ASR9000平台上的智能许可
目录
简介
本文档介绍Cisco IOS® XR 5.2.0版及更高版本上的智能许可软件配置、操作和故障排除。开发智能许可的目的是解决在思科平台和操作系统(OS)上运行的各种功能和应用的许可要求管理。
智能许可应用不仅在适用于Cisco IOS XR的ASR9000(ASR9K)上运行,而且也在运行Cisco IOS和Cisco IOS-XE OS的各种平台上运行。这种简单的应用可显着减少管理各种思科设备、系统和平台所需的工作量,并为许可证管理、授权和运营成本带来亟需的简便性。
智能许可应用使用的方法是动态“拉”方法;ASR9K设备发起呼叫并从思科后端服务器拉取信息。思科后端服务器不会发起到任何设备的呼叫或连接,但是当连接请求来自想要注册和接收授权的设备时,思科会始终做出响应。
初始设置安全且简单,只需设备操作员很少的手动干预,并且可以使用常规的工具命令语言(TcL)或Python Expect脚本在较大环境中自动设置。思科后端服务器提供的报告工具(可通过常规浏览器访问)将帮助客户记录其设备清单、已部署许可和不合规(OOC)的功能,并动态移动其资源,而无需重新调配或呼叫支持。
顶视图
智能许可使用标准HTTP安全(HTTPS)作为传输机制,以便访问思科后端服务器。从技术上讲,在ASR9K设备上启用智能许可功能只需要一行配置:
RP/0/RSP0/CPU0:SAMDD(admin-config)#license smart enable
设备默认为HTTPS传输,一旦注册请求成功,将立即查询后端服务器以获取授权。它返回Authorized(已授权),这意味着设备具有此功能的许可证;或者返回OOC(未显示、缺失或已过期)。
智能许可可与传统许可共存,但任何给定时间只能有一个许可处于活动状态。通过从管理平面添加或删除配置,您可以轻松地在这些配置之间切换。ASR9K系统不需要重新加载或重新启动此“交换机”即可执行。在未来版本中,传统许可将完全由智能许可取代。
如果ASR9K设备不使用需要许可的功能,则系统会自动处于已授权状态,无需进一步操作。只有在“配置”需要许可证的功能后,系统才会尝试从思科后端服务器动态获取许可证。
传统许可操作与智能许可操作
以下是许可模式之间的一些差异。请注意,在任意给定时间只有其中一个处于活动状态。
| 传统(节点锁定)许可 |
智能(动态)许可 |
|---|---|
| 您必须获取许可证,并通过PAK文件手动将其安装在每台设备上。 |
无需安装软件。设备启动HTTP/HTTPS呼叫总部会话并请求其使用和配置的许可证。 |
| 与机箱绑定、移动或重新调配的许可证需要备份或重新安装。所有操作都是手动操作,需要花费时间。 |
许可证绑定到您的帐户。取消配置当前机箱中使用的功能,并在需要使用相同许可证的新机箱上重新配置该功能。当新设备通过call-home进程发起HTTP/HTTPS请求时,会动态地进行重新调配。 |
| 节点锁定许可证 — 许可证与特定设备/插槽关联。 |
已在客户帐户中创建的许可证池,它特定于公司帐户,可用于您公司的任何ASR9K设备。 |
| 没有用于查看已购买许可证或软件使用趋势的常见客户群位置。 需要手动维护单个机箱/系统的许可证簿记。 |
许可证安全地存储在思科后端服务器上,可全年全天候访问。许可证计数按客户帐户/池而定,许多设备可以属于同一个池。 |
| 额外的许可证需要新的PAK文件,并需要手动干预/与设备进行交互。 |
额外的许可证可以通过指向思科URL和后端服务器中创建的帐户的Web浏览器传输。基本上是点击操作。 |
| 将许可证从一台设备传输到另一台设备并不容易。 |
许可证可以在产品实例之间移动,无需安装任何软件。您还可以通过Web界面将许可证从一个池轻松传输到另一个池。 |
操作视图
下图显示了两种许可方案之间的比较。
智能许可步骤非常简单直观。购买设备/设备时,您可以同时订购所需的许可证,也可以稍后订购。思科完成许可证购买和调配后:
- 思科为您提供用户名、密码和统一资源定位器(URL),让您通过Web浏览器全天候访问许可证信息。
- 此帐户管理许可证、生成报告、对设备进行分组、创建许可证池以及任何其他有助于客户/组织运营需求的组织需求。
