為IOS企業路由平台配置智慧許可
簡介
本文檔介紹思科智慧許可(SL)部署的型別和所需的配置。
必要條件
需求
- 可存取思科智慧軟體管理員(CSSM)入口網站的智慧帳戶
- Cisco IOS®版本在16.5.1到17.3.1之間的裝置
- Cisco Smart Software Manager On-Prem Server
- 裝置與CSSM或內部伺服器之間的HTTPS連線
採用元件
本檔案適用於Cisco IOS XE企業路由平台。
本檔案中的資訊是根據以下硬體和軟體版本:
- Cisco ASR1001-X(採用Cisco IOS XE版本16.9.4)和Cisco ISR4351(採用Cisco IOS XE版本16.12.1)。
- 智慧軟體管理員伺服器(8-202108版本)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
部署型別
智慧許可註冊和消費有四個主要部署選項:
- 直接CSSM訪問
- 使用代理的直接CSSM訪問
- SSM內部訪問
- 特定授權保留(SLR)
直接CSSM訪問
此部署選項允許您透過HTTPS直接透過Internet將使用情況資訊傳輸到Cisco。
在Cisco IOS XE 16.10.1a中,預設情況下啟用智慧許可,並且是唯一可用的許可模式。對於此部署,需要第3層配置,並且可從正確的介面訪問HTTPS埠(443)中的tools.cisco.com。需要DNS配置。
確認連線後,註冊裝置的步驟如下:
步驟 1.在裝置上啟用智慧許可證(可選)。從16.10.1a預設啟用。
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#license smart enable
步驟 2.為tools.cisco.com配置域名系統(DNS)伺服器或靜態主機條目。
Router(config)#ip name-server X.X.X.X
or
Router(config)#ip host tools.cisco.com X.X.X.X
步驟 3.從思科智慧軟體管理員產生新權杖。
- 登入思科智慧軟體管理器(位於https://software.cisco.com/#),導航至智慧軟體管理器部分。
- 選擇資產頁籤,然後從虛擬帳戶下拉選單中選擇虛擬帳戶。
- 選擇General頁籤,然後選擇New Token。
- 輸入令牌描述,並指定令牌必須處於活動狀態的天數。
- 對使用此令牌註冊的產品啟用允許導出控制功能。這允許在註冊的裝置中請求高加密許可證。
- 選擇Create Token。建立令牌後,選擇複製。
步驟 4.更改Call-home配置(可選)。
預設Call-home配置檔案配置足以註冊裝置。您可以在此處驗證當前呼叫總部配置檔案配置:
Router#show run | sec call-home
service call-home
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as
contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
步驟 5.使用令牌向CSSM註冊裝置。
Router#license smart register idtoken < token from CSSM portal > force
注意: force關鍵字會立即強制執行註冊嘗試。如果不使用,註冊過程可能需要更長時間。
步驟 6.驗證裝置是否正確註冊到CSSM。
Router#show license status Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: TAC Cisco Systems, Inc. Virtual Account: CORE TAC Export-Controlled Functionality: Allowed Initial Registration: SUCCEEDED on Sep 01 12:54:22 2017 UTC Last Renewal Attempt: None Next Renewal Attempt: Feb 28 12:54:22 2018 UTC Registration Expires: Sep 01 12:49:04 2018 UTC License Authorization: Status: AUTHORIZED on Sep 01 12:54:28 2017 UTC Last Communication Attempt: SUCCEEDED on Sep 01 12:54:28 2017 UTC Next Communication Attempt: Oct 01 12:54:28 2017 UTC Communication Deadline: Nov 30 12:49:12 2017 UTC
使用虛擬路由和轉發(VRF)進行直接CSSM訪問
如果裝置使用VRF到達CSSM,則需要在call-home配置檔案配置下配置源VRF和源介面。要配置此部署,必須執行直接CSSM訪問部分中的步驟1到步驟3。然後,使用正確的VRF和源介面編輯Call-home配置以訪問CSSM URL。這裡使用的是Mgmt-intf VRF中的管理介面GigabitEthernet0。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
使用分配給VRF的正確介面配置源HTTP介面。此組態會影響HTTP和HTTPS流量。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
為特定VRF配置DNS:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X
完成VRF配置後,可以繼續執行「直接CSSM接入」部分的步驟5和步驟6。
使用代理的直接CSSM訪問
如果需要使用Proxy伺服器來建立與CSSM的HTTPS連線,則需要按照「直接CSSM訪問」部分中的步驟操作,並在Call-home配置中包括http-proxy命令。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#http-proxy "10.118.47.99" port 8080
SSM內部訪問
此部署型別允許您管理本地的產品和許可證,而無需直接連線到思科託管的CSSM。若要實作此功能,您的網路中必須已經安裝SSM內建SSM。SSM內部安裝的步驟不在本文檔的討論範圍之內。
將SSM內部伺服器與裝置連線的配置步驟如下:
步驟 1.在裝置上啟用智慧許可。
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#license smart enable
