为IOS企业路由平台配置智能许可
简介
本文档介绍思科智能许可(SL)部署的类型和所需的配置。
先决条件
要求
- 可访问思科智能软件管理器(CSSM)门户的智能帐户
- Cisco IOS®版本在16.5.1到17.3.1之间的设备
- 思科智能软件管理器内部服务器
- 设备与CSSM或内部服务器之间的HTTPS连接
使用的组件
本文档适用于Cisco IOS XE企业路由平台。
本文档中的信息基于以下硬件和软件版本:
- 思科ASR1001-X与思科IOS XE版本16.9.4和思科ISR4351与思科IOS XE版本16.12.1。
- 智能软件管理器服务器(8-202108版本)。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
部署类型
智能许可注册和使用有四个主要部署选项:
- 直接CSSM访问
- 使用代理的直接CSSM访问
- SSM内部访问
- 特定许可证预留(SLR)
直接CSSM访问
此部署选项允许您通过HTTPS通过互联网将使用情况信息直接传输到思科。
在Cisco IOS XE 16.10.1a中,智能许可在默认情况下处于启用状态,并且是唯一可用的许可模式。对于此部署,需要第3层配置,并且可从适当接口访问HTTPS端口(443)中的tools.cisco.com。需要配置DNS。
确认连接后,注册设备的步骤如下:
步骤1:在设备上启用智能许可证(可选)。从16.10.1a默认启用该协议。
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#license smart enable
第二步:为tools.cisco.com配置域名系统(DNS)服务器或静态主机条目。
Router(config)#ip name-server X.X.X.X
or
Router(config)#ip host tools.cisco.com X.X.X.X
第三步:从思科智能软件管理器生成新令牌。
- 登录思科智能软件管理器(网址为https://software.cisco.com/#),然后导航到智能软件管理器部分。
- 选择资产选项卡,然后从虚拟帐户下拉列表中选择虚拟帐户。
- 选择General选项卡,然后选择New Token。
- 输入令牌说明并指定令牌必须处于活动状态的天数。
- 对使用此令牌注册的产品启用允许导出控制功能。这允许在已注册的设备中请求高加密许可证。
- 选择创建令牌。创建令牌后,选择复制。
第四步:更改Call-home配置(可选)。
默认Call-Home配置文件配置足以注册设备。您可以在此处验证当前的Call-Home配置文件配置:
Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
第五步:使用令牌向CSSM注册设备。
Router#license smart register idtoken < token from CSSM portal > force
注意:force关键字会立即强制进行注册尝试。如果未使用,注册过程可能需要更长时间。
第六步:验证设备是否已正确注册到CSSM。
Router#show license status Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: CORE TAC Export-Controlled Functionality: Allowed Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC Last Renewal Attempt: None Next Renewal Attempt: Feb 28 12:54:22 2018 UTC Registration Expires: Sep 01 12:49:04 2018 UTC License Authorization: Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC Next Communication Attempt: Oct 01 12:54:28 2017 UTC Communication Deadline: Nov 30 12:49:12 2017 UTC
使用虚拟路由和转发(VRF)的直接CSSM访问
如果设备使用VRF到达CSSM,则需要在Call-Home配置文件配置下配置源VRF和源接口。要配置此部署,必须执行直接CSSM访问部分中的步骤1到步骤3。然后,使用正确的VRF和源接口编辑Call-home配置以访问CSSM URL。这里以Mgmt-intf VRF中的管理接口GigabitEthernet0为例。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
使用分配给VRF的正确接口配置源HTTP接口。此配置会影响HTTP和HTTPS流量。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
为特定VRF配置DNS:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X
完成VRF配置后,可以继续执行“直接CSSM访问”部分的步骤5和步骤6。
使用代理的直接CSSM访问
如果需要代理服务器实现与CSSM的HTTPS连接,则需要按照“直接CSSM访问”一节中的步骤进行操作,并在Call-home配置中包括http-proxy命令。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080
SSM内部访问
此部署类型允许您在本地管理产品和许可证,而无需直接连接到思科托管的CSSM。要实施此功能,您的网络中必须已安装SSM本地。安装SSM内部版本的步骤不在本文档的讨论范围之内。
将SSM内部服务器与设备连接的配置步骤如下:
步骤1:在设备上启用智能许可。
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#license smart enable
