在ACI平台上配置智慧許可策略並對其進行故障排除

簡介

本文檔介紹如何使用智慧許可策略在思科以應用為中心的基礎設施(ACI)平台上管理軟體許可證。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

本文檔介紹如何與思科智慧許可策略配合使用，對思科以應用為中心的基礎設施(ACI)平台上的軟體許可證進行故障排除、配置和管理。

什麼是思科智慧許可策略(SLP)？

思科智慧許可是一個管理所有思科產品許可證的軟體管理平台。根據您的反饋，思科智慧許可已得到增強，並推薦了一個名為SLP的新平台。SLP的目的是簡化智慧許可並使您能夠進行配置和維護。在ACI版本5.2(4)中進行了介紹。

您對智慧許可和/或智慧帳戶管理不熟悉？

瀏覽並註冊新的管理員訓練課程和錄製內容：

• 思科社群 - 聰明活用思科智慧型帳戶/智慧型授權和 My Cisco Entitlements
• 您可在此處建立智慧型帳戶：智慧型帳戶 
• 您可在此處管理智慧型帳戶：Smart Software Licensing

什麼是ID令牌？

用於將產品安全地註冊到智慧帳戶和虛擬帳戶。ID記號是在註冊產品時用來建立身份的「組織辨識碼」。SLP中的這些令牌用於不同的註冊方法，本文檔稍後將對此進行介紹。

從CSSM生成ID令牌

要生成，請轉到Cisco Software Central並導航到 Manage Licenses > Inventory > General > New Token ，如下圖所示。

生成後，您可以複製或下載到「操作：

SLP許可證和產品狀態

在ACI SLP中，不再需要經過90天的評估期和產品註冊。不再需要產品註冊。您需要盡最大努力報告許可證使用情況。除此之外，客戶端檢視上的許可證授權狀態也得以消除。許可證權利現在有兩種狀態：使用中或未使用。由於APIC控制器僅管理當前使用中的許可證，因此在APIC UI/CLI上，您只能看到每個正在使用的許可證授權。 

支援的SLP方法

配置智慧許可證策略的方法有許多種，可以區分如下： 

1. 線上模式

2. 離線模式

在ACI SLP中，介紹資源利用率測量報告（RUM報告）的概念。RUM報告是包含許可證使用情況報告的XML格式檔案。因此，術語 license usage report 和 Rum report是可互換的；二者都表示報告許可證使用情況。在聯機模式下，使用者需要配置網路並使APIC控制器直接或間接連線到CSSM，也是在聯機模式下，APIC可以自動向CSSM傳送RUM報告並獲得來自CSSM的確認。

在離線模式下，由於APIC完全隔離，並且沒有任何與CSSM的直接或間接網路連線，因此使用者需要定期從APIC下載RUM報告，將其導入CSSM，從CSSM下載確認並導入APIC。

根據APIC與CSSM的連通性，您可以決定使用線上模式還是離線模式，因此線上模式下還有多種方法，說明如下： 



方法1.直接連線到CSSM

此方法是最常用的網路模式。思科APIC必須具有Internet連線，以便思科APIC能夠將RUM報告直接傳送到CSSM。必須配置DNS，並且CSSM主機名(tools.cisco.com)必須可為ping。

若要設定：

步驟 1.登入到Cisco APIC GUI。

步驟 2.在功能表列上，導覽至 System > Smart Licensing > Actions > Configure Network Settings.

步驟 3.選擇 Direct connect to CSSM。

步驟 4.URL和連線埠號碼在此不可變更。

步驟 5.貼上產品例項ID令牌，該令牌已從您的CSSM虛擬帳戶獲得。

步驟 6.按一下 OK.

