ASR9000平台上的智慧許可

簡介

本檔案介紹Cisco IOS^® XR 5.2.0及更新版本上的智慧許可軟體配置、操作和故障排除。開發智慧許可的目的是解決在思科平台和作業系統(OS)上運行的各種功能和應用的許可要求管理。

智慧許可應用不僅在適用於Cisco IOS XR的ASR9000(ASR9K)上運行，而且還在運行Cisco IOS和Cisco IOS-XE OS的各種平台上運行。這種簡單的應用大大減少了管理各種思科裝置、系統和平台所需的工作量，為許可證管理、授權和運營成本帶來了亟需的簡便性。

智慧許可應用程式使用的方法是動態「拉」方法；ASR9K裝置發起呼叫並從思科後端伺服器提取信息。思科後端伺服器不會發起到任何裝置的呼叫或連線，但始終會在連線請求來自想要註冊和接收授權的裝置時做出響應。

初始設定安全且簡單，只需裝置操作員很少的手動干預，並且可以使用常規的工具命令語言(TcL)或Python Expect指令碼在較大環境中實現自動化。由思科後端伺服器提供的報告工具（可通過常規瀏覽器訪問）將幫助客戶記錄其裝置清單、已部署許可和不合規(OOC)的功能，並動態移動其資源，而無需重新調配或呼叫支援。

頂檢視

智慧許可使用標準HTTP安全(HTTPS)作為傳輸機制，以便到達思科後端伺服器。從技術上講，在ASR9K裝置上啟用智慧許可功能只需要配置一行：

RP/0/RSP0/CPU0:SAMDD(admin-config)#license smart enable

裝置預設為HTTPS傳輸，一旦註冊請求成功，將立即查詢後端伺服器以獲取授權。它返回Authorized（表示裝置擁有該功能的許可證）或OOC（表示權利不存在、丟失或過期）。

注意：許可證合規性狀態不會以任何方式影響裝置的功能。當前智慧許可應用程式基於信譽系統，並通過系統日誌或控制檯日誌通知管理員合規性或OOC狀態。不存在由於許可或缺少許可而在任何方面存在的功能障礙。但是，思科鼓勵合規性，這可以大大增強客戶在裝置清單、許可證消耗、每裝置使用的功能以及總計/總計等方面的可視性。

註：在2019年，對後端伺服器的HTTP支援被棄用，但是對衛星伺服器的HTTP仍會起作用。

智慧許可可以與傳統許可共存，但在任何給定時間只能有一個許可處於活動狀態。通過從管理平面新增或刪除配置，您可以輕鬆地在它們之間進行切換。ASR9K系統不需要任何重新載入或重新啟動即可使此「交換機」生效。未來版本中的智慧許可將完全取代傳統許可。

如果ASR9K裝置不使用需要許可的功能，則系統會自動處於已授權狀態，無需執行進一步的操作。只有在「配置」需要許可證的功能後，系統才會嘗試從思科後端伺服器動態獲取許可證。

傳統許可操作與智慧許可操作

以下是許可模式之間的一些差異。請注意，在任何給定時間只有其中一個處於活動狀態。

傳統（節點鎖定）許可	智慧（動態）許可
您必須獲取許可證，並通過PAK檔案將其手動安裝在每台裝置上。	無需安裝任何軟體。裝置啟動HTTP/HTTPS呼叫總部會話並請求其使用和配置的許可證。
與機箱、移動或重新調配關聯的許可證需要備份或重新安裝。所有操作都是手動操作，需要花費時間。	與您的帳戶關聯的許可證。取消配置當前機箱中使用的功能，並在需要使用相同許可證的新機箱上重新配置該功能。當新裝置通過call-home進程發起HTTP/HTTPS請求時，會動態地進行重新調配。
節點鎖定許可證 — 該許可證與特定裝置/插槽相關聯。	已在客戶帳戶中建立許可證池，這些許可證池特定於公司帳戶，可與公司中的任何ASR9K裝置一起使用。
沒有用於檢視所購買許可證或軟體使用趨勢的常見安裝基地位置。 需要手動維護單個機箱/系統的許可證簿記。	許可證安全地儲存在思科後端伺服器上，可全年全天候訪問。許可證計數是按客戶帳戶/池計算的，並且許多裝置可以屬於同一個池。
額外的許可證需要新的PAK檔案，並需要手動干預/與裝置互動。	額外的許可證可通過指向思科URL和後端伺服器中建立的帳戶的Web瀏覽器傳輸。基本上是指向和按一下操作。
將許可證從一台裝置傳輸到另一台裝置並不容易。	無需安裝任何軟體，可在產品例項之間移動許可證。您還可以通過Web介面將許可證從一個池輕鬆轉移到另一個池。