第二步:确保您能够与您的CSSM内部服务器通信。
Router#ping X.X.X.X Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms
第三步:从SSM内部版本生成新令牌。
3.1登录SSM服务器。
3.2令牌创建
- 输入令牌描述。指定令牌必须处于活动状态的天数。
- 启用在使用此令牌注册的产品上允许导出控制功能复选框。
- 选择创建令牌。
- 创建令牌后,选择Copy复制新创建的令牌。
第四步:在设备上配置Call-home。
需要用内部服务器的IP地址(http://X.X.X.X/Transportgateway/services/DeviceRequestHandler)更改destination address http命令,并删除默认的IP地址。
Router(config)#call-home Router(cfg-call-home)#profile CiscoTAC-1 Router(cfg-call-home-profile)#destination transport-method http Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService Router(cfg-call-home-profile)#active Router(cfg-call-home-profile)#exit Router(cfg-call-home)#contact-email-addr test@cisco.com Router(cfg-call-home)#service call-home Router(cfg-call-home)#end
第五步:在SLA-TrustPoint信任点上配置revocation-check none。
Router#configure terminal Router(config)#crypto pki trustpoint SLA-TrustPoint Router(ca-trustpoint)#revocation-check none
第六步:使用从本地SSM检索的令牌注册设备。
Router#license smart register idtoken < token from SSM On-Prem portal > force
步骤 7.验证设备是否已正确注册到SSM内部部署。
Router#show license status Smart Licensing is ENABLED Utility: Status: DISABLEDData Privacy: Sending Hostname: yes Callhome hostname privacy: DISABLED Smart Licensing hostname privacy: DISABLED Version privacy: DISABLED Transport: Type: Callhome Registration: Status: REGISTERED Smart Account: manudiaz Virtual Account: Default Export-Controlled Functionality: ALLOWED Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC Last Renewal Attempt: None Next Renewal Attempt: Sept 30 14:22:12 2021 UTC Registration Expires: Oct 19 04:35:44 2021 UTC
使用VRF配置的SSM内部访问
如果使用VRF来访问SSM内部部署,则必须配置源VRF,以便设备从正确的VRF生成请求。
执行SSM内部访问部分中的步骤,直到步骤3。
步骤1:使用正确的VRF和源接口编辑Call-Home配置,您可以在源接口上访问SSM On-Prem:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
第二步:使用分配给VRF的正确接口配置源http客户端接口:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
第三步:为特定VRF配置DNS。
您可以在本地环境中配置DNS服务器以解析SSM本地服务器的名称:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X
在这些更改后,您可以继续执行SSM内部访问中的步骤5和步骤6。
特定许可证预留(SLR)
SLR功能使您能够在设备上部署软件许可证,而无需直接将使用信息传达给思科。此功能在高度安全的网络中尤其有用,并且在具有智能许可门户的平台上受支持。 本配置指南假定您已请求并已获得使用SLR的授权。
要在设备中配置SLR,需要从路由器端以及CSSM门户执行这些步骤
步骤1:为SLR配置路由器。您必须输入license smart reservation 命令,并使用license smart reservation request local请求SLR功能。
Router# enable Router# configure terminal Router(config)# license smart reservation Router(config)# exit Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX
在CSSM上,需要保留所需的许可证。
第二步:通过https://software.cisco.com/#登录到CSSM。您必须使用您的思科凭证登录门户。
第三步:选择资产选项卡。从“虚拟帐户”下拉列表中,选择您的智能帐户。
第四步:从Licenses选项卡中选择License Reservation。
第五步:在输入请求代码页上,输入或附加您从路由器生成的预留请求代码,然后选择下一步。
第六步:选中Reserve a Specific License框,并选择许可证以及每个设备所需的保留许可证数量。