產品例項ID標籤

成功與CSSM同步後，智慧帳戶和虛擬帳戶名稱將在智慧許可頁面上更新，如圖所示。

智慧帳戶和虛擬帳戶名稱已更新

方法2.思科傳輸閘道

透過此方法，思科APIC不需要網際網路連線。思科APIC在傳輸網關的幫助下將RUM報告傳送到CSSM。思科傳輸網關中介軟體必須已安裝在資料中心並可連線到APIC。對於傳輸網關模式，URL格式為：http<s>://<ip or hostname>:<port>/Transportgateway/services/DeviceRequestHandler，其中IP或主機名是傳輸網關的IP或主機名。如果埠號不是預設的HTTP埠80或HTTPS埠443，則必須輸入埠號。除此之外，還需要產品例項ID令牌，可以從您的CSSM虛擬帳戶獲得該令牌。

要安裝和配置傳輸網關，使用者可以參考思科傳輸網關的文檔：

https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf

若要設定：

步驟 1.登入到Cisco APIC GUI。

步驟 2.在功能表列上，導覽至 System > Smart Licensing > Actions > Configure Network Settings.

步驟 3.選擇Cisco Transport Gateway。

步驟 4.使用正確的IP （Cisco傳輸閘道的IP）和連線埠編輯URL；http<s>://<ip or hostname><port>/Transportgateway/services/DeviceRequestHandler.

步驟 5.貼上產品例項ID令牌，該令牌已從您的CSSM虛擬帳戶獲得。

步驟 6.點選OK。

方法3.HTTP/HTTPS代理

透過此方法，思科APIC不需要網際網路連線。思科APIC從您的Web代理向CSSM傳送RUM報告。確保Web代理伺服器配置為允許智慧許可消息。此外，防火牆必須有規則才能通過通訊到達目的地(https://tools.cisco.com/its/service/oddce/services/DDCEService)。

在代理模式下，使用者需要配置代理IP和埠。除此之外，還需要產品例項ID令牌，可以從使用者的CSSM虛擬帳戶獲得該令牌。

若要設定：

步驟 1.登入到Cisco APIC GUI。

步驟 2.在功能表列上，導覽至System > Smart Licensing > Actions > Configure Network Settings。

步驟 3.選取Cisco HTTP/HTTPS Proxy。

步驟 4.請提供代理的IP地址和埠號。

步驟 5.貼上產品執行個體ID權杖，可從您的CSSM虛擬帳戶取得。

步驟 6.按一下OK。

方法4.內部部署

透過此方法，思科APIC不需要網際網路連線，而內部則需要網際網路連線。思科APIC透過內部軟體向CSSM傳送RUM報告。必須在資料中心中安裝內部中介軟體。在思科ACI智慧許可(SL)中，此模式之前稱為思科智慧軟體管理器衛星（管理器衛星）。 

若要設定：



步驟 1.登入到Cisco APIC GUI。

步驟 2.在功能表列上，導覽至System > Smart Licensing > Actions > Configure Network Settings。

步驟3.選取 Cisco Smart Software Manager On-Prem。

您必須提供本地思科智慧軟體管理器的URL。要獲取URL，請登入思科智慧軟體管理器本地GUI。導航到Inventory > General 並按一下CSLU TransportURL連結。

步驟 4.複製CSLU URL並將其貼上到思科APIC GUI中的URL欄位。

您不需要指定產品例項ID令牌。思科APIC使用內建證書與思科智慧軟體管理器進行內部通訊。

成功同步後，智慧軟體管理器內部資產將使用正在使用的許可證進行更新。



方法5.思科智慧許可實用程式

透過此方法，思科APIC不需要網際網路連線。思科APIC透過CSLU向CSSM傳送RUM報告。資料中心中必須已安裝中介軟體的Microsoft Windows版本的CSLU。CSLU的URL可以按照以下格式在APIC中進行配置：http://ip_or_hostname:port/cslu/v1/pi

此處，IP或主機名是CSLU IP地址或主機名。不支援HTTPS。



若要設定：

步驟 1.登入到Cisco APIC GUI。

步驟 2.在功能表列上，導覽至 Inventory System > Smart Licensing > Actions > Configure Network Settings .

