疑難排解 Catalyst 平台的智慧型授權

簡介

本文件說明如何運用 Cisco Smart Licensing（雲端型系統）管理 Catalyst 交換器的軟體授權。

什麼是 Cisco Smart Licensing？

思科智慧許可是一個基於雲的統一許可證管理系統，可管理思科產品的所有軟體許可證。 它使您能夠購買、部署、管理、跟蹤和續訂思科軟體許可證。此外，其亦透過單一使用者介面提供有關授權所有權和使用情況的資訊。

該解決方案由用於跟蹤思科軟體資產的線上智慧帳戶（位於思科智慧許可門戶）和用於管理智慧帳戶的思科智慧軟體管理器(CSSM)組成。CSSM可以執行所有與許可管理相關的任務，例如註冊、取消註冊、移動和轉移許可證。您可為使用者新增和授予智慧型帳戶和特定虛擬帳戶的存取權和權限。

若要深入瞭解 Cisco Smart Licensing 的相關資訊，請造訪：

a) Cisco Smart Licensing 首頁

b) 思科社群 - 隨選訓練

有關思科IOS® XE 17.3.2及更高版本中使用策略方法的新智慧許可的詳細資訊，請訪問使用Catalyst交換機策略的智慧許可。

第一次使用智慧型授權和/或智慧型帳戶管理？瀏覽並註冊新的管理員訓練課程和錄製內容：
思科社群-藉助思科智慧帳戶/智慧許可和「我的思科權利」實現智慧化。

您可在此處建立智慧型帳戶：智慧型帳戶

您可在此處管理智慧型帳戶：Smart Software Licensing

智慧型授權實作方法

以下提供多個可根據公司的安全性設定檔利用之 Cisco Smart Licensing 的部署方法：

直接雲端存取

思科產品會使用 HTTPS 直接透過網際網路安全地傳送使用資訊。無須使用其他元件。

透過 HTTPS Proxy 存取

思科產品會透過使用 HTTPS 的 HTTP Proxy 伺服器安全地傳送使用資訊。可以使用現有的代理伺服器，也可以透過思科傳輸網關部署該伺服器(點選此處瞭解更多資訊)。

內部部署授權伺服器（亦稱為 Cisco Smart Software Manager Satellite）

思科產品會將使用資訊傳送至內部部署伺服器，而非直接透過網際網路傳送。該伺服器每月會透過 HTTPS 經網際網路連線至所有裝置一次，或可經手動方式傳輸，以同步其資料庫。CSSM 內部部署 (Satellite) 可做為虛擬機器 (VM) 使用，且可在此處下載。如需其他資訊，請造訪 Smart Software Manager Satellite 頁面。

支援的 Cisco IOS XE 平台

• 自 Cisco IOS XR 16.9.1 版起，Catalyst 3650/3850 和 Catalyst 9000 系列交換器平台將支援 Cisco Smart Licensing 方法做為唯一的授權方法。
• 自 Cisco IOS XE 16.10.1 版起，ASR1K、ISR1K、ISR4K 及虛擬路由器 (CSRv/ISRv) 等路由器平台將支援 Cisco Smart Licensing 方法做為唯一的授權方法。

從傳統授權移轉至智慧型授權

有兩種方法可將傳統許可證轉換為智慧許可證，例如使用權(RTU)或產品啟用金鑰(PAK)。有關需要遵循哪些方法的詳細資訊，請參閱特定思科裝置的相關發行說明和/或配置指南。

透過裝置Led轉換(DLC)進行轉換

• 裝置Led轉換(DLC)是一種一次性方法，思科產品可在此方法中報告其使用的許可證，並且這些許可證自動存入思科智慧軟體管理器(CSSM)上的相應智慧帳戶中。DLC 程序係直接透過特定思科裝置的命令列介面 (CLI) 執行。

• DLC 程序僅支援 Catalyst 3650/3850 和所選的路由器平台。對於特定的路由器型號，請參閱各個平台配置指南和發行說明。範例：執行 Fuji 16.9.x 版本之 Catalyst 3850 的 DLC 程序。

