在SD-WAN XE边缘路由器上配置HSEC许可证
目录
简介
本文档介绍如何在SD-WAN XE Edge路由器上安装和排除HSECK9许可证故障。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科软件定义的广域网(SD-WAN)
- Cisco IOS® XE命令行界面(CLI)
- 智能许可
- 思科软件中心
使用的组件
本文档基于以下软件和硬件版本:
- 思科边缘路由器C1111-8PWE版本17.6.3
- 思科边缘路由器c8000v 17.12.3
- 思科智能软件管理器(CSSM)
- 思科vManage 20.12.3.1
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
概念
使用策略的智能许可使用各种新概念,例如:
- 许可证实施类型
- 许可证持续时间
- 授权码
- 需要智能许可授权码(SLAC)的吞吐量级别 — 需要SLAC的路由器平台
- 策略
- 资源利用率测量报告(RUM报告)和报告确认
- 信任代码
有关详细信息,请导航至使用策略概念的智能许可。
吞吐量行为
- 如果产品没有任何形式的HSECK9许可证,则所有ISR1000系列、ISR4000系列、C8200、C8300、CSR1000v、C8000v和ISRv默认为250 Mbps。
- 如果吞吐量需要高于250 Mbps,则所有ISR1000系列、ISR4000系列、C8200、C8300、CSR1000v、C8000v和ISRv都需要安装HSECK9许可证。
- 所有ASR1000系列都不需要超过250 Mbps的HSECK9。
- 所有C8500都应在制造商中安装HSECK9许可证。否则,可以手动安装HSECK9许可证。
- 控制器管理模式中没有吞吐量配置。HSECK9许可证安装会自动启用转发核心/数据包处理器引擎,以释放吞吐量。
- HSECK9许可证安装后的最大吞吐量取决于平台的硬件功能。有关详细信息,请查看特定平台数据表。
许可证可用性验证
步骤1.导航至 Cisco Software Central.
步骤2.单击智能软件管理器。
步骤3.从顶部菜单中选择Inventory。
步骤4.选择适当的虚拟帐户。
步骤5.选择Virtual Account下的Licenses选项卡。
步骤6.检验许可证已添加且可用且余额为正。
如果没有可用的许可证或余额为负(红色),请向思科许可团队反映问题。
路由器操作模式
使用其中一个命令检验路由器是否处于控制器管理模式。
show platform software device-mode
show version | include mode
示例:
EdgeRouter# show platform software device-mode
Device Operating-mode: Controller-Managed
Device-mode bootup status:
8/03 00:44:16 System is green
Bootup Success
EdgeRouter# show version | in mode
Router operating mode: Controller-Managed
配置
CSSM的在线方法
配置传输类型并设置默认CSSM URL
步骤1.配置正确的传输类型和URL。
EdgeRouter#config-transaction
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit
Commit complete.
步骤2.检验更改是否正确提交。
EdgeRouter# show lic tech support | begin Smart Licensing Status
Smart Licensing Tech Support info
Smart Licensing Status
======================
Smart Licensing is ENABLED
License Conversion:
Automatic Conversion Enabled: True
Status: Not started
Export Authorization Key:
Features Authorized:
<none>
Utility:
Status: DISABLED
Smart Licensing Using Policy:
Status: ENABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Smart <<<<<<<<<<<<<<<<<<<<<<<<<<<< This must be Smart
URL: https://smartreceiver.cisco.com/licservice/license <<<<<<<<<<<<<<< URL must be pointed to smartreceiver.cisco.com
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: True
生成产品实例注册令牌
步骤1.生成新令牌。
在许可证所在的同一虚拟帐户中,导航到General选项卡,然后单击New Token.