步驟 2.確保您能夠與CSSM內部伺服器通訊。
Router#ping X.X.X.X Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/10 ms
步驟 3.從SSM On-Prem生成新令牌。
3.1登入SSM伺服器。
3.2令牌建立
- 輸入令牌描述。指定令牌必須處於活動狀態的天數。
- 啟用允許在用此令牌註冊的產品上使用導出控制功能覈取方塊。
- 選擇Create Token。
- 建立令牌後,選擇Copy複製新建立的令牌。
步驟 4.在裝置上配置Call-home。
需要用內部伺服器的IP(http://X.X.X.X/Transportgateway/services/DeviceRequestHandler)更改destination address http命令,並刪除預設的IP地址。
Router(config)#call-home Router(cfg-call-home)#profile CiscoTAC-1 Router(cfg-call-home-profile)#destination transport-method http Router(cfg-call-home-profile)#destination address http http://X.X.X.X/Transportgateway/services/DeviceRequestHandler Router(cfg-call-home-profile)#no destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService Router(cfg-call-home-profile)#active Router(cfg-call-home-profile)#exit Router(cfg-call-home)#contact-email-addr test@cisco.com Router(cfg-call-home)#service call-home Router(cfg-call-home)#end
步驟 5.在SLA-TrustPoint信任點上配置revocation-check none。
Router#configure terminal Router(config)#crypto pki trustpoint SLA-TrustPoint Router(ca-trustpoint)#revocation-check none
步驟 6.使用從SSM On-Prem檢索的令牌註冊裝置。
Router#license smart register idtoken < token from SSM On-Prem portal > force
步驟 7.驗證裝置是否正確註冊到SSM內部版本。
Router#show license status Smart Licensing is ENABLED Utility: Status: DISABLEDData Privacy: Sending Hostname: yes Callhome hostname privacy: DISABLED Smart Licensing hostname privacy: DISABLED Version privacy: DISABLED Transport: Type: Callhome Registration: Status: REGISTERED Smart Account: manudiaz Virtual Account: Default Export-Controlled Functionality: ALLOWED Initial Registration: SUCCEEDED on Jan 20 15:22:12 2020 UTC Last Renewal Attempt: None Next Renewal Attempt: Sept 30 14:22:12 2021 UTC Registration Expires: Oct 19 04:35:44 2021 UTC
採用VRF配置的SSM內部訪問
如果使用VRF來訪問SSM內部部署,則必須配置源VRF,以便裝置從正確的VRF生成請求。
執行「SSM內部訪問」一節中的步驟,直到步驟3。
步驟 1.使用正確的VRF和源介面編輯Call-Home配置,您可以在其中訪問SSM On-Prem:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#call-home
Router(cfg-call-home)#source-interface gigabitEthernet 0
Router(cfg-call-home)#vrf Mgmt-intf
步驟 2.使用分配給VRF的正確介面配置源http客戶端介面:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http client source-interface gigabitEthernet 0
步驟 3.為特定VRF配置DNS。
您可以在內部環境中配置DNS伺服器,以解析SSM內部伺服器的名稱:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip name-server vrf Mgmt-intf X.X.X.X X.X.X.X
在這些更改後,您可以繼續執行SSM內部訪問中的步驟5和步驟6。
特定授權保留(SLR)
SLR功能使您能夠在裝置上部署軟體許可證,而無需直接將使用情況資訊傳達給思科。此功能在高度安全的網路中特別有用,並且在具有智慧許可門戶的平台上受支援。 本配置指南假定您已請求並已授權使用SLR。
要在裝置中配置SLR,需要從路由器端和CSSM門戶執行這些步驟
步驟 1.為SLR配置路由器。您必須輸入license smart reservation 命令,並使用license smart reservation request local請求SLR功能。
Router# enable Router# configure terminal Router(config)# license smart reservation Router(config)# exit Router# license smart reservation request local
UDI: PID:ASR1002-X,SN:JAE170XXXXX
Request code: CB-ZASR1002-X:JAE17010XXXX-AxFL8XXXX-XX
在CSSM上,需要保留所需的許可證。
步驟 2.透過https://software.cisco.com/#登入到CSSM。您必須使用思科憑證登入門戶。
步驟 3.選擇資產頁籤。從Virtual Account下拉選單中,選擇您的智慧帳戶。
