一个称为SLP的新平台。SLP旨在简化智能许可并使您能够进行配置和维护。在ACI版本5.2(4)中进行了介绍。
您是刚开始使用智能许可和/或智能帐户管理吗?
访问并注册新的管理员培训课程和录音:
什么是ID令牌?
用于将产品安全注册到智能帐户和虚拟帐户。ID令牌是“组织标识符”,用于在产品注册时建立标识。SLP中的这些令牌使用不同的注册方法,本文档稍后将对此进行说明。
从CSSM生成ID令牌
要生成报告,请转到Cisco软件中心并导航到( Manage Licenses > Inventory > General > New Token 如图所示)。
生成后,您可以复制或下载到操作:
SLP许可证和产品状态
在ACI SLP中,无需经过90天的评估期和产品注册。不再需要产品注册。您需要尽最大努力报告许可证使用情况。除此之外,客户端视图上的许可证授权状态也将被清除。许可证授权现在有两种状态:使用中或不在使用。由于APIC控制器仅管理那些当前使用的许可证,因此在APIC UI/CLI上,您只能看到每个正在使用的许可证授权。
支持SLP的方法
配置智能许可证策略有多种不同的方法,可以区分如下:
1. 在线模式
2. 脱机模式
在ACI SLP中,介绍资源利用率测量报告(RUM报告)的概念。RUM报告是包含许可证使用情况报告的XML格式的文件。因此,术语 license usage report 和 Rum report是可互换的;两者均指报告许可证使用情况。在联机模式下,用户需要配置网络并使APIC控制器直接或间接连接到CSSM,同样在联机模式下,APIC可以自动向CSSM发送RUM报告并从CSSM获取确认。
在脱机模式下,由于APIC完全隔离,并且不与CSSM建立任何直接或间接的网络连接,因此,用户需要从APIC定期下载RUM报告,将其导入CSSM,从CSSM下载确认并将其导入APIC。
根据APIC与CSSM的连接,您可以决定使用在线模式还是离线模式,因此在线模式下也有多种方法,说明如下:
方法 1.直接连接到CSSM
此方法是最常用的网络模式。思科APIC必须具有互联网连接,以便思科APIC可以直接向CSSM发送RUM报告。必须配置DNS且必须能ping通CSSM主机名(tools.cisco.com)。
配置:
步骤1:登录到思科APIC GUI。
第二步:在菜单栏中,导航至 System > Smart Licensing > Actions > Configure Network Settings.
第三步:选择. Direct connect to CSSM
第四步:URL和端口号在此处不可更改。
第五步:粘贴产品实例ID令牌,该令牌已从您的CSSM虚拟帐户获得。
第六步:点击 OK.
产品实例ID令牌
成功与CSSM同步后,智能帐户和虚拟帐户名称会在智能许可页面上更新,如图所示。
智能帐户和虚拟帐户名称已更新
方法 2.思科传输网关
使用此方法,思科APIC不需要互联网连接。思科APIC在传输网关的帮助下将RUM报告发送到CSSM。思科传输网关中间件必须已安装在数据中心并可到达APIC。对于传输网关模式,URL格式为:http<s>://<ip or hostname>:<port>/Transportgateway/services/DeviceRequestHandler,其中IP或主机名是传输网关的IP或主机名。如果端口号不是默认的HTTP端口80或HTTPS端口443,则必须输入该端口号。除此之外,还需要产品实例ID令牌,可以从您的CSSM虚拟帐户获取该令牌。
要安装和配置传输网关,用户可以参考思科传输网关的文档:
https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf
配置:
步骤1:登录到思科APIC GUI。
第二步:在菜单栏中,导航至 System > Smart Licensing > Actions > Configure Network Settings.
第三步:选择Cisco Transport Gateway。
第四步:使用正确的IP(Cisco Transport Gateway的IP)和端口编辑URL;http<s>://<ip or hostname><port>/Transportgateway/services/DeviceRequestHandler.