操作檢視

此圖顯示了兩種許可方案之間的比較。

智慧許可步驟非常簡單直觀。購買裝置/裝置時，您可以同時訂購所需的許可證，也可以稍後訂購。在思科完成許可證購買和調配後：

• 思科為您提供使用者名稱、密碼和統一資源定位器(URL)，以便通過Web瀏覽器24x7訪問許可證資訊。

• 此帳戶管理許可證、生成報告、對裝置分組、建立許可證池以及任何其他有助於客戶/組織運營需求的組織需求。

• 帳戶允許客戶生成idtoken，該令牌唯一標識客戶裝置和購買的許可授權。令牌有效期為一天到一年。客戶可以隨時撤銷、刪除和重新建立idtoken。這是一個自助模式。

• 客戶使用在思科提供的帳戶中生成的idtoken來註冊一台裝置或一千台裝置，因為對於可以使用同一令牌的裝置數量沒有限制。有關有效使用此功能的更多提示，請參閱本檔案。

• 裝置註冊是持久的，在系統的重新載入和升級過程中會一直存在。如果願意，可以強制ASR9K裝置使用舊的idtoken或較新的idtoken重新註冊，以防丟失。

• 註冊後無需任何干預，ASR9K系統定期輪詢已註冊的帳戶以檢查其合規性。如果系統是OOC，則會生成系統日誌以警告使用者。

Web介面/入口網站

下面是註冊過程開始的Web介面的快速導覽：

虛擬帳戶許可證池用於根據組織的需要以邏輯方式存放和組織許可證。它是許可證的容器，為需要許可證的功能註冊裝置。您可以為每個站點、每個部門等建立一個池。

許可證可以輕鬆地從一個池轉移到另一個池。

Idtoken是由此帳戶生成的金鑰，用於註冊ASR9K裝置。其有效期為從一天到一年。令牌的唯一用途是註冊裝置，之後就不需要了。令牌是文本流，可以複製到TcL或Python指令碼中，以便自動註冊遠端裝置。

例如，您可以建立一個為期一天的令牌，並將其傳送到遠端站點，供遠端使用者用於裝置註冊。它將在一天後過期，遠端使用者無法使用它來註冊任何其他裝置。即使該裝置用於註冊不屬於您的公司的裝置，您也很容易在Product Instance頁籤中看到該裝置，並且可以採取行動以吊銷許可證。

報告會動態生成各種形式的清單，並且可以匯出為Excel格式以供離線使用、記帳或分析。

License 頁籤顯示各種ASR9K裝置請求的許可證，其中顯示每個許可證的計數和狀態。直接按一下時，可以使用Transfer連結專案，並且可以在帳戶中的任何池之間輕鬆轉移許可證。

Event Log頁籤使用syslog型別格式記錄針對池的裝置活動，並記錄帳戶中的每個裝置或使用者執行的操作，如註冊、註銷等。該介面便於導航或調試，且直觀。

組態

本示例將介紹如何從傳統許可升級到智慧許可。請注意，在某些情況下，智慧許可可能是預設值。

傳統許可

為了檢查傳統許可，可以從管理平面運行幾個命令。以下是一些與智慧許可相比具有不同輸出的產品。

註：傳統許可是Cisco IOS XR 5.3.0及更低版本中的預設許可模式。

RP/0/RSP1/CPU0:ROA(admin)#show license pools

Pool: Owner
Feature: A9K-24X10-OPT-LIC A9K-24X10-VID-LIC A9K-24X10G-AIP-SE A9K-24X10G-AIP-TR
 A9K-2X100-OPT-LIC A9K-2X100-VID-LIC A9K-2X100G-AIP-SE A9K-2X100G-AIP-TR
 A9K-36X10-OPT-LIC A9K-36X10-VID-LIC A9K-36X10G-AIP-SE A9K-36X10G-AIP-TR
 A9K-400G-AIP-SE A9K-400G-AIP-TR A9K-400G-OPT-LIC A9K-400G-VID-LIC
 A9K-800G-AIP-SE A9K-800G-AIP-TR A9K-800G-OPT-LIC A9K-800G-VID-LIC
 A9K-ADV-OPTIC-LIC A9K-ADV-VIDEO-LIC A9K-AIP-LIC-B A9K-AIP-LIC-E