步驟 4.從Licenses 頁籤中選擇License Reservation。
步驟 5.在輸入請求代碼頁上,輸入或附加您從路由器生成的預留請求代碼,然後選擇下一步。
步驟 6.選中Reserve a Specific License框,並選擇每個裝置所需的許可證和預留許可證數量。
步驟 7.在稽核和確認頁籤中,選擇生成授權代碼。
步驟 8.選擇Copy to Clipboard複製代碼或Download作為檔案。您需要將程式碼或檔案複製到您的裝置,才能繼續此程式。
如果配置SLR,則可以下載或安裝授權代碼文本檔案。如果配置永久許可證保留(PLR),則可以複製並貼上授權代碼。
步驟 9.登入到裝置並使用安裝命令license smart reservation install file bootflash:<SLR file>。
Router#enable Router#license smart reservation install file bootflash:
如果需要,您可以返回在裝置中保留的許可證並返回未註冊狀態。將生成一個返回代碼,並且必須在CSSM中輸入該代碼以刪除該產品例項。
Router#enable Router#license smart reservation return local
更新特定許可證預留
成功註冊裝置後,如果需要,可以使用新功能或許可證更新預留:
步驟 1.登入思科智慧軟體管理器,網址為https://software.cisco.com/#。您必須使用思科提供的使用者名稱和密碼登入門戶。
步驟 2.導航到資產頁籤,然後從「虛擬帳戶」下拉選單中選擇您的智慧帳戶。
步驟 3.在產品例項頁籤中,為需要更新的裝置選擇操作。
步驟 4.選擇Update Reserved License。
步驟 5.選擇要更新的許可證。
步驟 6.選擇Next。
步驟 7.在稽核和確認頁籤中,選擇生成授權代碼。接著顯示Authorization Code頁籤。系統顯示生成的授權代碼。
步驟 8.選擇Copy to Clipboard選項以複製代碼或下載為檔案。您需要將程式碼或檔案複製到您的裝置。
步驟 9.登入要更新的裝置。
步驟 10.運行license smart reservation install file命令。
Router#enable Router#license smart reservation install file bootflash:
取消註冊特定許可證預留
要註銷裝置的特定許可證保留,必須在CLI中返回許可證保留並從CSSM中刪除例項。
步驟 1.登入到要取消註冊的裝置。
步驟 2.要刪除許可證保留授權代碼,請使用license smart reservation return命令。
Router#license smart reservation return local This command will remove the license reservation authorization code and the device will transition
back to the unregistered state. Some features may not function properly. Do you want to continue? [yes/no]: yes Enter this return code in Cisco Smart Software Manager portal: UDI: PID:ISR4351/K9,SN:FDO210305DQ CBURR4-cTgMun-arvYME-gta6ir-yqnXQm-yMKxWM-2ajywD-5kADgZ-a33
步驟 3.透過https://software.cisco.com/#登入到CSSM。
步驟 4.選擇資產頁籤。從虛擬帳戶下拉選單中,選擇您的智慧帳戶。
步驟 5.在產品例項頁籤中,選擇要取消註冊的裝置的操作。
步驟 6.選擇Remove。
步驟 7.出現提示時,輸入返回碼。
疑難排解
裝置無法解析tools.cisco.com
驗證是否已為正確的VRF或全局路由表正確配置了DNS伺服器。如有需要,您也可以建立靜態DNS專案:
Router(config)#ip host tools.cisco.com 72.163.4.38 173.37.145.8
路由器無法與tools.cisco.com通訊
- 確保配置了到Internet的預設路由。
- 確保裝置和CSSM之間沒有防火牆或代理。
- 確保埠443和80未被阻塞。
Router#telnet tools.cisco.com 443 Trying tools.cisco.com (72.163.4.38, 80)... Open
- 使用VRF遠端登入。
Router#telnet tools.cisco.com 443 /vrf Mgmt-intf Trying tools.cisco.com (72.163.4.38, 443)... Open
授權處於「不符合規定」狀態
當裝置使用授權且不符合條件(負平衡)時,會發生此狀態。當思科裝置註冊所在的虛擬帳戶中沒有所需許可證時,會發生這種情況。
Router#show license all License Authorization: Status: OUT OF COMPLIANCE on Mar 25 15:00:27 2019 CDT Last Communication Attempt: SUCCEEDED on Mar 25 15:12:32 2019 CDT Next Communication Attempt: Mar 26 03:12:31 2019 CDT Communication Deadline: Jun 23 15:06:30 2019 CDT
- 要進入合規性/授權狀態,您必須將正確的許可證數量和型別增加到智慧帳戶
- 當裝置處於此狀態時,它會每天自動傳送授權續訂請求
智慧許可調試
可用於解決Call-Home和智慧許可註冊問題的某些調試包括:
- debug call-home trace
- debug call-home error
- debug call-home smart-licensing all
- debug ip http client all
- debug crypto pki <所有選項>
- debug ssl openssl <所有選項>
其他資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
29-Aug-2024 |
已更新標題、品牌要求、機器翻譯、樣式要求、拼字和格式設定。 |
2.0 |
27-Jun-2023 |
增加了Alt文本。
已更新標題、品牌要求、機器翻譯、樣式要求、拼字和格式設定。 |
1.0 |
24-May-2022 |
初始版本 |
意見