Configurazione della licenza HSEC sul router perimetrale XE SD-WAN

Introduzione

In questo documento viene descritto come installare e risolvere i problemi relativi alle licenze HSECK9 su un router SD-WAN XE Edge.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• SD-WAN (Wide Area Network) definito dal software Cisco
• Cisco IOS® XE Command Line Interface (CLI)
• Licenze Smart
• Cisco Software Central

Componenti usati

Questo documento si basa sulle seguenti versioni software e hardware:

• Cisco Edge Router C111-8PWE versione 17.6.3
• Cisco Edge Router c8000v 17.12.3
• Cisco Smart Software Manager (CSSM)
• Cisco vManage 20.12.3.1

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Principi base

Smart Licensing mediante criteri utilizza una varietà di nuovi concetti, ad esempio:

• Tipi di applicazione della licenza
• Durata della licenza
• Codice di autorizzazione
• Livello di throughput che richiede lo Smart Licensing Authorization Code (SLAC) - Piattaforme router che richiedono uno SLAC
• Policy
• Rapporto Misurazione utilizzo risorse (rapporto RUM) e Conferma rapporto
• Codice trust

Per ulteriori informazioni, passare a Smart Licensing mediante i concetti dei criteri.

Comportamento throughput

• Per impostazione predefinita, tutti i prodotti ISR serie 1000, ISR serie 4000, C8200, C8300, CSR1000v, C8000v e ISRv sono a 250 Mbps se il prodotto non dispone di una licenza HSECK9.
• Se il throughput deve essere superiore a 250 Mbps, tutti i modelli ISR serie 1000, ISR serie 4000, C8200, C8300, CSR1000v, C8000v e ISRv devono avere una licenza HSECK9 installata.
• Non tutte le appliance ASR serie 1000 devono avere HSECK9 per oltre 250 Mbps.
• Tutti i modelli C8500 devono avere una licenza HSECK9 installata nel produttore. In caso contrario, la licenza HSECK9 può essere installata manualmente.
• Nessuna configurazione del throughput nella modalità gestita dal controller. L'installazione della licenza HSECK9 consente automaticamente ai core di inoltro/motori di elaborazione pacchetti di liberare la velocità effettiva.
• Il throughput massimo dopo l'installazione della licenza HSECK9 dipende dalle funzionalità hardware della piattaforma. Per ulteriori informazioni, vedere il foglio dati della piattaforma specifica.

Nota: A partire dalle versioni 20.9.2 e 17.9.2a, le licenze HSEC possono essere gestite direttamente da vManage. Ulteriori informazioni sono disponibili qui:
Guida introduttiva a Cisco Catalyst SD-WAN - Gestisci licenze HSEC [Cisco SD-WAN] - Cisco

Verifica della disponibilità della licenza

Passaggio 1. Passare a Cisco Software Central.

Passaggio 2. Fare clic su Smart Software Manager.

Passaggio 3. Selezionare Magazzino dal menu superiore.

Passaggio 4. Scegliere l'account virtuale appropriato.

Passaggio 5. Selezionare la scheda Licenze nell'account virtuale.

Passaggio 6. Verificare che la licenza sia stata aggiunta e che sia disponibile con un saldo positivo.

Se non è disponibile una licenza o il saldo è negativo (in rosso), aprire una richiesta di assistenza in Cisco Licensing Team.

Nota: In questa guida si presume che il cliente abbia già acquistato una licenza HSECK9 o una licenza di esportazione US per DNA del router e che la licenza venga aggiunta a un account virtuale valido all'interno di uno smart account.

Modalità operativa del router

Verificare che il router sia in modalità gestita dal controller con uno dei comandi.

show platform software device-mode
show version | include mode

Esempio:

EdgeRouter# show platform software device-mode
Device Operating-mode: Controller-Managed
Device-mode bootup status:
8/03 00:44:16 System is green
Bootup Success

EdgeRouter# show version | in mode 
Router operating mode: Controller-Managed

Nota: Se il risultato della modalità operativa è Autonomo, spostare il router su Gestito da controller con il controller-mode enable comando.

Configurazione

Metodo online per CSSM

Configurare il tipo di trasporto e impostare l'URL CSM predefinito

Passaggio 1. Configurare il tipo di trasporto e l'URL corretti.

EdgeRouter#config-transaction
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit
Commit complete.

Nota: Se al router è associato un modello: gli smart commands per il trasporto e l'URL sono supportati e possono essere configurati con un modello della funzionalità CLI-Add-On. Per ulteriori informazioni, passare a Modelli di funzionalità aggiuntive della CLI.

Passaggio 2. Verificare che il commit delle modifiche sia stato eseguito correttamente.