步骤2.填写新的令牌信息。
描述:令牌用途简要说明。
到期时间:令牌对产品注册有效的天数。
最大值.使用次数:令牌最大使用次数。可选。
确保选中Allow export-controlled选项。否则,许可证注册失败,然后单击Create Token。
步骤3.复制令牌。
将刚生成的令牌复制到剪贴板;导航到操作>复制,或在令牌字符串旁边的小蓝色图标中手动输入。
在边缘路由器和CSSM之间建立信任
为了提供使用导出控制许可证的授权,边缘路由器必须与CSSM建立信任。对于握手,边缘路由器使用上一步中在CSSM上生成的令牌。
license smart trust idtoken TOKEN local force
示例:
EdgeRouter# license smart trust idtoken ZThjOTlmM2UtMjQ2ZC00YjI1LTgwNjctZGIxZjIzYjZiYmVmLTE2NjM0NjI1%0AMjgyNTh8YWNVeTFiZU03N0lCdTFadmJ4ejZBL0toR2Mva21odElrQmxDa1FN%0AcVI3cz0%3D%0A local force
建立信任后,日志会显示与CSSM的通信。
EdgeRouter# show logging last 50
<snip>
*Aug 18 21:03:44.730: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair2 has been removed from key storage
*Aug 18 21:03:46.146: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair2 has been generated or imported by crypto-engine
*Aug 18 21:03:53.221: %SYS-6-PRIVCFG_ENCRYPT_SUCCESS: Successfully encrypted private config file
*Aug 18 21:03:56.107: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco Smart Software Manager (CSSM) restored
*Aug 18 21:03:56.347: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C1111-8PWE,S:FGL2149XXXX.
验证信任建立成功计数器
验证信任建立成功计数器是否增加。这意味着许可代理可以访问CSSM。
EdgeRouter# show lic tech support | begin Communication Statistics
Communication Statistics:
=======================
Communication Level Allowed: DIRECT
Overall State: <empty>
Trust Establishment:
Attempts: Total=1, Success=1, Fail=0 Ongoing Failure: Overall=0 Communication=0 <<<<<<<<<<
Last Response: OK on Aug 18 21:03:56 2022 UTC
Failure Reason: <none>
Last Success Time: Aug 18 21:03:56 2022 UTC
Last Failure Time: Aug 18 21:00:43 2022 UTC
<snip>
请求授权
此时,信任已建立,但HSECK9许可证尚未使用。之所以发生这种情况,是因为需要路由器向CSSM请求许可证。要获取许可证,请运行授权请求。
EdgeRouter# license smart authorization request add hseck9 local
日志:
EdgeRouter# show logging | include SMART
*Aug 18 21:11:41.553: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 18 21:11:41.641: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9
在智能许可事件日志中,保存许可证请求信息,以备需要时使用。
EdgeRouter# show lic eventlog 0
**** Event Log ****
2022-08-18 21:11:41.538 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><dateStamp>2022-08-18T21:17:45</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feac79ca9112704623118db58bbc2c-09b6eebc91ae833f</correlationID></status></authorizationCode><signature>MEUCIBuNw8+ogfZmJAbsRa+8B+F0wnDZLrv5RXm822rN/he5AiEAtfzzFV9L3dqht4sUYDxRvnUHF2KYi+vFv2vivDF6rIs=</signature></smartLicenseAuthorization>"
2022-08-18 21:11:41.552 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-18 21:11:41.641 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.641 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:12:06.119 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><status><success>false</success><message>last update already confirmed</message><code>last update already confirmed</code><correlationID>62feac7c4be974f92eefc15a640f938b-f08787827763ca37</correlationID></status></authorizationCode><signature>MEUCIQDhI8x+Rzf7wyibdohvYY6q9/8puukf8SuJ4ok48d4y5QIgdl5/z/7rLu+LEd5gK9kgOxA2Vb+vnJUcTOVPo3/R0pc=</signature></smartLicenseAuthorization>"
