配置Expressway智能许可并对其进行故障排除
简介
本文档介绍如何使用思科软件智能许可(CSSM)配置Expressway。
先决条件
要求
Cisco 建议您了解以下主题:
- Expressway和CSSM。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco Expressway x14.0.11
- Cisco Expressway x14.3.1
- 云CSSM
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景
思科智能许可使许可管理更加灵活,并简化整个企业的管理。 使用智能许可报告的许可证消费的设备,无需使用选项密钥(产品激活密钥)。 许可证授权集中在一个帐户中,可以跨Expressway或跨不同的Expressway群集使用。Expressway开始在x12.6版本中使用思科智能许可。 此时,部署可以使用传统许可证或智能许可。对于x14.1版及更高版本,Expressway仅支持智能许可。 从使用传统许可证的部署升级到任何版本x14.1或更新版本会自动启用智能许可并开始90天的宽限期。 Expressway版本x14.2引入了特定许可证保留(SLR)。
以下是智能许可的一些优势:
- 增加许可的灵活性并简化整个企业的IT。
- 在设备自行注册并报告许可证消耗情况时,可以更轻松地采购、部署和管理许可证,从而无需使用产品激活密钥(PAK)。
- 利用本地卫星Cisco Smart Software Manager或Cloud Smart Software Manager,可根据需要轻松分配许可证(CSSM)。
注意:由于2023年1月software.cisco.com上的根证书更改,Expressway无法直接或代理连接到智能许可,除非运行X14.0.11或X14.2.5(或更高版本)。 在这些版本之前,只有卫星CSSM可以工作。
智能许可证类型
Expressway上的智能许可有4种类型的许可证预留类型。 这些许可证用于创建部署中的每个Expressway可以利用的许可证池。
- Cisco Expressway富媒体会话许可证(富媒体会话)
- UC Manager增强型许可证(台式机/用户设备)
- UC Manager网真会议室许可证(网真会议室)
- 永久许可证预留(PLR)(仅适用于国防/军事客户和内部思科技术支持)
这些许可证在智能许可上不可用,因此,如果使用这些许可证,则部署无法升级到14.0.x以上
- 高级帐户安全 — 116341J00
- 硬件安全模块(HSM)- 116341H00
- Microsoft互操作性116341COO
注意:除非将视频呼叫从MRA客户端发送到域外的地址,否则移动远程访问(MRA)不需要许可证。 如果是后者,则Expressway E需要RMS许可证。
将传统许可证转换为智能软件许可证
如果虚拟帐户中还没有智能许可证,您可以在智能软件许可门户(https://software.cisco.com)中将现有许可证转换为智能许可证。 如果您尚未拥有符合条件的SKU(只有RMS和设备许可证符合智能许可的条件),您需要拥有要转换的许可证的PAK编号,并在转换之前将其与智能帐户关联。 您将在产品许可证注册门户中执行此关联。如果您没有PAK编号,请与思科许可部门联系,并提供您的销售订单编号,以便他们帮助您完成转换。
- 导航到Cisco Software Central > Smart Software Licensing > Convert to Smart Licensing,然后选择Convert PAK或Convert Licenses,具体取决于您的需求。
许可证转换
2.选择要转换的许可证(A-FLEX-EXP-RMS、A-FLEX-EXP-DESK、A-FLEX-EXP-ROOM),然后单击转换许可证。
3.在“转换为智能软件许可证”(Convert to Smart Software Licenses)弹出菜单中:
a:选择要转换的许可证,点击next
b:检查您的选择,然后点击转换许可证(Convert Licenses)
传输设置
在Expressway上配置智能许可时,必须在维护>智能许可页面中配置传输设置。本节介绍Expressway如何到达智能许可。