透過 Cisco Smart Software Manager (CSSM) 或授權註冊入口網站 (LRP) 進行轉換

Cisco Smart Software Manager (CSSM) 方法：

1.登入思科智慧軟體管理員(CSSM)，網址為https://software.cisco.com/。

2.導航到智慧軟體許可>轉換為智慧許可。

3. 選擇轉換PAK或轉換許可證。

4. 要轉換PAK許可證，請找到此表中的許可證。要轉換非PAK許可證，請使用許可證轉換嚮導以獲得逐步指導。

與帳戶相關的已知 PAK 檔案位置：

  

「授權轉換精靈」連結位置：

5.找到所需的許可證和產品組合。

6.點選（在「操作」下）：轉換為智慧許可。

7.選擇虛擬帳戶、許可證，然後按一下下一步。

8.複查選項，然後按一下轉換授權。

授權註冊入口網站 (LRP) 方法：

1.登入許可證註冊門戶(LRP) https://slexui.cloudapps.cisco.com/SWIFT/LicensingUI/Home/a>

2.導航至裝置>增加裝置。

3.輸入正確的產品系列和唯一裝置識別符號(UDI)產品ID和序列號，然後按一下確定。UDI資訊可以從Cisco裝置的show version或命令列介面(CLI)獲取的show inventory獲取。

4.選擇增加的裝置並將許可證轉換為智慧許可。

5.分配到正確的虛擬帳戶，選擇要轉換的許可證，然後按一下提交。

提示：也可以使用LRP工具在PAK或令牌頁籤上查詢許可證/產品系列。點選PAK/令牌旁邊的下拉框並選擇Convert to Smart Licensing：

透過思科全球許可運營(GLO)部門進行轉換並與其聯絡

您可透過此處與全球客服中心的全球授權營運部門聯絡。

Catalyst 9500 高效能型號從 16.9 至 16.12.3 版的行為變更

如同其他 Catalyst 9000 型號，Catalyst 9500 高效能型號自 Cisco IOS XE 16.9 版系列起均已啟用智慧型授權功能。然而，若為 Catalyst 9500 高效能型號，則每個型號均具有其專屬的授權權利標籤。後來，產品和行銷團隊決定統一C9500平台授權標籤。此決定改變了 C9500 高效能型號的行為，從使用專屬權利標籤，改為使用通用 C9500 授權。

行為的這種變化在以下缺陷中得到了記錄：

a) 思科錯誤 ID CSCvp30661

b) 思科錯誤 ID CSCvt01955

以下是上述更改之前和之後C9500高效能型號的許可證更改：

Cisco IOS XE版本16.11.x及更低版本

每種C9600高效能機型都有自己的授權標籤。

型號	授權
C9500-32C	C9500 32C NW Essentials C9500 32C NW Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 32QC NW Essentials C9500 32QC NW Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 24Y4C NW Essentials C9500 24Y4C NW Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 48Y4C NW Essentials C9500 48Y4C NW Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

注意：Cisco IOS XE版本16.12.1和16.12.2有Cisco bug ID CSCvp30661和Cisco bug ID CSCvt01955缺陷。這些缺陷在16.12.3a及更高版本中已經解決。

Cisco IOS XE 16.12.3 版和更新版本

Catalyst 9500高效能平台現在使用通用網路許可證標籤和單獨的DNA許可證標籤。下表顯示Cisco IOS XE版本16.12.3及更高版本中突出顯示的權利更改：

型號	授權
C9500-32C	C9500 Network Essentials C9500 Network Advantage C9500 32C DNA Essentials C9500 32C DNA Advantage
C9500-32QC	C9500 Network Essentials C9500 Network Advantage C9500 32QC DNA Essentials C9500 32QC DNA Advantage
C9500-24Y4C	C9500 Network Essentials C9500 Network Advantage C9500 24Y4C DNA Essentials C9500 24Y4C DNA Advantage
C9500-48Y4C	C9500 Network Essentials C9500 Network Advantage C9500 48Y4C DNA Essentials C9500 48Y4C DNA Advantage

注意：從Cisco IOS XE版本16.12.1和16.12.2進行升級將顯示此許可證行為。從Cisco IOS XE版本16.9.x、16.10.x、16.11.x升級到16.12.3可辨識舊許可證配置。