步驟 3.選取 Cisco Smart Licensing Utility (CSLU)。

在前一個URL中，埠在CSLU GUI的首選項下作為「產品例項服務埠」獲取。

成功後，同步許可頁面將使用智慧帳戶名稱和虛擬帳戶名稱進行更新，如圖所示。

方法6.離線方法

在離線模式下，思科APIC被隔離，而不與CSSM進行直接或間接的網路連線。由於思科APIC無法通過網路連線訪問CSSM，因此您必須每12個月從思科APIC下載RUM報告並將報告導入CSSM。然後，您必須從CSSM下載確認，並將確認導入思科APIC。

若要設定：

步驟 1.登入到Cisco APIC GUI。

步驟 2.在選單欄上，導航到System > Smart Licensing。

步驟 3.在Work窗格中，導航到Actions > Download Rum Report。

RUM報告檔案會自動下載到瀏覽器上的預設資料夾。


下載報告後(LicenseUsageRumReport.xml)，即可將其導入CSSM。

步驟 4.登入Software.cisco.com並導航至Manage License。

步驟 5.從選單中，按一下Reports並選擇Usage Data Files選項，如圖所示。

步驟 6.點選 Upload Usage Dataonand selectLicenseUsageRumReport.xml檔案，如圖所示。

步驟 7.選擇具有許可證的虛擬帳戶。

提交後，您必須等待，直到報告狀態變為No Errors並且「確認」欄位提供下載選項。

步驟 8.下載選項可用後，按一下 Download，Acknowledgement即會以檔案名ACK_LicenseUsageRumReport.xml稱下載，如下圖所示。

您需要將確認資訊導入到APIC：

步驟 9.登入到Cisco APIC GUI。

步驟 10.在功能表列上，導覽至System > Smart Licensing。

步驟 11.在Work窗格中，導航至Actions > Import Acknowledgement。

步驟 12.點選Choose File，導航到確認檔案下載位置，選擇檔案並按一下Open。

步驟 13.按一下OK。



成功後，同步許可頁面將使用智慧帳戶名稱和虛擬帳戶名稱進行更新，如圖所示。

思科ACI智慧許可策略故障排除

故障

在ACI中，在開始故障排除之前發生特定問題情況或警告時會引發故障。最好檢查是否存在將我們重定向到正確方向的故障，下表列出了智慧許可故障：

F3057	這是一個警告錯誤，表明您尚未配置網路設定。即使您想要選擇離線模式，也要設定離線網路設定。配置清除此故障的網路設定。
F4290	此故障表示您輸入的產品例項ID令牌無效或已過期。登入到CSSM並建立新的產品例項註冊令牌。登入到思科應用策略基礎設施控制器(APIC) GUI，輸入新的ID令牌並重新配置網路設定。此動作會清除錯誤。
F4291	此故障表明思科APIC和CSSM之間或思科APIC和傳輸伺服器（網關、代理、內部或CSLU）之間的網路連線存在問題。思科APIC無法與CSSM或傳輸伺服器通訊。解決網路連線問題後，登入到思科APIC GUI，導航到System > Smart Licensing，然後選擇Actions > Synchronize CSSM。此動作會在不久後清除錯誤。
F4222	此故障表明思科APIC很長一段時間未收到RUM報告的確認，並且確認已過期。在離線模式下，手動下載RUM報告並導入確認。將確認檔案導入到思科APIC時，會清除故障。 在聯機模式下，此故障表明，由於網路問題，思科APIC與CSSM的同步已持續較長時間。對思科APIC和CSSM之間、思科APIC和傳輸伺服器之間以及傳輸伺服器和CSSM之間的網路連線問題進行故障排除。解決網路連線問題後，登入到思科APIC GUI，導航到System > Smart Licensing，然後選擇Actions > Synchronize CSSM。此操作將強制思科APIC再次傳送RUM報告。如果網路設定是On-Prem，請登入On-Prem GUI，執行從On-Prem或CSLU到CSSM的手動同步。同步完成後，此故障將在10到15分鐘內清除。
F4310	此故障表示導入了RUM報告的錯誤確認。確認與一個RUM報告唯一關聯。導入的確認必須與下載的RUM報告匹配。再次手動下載RUM報告，並將正確的確認資訊導入到思科APIC中，從而清除故障。