EdgeRouter# show lic tech support | begin Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: Smart <<<<<<<<<<<<<<<<<<<<<<<<<<<< This must be Smart
URL: https://smartreceiver.cisco.com/licservice/license <<<<<<<<<<<<<<< URL must be pointed to smartreceiver.cisco.com
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: True

Nota: L'URL predefinito viene attivato automaticamente e non è necessario modificarlo.

Genera un token di registrazione dell'istanza del prodotto

Passaggio 1. Generare un nuovo token.

All'interno dello stesso account virtuale in cui risiede la licenza, passare alla scheda Generale e fare clic su Nuovo token.

Passaggio 2. Compilare le nuove informazioni sul token.

Descrizione: Breve descrizione dello scopo del token.
Scadenza dopo: Numero di giorni di validità del token per le registrazioni dei prodotti.
Max. Numero di utilizzi: Token numero massimo di utilizzi. Facoltativo.

Assicurarsi che l'opzione Consenti esportazione controllata sia selezionata. In caso contrario, la registrazione della licenza non riesce e fare clic su Crea token.

Nota: Il token scade quando viene raggiunta la scadenza o l'utilizzo massimo.

Nota: Per ulteriori informazioni, passare a Cisco Export Trade.

Passaggio 3. Copiare il token.

Copiare il token appena generato negli Appunti; spostarsi su Azioni > Copia o manualmente nella piccola icona blu accanto alla stringa del token.

Genera un trust tra il router perimetrale e il CSM

Per fornire l'autorizzazione a usare una licenza sottoposta a controllo per l'esportazione, il router perimetrale deve stabilire una relazione di trust con il CSM. Per l'handshake, il router perimetrale utilizza il token generato nel modulo CSM nel passaggio precedente.

license smart trust idtoken TOKEN local force

Esempio:

EdgeRouter# license smart trust idtoken ZThjOTlmM2UtMjQ2ZC00YjI1LTgwNjctZGIxZjIzYjZiYmVmLTE2NjM0NjI1%0AMjgyNTh8YWNVeTFiZU03N0lCdTFadmJ4ejZBL0toR2Mva21odElrQmxDa1FN%0AcVI3cz0%3D%0A local force

Subito dopo la creazione del trust, i registri mostrano la comunicazione con CSM.

EdgeRouter# show logging last 50
<snip>
*Aug 18 21:03:44.730: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair2 has been removed from key storage
*Aug 18 21:03:46.146: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair2 has been generated or imported by crypto-engine
*Aug 18 21:03:53.221: %SYS-6-PRIVCFG_ENCRYPT_SUCCESS: Successfully encrypted private config file
*Aug 18 21:03:56.107: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco Smart Software Manager (CSSM) restored
*Aug 18 21:03:56.347: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C1111-8PWE,S:FGL2149XXXX.

Verifica il contatore di riuscita dell'istituzione trust

Verificare che il contatore delle operazioni riuscite per il trust sia maggiore. Questo significa che l'agente di licenza può raggiungere CSSM.

EdgeRouter# show lic tech support | begin Communication Statistics
Communication Statistics:
=======================
Communication Level Allowed: DIRECT
Overall State: <empty>
Trust Establishment:
Attempts: Total=1, Success=1, Fail=0 Ongoing Failure: Overall=0 Communication=0 <<<<<<<<<<
Last Response: OK on Aug 18 21:03:56 2022 UTC
Failure Reason: <none>
Last Success Time: Aug 18 21:03:56 2022 UTC
Last Failure Time: Aug 18 21:00:43 2022 UTC
<snip>

Nota: Se il contatore degli errori aumenta, passare alla sezione Risoluzione dei problemi in questo documento.

Richiedi autorizzazione

A questo punto, il trust è stato stabilito, ma la licenza HSECK9 non è ancora in uso. Questo problema si verifica perché è necessario per rendere la richiesta del router al modulo CSM l'utilizzo della licenza. Per recuperare la licenza, eseguire la richiesta di autorizzazione.

EdgeRouter# license smart authorization request add hseck9 local

Registri:

EdgeRouter# show logging | include SMART
*Aug 18 21:11:41.553: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 18 21:11:41.641: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

Nel registro eventi di Smart Licensing, le informazioni relative alla richiesta di licenza vengono salvate nel caso siano necessarie ulteriori informazioni.