C9500 高效能型號變更常見問題

1. 當我的裝置使用特定於裝置的網路許可證時，為什麼思科支援分配通用網路許可證？

系統會提供通用標籤做為網路裝置的對應權利標籤。如此可讓整體 Cat9500 平台使用權利標籤，而非僅限特定 C9500 高效能型號。由於愈來愈多特定授權歸類為授權階層中的通用授權，因此要求裝置專屬授權標籤之 16.12.3 版前的映像檔均已遵循通用授權標籤。

2. 為什麼有時會在智慧帳戶中顯示兩個網路標籤？

此行為係因授權階層所造成，當裝置執行於使用裝置專屬授權標籤的舊版映像檔時即會發生。由於愈來愈多特定授權歸類為授權階層中的通用授權，因此要求裝置專屬授權標籤之舊版映像檔均已遵循通用授權標籤。

組態

基本配置

有關如何配置智慧許可的確切過程，請參閱每個版本/平台的《系統管理配置指南》。

舉例來說：Cisco IOS XE Fuji 16.9.x（Catalyst 9300 交換器）系統組態設定指南

註冊權杖/裝置 ID 權杖

註冊裝置之前，需要生成令牌。 註冊令牌（也稱為裝置ID令牌）是最初將思科裝置註冊到相應智慧帳戶時，從智慧許可門戶或思科智慧軟體管理器本地生成的唯一令牌。根據建立期間所使用的參數，個別權杖可用於註冊多個思科裝置。

此外，初次註冊思科裝置期間，亦僅需要註冊權杖，因為其會提供資訊給裝置，以主動向思科後端通報，並繫結至正確的智慧型帳戶。在Cisco裝置註冊後，不再需要該令牌。

有關註冊令牌及其生成方式的詳細資訊，請按一下此處獲取一般指南。如需詳細資料，請參閱特定思科裝置的組態設定指南。

註冊和授權狀態

在部署和配置智慧許可時，思科裝置可能處於多種狀態。透過從思科裝置命令列介面 (CLI) 查看 show license all 或 show license status，即可顯示這些狀態。

以下列出所有狀態及其說明：

評估（未識別）狀態

• 評估是裝置首次啟動時的預設狀態。
• 通常，當思科裝置尚未配置智慧許可或註冊到智慧帳戶時，就會出現此狀態。
• 在此狀態下，所有功能均可用，裝置可以自由更改許可證級別。
• 當裝置處於未識別狀態時，即會使用評估期。在此狀態下，裝置不會嘗試與思科通訊。
• 此評估期為90天使用期，而不是90個日曆日。 一旦評估期過期，就永遠不會重置。
• 整個裝置有一個評估期；而不是每個權利檔案有一個評估期。
• 當評估期在90天結束時到期時，裝置將進入評估到期模式。但是，即使重新載入後，功能也不會受到影響或中斷。目前，尚未實施任何強制措施。
• 在重新開機期間，系統仍會出現倒數計時。
• 如果裝置尚未向思科註冊並且尚未從思科後端收到以下兩條消息，則使用評估期：
  1. 成功回應註冊要求。
  2. 權利授權請求成功回應。

已註冊狀態

• Registered是成功完成註冊之後的預期狀態。
• 此狀態表明思科裝置已經能夠與思科智慧帳戶成功通訊並註冊。
• 裝置收到有效期為一年的ID證書，用於未來的通訊。
• 裝置向CSSM傳送請求，以授權裝置上正在使用的許可證的授權。
• 根據CSSM響應，裝置隨後會進入「已授權」或「不合規」狀態。
• 該 ID 憑證會在一年結束後到期。六個月後，軟體代理進程將嘗試更新證書。如果Agent無法與CSSM通訊，它會繼續嘗試更新ID證書，直到到期日（一年）。一年後，座席將返回到「未標識」狀態並嘗試啟用「評估」期間。CSSM會從資料庫移除產品執行處理。

已授權狀態

• Authorized是裝置使用授權且符合規範（無負平衡）時的預期狀態。
  
• 此狀態指示CSSM上的虛擬帳戶具有正確的許可證型別和數量，以授權使用此裝置的許可證。
• 30天後，裝置將向CSSM傳送更新授權的新請求。
• 此狀態的時間跨度為90天。90天後（如果未成功更新），裝置將進入授權過期狀態。