验证激活是否成功
有些命令用于验证许可证现在是否可用并正确激活。
show license tech support | begin License Usage
show license authorization
show license summary
show license usage
示例:
EdgeRouter# show license tech support | begin License Usage
License Usage
=============
Handle: 1
License: hseck9
Entitlement Tag: regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844
Description: hseck9
Count: 1
Version: 1.0
Status: IN USE(15) <<<<<<<<<<<<<<<<<<<<<<
Status time: Aug 18 21:11:41 2022 UTC
Request Time: Aug 18 21:11:41 2022 UTC
Export status: RESTRICTED - ALLOWED
Feature Name: hseck9
Feature Description: hseck9
Enforcement type: EXPORT RESTRICTED
License type: Perpetual
Measurements:
ENTITLEMENT:
Interval: 00:15:00
Current Value: 1
EdgeRouter# show license authorization
Overall status:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Status: SMART AUTHORIZATION INSTALLED on Aug 18 21:11:41 2022 UTC <<<<<<<<<<<<<<<
Last Confirmation code: 0cde51c5
Authorizations:
Router US Export Lic. for DNA (DNA_HSEC):
Description: U.S. Export Restriction Compliance license for DNA based Routers
Total available count: 1
Enforcement type: EXPORT RESTRICTED
Term information:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Authorization type: SMART AUTHORIZATION INSTALLED <<<<<<<<<<<<<
License type: PERPETUAL
Term Count: 1
Purchased Licenses:
No Purchase Information Available
Edge# show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
hseck9 (DNA_HSEC) 1 IN USE <<<<<<<<<<
CSSM的脱机方法
对于不允许访问Internet的气隙网络,可以通过在CSSM上本地预留SLAC来执行出口控制许可证安装。
生成本地许可证保留
在许可证所在的同一虚拟帐户中,导航到产品实例>授权许可证实施的功能。
获取边缘路由器UDI信息
show license udi 本地许可证保留需要边缘路由器的唯一设备标识符(UDI),请运行命令获取产品ID(PID)和序列号(SN)。
EdgeRouter# show license udi
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
在预留表单中填写边缘路由器UDI
选择Single Device并填写边缘路由器的SN和PID。单击 Next。
选择要保留的许可证数量
由于它是单个设备,因此预留的许可证是1,请在框中键入数字。确保数字不超过可用数字。
选择许可证设备类型
设备类型可以是内部数字网络架构(DNA)或DNA云。这取决于所购买的许可证类型。
生成授权码
查看配置,然后单击Generate Authorization Code。
下载SLAC
SLAC可下载为文件或复制到剪贴板。
将SLAC复制到边缘路由器
有三种方法可以将SLAC文件复制到边缘路由器。
- USB驱动器。
EdgeRouter# show file systems | include usb|Size
Size(b) Free(b) Type Flags Prefixes
15598043136 15596658688 disk rw usb0:
EdgeRouter# dir usb0:
Directory of usb0:/
5 -rwx 1557 Aug 19 2022 00:43:30 +00:00 AuthorizationCode_SN_FGL2149XXXX.txt
15598043136 bytes total (15596658688 bytes free)
EdgeRouter# copy usb0:AuthorizationCode_SN_FGL2149XXXX.txt bootflash:
Destination filename [AuthorizationCode_SN_FGL2149XXXX.txt]?
Copy in progress...C
1557 bytes copied in 0.020 secs (77850 bytes/sec)
- 使用vManage至Control Connections,导航至边缘路由器和vManage之间的传输文件以了解详细信息。
- 服务端的SCP/FTP/TFTP。
安装SLAC
使用智能导入在bootflash中安装SLAC文件。
EdgeRouter# license smart import bootflash:AuthorizationCode_SN_FGL2149XXXX.txt
Import Data Successful
Last Confirmation code UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Confirmation code: aaa6b57e
日志。
EdgeRouter# show logging | include SMART
*Aug 19 05:42:45.309: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 19 05:42:45.362: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9
EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-19 05:42:45.293 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>0ceadf0a-3145-4779-8cbb-743c5a234a05</piid><dateStamp>2022-08-19T05:43:11</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62ff22ec38ab5858bde12581a2589b39-bde12581a2589b39</correlationID></status></authorizationCode><signature>MEUCIQDrUe11CPAsnjonKRmUe40arqPiY/q/UfTGSJ1IdmkkrAIgF8G2zoHIxz04IVO2J7ZHA1M51+QMvLzUGyZsfvwK5tk=</signature></smartLicenseAuthorization>"
2022-08-19 05:42:45.308 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.333 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.334 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-19 05:42:45.362 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.362 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
验证安装是否成功
使用与在线方法中相同的命令以验证许可证是否正确安装。
show license authorization
show license summary
show license tech support | begin License Usage
如果安装正确,虚拟帐户中的许可证将自动递增使用中计数器,并递减可用以使用计数器。
此外,在Product Instances选项卡中,还会显示边缘路由器的UDI信息。单击条目以获取有关许可证特征的更多信息。
vManage工作流程方法
从20.9.2开始,vManage允许借助工作流程安装HSECK9许可证。
在线工作流程
与CSSM同步许可证
1. — 在vManagement GUI中,导航到主菜单>工作流>同步和安装HSEC许可证。
2. — 点击弹出窗口上的“开始执行”按钮。
3. — 选择Sync Licenses任务,然后单击Next。
4. — 选择Online模式,然后单击Next。
5 — 输入您的思科CSSM凭证,然后点击下一步。
6. — 验证HSEC许可证同步概述,然后点击下一步。
7.- vManage连接到云并查询所有可用的虚拟帐户。在下拉列表中选择包含有效且正计数HSEC许可证的虚拟帐户。
8. — 选择要安装HSEC许可证的目标设备。
9. — 查看并验证请求摘要,然后单击Sync。
10. — 单击Check HSEC Assignment Status以实时验证SLAC保留。
11. — 从CSSM获取许可证并存储在vManage中后,状态将显示为Success。
安装获取的许可证
1. — 在vManagement GUI中,导航到主菜单>工作流>同步和安装HSEC许可证。
2. — 选择“安装许可证”任务。
3. — 选择为其获取HSEC许可证的设备。
4. — 验证安装摘要并单击Install。
5. — 单击Check HSEC Assignment Status以实时检查安装状态。
6.- vManage与路由器通信,向其发送SLAC并进行安装。最终状态必须为Success。
7. — 点击操作图标可显示HSEC安装的更详细日志。
脱机工作流程
与CSSM同步许可证
1. — 在vManagement GUI中,导航到主菜单>工作流>同步和安装HSEC许可证。
2. — 点击弹出窗口上的“开始执行”按钮。
3. — 选择Sync Licenses任务,然后单击Next。
4. — 选择Offline模式,然后单击Next。
5. — 仔细查看流程概述,然后单击下一步。
6. — 选择Download Process选项,然后单击Next。
7. — 在搜索栏中,过滤要安装许可证的设备。
8. — 查看任务摘要并点击下载HSEC设备文件(.SUDI)
9. — 开始自动下载许可证使用情况。
10. — 点击打开思科智能软件管理器或导航至:思科软件中心。
11. — 在选定的智能帐户中,导航至思科软件中心>智能软件许可,然后点击报告>使用数据文件>上传使用数据…….
12. — 在Upload Usada Data弹出窗口中,点击Browse,选择刚才下载的文件,然后点击Upload Data。
13. — 系统开始处理文件。大约需要5到10分钟才能完成。然后单击Download。
14. — 系统生成ACK文件并自动下载。
15. — 在vManagement GUI中,再次导航到主菜单>工作流>同步和安装HSEC许可证>同步许可证>脱机>下一步>上传过程。
16. — 单击Choose a File,或将下载的文件拖放到框中,然后单击Upload。
17. — 验证任务摘要并点击上传。
安装获取的许可证
1. — 返回工作流程库同步和安装许可证,然后单击安装许可证。
2. — 从列表中选择为其进行许可证授权的设备,然后单击Next。
3. — 查看任务摘要,然后单击安装。
4. — 等待过程完成,安装状态必须为Success。
5. — 点击操作图标可显示HSEC安装的更详细日志。
返回HSECK9许可证
在线方法
目前,控制器管理模式中没有实现以在线或离线方式返回许可证。
EdgeRouter# license smart authorization return local online
Operation cannot be completed because license is in use
EdgeRouter# license smart authorization return local offline
Operation cannot be completed because license is in use
要删除许可证安装,需要将路由器更改为自主模式。
EdgeRouter# controller-mode disable
Disabling controller mode erases the nvram filesystem, remove all configuration files, and reload the box!