EdgeRouter# show lic eventlog 0
**** Event Log ****
2022-08-18 21:11:41.538 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><dateStamp>2022-08-18T21:17:45</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feac79ca9112704623118db58bbc2c-09b6eebc91ae833f</correlationID></status></authorizationCode><signature>MEUCIBuNw8+ogfZmJAbsRa+8B+F0wnDZLrv5RXm822rN/he5AiEAtfzzFV9L3dqht4sUYDxRvnUHF2KYi+vFv2vivDF6rIs=</signature></smartLicenseAuthorization>"
2022-08-18 21:11:41.552 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.576 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-18 21:11:41.641 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:11:41.641 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-18 21:12:06.119 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><piid>d216f143-7e2c-48df-aa71-652b15ea1c7e</piid><status><success>false</success><message>last update already confirmed</message><code>last update already confirmed</code><correlationID>62feac7c4be974f92eefc15a640f938b-f08787827763ca37</correlationID></status></authorizationCode><signature>MEUCIQDhI8x+Rzf7wyibdohvYY6q9/8puukf8SuJ4ok48d4y5QIgdl5/z/7rLu+LEd5gK9kgOxA2Vb+vnJUcTOVPo3/R0pc=</signature></smartLicenseAuthorization>"

Verifica della riuscita dell'attivazione

Sono disponibili alcuni comandi per verificare se la licenza è ora disponibile e attivata correttamente.

show license tech support | begin License Usage
show license authorization
show license summary
show license usage

Esempio:

EdgeRouter# show license tech support | begin License Usage 
License Usage
=============
Handle: 1
License: hseck9
Entitlement Tag: regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844
Description: hseck9
Count: 1
Version: 1.0
Status: IN USE(15)               <<<<<<<<<<<<<<<<<<<<<<
Status time: Aug 18 21:11:41 2022 UTC
Request Time: Aug 18 21:11:41 2022 UTC
Export status: RESTRICTED - ALLOWED
Feature Name: hseck9
Feature Description: hseck9
Enforcement type: EXPORT RESTRICTED
License type: Perpetual
Measurements:
ENTITLEMENT:
Interval: 00:15:00
Current Value: 1

EdgeRouter# show license authorization 
Overall status:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Status: SMART AUTHORIZATION INSTALLED on Aug 18 21:11:41 2022 UTC   <<<<<<<<<<<<<<<
Last Confirmation code: 0cde51c5

Authorizations:
Router US Export Lic. for DNA (DNA_HSEC):
Description: U.S. Export Restriction Compliance license for DNA based Routers
Total available count: 1
Enforcement type: EXPORT RESTRICTED
Term information:
Active: PID:C1111-8PWE,SN:FGL2149XXXX
Authorization type: SMART AUTHORIZATION INSTALLED  <<<<<<<<<<<<<
License type: PERPETUAL
Term Count: 1

Purchased Licenses:
No Purchase Information Available


Edge# show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
hseck9 (DNA_HSEC) 1 IN USE     <<<<<<<<<<

Metodo Offline per CSSM

Per le reti con interruzioni d'aria in cui l'accesso a Internet non è consentito, l'installazione delle licenze sottoposte ai controlli per l'esportazione può essere effettuata con una prenotazione locale di una SLAC sul CSSM. 

Nota: Questo metodo non richiede un tipo di trasporto né un URL (Uniform Resource Locator) valido. 

Genera una prenotazione licenze locale

Nello stesso account virtuale in cui risiede la licenza, passare a Istanze di prodotto > Autorizza funzionalità applicate da licenza.

Ottieni informazioni UDI su Edge Router

La prenotazione della licenza locale richiede l'UDI (Unique Device Identifier) dal router perimetrale, eseguire il show license udi comando per ottenere l'ID prodotto (PID) e il numero di serie (SN).

EdgeRouter# show license udi
UDI: PID:C1111-8PWE,SN:FGL2149XXXX

Compilare l'UDI del router perimetrale nel modulo di prenotazione

Selezionare Single Device (Dispositivo singolo) e specificare il numero di serie e il PID del router perimetrale. Fare clic su Next (Avanti).

Selezionare il numero di licenze da riservare

Poiché si tratta di una singola periferica, la licenza riservata è una, digitare il numero nella casella. Assicurarsi che il numero non superi quello disponibile.

Selezionare il tipo di dispositivo di licenza 

Il tipo di dispositivo può essere Digital Network Architecture (DNA) On-Prem o DNA Cloud. Dipende dal tipo di licenza acquistata.

Genera il codice di autorizzazione

Esaminare la configurazione e fare clic su Genera codice di autorizzazione.

Scaricare lo SLAC

Lo SLAC può essere scaricato come file o copiato negli Appunti.

Copiare lo SLAC sul router perimetrale

Per copiare il file SLAC su Edge Router, sono disponibili tre opzioni.

• Con unità USB.