不符合規定狀態

• 不合規是裝置正在使用授權且不符合合規性（負平衡）時的狀態。
  
• 當裝置的對應虛擬帳戶（思科裝置在思科智慧型帳戶中所註冊的帳戶）中不具有可用的授權時，系統即會顯示此狀態。  
• 要進入合規性/授權狀態，您必須將正確的許可證數量和型別增加到智慧帳戶。
• 當裝置處於「不合規」狀態時，它會每天自動傳送授權續訂請求。
• 許可證和功能將繼續運行，且不會造成任何功能影響。

授權已到期狀態

• 授權過期是裝置使用授權，且在90天以上無法與關聯的思科智慧帳戶通訊時的狀態。
• 如果Cisco裝置丟失網際網路訪問或在初始註冊後無法連線到tools.cisco.com，通常會顯示此狀態。
• 智慧型授權的線上方法會要求思科裝置至少每 90 天通訊一次，以避免顯示此狀態。
• CSSM將此裝置的所有使用中許可證返回池，因為它在90天內未與該裝置進行任何通訊。
• 在此狀態下，裝置將繼續嘗試每小時聯絡思科以更新權利授權，直到註冊期（ID證書）過期。
• 如果軟體代理與思科重新建立通訊並收到其授權請求，則它會正常處理回覆並進入已建立的狀態之一。

考量和注意事項

從16.9.1開始（對於交換機）和16.10.1開始（對於路由器），將生成名為CiscoTAC-1的預設Call-home配置檔案，以幫助遷移到智慧許可。  預設情況下，此配置檔案是為直接雲訪問方法設定的。               

#show call-home profile CiscoTAC-1 

Profile Name: CiscoTAC-1 

Profile status: ACTIVE 

Profile mode: Full Reporting 

Reporting Data: Smart Call Home, Smart Licensing 

Preferred Message Format: xml 

Message Size Limit: 3145728 Bytes 

Transport Method: http 

HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

Other address(es): default 

<snip>

利用 Cisco Smart Software Manager 內部部署伺服器時，主動通報組態下的目的地位址必須指向以下目的地（區分大小寫！）：

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https://<IP/FQDN>/Transportgateway/services/DeviceRequestHandler

解析 tools.cisco.com 必須使用 DNS。如果DNS伺服器連線是在VRF中，請確保定義了正確的源介面和VRF：

Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>

VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]     <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>

或者，如果DNS不可用，可以靜態配置本地DNS到IP的對映（基於終端裝置上的本地DNS解析），或者將call-home配置中的DNS名稱替換為IP地址。有關直接雲訪問，請參閱示例(對於內部思科智慧軟體管理器，請使用自己的DNS名稱而非tools.cisco.com)：  