RP/0/RSP1/CPU0:ROA(admin)#show license allocated

FeatureID: A9K-800G-AIP-SE (Slot based, Permanent)
Total licenses 1
Status: Allocated   1
   Pool: Owner
     Total licenses in pool: 1
     Status: Operational:   1
     Locations with licenses: (Active/Allocated) [SDR]
             0/0/CPU0       (0/1) [Owner]

傳統許可命令的子集也可以從exec平面運行，但最好從具有完整清單的管理平面運行。

RP/0/RSP1/CPU0:ROA#show license ?    
WORD       Feature ID
active     Currently checked-out/being used by applications.
allocated  Allocated to a slot but not used.
available  Not currently active.
evaluation Display the evaluation licenses.
expired    Display evaluation licenses already expired.
location   Show information for a specific location
log        The operational or administrative logs.
|          Output Modifiers
<cr>

智慧型授權

智慧許可尚未啟用，但這是系統顯示的內容。

即使沒有應用配置，call_home的預設內建配置檔案也使用HTTPS，它通過系統管理埠指向思科後端伺服器。有關更多資訊，請參閱本文檔後面的call_home。

RP/0/RSP1/CPU0:ROA#show run call-home  
% No such configuration item(s)

RP/0/RSP1/CPU0:ROA#show call-home detail | i https
   http proxy: Not yet set up
   HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService

對於最低配置，您只需要步驟1和4。其餘步驟用於資訊、驗證和報告。

1. 在admin模式下，輸入以下命令：

   RP/0/RSP1/CPU0:ROA(admin-config)#license smart enable
   RP/0/RSP1/CPU0:ROA(admin-config)#commit

2. 在exec模式下，配置更多旋鈕（如電子郵件地址），或者使用此預設配置檔案（在提交管理員配置時自動生成）。

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   contact-email-addr sch-smart-licensing@cisco.com
   profile CiscoTAC-1
   active
   destination transport-method http

3. 在admin mode中，檢查智慧許可版本：

   RP/0/RSP1/CPU0:ROA(admin)#show license version
   Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

4. 在admin mode中，輸入以下命令：

   RP/0/RSP1/CPU0:ROA(admin)#license smart register idtoken
    NjgyMWM2NDItMzI5My00YzQ2LThmMDItMzhhNWI2Mzk2YWUwLTE0MzUzMzM3%
   0aMDQwNDB8SWRzSGkvR0d2MWZTZEhzK2RWUmJWMmh0U1ZIa2tBVzBLZKl1ZHhs%0AZGRPbz0%3D%0A ?
   force Force Registration
   <cr>  
   
   license smart register: Registration process is in progress. Please check
    the syslog for the registration status and result

   關鍵字Force會覆蓋並清除與之前已註冊的裝置相關的任何及所有資訊。關鍵字force應謹慎使用，在特殊情況下應使用。或者，可以使用Web使用者介面從帳戶中刪除裝置。

5. 查詢操作狀態：

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Completed
          Registration Start Time: Wed Dec 17 2014 13:07:23 PST
          Next ID Cert Renew Time: Mon Jun 15 2015 14:07:45 PST
          Next ID Cert Expiration Time: Thu Dec 17 2015 13:01:41 PST
          Last Response Time: Wed Dec 17 2014 13:07:45 PST
          Last Response Message: OK: OK

   如果狀態不是「Completed」，您將在控制檯或系統日誌中看到消息。以下是成功的系統日誌消息：

   RP/0/RSP1/CPU0:Dec 17 13:07:45.285 : licmgr[310]: SMART_LIC-6-AGENT_REG_SUCCESS:
   Smart Agent for Licensing Registration with Cisco licensing cloud successful
   RP/0/RSP1/CPU0:Dec 17 13:08:18.357 : licmgr[310]: SMART_LIC-3-OUT_OF_COMPLIANCE:
   One or more entitlements are out of compliance':