Ensure the BOOT variable points to a valid image
Continue? [confirm]
一旦路由器处于自主模式,必须完成一些基本配置才能访问Internet和域名系统(DNS)解析:
- 配置WAN接口的IP地址和掩码
- 打开WAN接口的电源
- 配置默认IP路由
- 启用 DNS
- 配置DNS服务器
使用来自HSECK9或思科DNA导出控制许可证所在虚拟帐户的令牌。如果没有活动令牌,请生成一个新令牌。
完成与边缘路由器中相同的过程,生成与CSSM建立的信任。
EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# end
EdgeRouter# license smart trust idtoken TOKEN local force
EdgeRouter# license smart authorization request add hseck9 local
通信完成后,将许可证返回虚拟帐户中的存储站。
EdgeRouter# license smart authorization return local online
Authorization already returned with this code:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CmJHqn-5CFUkd-effkCh-4XqCpQ-SgK5Sz-fQFfM8-6qH7MA-33hDbX-sXT
日志。
EdgeRouter# show logging | include SMART
*Aug 18 22:00:22.998: %SMART_LIC-6-AUTHORIZATION_REMOVED: A licensing authorization code has been removed from PID:C1111-8PWE,SN:FGL2149XXXX.
Router#show license eventlog 0
**** Event Log ****
2022-08-18 22:08:53.275 UTC SAEVT_RESERVE_RETURN_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>519e0f72-85d6-4a57-8805-5999e7b712be</piid><dateStamp>2022-08-18T22:08:17</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feb851b0b3a2264144901cb3491c22-ff31e87ded74ffde</correlationID></status></authorizationCode><signature>MEUCIQCTL9Y/HrhJXgR3+oxCWH/mpLxezThnvoAMFRIO7BHzJgIgBNDnvAD4u1eiQZ3Qrg8uGc4I6rLkbR/pn3fDv67eG5c=</signature></smartLicenseAuthorization>"
离线方法
为了生成返回代码,路由器必须处于自主模式。完成在线方法以更改模式。
生成退货代码
使用路由器中的本地授权验证CSSM中保留的许可证需要返回代码。
EdgeRouter# license smart authorization return local offline
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CCKUTq-Qg2Ytw-ZhSLq5-bDFw7e-VvWgf2-QwwBed-3MaRcT-fFfGcn-X6e <<<< Copy the string
删除预留
导航到产品实例>操作>删除。粘贴刚从路由器复制的返回代码,然后单击删除保留。
License reservation removed successfully(已成功删除的许可证保留)通知将在之后立即显示。同样,导航到操作>删除>删除实例。
激活 — 是否需要重新加载?
在基于8500的平台上,是否需要重新加载才能激活HSEC?
是,8500平台系列需要在自主或控制器模式下重新加载。
HSEC激活后C8000v是否需要重新加载?
不,不需要。根据C8000v上的设计,许可证保持“未使用”状态,但设备在安装hsec后立即获得无限吞吐量。
HSEC激活后,是否重新加载CSR1000v?
否,激活hsec后,CSR1000v不需要重新加载。
SD-WAN和非SD-WAN模式的重新加载行为是否相同?
不可以,SD-WAN和非SD-WAN模式在HSEC支持方面截然不同。
在SD-WAN模式下,需要重新加载才能启用/激活HSEC,而在非SD-WAN模式下,CLI“license feature hsec”在设备上启用/激活hsec。在SD-WAN模式下的CSR1000v和C8000V平台上不需要重新加载。
停用HSEC许可证是否也如此?
