Licenciamento inteligente na plataforma ASR9000

Introduction

Este documento descreve a configuração, a operação e a solução de problemas do Software Smart Licensing no Cisco IOS^® XR Versão 5.2.0 e posterior. O Smart Licensing foi desenvolvido para lidar com o gerenciamento de requisitos de licenciamento para vários recursos e aplicativos que são executados em plataformas e sistemas operacionais (SOs) da Cisco.

O aplicativo Smart Licensing é executado não apenas no ASR9000 (ASR9K) para o Cisco IOS XR, mas também em várias plataformas que executam os sistemas operacionais Cisco IOS e Cisco IOS-XE. Esse aplicativo simples reduz muito o esforço necessário para gerenciar diversos dispositivos, sistemas e plataformas da Cisco e traz a simplicidade muito necessária para o gerenciamento de licenças, direitos e custos operacionais.

O método usado pelo aplicativo Smart Licensing é um método de recebimento dinâmico; o dispositivo ASR9K inicia a chamada e obtém as informações dos servidores back-end da Cisco. Os servidores back-end da Cisco NÃO iniciarão nenhuma chamada ou conexão com nenhum dispositivo, mas sempre responderão quando as solicitações de conexão forem provenientes dos dispositivos que gostariam de se registrar e receber qualificação.

A configuração inicial é segura e fácil com muito pouca intervenção manual do operador do(s) dispositivo(s) e pode ser automatizada para os ambientes maiores com um script regular Tool Command Language (TcL) ou Python Expect. Os recursos de geração de relatórios fornecidos pelos servidores back-end da Cisco, acessíveis por meio de um navegador comum, ajudarão os clientes na contabilidade de seu inventário de dispositivos, recursos implantados tanto licenciados quanto fora de conformidade (OOC) e movimentarão dinamicamente seus recursos sem a necessidade de reprovisionar ou solicitar suporte.

Visão Superior

O Smart Licensing usa o HTTP Secure (HTTPS) padrão como mecanismo de transporte para acessar os servidores back-end da Cisco. Tecnicamente falando, há apenas uma linha de configuração que é necessária para ativar o recurso Smart Licensing no dispositivo ASR9K:

RP/0/RSP0/CPU0:SAMDD(admin-config)#license smart enable

O dispositivo usa o transporte HTTPS como padrão e, após uma solicitação de registro bem-sucedida, consulta imediatamente os servidores de back-end para obter a qualificação. Ele retorna Authorized (Autorizado), que significa que o dispositivo tem a licença para o recurso, ou OOC, que significa que a autorização não está presente, ausente ou expirou.

Observação: o estado de conformidade da licença NÃO afetará a funcionalidade do dispositivo de nenhuma forma. O aplicativo Smart Licensing atual é baseado em um sistema de honra e notifica o administrador através de registros de syslog ou console sobre a conformidade ou estado de OOC. Não há impedimento de funcionalidade de nenhuma forma devido ao licenciamento ou à falta dele. No entanto, a Cisco incentiva a conformidade, o que dá muito mais visibilidade aos clientes no que diz respeito ao inventário de dispositivos, consumo de licenças, recursos usados por dispositivo e no total agregado/soma, etc.

Observação: o suporte HTTP para servidores back-end está sendo preterido no ano de 2019, mas o HTTP para um servidor satélite ainda funcionará.

O Smart Licensing pode coexistir com o Traditional Licensing, mas apenas um deles pode estar ativo a qualquer momento. Você pode alternar entre eles facilmente com a adição ou exclusão da configuração do plano de administração. O sistema ASR9K NÃO requer qualquer recarregamento ou reinicialização para que este 'switch' ocorra. O licenciamento tradicional será substituído completamente pelo Smart Licensing em versões futuras.

Se um dispositivo ASR9K não usar um recurso que exija licenciamento, o sistema automaticamente estará no Estado Autorizado e nenhuma ação adicional precisará ser tomada. Somente na 'configuração' de um recurso que requer uma licença o sistema tentará adquirir a licença dinamicamente dos servidores back-end da Cisco.

Operações de Licenciamento Tradicionais Versus Smart

Aqui estão algumas diferenças entre os modelos de licenciamento. Observe que apenas um deles está ativo em um determinado momento.

Licenciamento tradicional (nó bloqueado)	Licenciamento inteligente (dinâmico)
Você deve adquirir a licença e instalá-la manualmente em cada dispositivo por meio do arquivo PAK.	Nenhuma instalação de software é necessária/necessária. O dispositivo inicia uma sessão de call-home HTTP/HTTPS e solicita as licenças que usa e para as quais está configurado.
As licenças vinculadas ao chassi, que podem ser movidas ou reprovisionadas, exigem backup ou reinstalação. Todas são operações manuais que consomem tempo.	Licenças vinculadas à sua conta. Desconfigure o recurso usado no chassi atual e reconfigure o recurso em um novo chassi que precise usar a mesma licença. Um reprovisionamento ocorre dinamicamente quando o novo dispositivo inicia uma solicitação HTTP/HTTPS através do processo call-home.
Licença bloqueada por nó - a licença está associada a um dispositivo/slot específico.	Pool(s) de Licenças já criados na Conta do Cliente, que são específicos da conta da empresa e podem ser usados com qualquer dispositivo ASR9K em sua empresa.
Nenhum local de base instalada comum para exibir licenças adquiridas ou tendências de uso de software. A contabilidade de licenças precisa ser mantida manualmente para sistemas/chassis individuais.	As licenças são armazenadas com segurança em servidores back-end da Cisco, acessíveis 24 horas por dia, 7 dias por semana, 365 dias por ano. A contagem de licenças é por conta/pool de clientes e muitos dispositivos podem fazer parte do mesmo pool.
A licença extra requer um novo arquivo PAK e intervenção/interação manual com o dispositivo.	A licença extra pode ser transferida por meio de um navegador da Web que aponte para o URL da Cisco e para a conta criada nos servidores back-end. Basicamente, operações de apontar e clicar.
Não é fácil transferir licenças de um dispositivo para outro.	As licenças podem ser movidas entre instâncias de produtos sem QUALQUER instalação de software. Você também pode transferir licenças de um pool para o outro facilmente com uma interface da Web.

