在Cisco IOS XE路由器上使用策略配置智慧許可
簡介
本文檔介紹使用策略功能配置和註冊具有智慧許可的Cisco IOS® XE路由器所需的步驟。
必要條件
需求
思科建議您瞭解以下主題:
- 使用策略註冊的智慧許可
- 使用策略傳輸方法的智慧許可
採用元件
本檔案中的資訊是根據以下軟體版本:
- 在配置了智慧帳戶和虛擬帳戶的Windows個人電腦(PC)上安裝思科智慧許可證實用程式1.0.0-2版。
- 在整合多業務路由器(ISR)上,匯聚多業務路由器(ASR)1000、Catalyst 8300、8500和9000:Cisco IOS XE 17.3.2
- 在Catalyst 8200和1100上:Cisco IOS XE 17.4.1
- 雲服務路由器(CSR)和ISR虛擬需要升級到Catalyst 8000v和Cisco IOS XE 17.4.1。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
本文檔介紹使用「使用策略的智慧許可」時所需的以下四個可能的拓撲和配置。這些選項取決於路由器與網路的連線方式。
- 路由器通過思科智慧許可證實用程式(CSLU)連線到思科智慧軟體管理器(CSSM)。
- 直接連線到CSSM的路由器。
- 連線到CSLU的路由器與CSLU斷開連線。
- 路由器未連線到CSSM且沒有CSLU。
路由器通過CSLU連線到CSSM
在此拓撲中,網路中的產品例項通過CSLU連線到CSSM。CSLU成為與CSSM的單通訊點。
本節將介紹Pull和Push方法及其各自的配置。
網路圖表
推送方法配置
在此方法中,產品例項通過連線到CSLU中的表示狀態傳輸(REST)端點來啟動與CSLU的通訊。
傳送的資料包括真實使用者監控(RUM)報告和請求授權碼、信任碼和策略。
配置步驟
步驟 1.登入到CSLU Interface並選擇Add Single Product。
步驟 2. 選擇Product Instance Initiated,然後定義要註冊的產品例項的IP地址。
步驟 3.在路由器上,將傳輸方法配置為cslu。
Device(config)# license smart transport cslu
步驟 4.輸入具有CSLU IP地址的CSLU URL。
Device(config)# license smart url cslu http://<cslu-ip>:8182/cslu/v1/pi
步驟 5.配置傳送HTTP消息的介面。
5.1.使用以下命令配置傳送HTTP消息的介面:
Device(config)# ip http client source-interface interface-type-number
5.2.如果使用VRF來到達CSLU,並且不是使用cslu-local來解析的ip地址,則需要使用以下命令為cslu-local新增主機名解析:
Device(config)# ip host vrf Name_VRF cslu-local cslu-ip-address
步驟 6.啟動通訊和使用報告。驗證日誌是否有正確的策略安裝。
Device# license smart sync
*Apr 14 12:08:06.235: %SMART_LIC-6-POLICY_INSTALL_SUCCESS: A new licensing policy was successfully installed
拉式方法配置
在此方法中,CSLU啟動與產品例項的通訊,以便檢索其資訊。
CSLU使用網路配置協定(NETCONF)、代表狀態傳輸配置協定(RESTCONF)、與另一個下一代(YANG)模型的google遠端過程呼叫(gRPC)或REST應用程式程式設計介面(API)連線到產品實例。
配置步驟
步驟 1.在路由器上,配置您的首選連線方法(NETCONF、RESTCONF或REST API)。
步驟 2. 登入到CSLU Interface並選擇Add Single Product。
步驟 3. 選擇與所需連線方法(NETCONF、RESTCONF或REST API)相關的任何CSLU Initiated選項,並定義要註冊的產品例項的IP地址。
步驟 4.從要註冊的裝置「產品例項」清單中選擇,然後導航至Actions for Selected and Collect Usage。
步驟 5.驗證該產品例項下的許可證使用量收集是否完成。
步驟 6.在註冊裝置上,您必須看到許可策略安裝成功日誌。
*Nov 18 23:22:12.929: %SMART_LIC-6-POLICY_INSTALL_SUCCESS: A new licensing policy was successfully installed
直接連線到CSSM的路由器
在此拓撲中,您可以建立從產品例項到CSSM的直接受信任連線,並且有兩種可能的傳輸方法:
- 智慧傳輸方法。智慧許可JavaScript對象表示法(JSON)消息包含在HyperText傳輸協定(HTTP)消息中,並在產品例項和CSSM之間交換。
- Call-home傳輸方法。Call-home提供關鍵系統事件的基於電子郵件和基於Web的通知。
網路圖表
智慧傳輸方法配置
配置步驟
步驟 1.配置傳送HTTP消息的介面。
Device(config)# ip http client source-interface interface-type-number
步驟 2.將智慧傳輸方法定義為所需的許可證傳輸方法。
Device(config)# license smart transport smart
步驟 3.將許可證智慧統一資源定位器(URL)設定為預設值。
3.1.要將許可證智慧URL設定為預設值,請使用以下命令:
Device(config)# license smart url default
3.2.如果使用代理訪問CSSM,則需要為智慧新增代理:
Device(config)# license smart proxy X.X.X.X port XXXX
步驟 4.在您的智慧帳戶和虛擬帳戶下從CSSM生成新令牌並複製生成的令牌。
步驟 5.使用生成的令牌註冊裝置。
Device# license smart trust idtoken id_token_value {local| all} [force]
步驟 6. 在show license status命令中驗證安裝是否正確。在輸出的末尾,在Trust Code Installed部分中,必須用註冊日期更新該代碼。
Device# show license status
Transport:
Type: Smart
URL: https://smartreceiver.cisco.com/licservice/license
Proxy:
Not Configured
<snippet>
Trust Code Installed: Feb 10 20:56:02 2021 UTC
<snippet>
Call-Home傳輸方法配置
配置步驟
步驟 1.配置傳送HTTP消息的介面。
Device(config)# ip http client source-interface interface-type-number
步驟 2.將call-home傳輸方法定義為所需的許可證傳輸方法。
Device(config)# license smart transport callhome
步驟 3.修改許可證智慧URL
3.1.要設定許可證智慧URL,請使用以下命令:
Device(config)# license smart url https://tools.cisco.com/its/service/oddce/services/DDCEService
3.2.如果您使用虛擬路由和轉發(VRF),除了使用的VRF外,還必須指定Call-home上VRF使用的源介面:
Device(config)# call-home
Device(cfg-call-home)# source-interface interface-type-number
Device(cfg-call-home)# vrf Name_of_VRF
3.3.如果使用代理訪問CSSM,則需要將代理新增到call-home配置中,並使用介面來訪問Proxy:
Device(config)# call-home
Device(cfg-call-home)# source-interface interface-type-number
Device(cfg-call-home)# http-proxy "X.X.X.X" port XXXX
步驟 4.在您的智慧帳戶和虛擬帳戶下從CSSM生成新令牌,並複製生成的令牌。
步驟 5.使用生成的令牌註冊裝置。
Device# license smart trust idtoken id_token_value {local| all} [force]
步驟 6. 在show license status命令中驗證正確的安裝。在輸出的結尾,在「信任代碼已安裝」部分中,必須用註冊日期更新該代碼。
Device# show license status
Transport:
Type: Callhome
URL: https://tools.cisco.com/its/service/oddce/services/DDCEService
Proxy:
Not Configured
<snippet>
Trust Code Installed: Feb 10 20:56:02 2021 UTC
<snippet>
連線到CSLU的路由器和CSLU與CSSM斷開
CSLU和CSSM之間的通訊以簽名檔案的形式傳送和接收,這些檔案離線儲存,然後上載到CSLU或CSSM或從CSLU下載。
在此拓撲中,CSLU為您提供與CSSM斷開連線的選項。
網路圖表
配置步驟
步驟 1.在CSLU中,導覽至Product Instances,然後選擇Download All For Cisco。
步驟 2.在CSSM上,導航到Reports,然後選擇Usage Data Files。
步驟 3.上傳從CSLU下載的檔案。
步驟 4.下載生成的確認檔案。它顯示在「使用情況資料檔案」清單中。
步驟 5.在CSLU上,導覽至Product Instances,然後選擇Upload from Cisco。上傳從CSSM下載的確認檔案。
未連線到CSSM且沒有CSLU的路由器
在此拓撲中,有一個產品例項與CSSM斷開連線,並且沒有任何其他中間實用程式或元件。所有通訊都是以上傳和下載檔案的形式進行的。
網路圖表
配置步驟
步驟 1.在例項上配置智慧關機許可證傳輸方法並儲存配置。
Device(config)# license smart transport off
Device(config)# exit
Device# copy running-config startup-config
步驟 2.將許可證的使用情況儲存在bootflash內的文本檔案中,並將其從路由器中解壓。
Device# license smart save usage all file bootflash:all_rum.txt
Device# copy bootflash:all_rum.txt tftp://X.X.X.X/all_rum.txt
步驟 3.在CSSM上,導航到Reports,選擇Usage Data Files,然後上傳路由器建立的使用資料檔案。
步驟 4.下載生成的確認檔案,然後將其傳輸到裝置。
步驟 5.在路由器上,匯入檔案並驗證安裝是否正確。
Device# license smart import bootflash:ack_usage.txt
Import Data Successful