- 该帐户允许客户生成idtoken,用于唯一标识客户设备和购买的许可授权。令牌的有效期为一天到一年。客户可以随时撤销、删除和重新创建idtoken。这是一种自助模式。
- 客户使用思科提供的帐户中生成的idtoken注册一台设备或一千台设备,因为对于可以使用同一令牌的设备数量没有限制。本文档提供了有关有效使用此功能的更多提示。
- 设备注册是持久的,在系统的重新加载和升级过程中会一直存在。可以强制ASR9K设备使用旧的idtoken重新注册,如果需要,也可以使用较新的idtoken重新注册,以防发生任何丢失。
- 注册后无需干预,ASR9K系统定期轮询已注册的帐户以确保合规性。如果系统为OOC,则会生成系统日志以警告用户。
Web界面/门户
下面是注册过程开始的Web界面的快速浏览:
虚拟帐户也称许可证池,用于根据组织的需要逻辑放置和组织许可证。它是许可证的容器,注册设备用于需要许可证的功能。您可以在每个站点、每个部门等创建一个池。
许可证可以轻松地从一个池转移到另一个池。
Idtoken是此帐户生成的密钥,用于注册ASR9K设备。其有效期为从一天到一年。令牌的唯一用途是注册设备,之后就不需要了。令牌是文本流,可以复制到TcL或Python脚本中以自动注册远程设备。
例如,您可以创建一个令牌一天,并将其发送到远程站点,供远程用户用于设备注册。它在一天后过期,远程用户无法使用它来注册任何其他设备。即使该设备用于注册不属于您的公司的设备,您也将在产品实例选项卡中轻松看到该设备,并可采取行动以撤销许可证。
报告动态生成各种形式的资产,可以导出为Excel格式以供脱机使用、记帐或分析。
License 选项卡显示各种ASR9K设备请求的许可证,其中显示每个许可证的计数和状态。直接点击Transfer链接项目时,可以使用该链接项目,轻松地将许可证传输到帐户中的任何池或从帐户中的任何池中转移许可证。
Event Log选项卡使用系统日志类型格式记录设备针对池的活动,并记录帐户中每个设备或用户执行的操作,例如注册、注销等。该界面方便直观地进行导航或调试。
配置
本示例将介绍如何从传统许可升级到智能许可。请注意,在某些情况下,智能许可可能是默认设置。
传统许可
为了检查传统许可,可以从管理平面运行几个命令。下面是一些与智能许可相比具有不同输出的产品。
RP/0/RSP1/CPU0:ROA(admin)#show license pools
Pool: Owner
Feature: A9K-24X10-OPT-LIC A9K-24X10-VID-LIC A9K-24X10G-AIP-SE A9K-24X10G-AIP-TR
A9K-2X100-OPT-LIC A9K-2X100-VID-LIC A9K-2X100G-AIP-SE A9K-2X100G-AIP-TR
A9K-36X10-OPT-LIC A9K-36X10-VID-LIC A9K-36X10G-AIP-SE A9K-36X10G-AIP-TR
A9K-400G-AIP-SE A9K-400G-AIP-TR A9K-400G-OPT-LIC A9K-400G-VID-LIC
A9K-800G-AIP-SE A9K-800G-AIP-TR A9K-800G-OPT-LIC A9K-800G-VID-LIC
A9K-ADV-OPTIC-LIC A9K-ADV-VIDEO-LIC A9K-AIP-LIC-B A9K-AIP-LIC-E
RP/0/RSP1/CPU0:ROA(admin)#show license allocated
FeatureID: A9K-800G-AIP-SE (Slot based, Permanent)
Total licenses 1
Status: Allocated 1
Pool: Owner
Total licenses in pool: 1
Status: Operational: 1
Locations with licenses: (Active/Allocated) [SDR]
0/0/CPU0 (0/1) [Owner]
传统许可命令的子集也可以从exec plane运行,但最好从具有完整列表的admin plane运行它们。
RP/0/RSP1/CPU0:ROA#show license ?