Visão Operacional

Este diagrama apresenta a comparação entre os dois regimes de licenciamento.

As etapas do Smart Licensing são muito fáceis e intuitivas. Ao comprar o equipamento/dispositivo, você pode solicitar as licenças necessárias ao mesmo tempo ou posteriormente. Mediante o cumprimento da compra e provisionamento das licenças pela Cisco:

• A Cisco fornece um nome de usuário, uma senha e um URL (Uniform Resource Locator) para acessar informações de licença por meio de um navegador da Web 24 horas por dia, 7 dias por semana.

• Essa conta gerencia licenças, gera relatórios, agrupa dispositivos, cria grupos de licenças e qualquer outra necessidade organizacional que facilite as necessidades operacionais do cliente/organização.

• A conta permite que o cliente gere um idtoken, que identifica exclusivamente o dispositivo do cliente e o direito de licenciamento adquirido. O token pode ser válido de um dia a um ano. O idtoken pode ser revogado, excluído e recriado pelo cliente a qualquer momento. É um modelo de autoajuda.

• O Cliente usa o idtoken gerado na conta fornecida pela Cisco para registrar um dispositivo ou mil dispositivos, já que não há limite para quantos dispositivos podem usar o mesmo token. Mais dicas sobre o uso eficiente deste recurso são fornecidas neste documento.

• O registro do dispositivo é persistente e sobrevive durante as recargas e atualizações do sistema. O dispositivo ASR9K pode ser forçado a registrar-se novamente com o idtoken antigo ou um mais recente, se desejar, em caso de qualquer perda.

• Nenhuma intervenção é necessária após o registro, o sistema ASR9K pesquisa periodicamente a conta com a qual ele se registrou para conformidade. Se o sistema for OOC, um syslog será gerado para avisar o usuário.

Interface/portal da Web

Aqui está um tour rápido pela interface da Web em que o processo de registro começa:

Virtual Account, também conhecida como License Pool, é usada para hospedar e organizar licenças logicamente de acordo com a necessidade de uma empresa. É um contêiner de licenças, dispositivos registrados para os recursos que exigem uma licença. Você pode criar um pool por site, por departamento, etc.

As licenças podem ser facilmente transferidas de um pool para outro.

Idtoken é uma chave gerada por esta conta, que é usada para registrar os dispositivos ASR9K. Pode ser válido de um dia a um ano. O único uso do token é registrar o dispositivo e depois disso ele não é necessário. O token é um fluxo de texto que pode ser copiado em um script TcL ou Python para automatizar o registro de dispositivo remoto.

Por exemplo, você pode criar um token para um dia e enviá-lo a um local remoto para ser usado por mãos remotas para o registro do dispositivo. Ele expira em um dia e mãos remotas não podem usá-lo para registrar qualquer outro dispositivo. Mesmo que seja usado para registrar dispositivos que não pertencem à sua empresa, você verá facilmente o dispositivo na guia Product Instance e poderá tomar medidas para revogar a licença.

O relatório gera dinamicamente várias formas de inventário e pode ser exportado para um formato Excel para uso off-line, contabilidade ou análise.

A guia License exibe as licenças solicitadas por vários dispositivos ASR9K, que mostra o count e o state de cada licença. O item de link Transferência pode ser usado quando você clica nele diretamente e facilmente transfere licenças de e para qualquer grupo na conta.

A guia Event Log registra as atividades dos dispositivos em relação ao pool com um formato de tipo de syslog e registra as ações que cada dispositivo ou usuário da conta realiza, como registro, cancelamento de registro e assim por diante. A interface é fácil e intuitiva para navegação ou depuração.

Configuração

Este exemplo mostra como atualizar o Licenciamento tradicional para o Smart Licensing. Observe que, em alguns casos, o Smart Licensing pode ser o padrão.

Traditional Licensing

Para verificar o Licenciamento tradicional, alguns comandos podem ser executados no plano admin. Aqui estão alguns que têm resultados diferentes quando comparados ao Smart Licensing.

Observação: o licenciamento tradicional é o modo de licenciamento padrão nas versões 5.3.0 e anteriores do Cisco IOS XR.