(config)#ip host tools.cisco.com <x.x.x.x>

如果需要從特定VRF（例如Mgmt-vrf）中的介面發起到tools.cisco.com的通訊，則必須配置此CLI： 

(config)#ip http client source-interface <VRF_INTERFACE>

根據思科裝置的組態，可以使用不同的授權數目，例如在StackWise或StackWise Virtual中執行的Catalyst交換器：

傳統堆疊支援的交換器（例如Catalyst 9300系列）：

網路許可證：堆疊中每台交換機使用1個許可證

DNA許可證：堆疊中每台交換機使用1個許可證

模組化機箱（例如Catalyst 9400系列）：

網路許可證：機箱中每個管理引擎使用1個許可證

DNA許可證：每個機箱使用1個許可證

固定堆疊式虛擬支援交換器（例如Catalyst 9500系列）：

網路許可證：堆疊中每台交換機使用1個許可證

DNA許可證：堆疊中每台交換機使用1個許可證

• 僅限一個主動通報設定檔可針對智慧型授權發揮作用
• 授權僅會在設定對應功能後使用。
• 為智慧許可配置的思科裝置必須使用正確的系統時間和日期進行配置，以確保它們與相應的思科智慧帳戶正確同步。如果思科裝置的時間位移太遠，則裝置可能會無法註冊。必須手動設定或透過網路時間協定(NTP)或精確時間協定(PTP)等計時通訊協定設定時鐘。有關實施這些更改所需的確切步驟，請參閱特定思科裝置的配置指南。
• 如果註冊後未自動儲存在Cisco裝置註冊過程中生成的公鑰基礎設施(PKI)金鑰，則必須儲存該金鑰。如果裝置無法儲存PKI金鑰，則會生成系統日誌，提示您透過copy running-config startup-config或write memory命令儲存配置。
• 如果思科裝置的 PKI 金鑰無法正確儲存，則授權狀態可能會在容錯移轉或重新載入時遺失。    
• 在使用第三方代理進行HTTPS代理方法時，預設情況下，智慧許可不支援HTTPS代理SSL證書攔截。若要支援此功能，您可停用 Proxy 上的 SSL 攔截，或以手動方式匯入從 Proxy 傳送的認證。

How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

使用傳輸閘道HTTP代理時，IP位址必須從tools.cisco.com變更為Proxy，如以下範例所示：

從
       目的地址http https:// tools.cisco.com/its/service/oddce/services/DDCEService
              變更為
       目標地址http https://<TransportGW-IP_Address>：<port_number>/Transportgateway/services/DeviceRequestHandler 

透過導覽至 HTTP 設定，並查看思科傳輸閘道 GUI 上的 HTTP 服務 URL 下方，即可找到傳輸閘道 IP 位址。

有關詳細資訊，請參閱此處的Cisco傳輸網關配置指南。

疑難排解

將思科裝置遷移到支援智慧許可的軟體版本時，您可以使用此流程圖作為所有三種方法(直接雲訪問、HTTPS代理和思科內部智慧軟體管理器)的一般指南。

                  升級為或隨附支援智慧型授權之軟體版本的裝置（請參閱支援之 Cisco IOS XE 版本清單的第 1.3 節）。  

這些故障排除步驟主要針對裝置註冊失敗的情況。 

裝置無法註冊 

初始設定後，若要啟用智慧型授權，則權杖（於 CSSM/Cisco Smart Software Manager 內部部署產生 ）需要透過 CLI 於裝置上註冊：

license smart register idtoken <TOKEN>

此動作會產生以下事件：

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result 

!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds) 

%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine 

%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration 

!
! Call-home start registration process
! 

%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode. 

!
! Smart Licensing process connects with CSSM and check entitlement.
! 

%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed 

%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN> 

%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved 

%SMART_LIC-5-IN_COMPLIANCE: All entitlements and licenses in use on this device are authorized 

%SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with the Cisco Smart Software Manager or satellite. State=authorized for udi PID:<PID>,SN:<SN>

要檢查呼叫總部配置，請運行以下CLI：

#show call-home profile all 

  

Profile Name: CiscoTAC-1 

    Profile status: ACTIVE 

    Profile mode: Full Reporting 

    Reporting Data: Smart Call Home, Smart Licensing 

    Preferred Message Format: xml 

    Message Size Limit: 3145728 Bytes 

    Transport Method: http 

    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService 

    Other address(es): default 

  

    Periodic configuration info message is scheduled every 1 day of the month at 09:15 

  

    Periodic inventory info message is scheduled every 1 day of the month at 09:00 

  

    Alert-group               Severity 

    ------------------------  ------------ 

    crash                     debug 

    diagnostic                minor 

    environment               warning 

    inventory                 normal 

  

    Syslog-Pattern            Severity 

    ------------------------  ------------ 

    APF-.-WLC_.*              warning 

    .*                        major

要檢查智慧許可狀態，請運行此CLI：

#show license summary 

Smart Licensing is ENABLED 

  

Registration: 

  Status: REGISTERED 

  Smart Account: TAC Cisco Systems, Inc. 