6. 在此系統上，配置了一些需要許可證的功能，並且此輸出指示「不合規」的狀態：

   RP/0/RSP1/CPU0:ROA(admin)#show license entitlement | i Tag | e Not | u sort
      Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,
   1.0_66d3ccf7-a374-4409-a3f9-6bc56d645f1c, Version: 1.0, Enforce Mode:
    Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10-VID-LIC,1.0_9f03b94f-3c76-4a39-82f2
   -1b53cdf5cb15, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10G-AIP-TR,1.0_e5d7cec3-e8e3-43c6-88c9
   -a113b76679f8, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-OPT-LIC,1.0_0f74bb00-42af-4c4d-b162
   -bcb346c7510a, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-VID-LIC,1.0_a482b964-6371-4aad-8e82
   -2083c5749205, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100G-AIP-SE,1.0_ce447831-e4af-4def-a98b
   -3297fab65561, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-36X10-OPT-LIC,1.0_92a8597a-f591-4afc-adeb
   -9b212cee11be, Version: 1.0, Enforce Mode: Out of compliance

7. 請檢視您在傳統許可中使用的命令，這些命令具有不同的輸出。

   智慧許可或傳統許可CLI隨時可用，而不是同時可用。

   pool名稱用於組織/分類裝置。您可以為每個區域/地理位置、部門或功能區域、財務分組等使用一個池。每個公司都可以決定如何分配許可證。另請注意，使用普通瀏覽器來檢視、更改或移動池之間的許可證、新增或更改許可證計數非常容易，並且無需思科的幫助即可隨時獨立完成此操作。

   RP/0/RSP1/CPU0:ROA(admin)#show license pool
   Assigned Pool Info: PATRICK_NO_LIC

8. 從這裡開始，系統每天自動檢查法規遵從性。如果發生故障，系統每20分鐘嘗試一次，持續4小時，之後每天嘗試一次，持續30天。系統日誌消息被列印，指示連線、可達性、通訊等故障原因。有關偵錯的詳情，將在本文檔後續部分討論。
9. 要註銷裝置，請輸入以下命令：

   RP/0/RSP1/CPU0:ROA(admin)#license smart deregister
   
   license smart deregister: Success
   
   
   License command "license smart deregister " completed successfully. 

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Not Registered

10. 要瞭解給定機箱上可用的許可證，請輸入以下命令：

    RP/0/RSP1/CPU0:ROA(admin)#show license features
    
    Platform Feature ID:
    A9K-ADV-OPTIC-LIC
    A9K-ADV-VIDEO-LIC
    A9K-iVRF-LIC
    A9K-AIP-LIC-B
    A9K-AIP-LIC-E
    A9K-MOD80-AIP-TR
    A9K-MOD80-AIP-SE
    A9K-MOD160-AIP-TR
    A9K-MOD160-AIP-SE
    A9K-2X100G-AIP-TR
    . . . output snipped . . .

應用剖析與流程

為了瞭解應用程式的機制，您需要對應用程式的各個元件有基本的瞭解。但是，對於軟體的操作或部署，除了要遵循已發佈的指南外，不需要預先瞭解任何知識。本節更多面向希望瞭解詳細資訊的技術人員和工程師。

部署、配置和選項

智慧許可可在多個場景中進行部署，具體取決於客戶在安全性、可管理性和操作模式方面的要求。

例如：

• 您可以選擇不允許ASR9K「直接」連線到思科雲/後端伺服器。在這種情況下，您可以在本地使用「代理」伺服器，並管理防火牆、流量以及智慧許可應用如何滿足組織的安全需求。這可以通過在Windows或Linux作業系統上運行的開源Apache軟體輕鬆設定。
• 或者，您可能希望將所有ASR9K裝置連線到聚合器主機，該聚合器主機可以在將所有ASR9K裝置轉發到Cisco後端伺服器之前接收來自這些裝置的所有本地請求。這是運行在Linux和Windows上的傳輸網關軟體的作業，可在Cisco Transport-Gateway download中下載。
• 或者，您可能希望使用運行在Linux和Windows上的本地軟體完全離線操作，並且僅允許使用「此本地主機」與思科雲進行許可資訊交換對話，然後向終端裝置提供有關其合規狀態的資訊。5.3.1版或更高版本中將提供此軟體。

