在SD-WAN XE邊緣路由器上配置HSEC許可證

簡介

本文檔介紹如何在SD-WAN XE邊緣路由器上安裝HSECK9許可證並對其進行故障排除。

必要條件

需求

思科建議您瞭解以下主題：

• 思科軟體定義廣域網路(SD-WAN)
• Cisco IOS® XE命令列介面(CLI)
• 智慧型授權
• Cisco Software Central

採用元件

本檔案是根據以下軟體和硬體版本所編制：

• 思科邊緣路由器C1111-8PWE版本17.6.3
• 思科邊緣路由器c8000v 17.12.3
• 思科智慧軟體管理員(CSSM)
• Cisco vManage 20.12.3.1

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

概念

使用策略的智慧許可使用多種新概念，例如：

• 許可證實施型別
• 許可證持續時間
• 授權碼
• 需要智慧許可授權碼(SLAC)的吞吐量級別 — 需要SLAC的路由器平台
• 政策
• 資源利用率度量報告（RUM報告）和報告確認
• 信任代碼

有關詳細資訊，請導航至使用策略概念的智慧許可。

吞吐量行為

• 如果產品沒有任何形式的HSECK9許可證，則所有ISR1000系列、ISR4000系列、C8200、C8300、CSR1000v、C8000v和ISRv的預設值都是250 Mbps。
• 如果吞吐量需要高於250 Mbps，則所有ISR1000系列、ISR4000系列、C8200、C8300、CSR1000v、C8000v和ISRv都需要安裝HSECK9許可證。
• 所有ASR1000系列都不需要HSECK9（大於250 Mbps）。
• 所有C8500都應安裝HSECK9許可證。否則，可以手動安裝HSECK9許可證。
• 在控制器管理模式下沒有吞吐量配置。HSECK9許可證安裝會自動啟用轉發核心/資料包處理器引擎，以釋放吞吐量。
• HSECK9許可證安裝後的最大吞吐量取決於平台的硬體功能。有關詳細資訊，請檢視特定平台資料表。

附註：從20.9.2和17.9.2a起，HSEC許可證可以直接從vManage進行管理。更多詳細資訊如下：
Cisco Catalyst SD-WAN入門指南 — 管理HSEC許可證[Cisco SD-WAN] - Cisco

許可證可用性驗證

步驟1.導航至 Cisco Software Central.

步驟2.按一下「Smart Software Manager」。

步驟3.從頂部選單中選擇Inventory。

步驟4.選擇適當的虛擬帳戶。

步驟5.選擇Virtual Account下的Licenses頁籤。

步驟6.驗證許可證已新增且可用，且餘額為正。

如果沒有可用的許可證或餘額為負（紅色），請向思科許可團隊提交案例。

附註：本指南假設您已購買了HSECK9許可證或用於DNA的路由器美國出口許可證，該許可證會新增到智慧帳戶中的有效虛擬帳戶中。

路由器操作模式

使用其中一個命令檢驗路由器是否處於控制器管理模式。

show platform software device-mode
show version | include mode

範例：

EdgeRouter# show platform software device-mode
Device Operating-mode: Controller-Managed
Device-mode bootup status:
8/03 00:44:16 System is green
Bootup Success

EdgeRouter# show version | in mode 
Router operating mode: Controller-Managed

附註：如果工作模式導致Autonomous（自治），請使用命令將路由器移至Controller-Managed(控制器管controller-mode enable理)。

設定

CSSM的線上方法

配置傳輸型別並設定預設CSSM URL

步驟1.配置正確的傳輸型別和URL。

EdgeRouter#config-transaction
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit
Commit complete.

附註：如果路由器附加了模板：支援傳輸和URL的智慧命令，可以使用CLI附加功能模板進行配置。有關詳細資訊，請導航至CLI附加功能模板。

步驟2.檢驗更改是否正確提交。

EdgeRouter# show lic tech support | begin Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: Smart <<<<<<<<<<<<<<<<<<<<<<<<<<<< This must be Smart
URL: https://smartreceiver.cisco.com/licservice/license <<<<<<<<<<<<<<< URL must be pointed to smartreceiver.cisco.com
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: True

附註：預設URL會自動啟用，無需對其進行修改。

生成產品例項註冊令牌

步驟1。產生新權杖。

在許可證所在的同一虛擬帳戶中，導航到General頁籤，然後按一下New Token.