第五步:粘贴产品实例ID令牌,该令牌已从您的CSSM虚拟帐户获得。
第六步:单击。OK
方法 3.HTTP/HTTPS代理
使用此方法,思科APIC不需要互联网连接。思科APIC从Web代理向CSSM发送RUM报告。确保Web代理服务器配置为允许智能许可消息。此外,防火墙必须有通过通信到达目的地的规则(https://tools.cisco.com/its/service/oddce/services/DDCEService)。
在代理模式下,用户需要配置代理IP和端口。除此之外,还需要产品实例ID令牌,可以从用户的CSSM虚拟帐户获取该令牌。
配置:
步骤1:登录到思科APIC GUI。
第二步:在菜单栏上,导航至
第三步:选择.Cisco HTTP/HTTPS Proxy
第四步:请提供代理的IP地址和端口号。
第五步:粘贴产品实例ID令牌,可从您的CSSM虚拟帐户获取。
第六步:单击。OK
方法 4.内部部署
使用此方法,思科APIC不需要互联网连接,而内部则需要互联网连接。思科APIC通过内部部署将RUM报告发送到CSSM。内部中间件必须已安装在数据中心中。此模式之前在思科ACI智能许可(SL)中称为思科智能软件管理器卫星(管理器卫星)。
配置:
步骤1:登录到思科APIC GUI。
第二步:在菜单栏上,导航至
第3步:选择. Cisco Smart Software Manager On-Prem
您必须提供本地思科智能软件管理器的URL。要获取URL,请登录思科智能软件管理器本地GUI。导航至Inventory > General 并单击CSLU TransportURL链接。
第四步:复制CSLU URL并将其粘贴到思科APIC GUI中的URL字段中。
无需指定产品实例ID令牌。思科APIC使用内置证书与思科智能软件管理器进行内部通信。
成功同步后,智能软件管理器内部清点会使用正在使用的许可证更新。
方法 5.思科智能许可实用程序
使用此方法,思科APIC不需要互联网连接。思科APIC通过CSLU向CSSM发送RUM报告。必须在数据中心中安装Microsoft Windows版本的中间件CSLU。CSLU的URL可以按照以下格式在APIC中配置:http://ip_or_hostname:port/cslu/v1/pi
此处,IP或主机名是CSLU IP地址或主机名。不支持HTTPS。
配置:
步骤1:登录到思科APIC GUI。
第二步:在菜单栏中,导航至 Inventory System > Smart Licensing >
第三步:选择. Cisco Smart Licensing Utility (CSLU)
在上一个URL中,端口取自CSLU GUI首选项下的产品实例服务端口。
成功后,将使用智能帐户名称和虚拟帐户名称更新同步许可页面,如图所示。
方法 6.脱机方法
在脱机模式下,思科APIC被隔离,而不与CSSM进行直接或间接的任何网络连接。由于思科APIC无法通过网络连接访问CSSM,因此您必须每12个月从思科APIC下载RUM报告并将报告导入CSSM。然后,您必须从CSSM下载确认,并将确认导入思科APIC。
配置:
步骤1:登录到思科APIC GUI。
第二步:在菜单栏上,导航到System > Smart Licensing。
第三步:在工作窗格中,导航到Actions > Download Rum Report。
RUM报告文件会自动下载到浏览器上的默认文件夹。
下载报告后(LicenseUsageRumReport.xml),即可将其导入CSSM。
第四步:登录Software.cisco.com并导航至Manage License。
第五步:在菜单中,单击Reports并选择Usage Data Files选项,如图所示。
第六步:点击 Upload Usage Dataonand select文LicenseUsageRumReport.xml件(如图所示)。
步骤 7.选择具有许可证的虚拟帐户。
提交后,您必须等待,直到报告状态变为No Errors并且“确认”字段可供下载。
步骤 8下载选项可用后,请点击 Download,Acknowledgement按图文件名ACK_LicenseUsageRumReport.xml称下载。
您需要将确认信息导入APIC:
步骤 9登录到思科APIC GUI。
步骤 10在菜单栏上,导航至System > Smart Licensing。
步骤 11在“工作”(Work)窗格中,导航至Actions > Import Acknowledgement。
步骤 12单击Choose File,导航到确认文件下载位置,选择文件,然后单击Open。
步骤 13单击。OK
成功后,将使用智能帐户名称和虚拟帐户名称更新同步许可页面,如图所示。
思科ACI智能许可策略故障排除
故障
在ACI中,当您开始进行故障排除之前,当出现特定问题情况或警告时,会引发故障。最好检查是否存在将我们重定向到正确方向的故障,下表列出了智能许可故障:
F3057 |
这是一个警告故障,表明您尚未配置网络设置。即使您想要选择脱机模式,也要配置脱机网络设置。配置清除此故障的网络设置。 |
F4290 |
此故障表示您输入的产品实例ID令牌无效或已过期。登录CSSM并创建新的产品实例注册令牌。登录到思科应用策略基础设施控制器(APIC) GUI,输入新的ID令牌并重新配置网络设置。此操作会清除故障。 |
F4291 |
此故障表示思科APIC和CSSM之间或思科APIC和传输服务器(网关、代理、内部或CSLU)之间的网络连接存在问题。思科APIC无法与CSSM或传输服务器通信。解决网络连接问题后,登录思科APIC GUI,导航至System > Smart Licensing,然后选择Actions > Synchronize CSSM。此操作会在随后不久清除故障。
|
F4222 |