除了支援HTTPS外，還可以將軟體配置為在虛擬路由轉發(VRF)設定中運行，該設定允許對許可資訊的傳輸方式進行更高級別的控制。

此外，IPv6在本地受支援，並且僅需要系統上有效的IPv6地址才能通過Internet與思科後端伺服器通訊。

這些配置假定ASR9K配置了域名系統(DNS)或IPv4/IPv6域主機，以便可以解析主機名以便到達外部網路。

必須配置網路時間協定(NTP)，才能使系統與後端證書伺服器保持同步。

RP/0/RSP0/CPU0:ROA#show run domain
domain name cisco.com
domain list cisco.com
domain name-server 171.70.168.183
domain name-server 2001:420:68d:4001::a

RP/0/RSP0/CPU0:ROA#show run | i ipv6 host
Building configuration...
domain ipv6 host tools.cisco.com 2001:420:1101:5::a

設定HTTP Proxy

Apache配置不在本文的討論範圍之內，但是網際網路上有很多好的文檔可以指導您完成這些步驟。為了演示該功能，Apache在埠80上配置為簡單代理。請參閱此處顯示的Apache的mod_proxy的調試輸出。

但是，對於智慧許可，配置非常簡單，只需提及代理伺服器的名稱和埠即可。組態只會將要求轉送到代理伺服器，而不是直接與思科後端伺服器連線。代理伺服器將通過任何配置為轉發請求的傳輸與伺服器聯絡；建議使用HTTPS。除http-proxy mybastion.cisco.com port 80外，不需要任何其他配置。

RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
http-proxy mybastion.cisco.com port 80
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http

輸入registration命令admin license smart register idtoken<idtoken>，並觀察輸出中顯示ASR9K發出的請求/響應。記下時間戳和成功列計數器。

RP/0/RSP0/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT        1       0       0       0       2015-01-12 21:06:56
DEREGISTRATION     0       0       0       0             n/a
REGISTRATION       1       0       0       0       2015-01-12 21:06:21
ACKNOWLEDGEMENT    1       0       0       0       2015-01-12 21:06:38

以下是Apache訪問日誌的一個片段，其中顯示請求在埠443（HTTPS協定）上發出。

root@mybastion:/var/log/httpd #tail -f proxy-*

==> proxy-error.log <==
[Mon Jan 12 21:06:10 2015] [debug] mod_proxy_connect.c(70): proxy: CONNECT:
 canonicalising URL tools.cisco.com:443
[Mon Jan 12 21:06:10 2015] [debug] proxy_util.c(1515): [client 172.27.130.65] proxy:
 *: found forward proxy worker for tools.cisco.com:443
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(109): [client 172.27.130.65]
 (70014)End of file found: proxy: CONNECT: error on client - ap_get_brigade
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(425): proxy: CONNECT:
 finished with poll() - cleaning up

==> proxy-access.log <==
172.27.130.65 - - [12/Jan/2015:21:06:10 -0800] "CONNECT tools.cisco.com:443 HTTP/1.1" 200 -

配置傳輸網關

在此場景中，傳輸網關應用程式安裝在Linux或Windows主機上，並配置為從客戶駐地的ASR9K裝置接收許可請求並將其中繼到Cisco後端伺服器。有關詳細資訊，請參閱傳輸網關部署和使用手冊。

ASR9K上的配置僅為一行。以下是範例；請查閱文檔，瞭解您的環境所需的確切配置。

call-home
profile CiscoTAC-1
destination address http
https://TG-IP-or-FQDN/Transportgateway/services/DeviceRequestHandler

配置VRF

VRF可以更好地控制管理流量，對智慧許可幾乎透明。但是，當智慧許可軟體嘗試訪問思科後端伺服器時，為了使底層軟體諮詢VRF表而不是全域性表，必須配置一行。

此處顯示的字串是在系統中配置的VRF名稱。

RP/0/RSP0/CPU0:ROA(config)#http client vrf MGMT

Call Home詳細輸出

此處顯示驗證Call Home是否正常工作的輸出示例。

RP/0/RSP0/CPU0:ROA#show call-home detail

Current call home settings:
   call home feature : enable
   call home message's from address: mylab-roa@cisco.com ; optional, any address
   call home message's reply-to address: pasoltan@cisco.com ; optional,
 recipient address

   vrf for call-home messages: Not yet set up ; Not supported natively yet

   contact person's email address: sch-smart-licensing@cisco.com ; default

   contact person's phone number: +1-408-526-8438 ; optional
   street address: 1550 Soltani Lane, Cisco System Drive, North Pole, NP 99709
   customer ID: Not yet set up
   contract ID: Not yet set up
   site ID: BUILDING20-125 ; optional

   source interface: Not yet set up ; can be configured to use a specific interface.
   Mail-server[1]: Address: bastion.cisco.com Priority: 1 ; optional
   Mail-server[2]: Address: 171.68.58.10 Priority: 10     ; optional
   Mail-server[3]: Address: 173.37.183.72 Priority: 20   ; optional
   http proxy: Not yet set up ; when configured will change.