WORD Feature ID
active Currently checked-out/being used by applications.
allocated Allocated to a slot but not used.
available Not currently active.
evaluation Display the evaluation licenses.
expired Display evaluation licenses already expired.
location Show information for a specific location
log The operational or administrative logs.
| Output Modifiers
<cr>
智能许可
智能许可尚未启用,但这是系统显示的内容。
即使没有应用配置,call_home的默认内置配置文件也使用HTTPS,它通过系统管理端口指向思科后端服务器。有关更多信息,请参阅本文档后面的call_home。
RP/0/RSP1/CPU0:ROA#show run call-home
% No such configuration item(s)
RP/0/RSP1/CPU0:ROA#show call-home detail | i https
http proxy: Not yet set up
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
对于最低配置,您只需要步骤1和4。其余步骤用于信息、验证和报告。
- 在admin模式下,输入以下命令:
RP/0/RSP1/CPU0:ROA(admin-config)#license smart enable
RP/0/RSP1/CPU0:ROA(admin-config)#commit - 在exec模式下,配置更多旋钮(如邮件地址),或者使用此默认配置文件,该配置文件在提交管理员配置时自动生成。
RP/0/RSP1/CPU0:ROA#show run call-home
call-home
service active
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination transport-method http - 在admin mode中,检查智能许可版本:
RP/0/RSP1/CPU0:ROA(admin)#show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16 - 在admin mode中,输入以下命令:
RP/0/RSP1/CPU0:ROA(admin)#license smart register idtoken
NjgyMWM2NDItMzI5My00YzQ2LThmMDItMzhhNWI2Mzk2YWUwLTE0MzUzMzM3%
0aMDQwNDB8SWRzSGkvR0d2MWZTZEhzK2RWUmJWMmh0U1ZIa2tBVzBLZKl1ZHhs%0AZGRPbz0%3D%0A ?
force Force Registration
<cr>
license smart register: Registration process is in progress. Please check
the syslog for the registration status and result关键字Force会覆盖并清除与之前注册的设备相关的任何及所有信息。关键字force应尽量少用,在特殊情况下使用。或者,可以使用Web用户界面从帐户中删除设备。
- 查询操作状态:
RP/0/RSP1/CPU0:ROA(admin)#show license register-status
Registration Status: Completed
Registration Start Time: Wed Dec 17 2014 13:07:23 PST
Next ID Cert Renew Time: Mon Jun 15 2015 14:07:45 PST
Next ID Cert Expiration Time: Thu Dec 17 2015 13:01:41 PST
Last Response Time: Wed Dec 17 2014 13:07:45 PST
Last Response Message: OK: OK如果Status不是“Completed”,您将在控制台或syslog上看到消息。以下是成功的系统日志消息:
RP/0/RSP1/CPU0:Dec 17 13:07:45.285 : licmgr[310]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful
RP/0/RSP1/CPU0:Dec 17 13:08:18.357 : licmgr[310]: SMART_LIC-3-OUT_OF_COMPLIANCE:
One or more entitlements are out of compliance': - 在此系统上,配置了一些需要许可证的功能,并且此输出指示“不合规”的状态:
RP/0/RSP1/CPU0:ROA(admin)#show license entitlement | i Tag | e Not | u sort
Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,
1.0_66d3ccf7-a374-4409-a3f9-6bc56d645f1c, Version: 1.0, Enforce Mode:
Out of compliance
Tag: regid.2014-04.com.cisco.A9K-24X10-VID-LIC,1.0_9f03b94f-3c76-4a39-82f2