步驟2.填寫新令牌資訊。

說明:令牌用途簡短說明。
到期時間：令牌對產品註冊有效的天數。
最大使用次數：令牌最大使用次數。可選。

確保選中Allow export-controlled選項。否則，許可證註冊失敗，然後按一下Create Token。

附註：當達到過期或最大使用量時，令牌將過期。

附註：如需詳細資訊，請導覽至Cisco Export Trade。

步驟3.複製權杖。

將剛生成的令牌複製到剪貼簿；導航至操作>複製，或手動在令牌字串旁邊的小藍色圖示中顯示。

在邊緣路由器和CSSM之間生成信任建立

為了提供使用出口管制許可證的授權，邊緣路由器必須與CSSM建立信任。對於握手，邊緣路由器使用上一步中在CSSM上生成的令牌。

license smart trust idtoken TOKEN local force

範例：

EdgeRouter# license smart trust idtoken ZThjOTlmM2UtMjQ2ZC00YjI1LTgwNjctZGIxZjIzYjZiYmVmLTE2NjM0NjI1%0AMjgyNTh8YWNVeTFiZU03N0lCdTFadmJ4ejZBL0toR2Mva21odElrQmxDa1FN%0AcVI3cz0%3D%0A local force

建立信任後，日誌會顯示與CSSM的通訊。

EdgeRouter# show logging last 50
<snip>
*Aug 18 21:03:44.730: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair2 has been removed from key storage
*Aug 18 21:03:46.146: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair2 has been generated or imported by crypto-engine
*Aug 18 21:03:53.221: %SYS-6-PRIVCFG_ENCRYPT_SUCCESS: Successfully encrypted private config file
*Aug 18 21:03:56.107: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco Smart Software Manager (CSSM) restored
*Aug 18 21:03:56.347: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C1111-8PWE,S:FGL2149XXXX.

驗證信任建立成功計數器

驗證信任建立成功計數器是否增加。這表示授權代理可以訪問CSSM。

EdgeRouter# show lic tech support | begin Communication Statistics
Communication Statistics:
=======================
Communication Level Allowed: DIRECT
Overall State: <empty>
Trust Establishment:
Attempts: Total=1, Success=1, Fail=0 Ongoing Failure: Overall=0 Communication=0 <<<<<<<<<<
Last Response: OK on Aug 18 21:03:56 2022 UTC
Failure Reason: <none>
Last Success Time: Aug 18 21:03:56 2022 UTC
Last Failure Time: Aug 18 21:00:43 2022 UTC
<snip>

附註：如果失敗計數器增加，請導航至本文檔中的故障排除部分。

請求授權

此時，信任已建立，但HSECK9許可證尚未使用。之所以發生這種情況，是因為需要路由器向CSSM請求許可證。要獲取許可證，請運行授權請求。

EdgeRouter# license smart authorization request add hseck9 local

日誌：

EdgeRouter# show logging | include SMART
*Aug 18 21:11:41.553: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 18 21:11:41.641: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

在智慧許可事件日誌中，將儲存許可請求資訊，以備需要更多資訊。

EdgeRouter# show lic eventlog 0
**** Event Log ****
2022-08-18 21:11:41.538 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><dateStamp>2022-08-18T21:17:45</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feac79ca9112704623118db58bbc2c-09b6eebc91ae833f</correlationID></status></authorizationCode><signature>MEUCIBuNw8+ogfZmJAbsRa+8B+F0wnDZLrv5RXm822rN/he5AiEAtfzzFV9L3dqht4sUYDxRvnUHF2KYi+vFv2vivDF6rIs=</signature></smartLicenseAuthorization>"
2022-08-18 21:11:41.552 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-18 21:11:41.641 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.641 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:12:06.119 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><status><success>false</success><message>last update already confirmed</message><code>last update already confirmed</code><correlationID>62feac7c4be974f92eefc15a640f938b-f08787827763ca37</correlationID></status></authorizationCode><signature>MEUCIQDhI8x+Rzf7wyibdohvYY6q9/8puukf8SuJ4ok48d4y5QIgdl5/z/7rLu+LEd5gK9kgOxA2Vb+vnJUcTOVPo3/R0pc=</signature></smartLicenseAuthorization>"