RP/0/RSP1/CPU0:ROA(admin)#show license pools

Pool: Owner
Feature: A9K-24X10-OPT-LIC A9K-24X10-VID-LIC A9K-24X10G-AIP-SE A9K-24X10G-AIP-TR
 A9K-2X100-OPT-LIC A9K-2X100-VID-LIC A9K-2X100G-AIP-SE A9K-2X100G-AIP-TR
 A9K-36X10-OPT-LIC A9K-36X10-VID-LIC A9K-36X10G-AIP-SE A9K-36X10G-AIP-TR
 A9K-400G-AIP-SE A9K-400G-AIP-TR A9K-400G-OPT-LIC A9K-400G-VID-LIC
 A9K-800G-AIP-SE A9K-800G-AIP-TR A9K-800G-OPT-LIC A9K-800G-VID-LIC
 A9K-ADV-OPTIC-LIC A9K-ADV-VIDEO-LIC A9K-AIP-LIC-B A9K-AIP-LIC-E

RP/0/RSP1/CPU0:ROA(admin)#show license allocated

FeatureID: A9K-800G-AIP-SE (Slot based, Permanent)
Total licenses 1
Status: Allocated   1
   Pool: Owner
     Total licenses in pool: 1
     Status: Operational:   1
     Locations with licenses: (Active/Allocated) [SDR]
             0/0/CPU0       (0/1) [Owner]

Um subconjunto de comandos de Licenciamento Tradicional também pode ser executado do plano exec, mas é uma boa ideia executá-los do plano admin, que tem a lista completa.

RP/0/RSP1/CPU0:ROA#show license ?    
WORD       Feature ID
active     Currently checked-out/being used by applications.
allocated  Allocated to a slot but not used.
available  Not currently active.
evaluation Display the evaluation licenses.
expired    Display evaluation licenses already expired.
location   Show information for a specific location
log        The operational or administrative logs.
|          Output Modifiers
<cr>

Smart Licensing

O Smart Licensing ainda não foi habilitado, mas é isso que o sistema exibe.

Mesmo que nenhuma configuração seja aplicada, o perfil interno padrão do call_home usa HTTPS, que aponta para os servidores back-end da Cisco através das portas de gerenciamento de sistemas. Veja mais sobre call_home mais adiante neste documento.

RP/0/RSP1/CPU0:ROA#show run call-home  
% No such configuration item(s)

RP/0/RSP1/CPU0:ROA#show call-home detail | i https
   http proxy: Not yet set up
   HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService

Para uma configuração mínima simples, você só precisa das etapas 1 e 4. O restante das etapas são para informações, verificação e relatórios.

1. No modo admin, digite estes comandos:

   RP/0/RSP1/CPU0:ROA(admin-config)#license smart enable
   RP/0/RSP1/CPU0:ROA(admin-config)#commit

2. No modo exec, configure mais botões, como endereço de e-mail, ou use esse perfil padrão que é gerado automaticamente quando a configuração admin é confirmada.

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   contact-email-addr sch-smart-licensing@cisco.com
   profile CiscoTAC-1
   active
   destination transport-method http

3. No modo admin, verifique a versão do Smart Licensing:

   RP/0/RSP1/CPU0:ROA(admin)#show license version
   Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

4. No modo admin, digite este comando:

   RP/0/RSP1/CPU0:ROA(admin)#license smart register idtoken
    NjgyMWM2NDItMzI5My00YzQ2LThmMDItMzhhNWI2Mzk2YWUwLTE0MzUzMzM3%
   0aMDQwNDB8SWRzSGkvR0d2MWZTZEhzK2RWUmJWMmh0U1ZIa2tBVzBLZKl1ZHhs%0AZGRPbz0%3D%0A ?
   force Force Registration
   <cr>  
   
   license smart register: Registration process is in progress. Please check
    the syslog for the registration status and result

   A palavra-chave Force substitui e apaga toda e qualquer informação relacionada ao dispositivo que foi registrado anteriormente. A palavra-chave force deve ser usada com moderação e em casos especiais. Como alternativa, a interface de usuário da Web pode ser usada para remover o dispositivo da conta.

5. Consulte o status da operação:

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Completed
          Registration Start Time: Wed Dec 17 2014 13:07:23 PST
          Next ID Cert Renew Time: Mon Jun 15 2015 14:07:45 PST
          Next ID Cert Expiration Time: Thu Dec 17 2015 13:01:41 PST
          Last Response Time: Wed Dec 17 2014 13:07:45 PST
          Last Response Message: OK: OK

   Se o Status não for 'Concluído', você verá mensagens no console ou no syslog. Esta é a mensagem de syslog bem-sucedida:

   RP/0/RSP1/CPU0:Dec 17 13:07:45.285 : licmgr[310]: SMART_LIC-6-AGENT_REG_SUCCESS:
   Smart Agent for Licensing Registration with Cisco licensing cloud successful
   RP/0/RSP1/CPU0:Dec 17 13:08:18.357 : licmgr[310]: SMART_LIC-3-OUT_OF_COMPLIANCE:
   One or more entitlements are out of compliance':

6. Neste sistema, há alguns recursos configurados que requerem licenças e esta saída indica o status de 'Fora de conformidade':