可以在非SD-WAN模式(自治)下卸载HSEC许可证,但是,使用该功能时无法卸载HSEC许可证。用户需要使用CLI 'no license feature hsec'禁用/停用HSEC许可证,并重新加载设备,使许可证处于“not-in-use”状态,然后启动卸载命令。不支持SD-WAN模式下的HSEC许可证“uninstall”,因为无法禁用该功能。但是,用户可以选择进入自主模式并卸载,作为应对模式更改的已知挑战的解决方法。请打开TAC案例,接受有关如何在SD-WAN模式下将许可证返回到CSSM的指导。
许可证可用性验证
验证
使用本部分可确认配置能否正常运行。
有用的命令
在线或离线方法的每个步骤中描述了验证过程。
show license tech support
show license status
show license authorization
show license summary
show license history message
show license eventlog
license smart clear event log
license smart sync local
license smart factory reset
故障排除
本部分提供的信息可用于对配置进行故障排除。
使用策略的智能许可依靠边缘路由器和CSSM之间通过互联网的安全双向通信,以交换支持注册和许可证获取的确认和握手。
有些常见场景不允许在设备之间正确交换消息。
常见问题
DNS解析不起作用
要访问smartreceiver.com,边缘路由器必须能够解析域名。否则,URL不会转换为可路由的IP,通信将失败。此错误通常在尝试建立信任后显示。
*Aug 18 20:45:10.345: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart License Utility (CSLU) : Unable to resolve server hostname/domain name
确保有IP连接到Internet。
ping 8.8.8.8
对URL执行ping操作以验证DNS是否有效,如果外部设备使用telnet访问URL阻止了Internet控制消息协议(ICMP)。
ping cisco.com
telnet cisco.com 80
如果测试失败,请配置DNS服务器并启用DNS解析。
ip domain lookup
ip name-server 8.8.8.8
如果无法配置外部DNS服务器,请在路由器中配置本地DNS解析。
EdgeRouter# config-transaction
EdgeRouter(config)# ip host smartreceiver.com A.B.C.D
EdgeRouter(config)# commit
智能许可(SL)事件日志中出现常见错误消息。
EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given
SD-WAN隧道阻止DNS
如果SD-WAN隧道中的隐式ACL阻止传入DNS响应,也会发生类似的问题。
EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given
确保在注册时允许DNS服务。
EdgeRouter# show sdwan running-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns <<<<<<<<<<<<<<<<<< MUST be allowed
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit
传输URL不正确
对于全新安装(新安装),默认传输类型为思科智能许可实用程序(CSLU)。
EdgeRouter# show license tech support | include Smart Licensing Status
Smart Licensing Tech Support info
Smart Licensing Status
======================
Smart Licensing is ENABLED
License Conversion:
Automatic Conversion Enabled: True
Status: Not started
Export Authorization Key:
Features Authorized:
<none>
Utility:
Status: DISABLED
Smart Licensing Using Policy:
Status: ENABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: cslu <<<<<<<<<<<<<<<<<<
Cslu address: <empty>
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: False
日志中的常见错误。
EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed info
手动配置智能代理的默认URL和传输类型,并再次尝试使用令牌建立的信任。
EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit
SD-WAN隧道阻止HTTPS
智能许可通信基于超文本传输协议安全(HTTPS)端口443,因此,如果SD-WAN隧道阻止传入HTTPS响应,注册、授权请求和RUM报告通知将失败。
日志和事件日志中的常见错误。
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given
确保在注册时在SD-WAN隧道中允许HTTPS服务。否则,请允许该令牌并再次尝试使用令牌建立信任。
EdgeRouter# show sdwan runnning-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https <<<<<<<<<<<<<<<<<< MUST be allowed
no allow-service snmp
no allow-service bfd
exit
外部防火墙阻止CSSM URL、IP或端口443
如果站点架构使用防火墙控制流量,请确保端口443到smartreceiver.cisco.com未被阻止。请与您的防火墙团队或Internet服务提供商(ISP)联系以进一步验证。
从路由器。
EdgeRouter# telnet smartreceiver.com 443
Trying smartreceiver.com (X.X.X.X, 443)...Open
从服务VRF主机。
ericgar@cisco$ telnet smartreceiver.cisco.com 443
Trying X.X.X.X...
Connected to smartreceiver.cisco.com.
Escape character is '^]'.
多个互联网接口
在某些接口不止一个的情况下,与CSSM的通信会失败;http源接口可以更改为路由器中的任何可用接口。
EdgeRouter# config-transaction
EdgeRouter(config)# ip http client source-interface INTERFACE
EdgeRouter(config)# commit
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
3.0 |
12-Sep-2024 |
添加了vManage Workflows Online和Offline Methods。 |
2.0 |
30-Jul-2024 |
更正使用“follow”。 已将导航和GUI更正为仅粗体。纠正的语法错误。纠正了断开的链路。 |
1.0 |
06-Sep-2022 |
初始版本 |
反馈