驗證啟用是否成功

有些命令用於驗證許可證現在是否可用並正確啟用。

show license tech support | begin License Usage
show license authorization
show license summary
show license usage

範例：

EdgeRouter# show license tech support | begin License Usage 
License Usage
=============
Handle: 1
License: hseck9
Entitlement Tag: regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844
Description: hseck9
Count: 1
Version: 1.0
Status: IN USE(15)               <<<<<<<<<<<<<<<<<<<<<<
Status time: Aug 18 21:11:41 2022 UTC
Request Time: Aug 18 21:11:41 2022 UTC
Export status: RESTRICTED - ALLOWED
Feature Name: hseck9
Feature Description: hseck9
Enforcement type: EXPORT RESTRICTED
License type: Perpetual
Measurements:
ENTITLEMENT:
Interval: 00:15:00
Current Value: 1

EdgeRouter# show license authorization 
Overall status:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Status: SMART AUTHORIZATION INSTALLED on Aug 18 21:11:41 2022 UTC   <<<<<<<<<<<<<<<
Last Confirmation code: 0cde51c5

Authorizations:
Router US Export Lic. for DNA (DNA_HSEC):
Description: U.S. Export Restriction Compliance license for DNA based Routers
Total available count: 1
Enforcement type: EXPORT RESTRICTED
Term information:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Authorization type: SMART AUTHORIZATION INSTALLED  <<<<<<<<<<<<<
License type: PERPETUAL
Term Count: 1

Purchased Licenses:
No Purchase Information Available


Edge# show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
hseck9 (DNA_HSEC) 1 IN USE     <<<<<<<<<<

CSSM的離線方法

對於不允許訪問Internet的空中連線網路，可以通過在CSSM上本地預留SLAC來執行出口控制許可證安裝。 

附註：此方法不需要傳輸型別或有效的智慧統一資源定位器(URL)。 

生成本地許可證保留

在許可證所在的同一虛擬帳戶中，導航到產品例項>授權許可證強制功能。

獲取邊緣路由器UDI資訊

show license udi 本地許可證保留需要來自邊緣路由器的唯一裝置識別符號(UDI)，請運行命令以獲取產品ID(PID)和序列號(SN)。

EdgeRouter# show license udi
UDI: PID:C1111-8PWE,SN:FGL2149XXXX

在預留表單中填寫邊緣路由器UDI

選擇Single Device，並填寫邊緣路由器的SN和PID。按「Next」（下一步）。

選擇要保留的許可證數量

由於它是單個裝置，因此保留的許可證是1，請在框中鍵入數字。確保數字不超過可用數字。

選擇許可證裝置型別 

裝置型別可以是內部數位網路架構(DNA)或DNA雲。這取決於購買的許可證型別。

生成授權碼

檢視配置並按一下Generate Authorization Code。

下載SLAC

SLAC可以檔案形式下載，也可以複製到剪貼簿。

將SLAC複製到邊緣路由器

有三種方法可以將SLAC檔案複製到邊緣路由器。

• 使用USB驅動器。

EdgeRouter# show file systems | include usb|Size
Size(b)        Free(b)  Type Flags Prefixes
15598043136 15596658688 disk  rw     usb0:

EdgeRouter# dir usb0:
Directory of usb0:/

5 -rwx 1557 Aug 19 2022 00:43:30 +00:00 AuthorizationCode_SN_FGL2149XXXX.txt

15598043136 bytes total (15596658688 bytes free)

EdgeRouter# copy usb0:AuthorizationCode_SN_FGL2149XXXX.txt bootflash:
Destination filename [AuthorizationCode_SN_FGL2149XXXX.txt]? 
Copy in progress...C
1557 bytes copied in 0.020 secs (77850 bytes/sec)