EdgeRouter# show file systems | include usb|Size
Size(b)        Free(b)  Type Flags Prefixes
15598043136 15596658688 disk  rw     usb0:

EdgeRouter# dir usb0:
Directory of usb0:/

5 -rwx 1557 Aug 19 2022 00:43:30 +00:00 AuthorizationCode_SN_FGL2149XXXX.txt

15598043136 bytes total (15596658688 bytes free)

EdgeRouter# copy usb0:AuthorizationCode_SN_FGL2149XXXX.txt bootflash:
Destination filename [AuthorizationCode_SN_FGL2149XXXX.txt]? 
Copy in progress...C
1557 bytes copied in 0.020 secs (77850 bytes/sec)

• Con vManage tramite Control Connections, passare a Trasferisci file tra un router perimetrale e vManage per ulteriori informazioni.
• SCP/FTP/TFTP sul lato servizio.

Installare lo SLAC

Usare Smart Import per installare il file SLAC in bootflash.

EdgeRouter# license smart import bootflash:AuthorizationCode_SN_FGL2149XXXX.txt
Import Data Successful
Last Confirmation code UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Confirmation code: aaa6b57e

Registri.

EdgeRouter# show logging | include SMART
*Aug 19 05:42:45.309: %SMART_LIC-6-AUTHORIZATION_INSTALL_SUCCESS: A new licensing authorization code was successfully installed on PID:C1111-8PWE,SN:FGL2149XXXX
*Aug 19 05:42:45.362: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed for feature hseck9

EdgeRouter# show license eventlog 0
**** Event Log ****

2022-08-19 05:42:45.293 UTC SAEVT_RESERVE_INSTALL_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>0ceadf0a-3145-4779-8cbb-743c5a234a05</piid><dateStamp>2022-08-19T05:43:11</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62ff22ec38ab5858bde12581a2589b39-bde12581a2589b39</correlationID></status></authorizationCode><signature>MEUCIQDrUe11CPAsnjonKRmUe40arqPiY/q/UfTGSJ1IdmkkrAIgF8G2zoHIxz04IVO2J7ZHA1M51+QMvLzUGyZsfvwK5tk=</signature></smartLicenseAuthorization>"
2022-08-19 05:42:45.308 UTC SAEVT_TAG_EXPORT exportAllowed="False" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.333 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="0" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.334 UTC SAEVT_STATE_RESERVE_AUTHORIZED
2022-08-19 05:42:45.362 UTC SAEVT_TAG_AUTHORIZED count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"
2022-08-19 05:42:45.362 UTC SAEVT_TAG_EXPORT exportAllowed="True" count="1" entitlementTag="regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844"

Verifica della riuscita dell'installazione

Per verificare se la licenza è installata correttamente, utilizzare lo stesso comando utilizzato nel metodo online.

show license authorization
show license summary
show license tech support | begin License Usage 

Se l'installazione è corretta, la licenza nell'account virtuale incrementa automaticamente il contatore In uso e diminuisce il contatore Disponibile.

Inoltre, nella scheda Product Instances (Istanze prodotto), vengono visualizzate le informazioni UDI del router perimetrale. Fare clic sulla voce per ottenere ulteriori informazioni sulle caratteristiche della licenza.

Metodo vManage Workflows

A partire dalla versione 20.9.2, vManage consente di installare una licenza HSECK9 con l'ausilio di Workflow. 

Nota: Questo metodo funziona solo con "Router US Export Lic. per le licenze DNA; Le licenze HSEC specifiche del dispositivo, ad esempio ISR4300_HSEC o ISR4400_HSEC, non funzionano più. Per ulteriori informazioni su come convertire una licenza HSEC specifica del dispositivo in una licenza DNA HSEC, vedere la sezione Restrizioni per la gestione delle licenze HSEC.

Flusso di lavoro online

Sincronizza licenze con CSM

1.- Nell'interfaccia utente di vManage, selezionare Main Menu > Workflows > Sync and Install HSEC Licenses (Menu principale > Workflow > Sincronizza e installa licenze HSEC).

2.- Fare clic sul pulsante Let's Do it nella finestra pop-up.

3.- Selezionare l'attività Sync Licenses e fare clic su Next (Avanti).

4.- Selezionare Online mode e fare clic su Next (Avanti).

5- Immettere le credenziali Cisco CSM e fare clic su Next (Avanti).

6.- Verificare la panoramica di Sincronizzazione licenze HSEC e fare clic su Avanti.

7.- vManage si connette al cloud e interroga tutti gli account virtuali disponibili. Selezionare nell'elenco a discesa l'account virtuale che contiene una licenza HSEC valida e positiva.