顯示命令

有兩個CLIshow 命令可用於排除故障。要使用這些命令，請以admin使用者身份登入到集群中的思科應用策略基礎設施控制器(APIC)節點1。

# show license all

此show命令顯示來自智慧代理(SA)信任儲存的智慧許可資訊。「使用情況報告」部分顯示上次傳送的RUM報告和上次收到的確認的時間戳，以及傳送下次RUM報告的時間和輪詢下一次確認的時間。如果上次收到確認的時間戳比上次傳送的RUM報告的時間戳新，則表明思科APIC已成功傳送了RUM報告並收到了確認。

# show license tech support

此show命令顯示的資訊比show license all命令顯示得更加詳細。主控台無法顯示完整結果，因為它的長度，但您可以開啟檔案/tmp/SA_Show_Tech_Support.txt來檢視所有輸出。


記錄檔

當智慧許可出現問題時，請收集以下日誌：

/var/log/dme/log/svc_ifc_licensemgr.bin.log
/var/log/dme/log/ch_dbg.log
/var/log/dme/log/sa.log

來自APIC的技術支援。

已知問題

1. 由於通訊問題（未配置DNS），註冊失敗

在直接連線到CSSM模式下，如果您忘記在思科應用策略基礎設施控制器(APIC)上配置DNS，與tools.cisco.com的通訊將失敗。

確保您在APIC中配置了DNS，並且可以ping通tools.cisco.com

要檢查DNS是否已配置，請在APIC CLI上運行cat /etc/resolv.conf：

apic1# cat /etc/resolv.conf # Generated by IFC search apic.local nameserver 10.0.0.1 nameserver XX.163.128.140

要檢查ping是否正常工作，請在APIC控制器CLI上運行ping，ping必須對tools.cisco.com起作用。

apic1# ping tools.cisco.com PING tools.cisco.com (XX.163.4.38) 56(84) bytes of data. 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=1 ttl=235 time=250 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=2 ttl=235 time=249 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=3 ttl=235 time=249 ms

2. 思科ACI智慧許可證策略升級注意事項

如果您計畫升級到思科應用策略基礎設施控制器(APIC) 5.2(4)版或更高版本，並且思科APIC已註冊，並且網路或傳輸模式為直接連線到CSSM、傳輸網關或HTTP/HTTPS代理，則可以將思科APIC從思科應用中心基礎設施(ACI)智慧許可(SL)直接升級到SLP。不需要執行任何特別程式。升級後，思科APIC仍與CSSM連線，可以將RUM報告傳送到CSSM而不會產生任何問題。

相反，如果思科APIC已經註冊，並且網路或傳輸模式為管理器衛星，則您無法直接將思科APIC從SL升級到SLP。這是因為，對於取代Manager Satellite的Cisco Smart Software Manager On-Prem網路模式，傳輸型別和URL都發生了更改。您必須執行下列動作：

1. 將Manager Satellite升級到支援SLP的Cisco Smart Software Manager On-Prem最新版本。升級之後，請確定內部處理器具有與CSSM的網路連線，且內部處理器與CSSM之間的同步作業仍然有效。

2. 將思科APIC升級到5.2(4)版或更高版本。升級後，思科APIC GUI顯示網路模式為傳輸網關而不是管理器衛星。您必須將網路模式重新配置為思科內部智慧軟體管理器，並從內部的GUI複製正確的URL。

3. 錯誤-無法傳送Call Home HTTP消息(Quo Vadis Root CA)

QuoVadis Root CA 2已停用，可能會影響來自APIC的SSL通訊，因此會引發故障「Fail to send Call Home HTTP」。要檢查是否相同，可以在/var/log/dme/log/ch_dbg.log下解析call home日誌。如果列印這些行，請遵循指定的BUG和Field Notice：

 CH-TRANS-ERROR: ch_pf_curl_send_msg[539], failed to perform, err code 60, err string "Peer certificate cannot be authenticated with given CA certificates" * 

 CH-TRANS-DETAIL: ch_pf_http_long_buf_dump[264], dump:"SSL certificate problem: self signed certificate in certificate chain" 

https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html

思科漏洞ID CSCwa97230