• 使用vManage至Control Connections，導航至Transfer Files between a Edge Router and vManage以瞭解詳細資訊。
• 服務端的SCP/FTP/TFTP。

安裝SLAC

使用智慧匯入在bootflash中安裝SLAC檔案。

EdgeRouter# license smart import bootflash:AuthorizationCode_SN_FGL2149XXXX.txt
Import Data Successful
Last Confirmation code UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Confirmation code: aaa6b57e

日誌。

EdgeRouter# show logging | include SMART
*Aug 19 05:42:45.309: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 19 05:42:45.362: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

EdgeRouter# show license eventlog 0
**** Event Log ****

2022-08-19 05:42:45.293 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>0ceadf0a-3145-4779-8cbb-743c5a234a05</piid><dateStamp>2022-08-19T05:43:11</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62ff22ec38ab5858bde12581a2589b39-bde12581a2589b39</correlationID></status></authorizationCode><signature>MEUCIQDrUe11CPAsnjonKRmUe40arqPiY/q/UfTGSJ1IdmkkrAIgF8G2zoHIxz04IVO2J7ZHA1M51+QMvLzUGyZsfvwK5tk=</signature></smartLicenseAuthorization>"
2022-08-19 05:42:45.308 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.333 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.334 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-19 05:42:45.362 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.362 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"

驗證安裝是否成功

使用線上方法中的相同命令驗證許可證是否正確安裝。

show license authorization
show license summary
show license tech support | begin License Usage 

如果安裝正確，則虛擬帳戶中的許可證將自動遞增使用中計數器，並遞減可用使用計數器。

此外，在Product Instances頁籤中，還會顯示邊緣路由器的UDI資訊。按一下條目以獲取有關許可證特徵的更多資訊。

vManage Workflows方法

從20.9.2開始，vManage允許藉助工作流安裝HSECK9許可證。 

附註：此方法僅適用於「路由器US匯出許可證」。DNA」許可證；裝置特定的HSEC許可證(如ISR4300_HSEC或ISR4400_HSEC)不再有效。有關如何將裝置特定HSEC許可證轉換為DNA HSEC的更多資訊，請訪問Restrictions for Managing HSEC Licenses部分。