   RP/0/RSP1/CPU0:ROA(admin)#show license entitlement | i Tag | e Not | u sort
      Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,
   1.0_66d3ccf7-a374-4409-a3f9-6bc56d645f1c, Version: 1.0, Enforce Mode:
    Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10-VID-LIC,1.0_9f03b94f-3c76-4a39-82f2
   -1b53cdf5cb15, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-04.com.cisco.A9K-24X10G-AIP-TR,1.0_e5d7cec3-e8e3-43c6-88c9
   -a113b76679f8, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-OPT-LIC,1.0_0f74bb00-42af-4c4d-b162
   -bcb346c7510a, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100-VID-LIC,1.0_a482b964-6371-4aad-8e82
   -2083c5749205, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-2X100G-AIP-SE,1.0_ce447831-e4af-4def-a98b
   -3297fab65561, Version: 1.0, Enforce Mode: Out of compliance
      Tag: regid.2014-06.com.cisco.A9K-36X10-OPT-LIC,1.0_92a8597a-f591-4afc-adeb
   -9b212cee11be, Version: 1.0, Enforce Mode: Out of compliance

7. Examine os comandos que você usou no Licenciamento tradicional, que têm saída diferente.

   O Smart Licensing OU a CLI de Licenciamento Tradicional estão disponíveis a qualquer momento, não ambos.

   O nome do pool é usado para organizar/categorizar dispositivos. Você pode usar um grupo por região/geografia, departamento ou área funcional, agrupamentos financeiros e assim por diante. Cada empresa pode decidir como gostaria de obter licenças. Observe também que é muito fácil usar seu navegador normal para visualizar, alterar ou mover licenças entre pools, adicionar ou alterar as contagens de licenças e fazer isso facilmente sem qualquer ajuda da Cisco, independentemente, o tempo todo.

   RP/0/RSP1/CPU0:ROA(admin)#show license pool
   Assigned Pool Info: PATRICK_NO_LIC

8. A partir de agora, o sistema verifica todos os dias a conformidade automaticamente. Se houver uma falha, o sistema tenta a cada 20 minutos durante quatro horas e depois disso uma vez por dia durante 30 dias. As mensagens de syslog são impressas, indicando os motivos de conectividade, acessibilidade, comunicação e assim por diante para as falhas. A depuração será discutida mais adiante neste documento.
9. Para cancelar o registro do dispositivo, insira estes comandos:

   RP/0/RSP1/CPU0:ROA(admin)#license smart deregister
   
   license smart deregister: Success
   
   
   License command "license smart deregister " completed successfully. 

   RP/0/RSP1/CPU0:ROA(admin)#show license register-status
      Registration Status: Not Registered

10. Para descobrir quais licenças estão disponíveis em um determinado chassi, insira este comando:

    RP/0/RSP1/CPU0:ROA(admin)#show license features
    
    Platform Feature ID:
    A9K-ADV-OPTIC-LIC
    A9K-ADV-VIDEO-LIC
    A9K-iVRF-LIC
    A9K-AIP-LIC-B
    A9K-AIP-LIC-E
    A9K-MOD80-AIP-TR
    A9K-MOD80-AIP-SE
    A9K-MOD160-AIP-TR
    A9K-MOD160-AIP-SE
    A9K-2X100G-AIP-TR
    . . . output snipped . . .

Anatomia e fluxo do aplicativo

Para entender a mecânica do aplicativo, você precisa ter uma compreensão básica de seus componentes. Para a operação ou implantação do software, no entanto, nenhum conhecimento prévio é necessário além de seguir as diretrizes publicadas. Esta seção destina-se mais à equipe técnica e engenheiros que gostariam de saber os detalhes.

Implantação, configuração e opções

O Smart Licensing pode ser implantado em vários cenários, dependendo dos requisitos com relação à segurança, capacidade de gerenciamento e modo operacional do cliente.

Por exemplo:

• Você pode optar por NÃO permitir que o ASR9K se conecte "diretamente" com os servidores Cisco Cloud/Backend. Nesse caso, você pode usar um servidor 'proxy' em suas instalações e gerenciar o firewall, o fluxo de tráfego e como o aplicativo Smart Licensing se adapta às necessidades de segurança da organização. Isso pode ser facilmente configurado através do software Apache de código aberto que é executado em sistemas operacionais Windows ou Linux.
• Ou você pode querer ter todos os seus dispositivos ASR9K conectados a um host agregador que pode receber todas as solicitações locais de todos os dispositivos ASR9K antes de encaminhá-los para Servidores de Back-end da Cisco. Este é um trabalho para o software Transport Gateway executado no Linux e no Windows e está disponível para download em Cisco Transport-Gateway.
• Ou você pode querer operar totalmente off-line com o software no local que é executado no Linux e no Windows e permite que você tenha apenas "este host no local" para conversar sobre a troca de informações de licenciamento com o Cisco Cloud e, por sua vez, fornecer informações aos dispositivos finais quanto ao seu estado de conformidade. Este software estará disponível na versão 5.3.1 ou posterior.

Além do suporte para HTTPS, o software também pode ser configurado para ser executado em uma configuração de Encaminhamento de Roteamento Virtual (VRF) que permite um nível maior de controle sobre como as informações de licenciamento são transportadas.

Além disso, o IPv6 é suportado nativamente e requer apenas um endereço IP6 válido no sistema para se comunicar com os servidores back-end da Cisco pela Internet.

