在Nexus平台上配置智能许可并对其进行故障排除

下载选项

PDF (2.6 MB)
在各种设备上使用 Adobe Reader 查看
ePub (2.4 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.3 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2023 年 10 月 11 日

文档 ID:217965

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何使用思科智能许可（基于云的系统）对Nexus交换机上的软件许可证进行故障排除和管理。

什么是思科智能许可？

思科智能帐户是一个托管数据存储库，提供对公司内思科软件许可证、授权和产品实例的完整可视性和访问控制

刚刚开始使用智能许可和/或智能帐户管理？

访问并注册新的管理员培训课程和录制：
思科社区 — 借助思科智能帐户/智能许可和“我的思科”授权实现智能化

可以在此处创建智能帐户：智能帐户

智能帐户可在此处管理：智能软件许可

支持的Cisco Nexus平台

从Cisco NX-OS版本9.3(3)开始，所有Cisco Nexus 3000和9000系列交换机(Cisco Nexus 3016和3064平台交换机除外)都支持智能软件许可。

Cisco Nexus 7000 上的智能许可支持从8.0(1)版本开始引入。

Nexus交换机上支持的智能许可方法

Methods of Communication

智能许可用户工作流程

Smart Licensing User Workflow

智能许可证产品状态

Smart License Product States

已注册

Smart License Product States - Registered

许可证

Smart License Product States - Licenses

请求或续订

Entitlement Authorization Request or Renewal

续约

Registration ID Certificate Renewal

注册和许可证状态

设置智能许可时，思科设备可能处于多种状态。这些状态可以通过思科设备的命令行界面(CLI)中的show license all或show license status进行显示。

以下是所有状态及其含义的列表：

评估（未识别）状态

这是设备首次启动时的默认状态。
通常，当思科设备尚未配置智能许可或注册到智能帐户时，会出现此状态。
在此状态下，所有功能均可用，设备可以自由更改许可证级别。
当设备处于未识别状态时，使用评估周期。在此状态下，设备不会尝试与思科通信。
这是使用90天，而不是90个日历天。一旦过期，它就不会重置。
对于不是每个授权的整个设备，有一个评估期
评估期在90天结束时到期时，设备将进入EVAL EXPIRY模式，但是功能不会受到影响或中断，即使在重新加载后也是如此。目前没有实施措施。
重新启动后会保持倒计时时间。
如果设备尚未向思科注册且尚未从思科后端收到以下两条消息，则使用评估期：

成功响应注册请求
对授权授权请求的响应成功。

注册状态

这是成功完成注册后的预期状态。
思科设备能够与思科智能帐户成功通信并注册。
设备收到有效期为1年的ID证书，用于未来通信
设备向CSSM发送请求，以授权设备上正在使用的许可证的授权
然后根据CSSM响应，设备进入授权或不合规状态
Id证书将在一年后过期。6个月后，软件代理进程尝试更新证书。如果代理无法与思科智能软件管理器通信，它会继续尝试续订ID证书，直到到期日期（1年）。一年后，座席返回到“未识别”状态，尝试启用“评估”期间。CSSM会从其数据库中删除产品实例。

授权状态

这是设备使用授权且处于合规状态（无负余额）时的预期状态，
CSSM上的虚拟帐户具有正确的许可证类型和数量，用于授权使用设备的许可证
30天后，设备向CSSM发送更新授权的新请求。
有90天的时间间隔，超过该时间后（如果未成功续订）将进入授权过期状态。

超出合规状态

这是设备使用授权且未处于合规状态（负平衡）时的状态，
当设备在思科设备注册到的思科智能帐户中对应的虚拟帐户中没有可用许可证时，就会看到此状态。
要进入合规性/授权状态，您必须将正确的许可证数量和类型添加到智能帐户
在此状态下，设备每天自动发送授权续订请求
许可证和功能继续运行，且对功能没有影响

授权过期状态

这是当设备使用授权在90天以上无法与关联的思科智能帐户通信时的状态。
如果Cisco设备在初始注册后无法访问Internet或无法连接到tools.cisco.com，则通常会出现这种情况。
智能许可的在线方法要求思科设备至少每90天进行一次通信才能防止此状态。
CSSM将此设备的所有使用中许可证返回池，因为它已有90天没有通信
在此状态下，设备继续尝试每小时联系思科以更新授权授权，直到注册期（id证书）过期。
许可证和功能继续运行，且对功能没有影响。
如果软件代理与思科重新建立通信，并收到其授权请求，它会正常处理回复并进入已建立的状态之一。

Nexus和配置上支持的方法

方法1（直接云访问）

基本配置:

switch# show run callhome



!Command: show running-config callhome

!Running configuration last done at: Wed Jun 22 16:14:37 2022

!Time: Wed Jun 22 16:16:28 2022



version 9.3(4) Bios:version 07.67

callhome

  email-contact sch-smart-licensing@cisco.com

  destination-profile CiscoTAC-1 transport-method http

  destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService

transport http use-vrf management

 enable



Switch# license smart register idtoken XXXX (force)

Initiated device registration with backend. run show license status, for registration status



switch# show license status

Smart Licensing is ENABLED



Registration:

  Status: REGISTERED

  Smart Account: ldap_user_test

  Virtual Account: Default

  Export-Controlled Functionality: Allowed

  Initial Registration: SUCCEEDED on Jun 22 16:15:41 2022 UTC

  Last Renewal Attempt: None

  Next Renewal Attempt: Dec 19 16:15:41 2022 UTC

  Registration Expires: Jun 22 16:13:53 2023 UTC



License Authorization:

  Status: AUTHORIZED on Jun 22 16:15:44 2022 UTC



  Last Communication Attempt: SUCCEEDED on Jun 22 16:15:44 2022 UTC

  Next Communication Attempt: Jul 22 16:15:43 2022 UTC

  Communication Deadline: Sep 20 16:12:55 2022 UTC



Smart License Conversion:

  Automatic Conversion Enabled: False

 Status: Not started

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/nx-os/licensing/guide/b_Cisco_NX-OS_Licensing_Guide/m-smart-licensing-for-cisco-nexus-3000-and-9000-series-switches.html

方法2（通过HTTP代理访问）

switch# show run callhome



version 9.3(4) Bios:version 07.67

 

call home

email-contact sch-smart-licensing@cisco.com
    
    
      destination-profile CiscoTAC-1 transport-method http destination-profile CiscoTAC-1 index 1 http https://tools.cisco.com/its/service/oddce/services/DDCEService transport http proxy server X.X.X.X port 80 transport http use-vrf management transport http proxy enable Switch# license smart register idtoken XXXX (force) Initiated device registration with backend. run show license status, for registration status

方法3（现场 — 在线）

switch# show run callhome



version 9.3(4) Bios:version 07.67

callhome

  email-contact sch-smart-licensing@cisco.com

  destination-profile CiscoTAC-1 transport-method http

  destination-profile CiscoTAC-1 index 1 http https://10.106.41.xx/Transportgateway/services/DeviceRequestHandlerend

  transport http use-vrf management

  enable



Switch# license smart register idtoken XXXX (force)

Initiated device registration with backend. run show license status, for registration status

方法4(内部 — 离线)

Manual Sync

Download Sync Request yml

Synchronize On-Prem

什么是ID令牌？

用于将产品安全地注册到智能帐户和虚拟帐户

ID令牌是用于在注册产品时建立“身份”的“组织标识符”。

如何从CSSM生成ID令牌

https://software.cisco.com/software/csws/ws/platform/home?locale=en_US#

管理许可证 — >库存 — >常规 — >新令牌 — >创建令牌

故障排除

当思科设备迁移到支持智能许可的软件版本时，此流程图可作为所有三种方法（直接云访问、HTTPS代理和思科智能软件管理器内部部署）的一般指南。

工作流程

Flow Chart

已知问题

将N9K-C9348GC-FXP注册为智能许可的问题。

1.错误 — 无法发送Call Home HTTP

[+]呼叫总部配置

Switch# show running-config callhome

version 9.3(5) Bios:version 07.68
callhome
email-contact abc@example.com
phone-contact +919XXXXXXXXX
streetaddress ST3, RD 4, Bangalore
destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management

[+]已确认可以访问tools.cisco.com。

DC-DMZ(config)# ping tools.cisco.com vrf management
PING tools.cisco.com (72.163.4.38): 56 data bytes
64 bytes from 72.163.4.38: icmp_seq=0 ttl=232 time=237.581 ms
64 bytes from 72.163.4.38: icmp_seq=1 ttl=232 time=237.859 ms
64 bytes from 72.163.4.38: icmp_seq=2 ttl=232 time=237.562 ms
64 bytes from 72.163.4.38: icmp_seq=3 ttl=232 time=237.413 ms
64 bytes from 72.163.4.38: icmp_seq=4 ttl=232 time=237.995 ms

DC-DMZ(config)# telnet tools.cisco.com 443 vrf management
Trying 2001:420:1101:5::a...
Trying 72.163.4.38...
Connected to tools.cisco.com.
Escape character is '^]'.
^CConnection closed by foreign host.

+ HTTP源接口已配置为接口vlan 27，已将其更改为mgmt0

2.错误 — 无法分析来自SCH服务器的响应数据

++不再支持HTTP以访问Cisco后端；仅支持HTTPS。删除当前配置并更新目标地址以使用HTTPS。

Previous config

destination-profile CiscoTAC-1 transport-method http
destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
transport http use-vrf management
enable

New config added

(config)#callhome
(config-callhome)#enable
(config-callhome)# destination-profile CiscoTAC-1 transport-method http
(config-callhome no destination-profile CiscoTAC-1 index 1 http http://tools.cisco.com/its/service/oddce/services/DDCEService
(config-callhome destination-profile CiscoTAC-1 http https://tools.cisco.com/its/service/oddce/services/DDCEService

3.错误 — 无法发送Call Home HTTP消息(无法通过call-home建立IPC连接 — Quo Vadis Root CA)

https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html

4.错误 — 缺少DNS响应导致callhome MTS消息卡住

思科漏洞ID CSCvv67469

修订历史记录

版本	发布日期	备注
3.0	11-Oct-2023	重新发布初始版本
2.0	17-Mar-2023	方法更新
1.0	18-Jul-2022	初始版本

由思科工程师提供

迪帕克·克什瓦尼
TAC