Nota: le credenziali immesse al passaggio 6 devono avere un ruolo di amministratore nello Smart Account e nell'account virtuale in cui sono depositate le licenze HSEC.

8.- Selezionare il dispositivo su cui installare la licenza HSEC.

Nota: Vengono visualizzate solo le periferiche compatibili con HSEC

9.- Rivedere e verificare il riepilogo della richiesta e fare clic su Sincronizza.

10.- Fare clic su Controlla stato assegnazione HSEC per verificare in tempo reale la prenotazione SLAC.

11.- Dopo aver recuperato la licenza dal CSM e averla archiviata in vManage, lo stato viene indicato come Operazione riuscita.

Installa licenze recuperate

1.- Nell'interfaccia utente di vManage, selezionare Main Menu > Workflows > Sync and Install HSEC Licenses (Menu principale > Workflow > Sincronizza e installa licenze HSEC).

2.- Selezionare l'attività Installa licenze.

3.- Selezionare il dispositivo per il quale sono state recuperate le licenze HSEC.

4.- Verificare il riepilogo dell'installazione e fare clic su Installa.

5.- Fare clic su Check HSEC Assignment Status per controllare lo stato dell'installazione in tempo reale.

6.- vManage comunica con il router, invia lo SLAC e lo installa. Lo stato finale deve essere Operazione riuscita.

7.- Fare clic sull'icona Azione per visualizzare i log più dettagliati dell'installazione di HSEC.

Flusso di lavoro offline

Sincronizza licenze con CSM

1.- Nell'interfaccia utente di vManage, selezionare Main Menu > Workflows > Sync and Install HSEC Licenses (Menu principale > Workflow > Sincronizza e installa licenze HSEC).

2.- Fare clic sul pulsante Let's Do it nella finestra pop-up.

3.- Selezionare l'attività Sync Licenses e fare clic su Next (Avanti).

4.- Selezionare la modalità offline e fare clic su Next (Avanti).

5.- Esaminare attentamente la panoramica del processo e fare clic su Next (Avanti).

6.- Selezionare l'opzione Download Process e fare clic su Next (Avanti).

7.- Nella barra di ricerca, filtrare il dispositivo per il quale si intende installare la licenza.

8.- Esaminare il riepilogo dell'attività e fare clic su Download HSEC Device File (.SUDI)

9.- Viene avviato il download automatico dell'utilizzo della licenza.

10.- Fare clic su Open Cisco Smart Software Manager o selezionare Cisco Software Central.

11.- Nello Smart Account selezionato, selezionare Cisco Software Central > Smart Software Licensing, quindi fare clic su Report > File di dati sull'uso > Carica dati sull'uso....

12.- Nel Upload Usada Data Pop-up, fare clic su Sfoglia e selezionare il file appena scaricato e fare clic su Upload Data (Carica dati).

13.- Il sistema inizia a elaborare il file. Per completare l'operazione sono necessari da 5 a 10 minuti circa. Quindi fai clic su Scarica.

Nota: Per generare il file ACK, lo stato del report deve essere "No errors" (Nessun errore); in caso di errore, fare clic sull'icona di espansione per ottenere ulteriori informazioni sull'errore. Apri una richiesta TAC Cisco, se necessario.

14.- Il sistema genera il file ACK e lo scarica automaticamente.

15.- Nella GUI di vManage, tornare al menu principale > Workflow > Sincronizza e installa licenze HSEC > Sincronizza licenze > Offline > Avanti > Processo di caricamento.

16.- Fare clic su Choose a File (Scegli un file) o trascinare il file scaricato nella casella e fare clic su Upload (Carica).

17.- Verificare il riepilogo dell'operazione e fare clic su Upload.

Installa licenze recuperate

1.- Tornare alla libreria del flusso di lavoro Sincronizza e installa licenze e fare clic su Installa licenze.

2.- Selezionare dall'elenco la stessa periferica per la quale è stata rilasciata l'autorizzazione alla licenza e fare clic su Next (Avanti).

3.- Esaminare il riepilogo dell'attività e fare clic su Installa.

4.- Attendere il completamento del processo. Lo stato dell'installazione deve essere Operazione completata.

5.- Fare clic sull'icona Action per visualizzare i log più dettagliati dell'installazione di HSEC.

Restituire la licenza HSECK9

Metodo online

Al momento, non è disponibile alcuna implementazione in modalità gestita dal controller per restituire una licenza né in modalità online né offline.

EdgeRouter# license smart authorization return local online
Operation cannot be completed because license is in use

EdgeRouter# license smart authorization return local offline
Operation cannot be completed because license is in use

Per rimuovere l'installazione della licenza, il router deve essere impostato sulla modalità autonoma.