-1b53cdf5cb15, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-04.com.cisco.A9K-24X10G-AIP-TR,1.0_e5d7cec3-e8e3-43c6-88c9
-a113b76679f8, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-2X100-OPT-LIC,1.0_0f74bb00-42af-4c4d-b162
-bcb346c7510a, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-2X100-VID-LIC,1.0_a482b964-6371-4aad-8e82
-2083c5749205, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-2X100G-AIP-SE,1.0_ce447831-e4af-4def-a98b
-3297fab65561, Version: 1.0, Enforce Mode: Out of compliance
Tag: regid.2014-06.com.cisco.A9K-36X10-OPT-LIC,1.0_92a8597a-f591-4afc-adeb
-9b212cee11be, Version: 1.0, Enforce Mode: Out of compliance - 查看您在传统许可中使用的命令,这些命令具有不同的输出。
智能许可或传统许可CLI可在任何指定时间使用,但不能同时使用两者。
pool名称用于组织/分类设备。您可以在每个区域/地理位置、部门或职能区域、财务分组等使用一个池。每家公司都可以决定如何分配许可证。另请注意,使用普通浏览器来查看、更改或移动池之间的许可证、添加或更改许可证计数非常容易,并且无需思科的帮助即可轻松独立全天候地完成操作。
RP/0/RSP1/CPU0:ROA(admin)#show license pool
Assigned Pool Info: PATRICK_NO_LIC - 从这里,系统每天自动检查合规性。如果发生故障,系统每20分钟尝试一次,持续4小时,之后每天尝试一次,持续30天。打印系统日志消息,指示连接、可达性、通信等故障原因。调试将在本文档的后续部分讨论。
- 要取消注册设备,请输入以下命令:
RP/0/RSP1/CPU0:ROA(admin)#license smart deregister
license smart deregister: Success
License command "license smart deregister " completed successfully.RP/0/RSP1/CPU0:ROA(admin)#show license register-status
Registration Status: Not Registered - 要了解给定机箱上可用的许可证,请输入以下命令:
RP/0/RSP1/CPU0:ROA(admin)#show license features
Platform Feature ID:
A9K-ADV-OPTIC-LIC
A9K-ADV-VIDEO-LIC
A9K-iVRF-LIC
A9K-AIP-LIC-B
A9K-AIP-LIC-E
A9K-MOD80-AIP-TR
A9K-MOD80-AIP-SE
A9K-MOD160-AIP-TR
A9K-MOD160-AIP-SE
A9K-2X100G-AIP-TR
. . . output snipped . . .
应用剖析和流程
要了解应用的机制,您需要对应用的组件有基本的了解。但是,对于软件的操作或部署,除遵循已发布的指南外,无需预先了解任何知识。本节更多面向希望了解详细信息的技术人员和工程师。
部署、配置和选项
智能许可可在多种场景中部署,具体取决于客户在安全性、可管理性和操作模式方面的要求。
例如:
- 您可以选择不允许ASR9K“直接”连接到思科云/后端服务器。在这种情况下,您可以在本地使用“代理”服务器,并管理防火墙、流量以及智能许可应用如何满足组织的安全需求。这可以通过在Windows或Linux操作系统上运行的开源Apache软件轻松设置。
- 或者,您可能希望将所有ASR9K设备连接到汇聚器主机,该主机可以在将所有ASR9K设备转发到Cisco后端服务器之前接收来自这些设备的所有本地请求。这是在Linux和Windows上运行的传输网关软件的作业,可以在Cisco Transport-Gateway download中下载。
- 或者,您可能希望使用运行在Linux和Windows上的内部软件完全脱机运行,并且仅允许使用“此内部主机”与思科云进行许可信息交换,从而向终端设备提供有关其合规状态的信息。该软件将提供版本 5.3.1或更高版本。
除了支持HTTPS外,还可以将软件配置为在虚拟路由转发(VRF)设置中运行,该设置允许对许可信息的传输方式进行更高级别的控制。
此外,本地支持IPv6,并且仅需要在系统上使用有效的IPv6地址才能通过Internet与思科后端服务器通信。
这些配置假定ASR9K配置了域名系统(DNS)或IPv4/IPv6域主机,因此可以解析主机名以访问外部网络。
网络时间协议(NTP)的配置是使系统与后端证书服务器保持同步所必需的。
RP/0/RSP0/CPU0:ROA#show run domain
domain name cisco.com
domain list cisco.com
domain name-server 171.70.168.183
domain name-server 2001:420:68d:4001::a
RP/0/RSP0/CPU0:ROA#show run | i ipv6 host
Building configuration...