Expressway传输设置
直接:Expressway直接连接到互联网连接到智能接收器。 Expressway需要通过HTTPS访问Internet才能使用此方法。
本地思科智能软件管理器:Expressway与网络上本地运行的卫星服务器通信。(使用卫星URL末尾的/SmartTransport配置卫星服务器URL)。
代理服务器:Expressway必须通过代理服务器连接才能访问Internet。 不允许设备通过HTTPS直接访问互联网的部署需要代理服务器才能使流量通过。
请勿与思科共享我的主机名或IP地址:如果未选中项,主机名将显示在“智能许可”(Smart Licensing)>“产品实例”(Product instance)页面中。 这仅在使用令牌时发生。 如果使用许可证预留,产品实例页面会显示Expressway和设备序列号。 在本示例中,e1和e2显示为名称,因为部署使用令牌且未选中该框。
产品实例页面 — CSSM
使用令牌的智能许可
使用令牌的智能许可是连接版本x12.6和x14.0.11之间的智能许可的唯一方法,并且要求Expressway能够访问CSSM(云或内部版本)才能访问可用许可证或更新许可证使用情况。包含智能许可功能使Expressway许可证的管理更轻松,从而无需进行PAK许可。在x14.1之前,必须在维护>智能许可中启用智能许可,但从x14.1以后,默认情况下启用智能许可。
令牌允许Expressway访问CSSM上虚拟帐户(VA)中的所有可用许可证。
注意:Expressway集群中的每个节点都必须分配令牌。将令牌应用到主要expressway节点不会许可对等节点。
配置
- 登录software.cisco.com,转到“虚拟帐户”中的General选项卡,然后选择New Token。
- 在令牌注册中填入Description、Expires After(令牌有效天数,在应用到服务器之前,以天为单位)和Max。使用次数,然后点击创建令牌。
CSSM令牌创建
警告:智能许可已于2023年1月更改其证书颁发机构(CA)。从那时起,如果使用到x14.0.11以前的CSSM的直接或代理连接,令牌将不起作用。请参阅Cisco Bug ID CSCwe09378。
注意:只有注册的思科用户才能访问内部思科漏洞信息。
- 复制令牌,并在部署中的每个Expressway上打开维护>智能许可。 如果在Expressway版本x12.6 - x14.0.x上,您必须手动启用智能许可。 系统将显示一个提示,说明启用智能许可是不可逆的,如果您要恢复使用传统许可证,则需要重置工厂。
- 将令牌粘贴到页面底部的Registration字段中,然后单击Register。
Expressway令牌字段
从Expressway到CSSM,每6小时自动更新一次部署许可证使用情况,但如果您想在任何指定时间更新使用情况,可以在Expressway Maintenance > Smart Licensing中执行此操作,然后选择Update Usage Details。
警告:这是资源密集型操作,必须谨慎使用。
注意:这假设您已经在Expressway维护>智能许可中设置了传输设置。
使用特定许可证预留(SLR)的智能许可
Expressway x14.2中引入了SLR许可方法,用于气隙部署,其中Expressway无法到达互联网,但适用于使用云CSSM的任何部署。 只有云CSSM可以具有许可证保留,因此,如果您具有本地CSSM,则需要使用智能许可令牌或联系思科许可团队来协助在云CSSM中创建可以具有许可证保留的新虚拟帐户。群集中的每个节点都必须启用和配置智能许可证保留。
开始之前,集群部署必须没有任何警报。有关集群的详细信息,请参阅Cisco Expressway集群创建文档。
注意:必须在Expressway集群的每个节点上执行特定许可证保留(SLR)。
提示:SLR不能与卫星CSSM一起使用,并且不能在使用用于连接卫星CSSM的相同虚拟帐户(VA)的云CSSM中使用。如果要使用SLR,Expressway智能许可证需要转移到云CSSM中的其他或新VA。 必要时联系思科许可团队寻求帮助。
配置
启用SLR的步骤:
- 在CLI中,运行命令xconfiguration license Smart reservationEnable:在.