EdgeRouter# controller-mode disable
Disabling controller mode erases the nvram filesystem, remove all configuration files, and reload the box!
Ensure the BOOT variable points to a valid image
Continue? [confirm]

Nota: Questa modifica della modalità rimuove la configurazione SD-WAN corrente. Si consiglia di eseguire il backup della configurazione in un luogo sicuro. In questo modo è possibile ricreare le connessioni di controllo quando il router perimetrale viene riportato alla modalità gestita dal controller.

Quando il router è in modalità autonoma, è necessario eseguire una configurazione di base per poter raggiungere Internet e la risoluzione DNS (Domain Name System):

1. Configurazione di un indirizzo IP e di una maschera per l'interfaccia WAN 
2. Accendere l'interfaccia WAN
3. Configurare una route IP predefinita
4. Abilita DNS
5. Configurare un server DNS

Nota: La modalità autonoma utilizza il comando configure terminal per accedere alla modalità di configurazione, anziché il comando configuration-transaction.

Nota: La modalità autonoma non richiede il commit delle modifiche, ma qualsiasi configurazione eseguita viene salvata nel file di configurazione in esecuzione.

Utilizzare un token dello stesso account virtuale in cui risiede la licenza HSECK9 o Cisco DNA sottoposta ai controlli per l'esportazione. Se non è presente alcun token attivo, generarne uno nuovo.

Completare la stessa procedura descritta in Edge Router per generare un trust stabilito con il modulo CSM.

EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# end
EdgeRouter# license smart trust idtoken TOKEN local force
EdgeRouter# license smart authorization request add hseck9 local

Nota: utilizzare gli stessi comandi spiegati in precedenza per verificare che il tipo di trasporto e l'URL del ricevitore intelligente siano abilitati e che il trust sia stato stabilito correttamente.

Dopo aver completato la comunicazione, restituire la licenza al contenitore nell'account virtuale.

EdgeRouter# license smart authorization return local online 
Authorization already returned with this code:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CmJHqn-5CFUkd-effkCh-4XqCpQ-SgK5Sz-fQFfM8-6qH7MA-33hDbX-sXT

Registri.

EdgeRouter# show logging | include SMART
*Aug 18 22:00:22.998: %SMART_LIC-6-AUTHORIZATION_REMOVED: A licensing authorization code has been removed from PID:C1111-8PWE,SN:FGL2149XXXX.

Router#show license eventlog 0 
**** Event Log ****
2022-08-18 22:08:53.275 UTC SAEVT_RESERVE_RETURN_START udi="PID:C1111-8PWE,SN:FGL2149XXXX" authorizationCode="<smartLicenseAuthorization><udi>P:C1111-8PWE,S:FGL2149XXXX</udi><authorizationCode><customerInfo><smartAccount>Cisco Systems, TAC</smartAccount><virtualAccount>sdwan-lab</virtualAccount></customerInfo><flag>A</flag><version>C</version><piid>519e0f72-85d6-4a57-8805-5999e7b712be</piid><dateStamp>2022-08-18T22:08:17</dateStamp><entitlements><entitlement><tag>regid.2019-03.com.cisco.DNA_HSEC,1.0_509c41ab-05a8-431f-95fe-ec28086e8844</tag><count>1</count><startDate></startDate><endDate></endDate><licenseType>PERPETUAL</licenseType><displayName>Router US Export Lic. for DNA</displayName><tagDescription>U.S. Export Restriction Compliance license for DNA based Routers</tagDescription><tagType>PERPETUAL</tagType><status><success>true</success></status></entitlement></entitlements><status><success>true</success><correlationID>62feb851b0b3a2264144901cb3491c22-ff31e87ded74ffde</correlationID></status></authorizationCode><signature>MEUCIQCTL9Y/HrhJXgR3+oxCWH/mpLxezThnvoAMFRIO7BHzJgIgBNDnvAD4u1eiQZ3Qrg8uGc4I6rLkbR/pn3fDv67eG5c=</signature></smartLicenseAuthorization>"

Nota: Riportare il router alla modalità gestita dal controller con il comandocontroller-mode enablecommand.

Offline, metodo

Per generare il codice restituito, il router deve essere in modalità autonoma. Completare il metodo in linea per modificare la modalità.

Genera il codice restituito

Il codice restituito è necessario per convalidare la licenza riservata in CSM con l'autorizzazione locale nel router.