domain ipv6 host tools.cisco.com 2001:420:1101:5::a
配置HTTP代理
Apache配置不在本文的讨论范围之内,但Internet上有很多好的文档可以指导您完成这些步骤。为了演示功能,Apache在端口80上配置为使用简单代理。请参阅此处所示的Apache mod_proxy的调试输出。
但是,对于智能许可,配置非常简单,只需提及代理服务器的名称和端口即可。配置只需将请求转发到代理服务器,而不是直接联系思科后端服务器。代理服务器将通过任何配置为转发请求的传输与服务器联系;建议使用HTTPS。除http-proxy mybastion.cisco.com port 80外,不需要任何其他配置。
RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
http-proxy mybastion.cisco.com port 80
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http
输入registration命令admin license smart register idtoken <idtoken>,观察输出中显示ASR9K发出的请求/响应。记下时间戳和成功列计数器。
RP/0/RSP0/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.
Msg Subtype Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT 1 0 0 0 2015-01-12 21:06:56
DEREGISTRATION 0 0 0 0 n/a
REGISTRATION 1 0 0 0 2015-01-12 21:06:21
ACKNOWLEDGEMENT 1 0 0 0 2015-01-12 21:06:38
以下是Apache访问日志的一个片段,其中显示请求在端口443(HTTPS协议)上发出。
root@mybastion:/var/log/httpd #tail -f proxy-*
==> proxy-error.log <==
[Mon Jan 12 21:06:10 2015] [debug] mod_proxy_connect.c(70): proxy: CONNECT:
canonicalising URL tools.cisco.com:443
[Mon Jan 12 21:06:10 2015] [debug] proxy_util.c(1515): [client 172.27.130.65] proxy:
*: found forward proxy worker for tools.cisco.com:443
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(109): [client 172.27.130.65]
(70014)End of file found: proxy: CONNECT: error on client - ap_get_brigade
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(425): proxy: CONNECT:
finished with poll() - cleaning up
==> proxy-access.log <==
172.27.130.65 - - [12/Jan/2015:21:06:10 -0800] "CONNECT tools.cisco.com:443 HTTP/1.1" 200 -
配置传输网关
在此方案中,传输网关应用安装在Linux或Windows主机上,并且配置为接收来自客户驻地ASR9K设备的许可请求,并将这些请求中继到Cisco后端服务器。有关详细信息,请参阅传输网关部署和用户指南。
ASR9K上的配置仅为一行。以下是示例;有关您的环境所需的确切配置,请参阅文档。
call-home
profile CiscoTAC-1
destination address http
https://TG-IP-or-FQDN/Transportgateway/services/DeviceRequestHandler
配置VRF
VRF可更好地控制管理流量,对智能许可几乎透明。但是,当智能许可软件尝试访问思科后端服务器时,为了使底层软件咨询VRF表而不是全局表,必须执行一行配置。
此处显示的字符串是在系统中配置的VRF名称。
RP/0/RSP0/CPU0:ROA(config)#http client vrf MGMT
Call Home详细输出
此处显示验证Call Home是否工作正常的示例输出。
RP/0/RSP0/CPU0:ROA#show call-home detail
Current call home settings:
call home feature : enable
call home message's from address: mylab-roa@cisco.com ; optional, any address
call home message's reply-to address: pasoltan@cisco.com ; optional,
recipient address
vrf for call-home messages: Not yet set up ; Not supported natively yet
contact person's email address: sch-smart-licensing@cisco.com ; default
contact person's phone number: +1-408-526-8438 ; optional
street address: 1550 Soltani Lane, Cisco System Drive, North Pole, NP 99709
customer ID: Not yet set up
contract ID: Not yet set up
site ID: BUILDING20-125 ; optional
source interface: Not yet set up ; can be configured to use a specific interface.