Essas configurações supõem que o ASR9K esteja configurado com o DNS (Domain Name System) ou o host de domínio IPv4/IPv6 para que possa resolver nomes de host para acessar a rede externa.

A configuração do Network Time Protocol (NTP) é necessária para manter o sistema em sincronia com os servidores de certificado de back-end.

RP/0/RSP0/CPU0:ROA#show run domain
domain name cisco.com
domain list cisco.com
domain name-server 171.70.168.183
domain name-server 2001:420:68d:4001::a

RP/0/RSP0/CPU0:ROA#show run | i ipv6 host
Building configuration...
domain ipv6 host tools.cisco.com 2001:420:1101:5::a

Configurar proxy HTTP

A configuração do Apache está fora do escopo deste documento, mas há muitos documentos bons na Internet que podem guiá-lo pelas etapas. Para demonstrar a funcionalidade, o Apache é configurado para um proxy simples na porta 80. Veja a saída de depuração do mod_proxy do Apache mostrada aqui.

Para o Smart Licensing, no entanto, a configuração é muito simples, basta mencionar o nome do servidor proxy e a porta. A configuração simplesmente encaminhará a solicitação ao servidor proxy em vez de entrar em contato diretamente com os servidores back-end da Cisco. O servidor proxy entrará em contato com os servidores através de qualquer transporte configurado para encaminhar as solicitações; recomenda-se HTTPS. Além de http-proxy mybastion.cisco.com porta 80, nenhuma outra configuração é necessária.

RP/0/RSP0/CPU0:ROA#show run call-home
call-home
service active
http-proxy mybastion.cisco.com port 80
contact-email-addr sch-smart-licensing@cisco.com
profile CiscoTAC-1
active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http

Insira o comando de registro admin license smart register idtoken <idtoken> e observe que a saída mostra a solicitação/resposta feita pelo ASR9K. Observe os carimbos de data/hora e os contadores da coluna Êxito.

RP/0/RSP0/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT        1       0       0       0       2015-01-12 21:06:56
DEREGISTRATION     0       0       0       0             n/a
REGISTRATION       1       0       0       0       2015-01-12 21:06:21
ACKNOWLEDGEMENT    1       0       0       0       2015-01-12 21:06:38

Aqui está um trecho dos logs de acesso do Apache que mostra que a solicitação sai na porta 443, protocolo HTTPS.

root@mybastion:/var/log/httpd #tail -f proxy-*

==> proxy-error.log <==
[Mon Jan 12 21:06:10 2015] [debug] mod_proxy_connect.c(70): proxy: CONNECT:
 canonicalising URL tools.cisco.com:443
[Mon Jan 12 21:06:10 2015] [debug] proxy_util.c(1515): [client 172.27.130.65] proxy:
 *: found forward proxy worker for tools.cisco.com:443
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(109): [client 172.27.130.65]
 (70014)End of file found: proxy: CONNECT: error on client - ap_get_brigade
[Mon Jan 12 21:06:21 2015] [debug] mod_proxy_connect.c(425): proxy: CONNECT:
 finished with poll() - cleaning up

==> proxy-access.log <==
172.27.130.65 - - [12/Jan/2015:21:06:10 -0800] "CONNECT tools.cisco.com:443 HTTP/1.1" 200 -

Configurar o Transport Gateway

Neste cenário, o aplicativo Transport Gateway é instalado em um host Linux ou Windows e configurado para receber as solicitações de licenciamento de dispositivos ASR9K nas instalações do cliente e retransmiti-las aos servidores back-end da Cisco. Consulte o Guia de usuário e implantação do Transport Gateway para obter mais informações.

A configuração no ASR9K é apenas uma linha. Aqui está um exemplo; consulte a documentação para obter as configurações exatas necessárias para o seu ambiente.

call-home
profile CiscoTAC-1
destination address http
https://TG-IP-or-FQDN/Transportgateway/services/DeviceRequestHandler

Configurar o VRF

Os VRFs permitem mais controle sobre o tráfego de gerenciamento e são quase transparentes para o Smart Licensing. No entanto, uma configuração de linha é necessária para fazer com que o software subjacente consulte a tabela VRF em vez da tabela global quando o software Smart Licensing tenta acessar os servidores back-end da Cisco.

A string mostrada aqui é o nome VRF configurado no sistema.

RP/0/RSP0/CPU0:ROA(config)#http client vrf MGMT

Saída Detalhada do Call Home

Um exemplo de saída para verificar se o Call Home funciona corretamente é mostrado aqui.

RP/0/RSP0/CPU0:ROA#show call-home detail

Current call home settings:
   call home feature : enable
   call home message's from address: mylab-roa@cisco.com ; optional, any address
   call home message's reply-to address: pasoltan@cisco.com ; optional,
 recipient address

   vrf for call-home messages: Not yet set up ; Not supported natively yet

   contact person's email address: sch-smart-licensing@cisco.com ; default

   contact person's phone number: +1-408-526-8438 ; optional
   street address: 1550 Soltani Lane, Cisco System Drive, North Pole, NP 99709
   customer ID: Not yet set up
   contract ID: Not yet set up
   site ID: BUILDING20-125 ; optional

   source interface: Not yet set up ; can be configured to use a specific interface.
   Mail-server[1]: Address: bastion.cisco.com Priority: 1 ; optional
   Mail-server[2]: Address: 171.68.58.10 Priority: 10     ; optional
   Mail-server[3]: Address: 173.37.183.72 Priority: 20   ; optional
   http proxy: Not yet set up ; when configured will change.