EdgeRouter# license smart authorization return local offline
Enter this return code in Cisco Smart Software Manager portal:
UDI: PID:C1111-8PWE,SN:FGL2149XXXX
Return code: CCKUTq-Qg2Ytw-ZhSLq5-bDFw7e-VvWgf2-QwwBed-3MaRcT-fFfGcn-X6e <<<< Copy the string

Rimuovi prenotazione

Passare a Istanze prodotto > Azioni > Rimuovi. Incollare il codice restituito appena copiato dal router e fare clic su Rimuovi prenotazione.

La notifica della rimozione della prenotazione della licenza viene visualizzata subito dopo. Passare nuovamente a Azioni > Rimuovi > Rimuovi istanza.

Attivazione - È necessario ricaricare?

È vero che sulle piattaforme basate sull'8500 è necessario un ricaricamento per attivare HSEC?

Sì, la famiglia di piattaforme 8500 richiede un ricaricamento in modalità autonoma o controller.

È necessario un ricaricamento per C8000v dopo l'attivazione di HSEC?

No, non è necessario. La licenza rimane "non in uso" come da progettazione su C800v, ma il dispositivo ottiene una velocità effettiva illimitata subito dopo l'installazione hsec.

È disponibile un ricaricamento per CSR1000v dopo l'attivazione di HSEC?

No, dopo l'attivazione di hsec, CSR1000v non richiede un ricaricamento.

Il comportamento di ricaricamento è lo stesso per le modalità SD-WAN e non SD-WAN?

No, le modalità SD-WAN e non-SD-WAN rispetto all'abilitazione HSEC sono molto diverse.

In modalità SD-WAN, è necessario un ricaricamento per abilitare/attivare HSEC, mentre in modalità non SD-WAN, la CLI 'license feature hsec' abilita/attiva hsec sul dispositivo. Non è necessario ricaricare le piattaforme CSR1000v e C8000V in modalità SD-WAN.

È valida anche per la disattivazione della licenza HSEC?

La licenza HSEC può essere disinstallata nella modalità non SD-WAN (autonoma). Tuttavia, la licenza HSEC non può essere disinstallata mentre la funzionalità è in uso. L'utente deve disabilitare/disattivare la licenza HSEC con la CLI 'no license feature hsec' e ricaricare il dispositivo in modo che la licenza sia in stato "non in uso", quindi avviare il comando di disinstallazione. La licenza HSEC 'uninstall' in modalità SD-WAN non è supportata perché la funzione non può essere disabilitata. Tuttavia, l'utente ha la possibilità di passare alla modalità autonoma e disinstallare come soluzione alternativa a problemi noti con le modifiche della modalità. Aprire una richiesta TAC per ricevere istruzioni su come restituire la licenza al CSM in modalità SD-WAN.

Nota: Per ulteriori informazioni, visitare: HSEC License FAQs for SD-WAN.

Verifica della disponibilità della licenza

Verifica 

Per verificare che la configurazione funzioni correttamente, consultare questa sezione.

Comandi utili

La procedura di verifica viene descritta in ogni fase per i metodi in linea o non in linea. 

show license tech support
show license status
show license authorization
show license summary
show license history message
show license eventlog 
    
    
license smart clear event log
license smart sync local
license smart factory reset

Risoluzione dei problemi

In questa sezione vengono fornite informazioni utili per risolvere i problemi di configurazione.

La policy per l'utilizzo di licenze intelligenti si basa su una comunicazione bidirezionale sicura tra il router perimetrale e il modulo CSM su Internet, per scambiare conferme e handshake che favoriscono la registrazione e il recupero della licenza.

Esistono scenari comuni che non consentono lo scambio corretto di messaggi tra i dispositivi.

Problemi comuni

La risoluzione DNS non funziona

Per raggiungere smartreceiver.com, il router perimetrale deve essere in grado di risolvere un nome di dominio. In caso contrario, l'URL non viene convertito in un IP indirizzabile e la comunicazione non riesce. Questo errore in genere viene visualizzato dopo il tentativo di stabilire il trust.

*Aug 18 20:45:10.345: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart License Utility (CSLU) : Unable to resolve server hostname/domain name

Verificare che esista una connettività IP a Internet.

ping 8.8.8.8

Eseguire il ping di un URL per verificare se il DNS funziona o meno se il protocollo ICMP (Internet Control Message Protocol) è bloccato da un dispositivo esterno tramite telnet su un URL.

ping cisco.com
telnet cisco.com 80

Se il test ha esito negativo, configurare un server DNS e abilitare la risoluzione DNS.

ip domain lookup
ip name-server 8.8.8.8

Se non è possibile configurare un server DNS esterno, configurare la risoluzione DNS locale nel router.

EdgeRouter# config-transaction
EdgeRouter(config)# ip host smartreceiver.com A.B.C.D
EdgeRouter(config)# commit

Nota: Per sapere quali IP rispondono a smartreceiver.com, eseguire un nslookup comando da un computer Windows o Linux.