Mail-server[1]: Address: bastion.cisco.com Priority: 1 ; optional
Mail-server[2]: Address: 171.68.58.10 Priority: 10 ; optional
Mail-server[3]: Address: 173.37.183.72 Priority: 20 ; optional
http proxy: Not yet set up ; when configured will change.
Smart licensing messages: enabled
Profile: CiscoTAC-1 (status: ACTIVE) ; default profile supported.
Can not be renamed, deleted, but can be modified, activated, deactivated.
aaa-authorization: disable ; optional
aaa-authorization username: callhome (default) ; default
data-privacy: normal ; can be configured to use the hostname or not.
syslog throttling: enable
Rate-limit: 5 message(s) per minute
Snapshot command: Not yet set up
; Non-smart licensing configuration for alerts, data collection, defaults.
Available alert groups:
Keyword State Description
---------------------- ------- -------------------------------
configuration Enable configuration info
environment Enable environmental info
inventory Enable inventory info
snapshot Enable snapshot info
syslog Enable syslog info
Profiles:
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
Email address(es): callhome@cisco.com
HTTP address(es): ; Only configuration needed if default is not desired.
http://tools.cisco.com/its/service/oddce/services/DDCEService
https://tools.cisco.com/its/service/oddce/services/DDCEService
Periodic inventory info message is scheduled every 23 day of the month at 11:2
Alert-group Severity
------------------------ ------------
environment minor
inventory normal
Syslog-Pattern Severity
------------------------ ------------
.* critical
Call Home非智能许可配置选项
您可以将Call Home配置为执行系统日志和诊断数据收集以及核心转储,或者让其发送事件等电子邮件通知以及所完成的智能许可任务。
您可以在https://tools.cisco.com/sch/reports/deviceReport.do上使用智能许可用户名和密码查看Call Home收集的信息。
请参见“相关信息”部分中链接的文档,了解有关如何使用此功能以使您的环境受益的详细信息。“Odds and Ends”部分也提供了电子邮件通知的示例。
调试
由于组成软件包的组件众多,因此没有硬性的快速规则来调试智能许可软件。但是,一些常见的方法通常缩小了问题的范围。下面是一些建议。
系统日志
首先查看系统日志。您会得到一些关于哪个组件应该首先检查的线索。在这些消息中,您会看到一些证书问题,以及发送Call Home HTTP消息失败;最终通信恢复。
RP/0/RSP0/CPU0:ROA#sh log | i SMART
RP/0/RSP1/CPU0:Dec 17 20:01:28.522 : licmgr[308]: SMART_LIC-3-ID_CERT_RENEW_FAILED:
ID certificate renewal failed: Response error: {"product_instance_identifier":
["ProductInstance '8baecfb5-2688-429b-8519-10a3f0dec6b5' is not valid"]}
RP/0/RSP1/CPU0:Dec 17 20:01:34.273 : licmgr[308]: SMART_LIC-3-AUTH_RENEW_FAILED:
Authorization renewal with Cisco licensing cloud failed: Response error:
LS_UNMATCH_SIGNED_DATA: Signed data and certificate does not match
RP/0/RSP0/CPU0: Dec 17 18:26:24.009 : licmgr[314]: SMART_LIC-3-COMM_FAILED:
Communications failure with Cisco licensing cloud: Fail to send out Call Home
HTTP message
RP/0/RSP0/CPU0:Dec 17 18:28:03.057 : licmgr[314]: SMART_LIC-3-AGENT_REG_FAILED:
Smart Agent for Licensing Registration with Cisco licensing cloud failed:
Communication message send error
RP/0/RSP0/CPU0:Dec 17 18:30:09.247 : licmgr[314]: SMART_LIC-5-COMM_RESTORED:
Communications with Cisco licensing cloud restored
RP/0/RSP0/CPU0:Dec 17 18:30:21.923 : licmgr[314]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful
检查show命令输出,以便获得该框/组件处于何种状态的句柄。在此您可以看到移动性、互联网协议安全(IPsec)和光纤许可证。
RP/0/RSP0/CPU0:ROA#admin show license entitlement
Entitlement:
Tag: regid.2014-06.com.cisco.A9K-MOBILE-LIC,1.0_e447924c-0a6f-41be-9202-8ae60fcc2972,
Version: 1.0, Not In Use
Requested Time : NA, Requested Count: NA
Vendor String:
Tag: regid.2014-09.com.cisco.A9K-IPSEC-20G-LIC,1.0_a165db99-eb3f-474b-bdf0-
ce4b140d9b45, Version: 1.0, Not In Use
Requested Time : NA, Requested Count: NA
Vendor String:
Tag: INSTALLMGR, Version: 1.0, Not In Use
Requested Time : NA, Requested Count: NA
Vendor String:
Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,1.0_66d3ccf7-a374-4409-a3f9-
6bc56d645f1c, Version: 1.0, Enforce Mode: Out of compliance
Requested Time : Mon Jan 12 2015 20:47:07 PST, Requested Count: 1
Vendor String:
... output snipped ...