   Smart licensing messages: enabled
   Profile: CiscoTAC-1 (status: ACTIVE) ; default profile supported.
Can not be renamed, deleted, but can be modified, activated, deactivated.

   aaa-authorization: disable      ; optional
   aaa-authorization username: callhome (default) ; default
   data-privacy: normal     ; can be configured to use the hostname or not.
   syslog throttling: enable

   Rate-limit: 5 message(s) per minute

   Snapshot command: Not yet set up
; Non-smart licensing configuration for alerts, data collection, defaults.
Available alert groups:
   Keyword                State   Description
   ---------------------- ------- -------------------------------
   configuration         Enable configuration info
   environment           Enable environmental info
   inventory             Enable inventory info
   snapshot              Enable snapshot info
   syslog                Enable syslog info

Profiles:

Profile Name: CiscoTAC-1
   Profile status: ACTIVE
   Profile mode: Full Reporting
   Reporting Data: Smart Call Home, Smart Licensing
   Preferred Message Format: xml
   Message Size Limit: 3145728 Bytes
   Transport Method: http
   Email address(es): callhome@cisco.com
   HTTP address(es): ; Only configuration needed if default is not desired.
http://tools.cisco.com/its/service/oddce/services/DDCEService
                       https://tools.cisco.com/its/service/oddce/services/DDCEService

   Periodic inventory info message is scheduled every 23 day of the month at 11:2

   Alert-group              Severity
   ------------------------ ------------
   environment               minor      
   inventory                 normal    

   Syslog-Pattern           Severity
   ------------------------ ------------
   .*                        critical

Opções de configuração do Call Home não Smart Licensing

Você pode configurar o Call Home para fazer coleta de dados de syslog e diagnóstico, bem como dumps principais, ou fazer com que ele envie notificações por e-mail para eventos e assim por diante, juntamente com as tarefas de licenciamento inteligente que ele conclui.

Você pode exibir as informações coletadas do Call Home com seu nome de usuário e senha do Smart Licensing em https://tools.cisco.com/sch/reports/deviceReport.do.

Consulte os documentos vinculados na seção "Informações Relacionadas" para obter mais informações sobre como usar esse recurso para beneficiar seu ambiente. Além disso, um exemplo de notificação por e-mail está na seção "Odds and Ends" .

Debug

Não há regras rígidas e rápidas para depurar o software Smart Licensing devido a muitos componentes que compõem o pacote. No entanto, alguns métodos de abordagem comuns geralmente reduzem as questões. Aqui estão algumas sugestões.

Syslogs

Examine primeiro o syslog. Você terá algumas dicas sobre qual componente deve ser verificado primeiro. Nessas mensagens, você vê alguns problemas de certificado e uma falha ao enviar mensagens HTTP do Call Home; finalmente, a comunicação é restaurada.

RP/0/RSP0/CPU0:ROA#sh log | i SMART

RP/0/RSP1/CPU0:Dec 17 20:01:28.522 : licmgr[308]: SMART_LIC-3-ID_CERT_RENEW_FAILED:
ID certificate renewal failed: Response error: {"product_instance_identifier":
["ProductInstance '8baecfb5-2688-429b-8519-10a3f0dec6b5' is not valid"]}

RP/0/RSP1/CPU0:Dec 17 20:01:34.273 : licmgr[308]: SMART_LIC-3-AUTH_RENEW_FAILED:
Authorization renewal with Cisco licensing cloud failed: Response error:
 LS_UNMATCH_SIGNED_DATA: Signed data and certificate does not match

RP/0/RSP0/CPU0: Dec 17 18:26:24.009 : licmgr[314]: SMART_LIC-3-COMM_FAILED:
Communications failure with Cisco licensing cloud: Fail to send out Call Home
 HTTP message

RP/0/RSP0/CPU0:Dec 17 18:28:03.057 : licmgr[314]: SMART_LIC-3-AGENT_REG_FAILED:
Smart Agent for Licensing Registration with Cisco licensing cloud failed:
 Communication message send error

RP/0/RSP0/CPU0:Dec 17 18:30:09.247 : licmgr[314]: SMART_LIC-5-COMM_RESTORED:
Communications with Cisco licensing cloud restored

RP/0/RSP0/CPU0:Dec 17 18:30:21.923 : licmgr[314]: SMART_LIC-6-AGENT_REG_SUCCESS:
Smart Agent for Licensing Registration with Cisco licensing cloud successful

Verifique a saída do comando show para obter um identificador do estado em que a caixa/componente está. Aqui você vê mobilidade, segurança de protocolo de Internet (IPsec) e licenças ópticas.