線上工作流

與CSSM同步許可證

1. — 在vManagement GUI中，導航至主選單>工作流>同步和安裝HSEC許可證。

2. — 按一下彈出視窗中的「讓我們開始做」按鈕。

3. — 選擇Sync Licenses任務，然後按一下Next。

4. — 選擇Online模式，然後按一下Next。

5 — 輸入您的Cisco CSSM憑證，然後點選Next。

6. — 驗證HSEC許可證同步概述，然後按一下下一步。

7.- vManage連線到雲並查詢所有可用的虛擬帳戶。在下拉選單中，選擇包含有效和正計數HSEC許可證的虛擬帳戶。

注意：在步驟6中輸入的憑據必須在存放有HSEC許可證的智慧帳戶和虛擬帳戶中具有管理員角色。

8. — 選擇要安裝HSEC許可證的裝置。

附註：僅顯示與HSEC相容的裝置

9. — 檢視並驗證請求摘要，然後按一下Sync。

10. — 按一下Check HSEC Assignment Status以即時驗證SLAC保留。

11. — 從CSSM獲取許可證並儲存在vManage中後，其狀態顯示為「成功」。

安裝獲取的許可證

1. — 在vManagement GUI中，導航至主選單>工作流>同步和安裝HSEC許可證。

2. — 選擇「安裝許可證」任務。

3. — 選擇為其獲取HSEC許可證的裝置。

4. — 驗證安裝摘要，然後按一下安裝。

5. — 按一下Check HSEC Assignment Status以即時檢查安裝狀態。

6.- vManage與路由器通訊，將SLAC傳送到路由器並進行安裝。最終狀態必須為Success。

7. — 按一下Action圖示以顯示HSEC安裝的更詳細日誌。

離線工作流

與CSSM同步許可證

1. — 在vManagement GUI中，導航至主選單>工作流>同步和安裝HSEC許可證。

2. — 按一下彈出視窗中的「讓我們開始做」按鈕。

3. — 選擇Sync Licenses任務，然後按一下Next。

4. — 選擇Offline模式，然後按一下Next。

5. — 仔細檢視流程概述，然後按一下下一步。

6. — 選擇Download Process選項，然後按一下Next。

7. — 在搜尋欄中，過濾要安裝許可證的裝置。

8. — 檢視任務摘要，然後按一下下載HSEC裝置檔案(.SUDI)

9. — 開始自動下載許可證使用情況。

10. — 按一下開啟思科智慧軟體管理器或導航至：思科軟體中心。

11. — 在選定的智慧帳戶中，導航至思科軟體中心>智慧軟體許可，然後點選報告>使用資料檔案>上傳使用資料…….

12. — 在「上傳使用者資料」彈出視窗中，按一下Browse並選擇剛下載的檔案，然後按一下Upload Data。

13. — 系統開始處理檔案。大約需要5到10分鐘才能完成。然後按一下「Download」。

附註：要生成ACK檔案，報告狀態必須為「無錯誤」；如果出現錯誤，請按一下展開圖示以獲取有關錯誤的更多資訊。如果需要，請開啟思科TAC案例。

14. — 系統生成ACK檔案並自動下載。

15. — 在vManagement GUI中，再次導航到主選單>工作流>同步和安裝HSEC許可證>同步許可證>離線>下一步>上傳流程。

16. — 按一下Choose a File，或將下載的檔案拖放到框中，然後按一下Upload。

17. — 驗證任務摘要，然後按一下Upload。

安裝獲取的許可證

1. — 返回工作流庫同步和安裝許可證，然後按一下安裝許可證。

2. — 從清單中選擇為其進行許可證授權的同一裝置，然後按一下下一步。

3. — 檢視任務摘要，然後按一下安裝。

4. — 等待進程完成，安裝狀態必須為「成功」。

5. — 按一下Action圖示以顯示HSEC安裝的更詳細日誌。

返回HSECK9許可證

線上方法

目前，在控制器管理模式下沒有實現以聯機或離線方式返回許可證。

EdgeRouter# license smart authorization return local online
Operation cannot be completed because license is in use

EdgeRouter# license smart authorization return local offline
Operation cannot be completed because license is in use

要刪除許可證安裝，需要將路由器更改為自主模式。

EdgeRouter# controller-mode disable
Disabling controller mode erases the nvram filesystem, remove all configuration files, and reload the box!
Ensure the BOOT variable points to a valid image
Continue? [confirm]

附註：此模式更改將刪除當前的SD-WAN配置，強烈建議在安全位置備份配置。這有助於在邊緣路由器移回控制器管理模式時重建控制連線。

路由器進入自治模式後，必須完成一些基本配置才能訪問網際網路和域名系統(DNS)解析：

1. 配置WAN介面的IP地址和掩碼 
2. 開啟WAN介面的電源
3. 配置預設IP路由
4. 啟用DNS
5. 配置DNS伺服器

附註：自主模式使用configure terminal命令來進入配置模式，而不是configuration-transaction命令。

附註：自主模式不需要提交更改，而是將所有完成的配置儲存在運行配置檔案中。

使用HSECK9或Cisco DNA匯出控制許可證所在的同一虛擬帳戶的令牌。如果沒有活動令牌，則生成一個新令牌。

完成與邊緣路由器中相同的過程，生成與CSSM建立的信任。

EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# end
EdgeRouter# license smart trust idtoken TOKEN local force
EdgeRouter# license smart authorization request add hseck9 local

注意：使用前面介紹的相同命令驗證是否啟用了正確的傳輸型別和智慧接收器URL，並且信任建立已成功完成。

通訊完成後，將許可證返回虛擬帳戶中的垃圾桶。

EdgeRouter# license smart authorization return local online 
Authorization already returned with this code:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CmJHqn-5CFUkd-effkCh-4XqCpQ-SgK5Sz-fQFfM8-6qH7MA-33hDbX-sXT

日誌。

EdgeRouter# show logging | include SMART
*Aug 18 22:00:22.998: %SMART_LIC-6-AUTHORIZATION_REMOVED: A licensing authorization code has been removed from PID:C1111-8PWE,SN:FGL2149XXXX.