检查许可证合规性。
RP/0/RSP0/CPU0:ROA#admin show license status
Compliance Status: Out of compliance
检查哪个池处于活动状态。
RP/0/RSP0/CPU0:ROA#admin show licence pool
Assigned Pool Info: PATRICK_NO_LIC
检查许可证书。
RP/0/RSP0/CPU0:ROA#admin show license cert
Licensing Certificates:
ID Cert Info:
Start Date: Mon Jan 12 2015 21:00:13 PST. Expiry Date: Tue Jan 12 2016 21:00:13 PST
Serial Number: 24724
Version: 3
Subject/SN: 60fe47f8-aaaa-40fc-ae3e-fae9c7b6d0ac
Common Name: 138091632beb1f2e38069e9eec8f9c626de471ac::1,2
Signing Cert Info:
Start Date: Wed Sep 11 2013 12:05:34 PST. Expiry Date: Sun May 30 2038 12:48:46 PST
Serial Number: 3
Version: 3
检查许可版本。
RP/0/RSP0/CPU0:ROA#admin show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16
此命令显示有关成功和/或失败的call-home尝试的统计信息。
RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.
Msg Subtype Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT 1 0 0 0 2014-12-17 21:08:35
DEREGISTRATION 1 0 0 0 2014-12-17 14:33:17
REGISTRATION 1 0 0 0 2014-12-17 21:07:53
ACKNOWLEDGEMENT 1 0 1 0 2014-12-17 21:08:09
RENEW 1 0 0 0 2014-12-17 21:08:57
Call Home进程
接下来检查call_home进程的跟踪文件,因为ASR9K和思科云之间的传输由它管理。
RP/0/RSP0/CPU0:ROA#show call-home trace error last 2
81 wrapping entries (576 possible, 320 allocated, 0 filtered, 81 total)!
Jan 28 10:10:29.729 call_home/error 0/RSP0/CPU0 t10 call_home_http_resp_data(),
httpc response error, Host name resolution failed
Jan 28 10:10:39.730 call_home/error 0/RSP0/CPU0 t19 call_home_events_handler() failure status 67
Smartlic检查(软件代理)
检查smartlic跟踪。这些跟踪显示了与思科云服务器的许可证交互。
RP/0/RSP0/CPU0:ROA#admin show license trace smartlic last 2
987 wrapping entries (1088 possible, 0 filtered, 987 total)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
Failed to bind to SysDB - 'Subsystem(2091)' detected the 'success' condition
'Code(45)': Unknown Error(292)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
SMART ERROR - SASACKExpirationJob: expirySeconds=3842
Licmgr进程检查
此流程是ASR9K上智能许可的主要界面,并被视为各个组件之间的粘合剂。
RP/0/RSP1/CPU0:ROA#admin show license trace
557 wrapping entries (576 possible, 0 filtered, 5403 total)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
Client search success pkg/bin/rsi_agent (No error)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
A9K-MOD160-AIP-SE regid.2014-06.com.cisco.A9K-MOD160-AIP-SE,
1.0_7f1b3d9c-a183-41d1-8d0b-d98dcc2751a8 (No error)
平台相关跟踪
尽管代码中的Platform Dependent(PD)部分只是动态链接库,但它对触发许可证授权请求具有重要作用。因此,它解决了许可证类型、计数等问题。
RP/0/RSP1/CPU0:ROA#admin show license trace platform all last 5
1849 wrapping entries (5440 possible, 3136 allocated, 0 filtered, 183450 total)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start: ver:1,
node:0x00000041 cmd:Audit(5) req:Mobile(9) feature:A9K-MOBILE-LIC(13) grant:
Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start #2:
client restarted:False up for a day:True