RP/0/RSP0/CPU0:ROA#admin show license entitlement
Entitlement:
  Tag: regid.2014-06.com.cisco.A9K-MOBILE-LIC,1.0_e447924c-0a6f-41be-9202-8ae60fcc2972,
 Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-09.com.cisco.A9K-IPSEC-20G-LIC,1.0_a165db99-eb3f-474b-bdf0-
ce4b140d9b45, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

 Tag: INSTALLMGR, Version: 1.0, Not In Use
  Requested Time : NA, Requested Count: NA
  Vendor String:

  Tag: regid.2014-04.com.cisco.A9K-24X10-OPT-LIC,1.0_66d3ccf7-a374-4409-a3f9-
6bc56d645f1c, Version: 1.0, Enforce Mode: Out of compliance
  Requested Time : Mon Jan 12 2015 20:47:07 PST, Requested Count: 1
  Vendor String:
... output snipped ...

Verifique a conformidade com a licença.

RP/0/RSP0/CPU0:ROA#admin show license status
Compliance Status: Out of compliance

Verifique qual pool está ativo.

RP/0/RSP0/CPU0:ROA#admin show licence pool
Assigned Pool Info: PATRICK_NO_LIC

Verifique o certificado de licenciamento.

RP/0/RSP0/CPU0:ROA#admin show license cert
 Licensing Certificates:
   ID Cert Info:
    Start Date: Mon Jan 12 2015 21:00:13 PST. Expiry Date: Tue Jan 12 2016 21:00:13 PST
    Serial Number: 24724
    Version: 3
    Subject/SN: 60fe47f8-aaaa-40fc-ae3e-fae9c7b6d0ac
    Common Name: 138091632beb1f2e38069e9eec8f9c626de471ac::1,2
   Signing Cert Info:
    Start Date: Wed Sep 11 2013 12:05:34 PST. Expiry Date: Sun May 30 2038 12:48:46 PST
    Serial Number: 3
    Version: 3

Verifique a versão de licenciamento.

RP/0/RSP0/CPU0:ROA#admin show license version
Cisco Smart Licensing Agent, Version 1.1.4_throttle/16

Esse comando mostra as estatísticas das tentativas de call-home, que tiveram êxito e/ou falharam.

RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
Success: Successfully sent and response received.
Failed : Failed to send or response indicated error occurred.
Inqueue: In queue waiting to be sent.
Dropped: Dropped due to incorrect call-home configuration.

Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
----------------------------------------------------------------------
ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
REGISTRATION    1       0       0       0       2014-12-17 21:07:53
ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
RENEW           1       0       0       0       2014-12-17 21:08:57 

Processo do Call Home

Verifique os arquivos de rastreamento para o processo call_home em seguida, já que o transporte entre o ASR9K e o Cisco Cloud é gerenciado por ele.

RP/0/RSP0/CPU0:ROA#show call-home trace error last 2

81 wrapping entries (576 possible, 320 allocated, 0 filtered, 81 total)!
Jan 28 10:10:29.729 call_home/error 0/RSP0/CPU0 t10 call_home_http_resp_data(),
 httpc response error, Host name resolution failed

Jan 28 10:10:39.730 call_home/error 0/RSP0/CPU0 t19 call_home_events_handler() failure status 67

Verificação inteligente (agente de software)

Verifique os rastreamentos inteligentes. Esses rastreamentos revelam a interação de licença com servidores Cisco Cloud.

RP/0/RSP0/CPU0:ROA#admin show license trace smartlic last 2
987 wrapping entries (1088 possible, 0 filtered, 987 total)
Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 Failed to bind to SysDB - 'Subsystem(2091)' detected the 'success' condition
 'Code(45)': Unknown Error(292)

Jan 28 20:10:36.245 smartlicense/smartlic 0/RSP0/CPU0 t3 [2302054]
 SMART ERROR - SASACKExpirationJob: expirySeconds=3842

Verificação de Processo do Licmgr

Esse processo é a principal interface para o licenciamento inteligente no ASR9K e é considerado o vínculo entre vários componentes.

RP/0/RSP1/CPU0:ROA#admin show license trace
557 wrapping entries (576 possible, 0 filtered, 5403 total)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 Client search success pkg/bin/rsi_agent (No error)
Dec 17 13:08:18.358 license/licmgr 0/RSP1/CPU0 t3 [3125351] SLA Debug :
 A9K-MOD160-AIP-SE regid.2014-06.com.cisco.A9K-MOD160-AIP-SE,
1.0_7f1b3d9c-a183-41d1-8d0b-d98dcc2751a8 (No error)

Rastreamentos dependentes de plataforma

Embora a parte Platform Dependent (PD) do código seja apenas uma Dynamic Link Library, ela tem um papel importante no acionamento de solicitações de qualificação de licença. Assim, ele resolve os problemas relacionados a tipos de licença, contagens, etc.

RP/0/RSP1/CPU0:ROA#admin show license trace platform all last 5
1849 wrapping entries (5440 possible, 3136 allocated, 0 filtered, 183450 total)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start: ver:1,
 node:0x00000041 cmd:Audit(5) req:Mobile(9) feature:A9K-MOBILE-LIC(13) grant:
 Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Audit Cmd Start #2:
 client restarted:False up for a day:True
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License Start:
 request:Mobile(9) slot:4 grant:Not Pending(0)
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 AUDIT Reply License End:
 request:Mobile(9) slot:4 grant:Not Pending(0) rc: 0x00000000 No error
Dec 17 20:43:33.480 vkg_lic/audit 0/RSP1/CPU0 t1 Agent Client Cmd End:Audit(5),
 slot:4 rc:0x00000000 No error

Ativar o Depurador

Se tudo falhar, ative a depuração e insira uma solicitação sob demanda para renovação dos certificados ou direitos. Essa depuração deve coletar todas as transações entre o ASR9K e o Cisco Cloud Services.