Router#show license eventlog 0 
**** Event Log ****
2022-08-18 22:08:53.275 UTC SAEVT_RESERVE_RETURN_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>519e0f72-85d6-4a57-8805-5999e7b712be</piid><dateStamp>2022-08-18T22:08:17</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feb851b0b3a2264144901cb3491c22-ff31e87ded74ffde</correlationID></status></authorizationCode><signature>MEUCIQCTL9Y/HrhJXgR3+oxCWH/mpLxezThnvoAMFRIO7BHzJgIgBNDnvAD4u1eiQZ3Qrg8uGc4I6rLkbR/pn3fDv67eG5c=</signature></smartLicenseAuthorization>"

附註：使用指令將路由器移回控制器管理模式controller-mode enable。

離線方法

為了生成返回代碼，路由器必須處於自主模式。完成Online Method以更改模式。

生成退貨代碼

使用路由器中的本地授權驗證CSSM中的保留許可證需要返回代碼。

EdgeRouter# license smart authorization return local offline
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CCKUTq-Qg2Ytw-ZhSLq5-bDFw7e-VvWgf2-QwwBed-3MaRcT-fFfGcn-X6e <<<< Copy the string

刪除保留

導覽至Product Instances > Actions > Remove。貼上剛從路由器複製的返回代碼，然後按一下Remove Reservation。

The License reservation removed successfully appears shown been（成功刪除的許可證保留通知）。再次導航到操作>移除>移除例項。

啟用 — 是否需要重新載入？

在基於8500的平台上，需要重新載入才能啟用HSEC嗎？

是，8500平台系列需要在自治模式或控制器模式下重新載入。

啟用HSEC後C8000v是否需要重新載入？

不，沒這個必要。根據C8000v上的設計，許可證仍為「不使用」，但裝置在安裝hsec後立即獲得無限吞吐量。

HSEC啟用後CSR1000v是否重新載入？

不能，啟用hsec後，CSR1000v不需要重新載入。

SD-WAN和非SD-WAN模式的重新載入行為是否相同？

不可以，SD-WAN和非SD-WAN模式在HSEC支援方面截然不同。

在SD-WAN模式下，需要重新載入才能啟用/啟用HSEC，而在非SD-WAN模式下，CLI「license feature hsec」在裝置上啟用/啟用hsec。在SD-WAN模式下的CSR1000v和C8000V平台上不需要重新載入。

停用HSEC許可證是否同樣適用？

可以在非SD-WAN模式(Autonomous)下解除安裝HSEC許可證，但是，使用該功能時無法解除安裝HSEC許可證。使用者必須使用CLI「no license feature hsec」禁用/停用HSEC許可證，並重新載入裝置，使許可證處於「not-in-use」狀態，然後啟動解除安裝命令。不支援SD-WAN模式下的HSEC許可證「uninstall」，因為無法禁用該功能。但是，使用者可以選擇進入自主模式並解除安裝，作為應對模式更改的已知挑戰的解決方法。請開啟TAC案例，以接收有關如何在SD-WAN模式下將許可證返回到CSSM的指導。

附註：有關詳細資訊，請訪問:SD-WAN的HSEC許可證常見問題解答。

許可證可用性驗證

驗證 

使用本節內容，確認您的組態是否正常運作。

有用的命令

線上或離線方法的每個步驟中描述了驗證過程。 

show license tech support
show license status
show license authorization
show license summary
show license history message
show license eventlog 
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
license smart clear event log
license smart sync local
license smart factory reset