- 在CLI中,运行命令xcommand license Smart reservation request。
- 复制预留请求代码,登录思科软件智能许可的智能帐户。
- 在虚拟帐户中,单击License Reservation并粘贴Reservation Request Code。
CSSM许可证预留
注意:如果许可证预留不是虚拟帐户,请与Cisco许可团队联系。
- 选择要为此请求保留的许可证数量。
警告:群集中的所有节点都必须注册到智能许可,这意味着必须有一些许可证可用于所有节点。请勿将所有许可证分配给一个节点。
CSSM许可证预留
- 查看后,单击Generate Authorization Code。
CSSM审核和确认
- 复制授权码,或下载为文件,然后关闭此窗口。
CSSM SLR身份验证代码
-
在Expressway CLI中,输入命令xcommand License Smart Reservation Install <copied auth token> (SLR Auth令牌必须有引号尾部和前导)。 无需向CSSM输入确认代码。
Expressway SLR安装
向SLR注册的Expressway
使用永久许可证预留(PLR)的智能许可
在Expressway x14.2中引入的PLR许可方法适用于空隙防御或军事部署,其中Expressway无法到达互联网,但适用于使用云CSSM的任何部署。 只有云CSSM可以具有许可证保留,因此,如果您具有本地CSSM,则需要使用智能许可令牌或联系思科许可团队来协助在云CSSM中创建可以具有许可证保留的新虚拟帐户。群集中的每个节点都必须启用和配置智能许可证保留。
开始之前,集群部署必须没有任何警报。有关集群的详细信息,请参阅Cisco Expressway集群创建文档。
注意:必须在Expressway集群的每个节点上执行永久许可证保留(PLR)。
提示:PLR不能与卫星CSSM一起使用,并且不能在使用用于连接卫星CSSM的相同虚拟帐户(VA)的云CSSM中使用。如果要使用PLR,Expressway智能许可证需要转移到云CSSM中的其他或新VA。 必要时联系思科许可团队寻求帮助。
启用PLR的步骤:
- 在CLI中,运行命令xconfiguration license Smart reservationEnable:在.
- 在CLI中,运行命令xcommand license Smart reservation request。
- 复制预留请求代码,登录思科软件智能许可的智能帐户。
- 在虚拟帐户中,单击License Reservation并粘贴Reservation Request Code。
CSSM许可证预留
注意:如果许可证预留不是虚拟帐户,请与Cisco许可团队联系。
5.在CSSM的“智能许可证保留”窗口中,输入由Expressway生成的保留请求代码。
6.选择Expressway PLR。 如果您在此处未看到Expressway PLR,则您没有PLR许可证。
7.单击生成授权码。
8.复制授权码。
9.在Expressway CLI中,运行“xcommand license smart reservation install <auth code>(与SLR授权码不同,PLR授权码不需要包含在报价中。
10.这是安装PRL后Expressway中的智能许可页面的外观。
返回保留的许可证
在某个时候,如果您由于停用某个Expressway而希望或需要返回保留的许可证,并由于其他原因或某些其他原因而启动,请先从Expressway获取返回代码。
如果需要更新预留以添加更多许可证,请参阅更新许可证部分。无需返回许可证并重新开始更新。
1.在Expressway命令行界面中,运行命令xcommand license Smart reservation return。
2.复制代码(如果丢失此代码,请联系Cisco Licensing以删除产品实例)。
Expressway CLI — 许可证返回代码
- 在智能许可上的虚拟帐户中,转至所涉Expressway的产品实例>操作菜单,单击删除,然后输入从CLI复制的保留返回代码。
CSSM — 许可证返回
更新保留的许可证
如果您需要向其SLR预留中添加更多许可证,可以首先在云CSSM中进行更改,然后更新Expressway自身,最后从Expressway将确认代码输入到云CSSM中。