RP/0/RSP0/CPU0:ROA#debug smartlic
RP/0/RSP1/CPU0:ROA#show debug

#### debug flags set from tty 'aux0_RSP1_CPU0' ####
smartlic debug flag is ON with value 0

Não há depuração direta de UI/Cisco Cloud Server disponível. Envie um e-mail para asr9k-smart-lic@cisco.com com qualquer problema.

Odds e Ends

1. Quando várias caixas são configuradas para adquirir direitos do mesmo POOL DE LICENÇAS, mesmo se apenas UM dispositivo tiver uma licença ONE, TODOS os seus dispositivos estarão em um local operacional. Isso se deve principalmente ao design que tem a visão de pool como o contêiner. O novo modelo, organização hierárquica de pools que está em funcionamento, trata do comportamento em versões futuras.
2. Envie para você qualquer saída do comando show diretamente do console por e-mail. Anote as aspas duplas e o uso de ponto-e-vírgula após cada comando. O Call Home realiza muitas operações que não estão relacionadas ao Smart Licensing. Este é um exemplo de para que o Call Home pode ser usado. É uma configuração em execução que pode ser modificada para qualquer ambiente.

   RP/0/RSP1/CPU0:ROA#show run call-home
   call-home
   service active
   site-id BUILDING20-125
   sender reply-to pasoltan@cisco.com
   sender from roa@cisco.com
   alert-group syslog
   alert-group snapshot
   alert-group inventory
   mail-server 171.68.58.10 priority 10
   mail-server 173.37.183.72 priority 20
   mail-server 2001:420:303:2008::24 priority 2
   mail-server mybastion.cisco.com priority 1
   phone-number +1-408-526-8438
   contact-email-addr sch-smart-licensing@cisco.com
   street-address 1550 E.Tasman Drive, San Jose, CA 9513
   profile CiscoTAC-1
   active
   destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
   reporting smart-call-home-data
   reporting smart-licensing-data
   destination transport-method http
   
   RP/0/RP1/CPU0:ROA#call-home send "show run call; admin show platform"
    email pasoltan@cisco.com msg-format long-text
   
   Sending ondemand CLI output call-home message ...
   Please wait. This may take some time ...

3. O comando show call-home smartlic status usa a palavra 'success', que simplesmente significa, de uma perspectiva de processo de call-home, que o transporte das mensagens do ASR9K para os servidores de nuvem da Cisco foi bem-sucedido. No entanto, isso NÃO significa que a operação de licenciamento de ponta a ponta com os Cisco Cloud Servers tenha sido bem-sucedida. Por exemplo, se houver um problema com a conta, certificado ou assim por diante com o portal, o call-home transportará a mensagem e mostrará sucesso, mas a operação total de verificação das licenças pelos servidores de back-end poderá falhar.

   RP/0/RSP1/CPU0:ROA#show call-home smart-licensing statistics
   Success: Successfully sent and response received.
   Failed : Failed to send or response indicated error occurred.
   Inqueue: In queue waiting to be sent.
   Dropped: Dropped due to incorrect call-home configuration.
   
   Msg Subtype     Success Failed Inqueue Dropped Last-sent (GMT-08:00)
   ----------------------------------------------------------------------
   ENTITLEMENT     1       0       0       0       2014-12-17 21:08:35
   DEREGISTRATION  1       0       0       0       2014-12-17 14:33:17
   REGISTRATION    1       0       0       0       2014-12-17 21:07:53
   ACKNOWLEDGEMENT 1       0       1       0       2014-12-17 21:08:09
   RENEW           1       0       0       0       2014-12-17 21:08:57

4. Quando você configura as interfaces de gerenciamento com IPv4 e IPv6, a ordem de resolução de nomes para endereço IP ou resolução DNS é IPv6 primeiro.

   RP/0/RSP1/CPU0:ROA#show run int M*
   interface MgmtEth0/RSP0/CPU0/0
   cdp
   ipv4 address 172.27.130.64 255.255.255.128
   ipv6 address fe80::172:27:130:64 link-local
   ipv6 address 2001:420:303:2008:0:28:1:64/80
   ... snipped output ...

   RP/0/RSP1/CPU0:ROA#ping tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 2001:420:1201:5::a, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 44/45/49 ms

   RP/0/RSP1/CPU0:ROA#ping ipv4 tools.cisco.com
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 173.37.145.8, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 43/44/45 ms

Informações Relacionadas

• Guia do usuário do Smart Call Home - HTML
• Guia do usuário do Smart Call Home - PDF
• Segurança do Smart Call Home
• Cisco Support Community
• Vídeo: Configurar Call Home
• Comandos do Smart Licensing - HTML
• Comandos do Smart Licensing - PDF
• Informações gerais: Smart Licensing
• Perguntas frequentes sobre Smart Licensing
• Guia do Transport Gateway
• Perguntas frequentes do Transport Gateway
• Suporte Técnico e Documentação - Cisco Systems