Nota: La risoluzione DNS locale non è consigliata perché gli IP dei risponditori possono cambiare nel tempo e Cisco non avvisa in merito alla modifica.

Il messaggio di errore più comune viene visualizzato nel registro eventi di Smart Licensing (SSL).

EdgeRouter# show license eventlog 0
**** Event Log ****

2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

SD-WAN Tunnel Blocks DNS

Un problema simile si verifica se l'ACL implicito nel tunnel SD-WAN blocca le risposte DNS in arrivo.

EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given 

Verificare che al momento della registrazione il servizio DNS sia consentito.

EdgeRouter# show sdwan running-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns <<<<<<<<<<<<<<<<<< MUST be allowed
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit

URL di trasporto non corretto

Per le installazioni greenfield (fresche), il tipo di trasporto predefinito è Cisco Smart Licensing Utility (CSLU).

EdgeRouter# show license tech support | include Smart Licensing Status
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

License Conversion:
Automatic Conversion Enabled: True
Status: Not started

Export Authorization Key:
Features Authorized:
<none>

Utility:
Status: DISABLED

Smart Licensing Using Policy:
Status: ENABLED

Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED

Transport:
Type: cslu         <<<<<<<<<<<<<<<<<<
Cslu address: <empty>
Proxy:
Address: <empty>
Port: <empty>
Username: <empty>
Password: <empty>
Server Identity Check: False

Errori comuni nei registri.

EdgeRouter# show license eventlog 0
**** Event Log ****
2022-08-18 20:45:10.345 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"
2022-08-18 20:45:57.804 UTC SAEVT_COMM_FAIL error="Unable to resolve server hostname/domain name"

EdgeRouter# show logging | include SMART
*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed info

Nota: CSLU non è supportato in Cisco SD-WAN (Cisco vManage) e non può essere utilizzato per segnalare l'utilizzo della licenza per il routing di istanze di prodotti gestite da Cisco vManage. Per ulteriori informazioni, passare a Cisco Smart License Utility (CSLU).

Configurare manualmente l'URL e il tipo di trasporto predefiniti per lo smart agent, quindi provare a ristabilire il trust stabilito con il token.

EdgeRouter# configure terminal
EdgeRouter(config)# license smart transport smart
EdgeRouter(config)# license smart url default
EdgeRouter(config)# commit

Blocchi tunnel SD-WAN HTTPS

La comunicazione di Smart Licensing si basa sulla porta Hypertext Transfer Protocol Secure (HTTPS) 443, quindi, se il tunnel SD-WAN blocca le risposte HTTPS in arrivo, la registrazione, la richiesta di autorizzazione e la notifica dei rapporti RUM hanno esito negativo.

Errore comune nel registro e nel registro eventi.

*Aug 18 20:59:44.914: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

Verificare che il servizio HTTPS sia consentito nel tunnel SD-WAN al momento della registrazione. In caso contrario, consentirlo e riprovare a utilizzare il token per stabilire la attendibilità.

EdgeRouter# show sdwan runnning-config sdwan
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation gre
encapsulation ipsec weight 1
no border
color public-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 5
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
no allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns 
allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https <<<<<<<<<<<<<<<<<< MUST be allowed
no allow-service snmp
no allow-service bfd
exit

Blocchi esterni del firewall per URL CSM, IP o porta 443

Se l'architettura del sito utilizza un firewall per controllare il traffico, verificare che la porta 443 a smartreceiver.cisco.com non sia bloccata. Contattare il team del firewall o il provider di servizi Internet (ISP) per ulteriori verifiche.

Dal router.

EdgeRouter# telnet smartreceiver.com 443        
Trying smartreceiver.com (X.X.X.X, 443)...Open

Da un host VRF di servizio.

ericgar@cisco$ telnet smartreceiver.cisco.com 443
Trying X.X.X.X...
Connected to smartreceiver.cisco.com.   
Escape character is '^]'.

Interfacce multiple per Internet

In alcuni scenari in cui sono presenti più interfacce, la comunicazione con CSSM non riesce; l'interfaccia dell'origine HTTP può essere modificata in qualsiasi percorso disponibile nel router.

EdgeRouter# config-transaction
EdgeRouter(config)# ip http client source-interface INTERFACE
EdgeRouter(config)# commit

Informazioni correlate

• Gestione intelligente delle licenze tramite criteri per piattaforme di routing aziendali Cisco
• Gestire le licenze per Smart Licensing utilizzando il criterio SD-WAN
• Documentazione e supporto tecnico – Cisco Systems