1.在CSSM中,在虚拟帐户>产品实例中查找Expressway预留。
2.选择操作>更新保留许可证。
CSSM产品实例更新
3.选择“保留特定许可证”并输入新金额。
4.单击下一步>生成授权码。
CSSM生成身份验证代码
- 复制新的授权码。
- 保持此窗口打开以输入Expressway生成的确认代码,但如果关闭此窗口,则可以稍后输入确认代码。
- 在Expressway的命令行界面中,运行命令xcommand license Smart reservation install <auth code>并复制确认代码。
- 返回到CSSM以输入确认代码。 许可证预留在此之前不会完成。
Expressway CLI — 更新
提示:在Expressway命令行界面中输入授权码时,不要忘记使用授权码周围的引号。
- 如果CSSM中的预留窗口已关闭,请转到“产品实例”并查找Expressway。
- 选择Actions > Enter Confirmation Code并粘贴代码以完成此过程。
CSSM产品实例更新
从PAK许可证(选项密钥)迁移到智能许可
如果部署当前使用选项密钥,但您希望升级到x14.1或更新版本(只有智能可用),或者您只想立即启用智能(除非您使用的是卫星CSSM),则唯一的选项是升级到x14.2.5或更高版本(x14.0.11及更高版本也有修复程序)。 这是因为智能许可在2023年1月更改了根证书。请参阅Cisco Bug ID CSCwe09378
注意:只有注册的思科用户才能访问内部思科漏洞信息。
如果您尝试在固定版本之前注册运行软件的Expressway,则注册会失败,并显示以下错误消息:
“SSL证书问题:证书链中的自签名证书”
如果使用卫星CSSM服务器,可以随时启用智能许可,但请确保其虚拟帐户上有足够的许可证,以满足所需的注册数量和RMS许可数量。
将Expressway升级到X14.1或更高版本后,除非先前设置为使用智能许可,否则服务器将以90天的许可宽限期运行。
故障排除
注册问题
1.如果终端注册失败,请检查事件日志以查看它是否报告任何许可问题。
Expressway事件日志 — 注册被拒绝
2.未知CA
x14.2.5之前的已知问题,请参阅Cisco Bug ID CSCwe09378。 如果expressway运行x14.2.5或更高版本,但由于未知CA仍无法连接到云中的智能许可,如下面的数据包捕获所示。 无法将不同的CA添加到智能许可的Expressway信任中,因此唯一的修复方法是通过传递代理服务器,或将https://smartreceiver.cisco.com to添加到Internet代理上的白名单。
Expressway数据包捕获
证书数据包详细信息
评估模式
如果Expressway在使用令牌时无法到达CSSM,或者部署已启用智能许可,但未进行配置(从x14.0.x升级到x14.1或更新版本时出现常见问题),则expressway会开始90天倒计时。部署可在评估模式下运行90天。如果部署是群集化,则在90天期限后不要尝试对群集进行任何更改。这会导致数据库出现不可逆转的问题,从而需要出厂重置节点。
- 评估期只有90天。 当服务器未注册到智能许可时,它会倒计时。注册后,时钟会停止,但不会重置。
- 评估模式过期时,请勿更改任何集群配置。这可能会中断集群,并可能导致需要重建集群(出厂重置、重建)。
- 当评估模式过期时,集群菜单呈灰色显示。
- Xstatus显示评估模式还剩多少天。
xstatus评估模式
诊断日志
对于其他故障排除,可以在Expressway中启用调试。标准日志记录捕获一些问题。诊断日志绑定>日志记录快照相关行包含短语Smartlicenseagent。
可在维护>诊断>高级>支持日志配置中启用调试
Expressway支持日志配置调试
已知问题
缺陷
1.“在smartlicenseget中检测到意外的软件错误”和“信号SIGABRT,已中止”。请参阅Cisco Bug ID CSCwh22349
2."Detail="智能许可证通信错误:系统无法与基于云的思科智能软件管理器或思科智能软件管理器内部通信”。 请参阅Cisco Bug ID CSCwe09378
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
09-Jan-2025 |
已添加PLR部分 |
1.0 |
04-Oct-2023 |
初始版本 |
反馈