   Smart licensing messages: enabled
   Profile: CiscoTAC-1 (status: ACTIVE) ; default profile supported.
Can not be renamed, deleted, but can be modified, activated, deactivated.

   aaa-authorization: disable      ; optional
   aaa-authorization username: callhome (default) ; default
   data-privacy: normal     ; can be configured to use the hostname or not.
   syslog throttling: enable

   Rate-limit: 5 message(s) per minute

   Snapshot command: Not yet set up
; Non-smart licensing configuration for alerts, data collection, defaults.
Available alert groups:
   Keyword                State   Description
   ---------------------- ------- -------------------------------
   configuration         Enable configuration info
   environment           Enable environmental info
   inventory             Enable inventory info
   snapshot              Enable snapshot info
   syslog                Enable syslog info

Profiles:

Profile Name: CiscoTAC-1
   Profile status: ACTIVE
   Profile mode: Full Reporting
   Reporting Data: Smart Call Home, Smart Licensing
   Preferred Message Format: xml
   Message Size Limit: 3145728 Bytes
   Transport Method: http
   Email address(es): callhome@cisco.com
   HTTP address(es): ; Only configuration needed if default is not desired.
http://tools.cisco.com/its/service/oddce/services/DDCEService
                       https://tools.cisco.com/its/service/oddce/services/DDCEService

   Periodic inventory info message is scheduled every 23 day of the month at 11:2

   Alert-group              Severity
   ------------------------ ------------
   environment               minor      
   inventory                 normal    

   Syslog-Pattern           Severity
   ------------------------ ------------
   .*                        critical

Call Home非智慧許可配置選項

您可以將Call Home配置為收集系統日誌和診斷資料以及核心轉儲，或讓其傳送事件等電子郵件通知以及所完成的智慧許可任務。

您可以在https://tools.cisco.com/sch/reports/deviceReport.do上使用智慧許可使用者名稱和密碼檢視Call Home收集的資訊。

請參見「相關資訊」部分中連結的文檔，瞭解有關如何使用此功能來保護環境的詳細資訊。另外，「Odds and Ends」部分中提供了電子郵件通知的示例。

偵錯

由於組成軟體包的元件眾多，因此沒有硬性和快速規則來調試智慧許可軟體。然而，一些常見的處理方法通常縮小了問題的範圍。以下是一些建議。

系統日誌

首先檢視系統日誌。您會得到一些線索，知道應該首先檢查哪個元件。在這些消息中，您會看到一些證書問題，以及傳送Call Home HTTP消息失敗；最終通訊會恢復。

RP/0/RSP0/CPU0:ROA#sh log | i SMART

RP/0/RSP1/CPU0:Dec 17 20:01:28.522 : licmgr[308]: SMART_LIC-3-ID_CERT_RENEW_FAILED:
ID certificate renewal failed: Response error: {"product_instance_identifier":
["ProductInstance '8baecfb5-2688-429b-8519-10a3f0dec6b5' is not valid"]}

RP/0/RSP1/CPU0:Dec 17 20:01:34.273 : licmgr[308]: SMART_LIC-3-AUTH_RENEW_FAILED:
Authorization renewal with Cisco licensing cloud failed: Response error:
 LS_UNMATCH_SIGNED_DATA: Signed data and certificate does not match

RP/0/RSP0/CPU0: Dec 17 18:26:24.009 : licmgr[314]: SMART_LIC-3-COMM_FAILED:
Communications failure with Cisco licensing cloud: Fail to send out Call Home
 HTTP message

RP/0/RSP0/CPU0:Dec 17 18:28:03.057 : licmgr[314]: SMART_LIC-3-AGENT_REG_FAILED:
Smart Agent for Licensing Registration with Cisco licensing cloud failed:
 Communication message send error

RP/0/RSP0/CPU0:Dec 17 18:30:09.247 : licmgr[314]: SMART_LIC-5-COMM_RESTORED:
Communications with Cisco licensing cloud restored

RP/0/RSP0/CPU0:Dec 17 18:30:21.923 : licmgr[314]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful

檢查show命令輸出，以取得該框/元件處於何種狀態的控制代碼。此處您可以看到移動性、網際網路通訊協定安全(IPsec)和光纖授權。

RP/0/RSP0/CPU0:ROA#admin show license entitlement
Entitlement:
  Tag: regid.2014-06.com.cisco.A9K-MOBILE-LIC,1.0_e447924c-0a6f-41be-9202-8ae60fcc2972,
 Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-09.com.cisco.A9K-IPSEC-20G-LIC,1.0_a165db99-eb3f-474b-bdf0-
ce4b140d9b45, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

 Tag: INSTALLMGR, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,1.0_66d3ccf7-a374-4409-a3f9-
6bc56d645f1c, Version: 1.0, Enforce Mode: Out of compliance
  Requested Time : Mon Jan 12 2015 20:47:07 PST, Requested Count: 1
  Vendor String:
... output snipped ...

檢查許可證合規性。

RP/0/RSP0/CPU0:ROA#admin show license status
Compliance Status: Out of compliance

檢查哪個池處於活動狀態。

RP/0/RSP0/CPU0:ROA#admin show licence pool
Assigned Pool Info: PATRICK_NO_LIC

檢查許可證書。

RP/0/RSP0/CPU0:ROA#admin show license cert
 Licensing Certificates:
   ID Cert Info:
    Start Date: Mon Jan 12 2015 21:00:13 PST. Expiry Date: Tue Jan 12 2016 21:00:13 PST
    Serial Number: 24724
    Version: 3
    Subject/SN: 60fe47f8-aaaa-40fc-ae3e-fae9c7b6d0ac
    Common Name: 138091632beb1f2e38069e9eec8f9c626de471ac::1,2
   Signing Cert Info:
    Start Date: Wed Sep 11 2013 12:05:34 PST. Expiry Date: Sun May 30 2038 12:48:46 PST
    Serial Number: 3
    Version: 3

檢查許可版本。

RP/0/RSP0/CPU0:ROA#admin show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

此命令顯示有關成功和/或失敗的call-home嘗試的統計資訊。

RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
REGISTRATION    1       0       0       0       2014-12-17 21:07:53
ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
RENEW           1       0       0       0       2014-12-17 21:08:57 

Call Home進程

檢查call_home進程的跟蹤檔案，因為ASR9K和Cisco Cloud之間的傳輸由它管理。

RP/0/RSP0/CPU0:ROA#show call-home trace error last 2

81 wrapping entries (576 possible, 320 allocated, 0 filtered, 81 total)!
Jan 28 10:10:29.729 call_home/error 0/RSP0/CPU0 t10 call_home_http_resp_data(),
 httpc response error, Host name resolution failed

Jan 28 10:10:39.730 call_home/error 0/RSP0/CPU0 t19 call_home_events_handler() failure status 67

Smartlic檢查（軟體代理）

檢查smartlic跟蹤。這些跟蹤顯示了與思科雲伺服器的許可證互動。

RP/0/RSP0/CPU0:ROA#admin show license trace smartlic last 2
987 wrapping entries (1088 possible, 0 filtered, 987 total)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 Failed to bind to SysDB - 'Subsystem(2091)' detected the 'success' condition
 'Code(45)': Unknown Error(292)

Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 SMART ERROR - SASACKExpirationJob: expirySeconds=3842

Licmgr進程檢查

此流程是ASR9K上智慧許可的主要介面，並考慮了各種元件之間的粘合。

RP/0/RSP1/CPU0:ROA#admin show license trace
557 wrapping entries (576 possible, 0 filtered, 5403 total)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 Client search success pkg/bin/rsi_agent (No error)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 A9K-MOD160-AIP-SE regid.2014-06.com.cisco.A9K-MOD160-AIP-SE,
1.0_7f1b3d9c-a183-41d1-8d0b-d98dcc2751a8 (No error)

平台相關跟蹤

儘管代碼中的Platform Dependent(PD)部分只是動態連結庫，但它對觸發許可證授權請求具有重要作用。因此，它解決了有關許可證型別、計數等問題。

RP/0/RSP1/CPU0:ROA#admin show license trace platform all last 5
1849 wrapping entries (5440 possible, 3136 allocated, 0 filtered, 183450 total)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start: ver:1,
 node:0x00000041 cmd:Audit(5) req:Mobile(9) feature:A9K-MOBILE-LIC(13) grant:
 Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start #2:
 client restarted:False up for a day:True
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License Start:
 request:Mobile(9) slot:4 grant:Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License End:
 request:Mobile(9) slot:4 grant:Not Pending(0) rc: 0x00000000 No error
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Cmd End:Audit(5),
 slot:4 rc:0x00000000 No error