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

使用策略的智慧許可依賴於邊緣路由器和CSSM之間通過Internet的安全雙向通訊，以便交換有利於註冊和許可證提取的確認和握手。

有些常見情況不允許在裝置之間正確交換消息。

常見問題

DNS解析不起作用

要訪問smartreceiver.com，邊緣路由器必須能夠解析域名。否則，URL不會轉換為可路由IP，通訊失敗。此錯誤通常在嘗試建立信任後顯示。

*Aug 18 20:45:10.345: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart License Utility (CSLU) : Unable to resolve server hostname/domain name

確保有IP連線至Internet。

ping 8.8.8.8

對URL執行Ping以驗證DNS是否有效，如果外部裝置使用telnet來封鎖網際網路控制訊息通訊協定(ICMP)。

ping cisco.com
telnet cisco.com 80

如果測試失敗，請配置DNS伺服器並啟用DNS解析。

ip domain lookup
ip name-server 8.8.8.8

如果無法配置外部DNS伺服器，請在路由器中配置本地DNS解析。

EdgeRouter# config-transaction
EdgeRouter(config)# ip host smartreceiver.com A.B.C.D
EdgeRouter(config)# commit

附註：如果您需要知道哪些IP響應smartreceiver.com，請從Windowsnslookup 或Linux電腦運行命令。

附註：不建議使用本地DNS解析，因為響應方IP可以隨著時間的推移而更改，並且Cisco不會通知此更改。

在智慧許可(SL)事件日誌中可看到常見錯誤消息。

EdgeRouter# show license eventlog 0
**** Event Log ****

2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

SD-WAN隧道阻止DNS

如果SD-WAN隧道中的隱含ACL阻止傳入的DNS響應，也會發生類似的問題。

EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

確保在註冊時允許DNS服務。

EdgeRouter# show sdwan running-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns <<<<<<<<<<<<<<<<<< MUST be allowed
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit

傳輸URL不正確

對於全新安裝（全新），預設傳輸型別為Cisco Smart Licensing Utility(CSLU)。

EdgeRouter# show license tech support | include Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: cslu         <<<<<<<<<<<<<<<<<<
Cslu address: <empty>
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: False

日誌中的常見錯誤。

EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed info

附註：Cisco SD-WAN(Cisco vManage)不支援CSLU，CSLU不能用於報告Cisco vManage管理的路由產品例項的許可證使用情況。有關詳細資訊，請導航至Cisco Smart License Utility(CSLU)。

手動配置智慧代理的預設URL和傳輸型別，並再次嘗試使用令牌建立的信任。

EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit

SD-WAN隧道阻止HTTPS

智慧許可通訊基於超文本傳輸協定安全(HTTPS)埠443，因此，如果SD-WAN隧道阻止傳入的HTTPS響應，註冊、授權請求和RUM報告通知將失敗。

日誌和事件日誌中的常見錯誤。

*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

確保在註冊時在SD-WAN隧道中允許HTTPS服務。如果沒有，請允許該值，並再次嘗試使用令牌建立信任。

EdgeRouter# show sdwan runnning-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns 
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https <<<<<<<<<<<<<<<<<< MUST be allowed
no allow-service snmp
no allow-service bfd
exit

外部防火牆阻止CSSM URL、IP或埠443

如果站點架構使用防火牆控制流量，請確保不會阻止指向smartreceiver.cisco.com的埠443。請與您的防火牆團隊或Internet服務提供商(ISP)聯絡以進一步驗證。

從路由器。

EdgeRouter# telnet smartreceiver.com 443        
Trying smartreceiver.com (X.X.X.X, 443)...Open

從服務VRF主機。

ericgar@cisco$ telnet smartreceiver.cisco.com 443
Trying X.X.X.X...
Connected to smartreceiver.cisco.com.   
Escape character is '^]'.

多個網際網路介面

在有多個介面的情況下，與CSSM的通訊會失敗；http源介面可以更改為路由器中的任何可用介面。

EdgeRouter# config-transaction
EdgeRouter(config)# ip http client source-interface INTERFACE
EdgeRouter(config)# commit

相關資訊

• 思科企業路由平台的智慧許可使用策略
• 使用策略SD-WAN管理智慧許可的許可證
• 技術支援與文件 - Cisco Systems