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License Start:
request:Mobile(9) slot:4 grant:Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License End:
request:Mobile(9) slot:4 grant:Not Pending(0) rc: 0x00000000 No error
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Cmd End:Audit(5),
slot:4 rc:0x00000000 No error
打开调试
如果其他所有操作均失败,则打开调试并输入按需请求以续订证书或授权。此调试应收集ASR9K和思科云服务之间的所有事务。
RP/0/RSP0/CPU0:ROA#debug smartlic
RP/0/RSP1/CPU0:ROA#show debug
#### debug flags set from tty 'aux0_RSP1_CPU0' ####
smartlic debug flag is ON with value 0
没有可用的直接UI/Cisco Cloud Server调试。如有任何问题,请发送电邮至asr9k-smart-lic@cisco.com。
赔率和结局
- 当多个设备配置为从同一个许可证池获取授权时,即使只有一个设备被一个许可证短路,您的所有设备都是OOC。这主要是因为采用池视图作为容器的设计。新模型,即正在使用的池的分层组织,解决了未来版本中的行为。
- 直接从控制台向您自己发送任何show命令输出。请注意每个命令后的双引号和使用分号。Call Home执行许多与智能许可无关的操作。这是Call Home的使用示例。它是可以为任何环境修改的运行配置。
RP/0/RSP1/CPU0:ROA#show run call-home
call-home
service active
site-id BUILDING20-125
sender reply-to pasoltan@cisco.com
sender from roa@cisco.com
alert-group syslog
alert-group snapshot
alert-group inventory
mail-server 171.68.58.10 priority 10
mail-server 173.37.183.72 priority 20
mail-server 2001:420:303:2008::24 priority 2
mail-server mybastion.cisco.com priority 1
phone-number +1-408-526-8438
contact-email-addr sch-smart-licensing@cisco.com
street-address 1550 E.Tasman Drive, San Jose, CA 9513
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
reporting smart-call-home-data
reporting smart-licensing-data
destination transport-method http
RP/0/RP1/CPU0:ROA#call-home send "show run call; admin show platform"
email pasoltan@cisco.com msg-format long-text
Sending ondemand CLI output call-home message ...
Please wait. This may take some time ... - show call-home smartlic status命令使用单词“success”,这仅仅意味着从call-home进程的角度来看,从ASR9K到思科云服务器的消息传输是成功的。但是,这并不意味着思科云服务器的端到端许可操作是成功的。例如,如果门户的帐户、证书等存在问题,call-home会传输消息并显示成功,但后端服务器检查许可证的总体操作可能会失败。
RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.
Msg Subtype Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT 1 0 0 0 2014-12-17 21:08:35
DEREGISTRATION 1 0 0 0 2014-12-17 14:33:17
REGISTRATION 1 0 0 0 2014-12-17 21:07:53
ACKNOWLEDGEMENT 1 0 1 0 2014-12-17 21:08:09
RENEW 1 0 0 0 2014-12-17 21:08:57 - 当您同时使用IPv4和IPv6配置管理接口时,名称解析为IP地址或DNS解析的顺序首先是IPv6。
RP/0/RSP1/CPU0:ROA#show run int M*
interface MgmtEth0/RSP0/CPU0/0
cdp
ipv4 address 172.27.130.64 255.255.255.128
ipv6 address fe80::172:27:130:64 link-local
ipv6 address 2001:420:303:2008:0:28:1:64/80
... snipped output ...RP/0/RSP1/CPU0:ROA#ping tools.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:420:1201:5::a, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/45/49 msRP/0/RSP1/CPU0:ROA#ping ipv4 tools.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 173.37.145.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 43/44/45 ms
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
10-Jul-2015 |
初始版本 |
反馈