*Apr 14 12:08:06.235: %SMART_LIC-6-POLICY_INSTALL_SUCCESS: A new licensing policy was successfully installed
驗證
使用本節內容,確認您的組態是否正常運作。
在所有拓撲中,您可以驗證CSSM上已註冊的產品例項。 下一個選項是確認裝置成功註冊的建議步驟。
步驟 1.導航到產品例項,然後在搜尋框中鍵入註冊裝置的序列號。您必須將裝置的UDI視為例項的名稱。
Device# show license udi
UDI: PID:ISR4451-X/K9,SN:FOC17513VM6
步驟 2.使用show license status命令驗證許可證安裝狀態是否正確。
Device# show license status
Smart Licensing Using Policy:
Status: ENABLED
<snippet>
Policy:
Policy in use: Installed On Mar 18 21:20:38 2021 UTC
Policy name: SLE Policy
Reporting ACK required: yes (Customer Policy)
Unenforced/Non-Export Perpetual Attributes:
First report requirement (days): 30 (Customer Policy)
Reporting frequency (days): 60 (Customer Policy)
Report on change (days): 60 (Customer Policy)
Unenforced/Non-Export Subscription Attributes:
First report requirement (days): 120 (Customer Policy)
Reporting frequency (days): 150 (Customer Policy)
Report on change (days): 120 (Customer Policy)
Enforced (Perpetual/Subscription) License Attributes:
First report requirement (days): 0 (CISCO default)
Reporting frequency (days): 90 (Customer Policy)
Report on change (days): 60 (Customer Policy)
Export (Perpetual/Subscription) License Attributes:
First report requirement (days): 0 (CISCO default)
Reporting frequency (days): 30 (Customer Policy)
Report on change (days): 30 (Customer Policy)
Miscellaneous:
Custom Id: <empty>
Usage Reporting:
Last ACK received: Mar 18 21:20:38 2021 UTC
Next ACK deadline: May 17 21:20:38 2021 UTC
Reporting push interval: 30 days
Next ACK push check: Feb 23 20:24:13 2021 UTC
Next report push: Mar 30 15:45:55 2021 UTC
Last report push: Mar 18 21:16:38 2021 UTC
Last report file write: <none>
<snippet>
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
1.使用CSLU(通過CSLU拓撲連線到CSSM)、smartreceiver.cisco.com和tools.cisco.com(直接連線到CSSM拓撲)確保正確的DNS解析。
Device# nslookup cslu-local
Device# nslookup smartreceiver.cisco.com
Device# nslookup tools.cisco.com
2.確保與CSLU(通過CSLU拓撲連線到CSSM)、smartreceiver.cisco.com和tools.cisco.com(直接連線到CSSM拓撲)的正確連線。
Device# ping cslu-local
Device# ping smartreceiver.cisco.com
Device# ping tools.cisco.com
3.檢查埠443是否對直接連線到CSSM拓撲的CSSM開放。
Device# telnet smartreceiver.cisco.com 443
or
Device# telnet tools.cisco.com 443
4.使用可用的調試來驗證註冊和安裝過程中生成的日誌,並獲得更多資訊。
Device# debug license ?
agent License agent information
core License Core
errors License warnings and errors
events License Events
feature License feature
ipc License IPC communication
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
14-Dec-2023 |
更新的品牌要求和格式。 |
2.0 |
18-Nov-2022 |
已更新機器翻譯、樣式要求、SEO和格式。
已新增Alt文本。 |
1.0 |
15-Apr-2021 |
初始版本 |
意見