此故障表示思科APIC长时间未收到RUM报告的确认,并且确认已过期。在脱机模式下,手动下载RUM报告并导入确认。将确认文件导入到思科APIC时,会清除故障。 在联机模式中,此故障表示,由于网络问题,思科APIC与CSSM的同步时间过长。对思科APIC与CSSM之间或思科APIC与传输服务器之间以及传输服务器与CSSM之间的网络连接问题进行故障排除。解决网络连接问题后,登录到思科APIC GUI,导航到System > Smart Licensing,然后选择Actions > Synchronize CSSM。此操作强制思科APIC再次发送RUM报告。如果网络设置是内部部署,请登录内部部署GUI,执行从内部部署或CSLU到CSSM的手动同步。同步完成后,故障会在10至15分钟内清除。
|
F4310 |
此故障表示您导入了错误的RUM报告确认。确认与一个RUM报告唯一关联。导入的确认必须与您下载的RUM报告匹配。再次手动下载RUM报告并将正确的确认导入到思科APIC,从而清除故障。 |
显示命令
有两个CLI命show 令可用于排除故障。要使用这些命令,请以管理员用户身份登录集群中的思科应用策略基础设施控制器(APIC)节点1。
# show license all
此show命令显示来自智能代理(SA)信任存储的智能许可信息。“使用情况报告”部分显示上次发送的RUM报告和上次收到的确认的时间戳,以及发送下一个RUM报告的时间和轮询下一个确认的时间。如果最后收到的确认的时间戳比最后发送的RUM报告的时间戳新,则表明思科APIC已成功发送RUM报告并收到确认。
# show license tech support
此show命令显示的信息比show license all命令显示的信息更加详细。控制台由于其长度而无法显示完整结果,但您可以打开文件/tmp/SA_Show_Tech_Support.txt查看所有输出。
日志
当智能许可出现问题时,请收集以下日志:
/var/log/dme/log/svc_ifc_licensemgr.bin.log
/var/log/dme/log/ch_dbg.log
/var/log/dme/log/sa.log
APIC提供的技术支持。
已知问题
1. 由于通信问题(DNS未配置),注册失败
在直接连接到CSSM模式下,如果您忘记在与tools.cisco.com的思科应用策略基础设施控制器(APIC)通信上配置DNS,则会失败。
确保在APIC中配置了DNS,并且可以ping通tools.cisco.com
要检查DNS是否已配置,请运cat /etc/resolv.conf行APIC CLI:
apic1# cat /etc/resolv.conf # Generated by IFC search apic.local nameserver 10.0.0.1 nameserver XX.163.128.140
要检查ping是否有效,请在APIC控制器CLI上运行ping,ping必须适用于tools.cisco.com。
apic1# ping tools.cisco.com PING tools.cisco.com (XX.163.4.38) 56(84) bytes of data. 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=1 ttl=235 time=250 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=2 ttl=235 time=249 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=3 ttl=235 time=249 ms
2. 思科ACI智能许可证策略升级注意事项
如果计划升级到思科应用策略基础设施控制器(APIC) 5.2(4)版本或更高版本,并且思科APIC已注册,并且网络或传输模式为直接连接到CSSM、传输网关或HTTP/HTTPS代理,则可以将思科APIC从思科以应用为中心的基础设施(ACI)智能许可(SL)直接升级到SLP。不需要执行任何特殊程序。升级后,思科APIC仍与CSSM连接,并可向CSSM发送RUM报告而不出现任何问题。
相反,如果思科APIC已注册,且网络或传输模式为管理器卫星,则无法将思科APIC从SL直接升级到SLP。这是因为传输类型和URL均针对替换Manager卫星的Cisco Smart Software Manager On-Prem网络模式进行更改。您必须执行以下操作:
-
将Manager Satellite升级到支持SLP的Cisco Smart Software Manager On-Prem的最新版本。升级后,确保内部服务器与CSSM具有网络连接,并且内部服务器与CSSM之间的同步仍然有效。
-
将思科APIC升级到5.2(4)版本或更高版本。升级后,思科APIC GUI显示网络模式为传输网关而不是管理器卫星。您必须将网络模式重新配置到本地思科智能软件管理器,然后从本地GUI复制正确的URL。
3. 错误-无法发出Call Home HTTP消息(Quo Vadis Root CA)
QuoVadis根CA 2已停用,可能会影响来自APIC的SSL通信,因此会引发故障“Fail to send out Call Home HTTP”。要检查是否相同,可以在/var/log/dme/log/ch_dbg.log下解析call home日志。如果打印这些行,请遵循给定的BUG和Field Notice:
CH-TRANS-ERROR: ch_pf_curl_send_msg[539], failed to perform, err code 60, err string "Peer certificate cannot be authenticated with given CA certificates" *
CH-TRANS-DETAIL: ch_pf_http_long_buf_dump[264], dump:"SSL certificate problem: self signed certificate in certificate chain"
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
思科漏洞ID CSCwa97230