開啟偵錯

如果所有其他操作均失敗，則開啟調試並輸入按需請求以續訂證書或權利。此調試應收集ASR9K和思科雲服務之間的所有事務。

RP/0/RSP0/CPU0:ROA#debug smartlic
RP/0/RSP1/CPU0:ROA#show debug

#### debug flags set from tty 'aux0_RSP1_CPU0' ####
smartlic debug flag is ON with value 0

沒有可用的直接UI/Cisco Cloud Server調試。如有問題，請傳送電子郵件至asr9k-smart-lic@cisco.com。

Odds和End

1. 當多個盒配置為從同一個許可證池獲取授權時，即使只有一個裝置被一個許可證短路，您的所有裝置都是OOC。這主要是因為將池視為容器的設計。新的模型，即正在構建的池的分層組織，解決了未來版本中的行為。
2. 直接從控制檯向您自己傳送任何show命令輸出的電子郵件。請注意在每條命令後使用雙引號和使用分號。Call Home執行許多與智慧許可不相關的操作。以下是Call Home的用途示例。它是可以為任何環境修改的執行配置。

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   site-id BUILDING20-125
   sender reply-to pasoltan@cisco.com
   sender from roa@cisco.com
   alert-group syslog
   alert-group snapshot
   alert-group inventory
   mail-server 171.68.58.10 priority 10
   mail-server 173.37.183.72 priority 20
   mail-server 2001:420:303:2008::24 priority 2
   mail-server mybastion.cisco.com priority 1
   phone-number +1-408-526-8438
   contact-email-addr sch-smart-licensing@cisco.com
   street-address 1550 E.Tasman Drive, San Jose, CA 9513
   profile CiscoTAC-1
   active
   destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
   reporting smart-call-home-data
   reporting smart-licensing-data
   destination transport-method http
   
   RP/0/RP1/CPU0:ROA#call-home send "show run call; admin show platform"
    email pasoltan@cisco.com msg-format long-text
   
   Sending ondemand CLI output call-home message ...
   Please wait. This may take some time ...

3. show call-home smartlic status命令使用單詞「success」，這僅僅意味著從呼叫總部進程的角度來看，從ASR9K到Cisco雲伺服器的消息傳輸是成功的。但是，這並不意味著思科雲伺服器的端到端許可操作成功。例如，如果門戶的帳戶、證書等存在問題，call-home將傳輸消息並顯示成功，但後端伺服器檢查許可證的整個操作可能會失敗。

   RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
   Success: Successfully sent and response received.
   Failed : Failed to send or response indicated error occurred.
   Inqueue: In queue waiting to be sent.
   Dropped: Dropped due to incorrect call-home configuration.
   
   Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
   ----------------------------------------------------------------------
   ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
   DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
   REGISTRATION    1       0       0       0       2014-12-17 21:07:53
   ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
   RENEW           1       0       0       0       2014-12-17 21:08:57

4. 使用IPv4和IPv6配置管理介面時，名稱解析為IP地址或DNS解析的順序是首先為IPv6。

   RP/0/RSP1/CPU0:ROA#show run int M*
   interface MgmtEth0/RSP0/CPU0/0
   cdp
   ipv4 address 172.27.130.64 255.255.255.128
   ipv6 address fe80::172:27:130:64 link-local
   ipv6 address 2001:420:303:2008:0:28:1:64/80
   ... snipped output ...

   RP/0/RSP1/CPU0:ROA#ping tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 2001:420:1201:5::a, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 44/45/49 ms

   RP/0/RSP1/CPU0:ROA#ping ipv4 tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 173.37.145.8, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 43/44/45 ms

相關資訊

• Smart Call Home使用手冊- HTML
• Smart Call Home使用手冊- PDF
• Smart Call Home安全
• 思科支援社群
• 影片：配置Call Home
• 智慧許可命令 — HTML
• 智慧許可命令 — PDF
• 一般資訊：智慧許可
• 智慧許可常見問題
• 傳輸網關指南
• 傳輸網關常見問題
• 技術支援與文件 - Cisco Systems