步骤 7.从审核并确认选项卡中选择生成授权码。
步骤 8选择Copy to Clipboard复制代码或Download作为文件。您需要将代码或文件复制到您的设备以继续此过程。
如果配置SLR,可以下载或安装授权码文本文件。如果配置永久许可证保留(PLR),则可以复制并粘贴授权码。
步骤 9登录您的设备并使用安装命令license smart reservation install file bootflash:<SLR file>。
Router#enable Router#license smart reservation install file bootflash:
如果需要,您可以返回在设备中保留的许可证,并返回到未注册状态。系统会生成一个返回代码,必须在CSSM中输入该代码才能删除该产品实例。
Router#enable Router#license smart reservation return local
更新特定许可证预留
成功注册设备后,如果需要,您可以使用新功能或许可证更新预留:
步骤1:通过https://software.cisco.com/#登录思科智能软件管理器。您必须使用思科提供的用户名和密码登录门户。
第二步:导航到资产选项卡,然后从“虚拟帐户”下拉列表中选择您的智能帐户。
第三步:从产品实例选项卡中,为需要更新的设备选择操作。
第四步:选择Update Reserved License。
第五步:选择要更新的许可证。
第六步:选择 Next(下一步)。
步骤 7.从审核并确认选项卡中选择生成授权码。系统将显示Authorization Code选项卡。系统显示生成的授权码。
步骤 8选择Copy to Clipboard选项以复制代码或下载代码作为文件。您需要将代码或文件复制到您的设备。
步骤 9登录要更新的设备。
步骤 10运行license smart reservation install file命令。
Router#enable Router#license smart reservation install file bootflash:
取消注册特定许可证预留
要为设备取消注册特定许可证预留,您必须在CLI中返回许可证预留,并从CSSM中删除实例。
步骤1:登录到要取消注册的设备。
第二步:要删除许可证预留授权码,请使用license smart reservation return命令。
Router#license smart reservation return local This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly. Do you want to continue? [yes/no]: yes Enter this return code in Cisco Smart Software Manager portal: UDI: PID:ISR4351/K9,SN:FDO210305DQ CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33
第三步:通过https://software.cisco.com/#登录到CSSM。
第四步:选择资产选项卡。从“虚拟帐户”下拉列表中,选择您的智能帐户。
第五步:在产品实例选项卡中,选择要取消注册的设备,选择操作。
第六步:选择删除。
步骤 7.出现提示时,输入返回码。
故障排除
设备无法解析tools.cisco.com
验证是否已为正确的VRF或全局路由表正确配置了DNS服务器。如果需要,您也可以创建静态DNS条目:
Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8
路由器无法与tools.cisco.com通信
- 确保配置了到Internet的默认路由。
- 确保设备和CSSM之间没有防火墙或代理。
- 确保端口443和80未被阻塞。
Router#telnet tools.cisco.com 443 Trying tools.cisco.com (72.163.4.38, 80)... Open
- 使用VRF进行Telnet。
Router#telnet tools.cisco.com 443 /vrf Mgmt-intf Trying tools.cisco.com (72.163.4.38, 443)... Open
许可证处于“不合规”状态
当设备使用授权并且不合规(负平衡)时,就会出现此状态。当注册思科设备的虚拟帐户中所需的许可证不可用时,会发生这种情况。
Router#show license all License Authorization: Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT Next Communication Attempt: Mar 26 03:12:31 2019 CDT Communication Deadline: Jun 23 15:06:30 2019 CDT
- 要进入合规性/授权状态,您必须向智能帐户添加正确的许可证数量和类型
- 当设备处于此状态时,它会每天自动发送授权续订请求
智能许可调试
可用于解决Call-Home和智能许可注册问题的某些调试包括:
- debug call-home trace
- debug call-home error
- debug call-home smart-licensing all
- debug ip http client all
- debug crypto pki <所有选项>
- debug ssl openssl <所有选项>
其他信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
3.0 |
29-Aug-2024 |
已更新标题、品牌要求、机器翻译、样式要求、拼写和格式。 |
2.0 |
27-Jun-2023 |
添加了Alt文本。
已更新标题、品牌要求、机器翻译、样式要求、拼写和格式。 |
1.0 |
24-May-2022 |
初始版本 |
反馈