  Virtual Account: Krakow LAN-SW 

  Export-Controlled Functionality: ALLOWED 

  Last Renewal Attempt: None 

  Next Renewal Attempt: Nov 22 21:24:32 2019 UTC 

  

License Authorization: 

  Status: AUTHORIZED 

  Last Communication Attempt: SUCCEEDED 

 Next Communication Attempt: Jun 25 21:24:37 2019 UTC 

  

License Usage: 

  License                 Entitlement tag               Count Status 

  ----------------------------------------------------------------------------- 

  C9500 Network Advantage (C9500 Network Advantage)         1 AUTHORIZED 

  C9500-DNA-40X-A         (C9500-40X DNA Advantage)         1 AUTHORIZED

如果裝置無法註冊（且如果狀態並非 REGISTERED），則不符合規定狀態會指出 CSSM 的問題（例如，智慧虛擬帳戶中遺失授權）、不正確的對應（舉例來說，系統使用不同虛擬帳戶的權杖，但該權杖未提供任何授權）等。  

查看以下項目： 

1.驗證配置設定和常見故障情況。

請參閱第 2.1 節，以了解基本組態設定步驟。此外，請檢視第5部分，瞭解在現場觀察到的常見故障場景。

2.檢查基本連通性。

驗證裝置是否可以訪問（並打開TCP埠）tools.cisco.com（在直接訪問的情況下）或Cisco Smart Software Manager on-premise server： 

#show run all | in destination address http 

  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 

! 

! check connectivity 

! 

#telnet tools.cisco.com 443 /source-interface gi0/0 

Trying tools.cisco.com (x.x.x.x, 443)... Open 

[Connection to tools.cisco.com closed by foreign host]

如果這些命令不起作用，請仔細檢查路由規則、源介面和防火牆設定。

請參閱第3節。本文檔中的注意事項和警告，以瞭解如何配置DNS和HTTP詳細資訊的進一步指南。 

3.驗證智慧許可證設定。

收集以下輸出內容：

#show tech-support license

然後驗證收集的組態/記錄（如果您決定開啟 Cisco TAC 案例進一步調查，請附加此輸出內容）。  

4.啟用調試。

啟用這些調試以收集有關智慧許可過程的其他資訊。

#debug call-home smart-licensing [all | trace | error] 

#debug ip http client [all | api | cache | error | main | msg | socket]

若要進行內部偵錯，請啟用並讀取二進位追蹤：

! enable debug 

#set platform software trace ios [switch] active R0 infra-sl debug 

! 

! read binary traces infra-sl process logs 

#show platform software trace message ios [switch] active R0

常見故障情況

本節介紹在思科裝置註冊期間或之後可能會遇到的一些常見故障情況：

方案#1：交換機註冊「失敗原因：產品已註冊」

「show license all」剪取內容：

註冊：

  狀態：UNREGISTERED - REGISTRATION FAILED

  匯出控制功能：不允許

  初始註冊失敗：2018年10月22日14:25:31 EST

   失敗原因：產品已註冊

  下次註冊嘗試：2018年10月22日14:45:34 EST

後續步驟：

- 必須再次註冊Cisco裝置。

- 如果在CSSM中看到Cisco裝置，則必須使用force引數（即license smart register idtoken <TOKEN> force）。

註：失敗原因還可以顯示為：
   - 失敗原因：包含udiSerialNumber：<SerialNumber>，udiPid：<Product>的產品<X>和sudi已註冊。
   - 失敗原因：現有產品執行個體具有使用量，且強制旗標為False

方案#2：交換機註冊「失敗原因：您的請求現在無法處理。請重試」

「show license all」剪取內容：

註冊：

  狀態：正在註冊-正在註冊

  匯出控制功能：不允許

  初始註冊失敗：2018年10月24日15:55:26 EST

    失敗原因： 您的要求目前無法處理。請重試

  下次註冊嘗試：2018年10月24日16:12:15 EST

後續步驟：

- 啟用第4節中提到的調試，以便更深入地瞭解此問題。

- 在智慧型授權的 CSSM 中產生新的權杖，然後再次嘗試。  

案例#3：失敗原因「裝置日期1526135268653移超過允許的允差限制

「show license all」剪取內容：

註冊：

  狀態：正在註冊-正在註冊

  匯出控制功能：不允許

  初始註冊失敗：2018年11月1117:55:46 EST

    失敗原因： {"timestamp"：["裝置日期'1526135268653'偏移量超過了允許的容差限制。"]}

  下次註冊嘗試：2018年11月11日18:12:17 EST

可能顯示的記錄：

%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID：證書鏈驗證失敗。  憑證(SN： XXXXXX)尚未生效。有效期限始於 2018-12-12:43Z

後續步驟：

- 驗證Cisco裝置時鐘顯示的是正確的時間(show clock)。

- 如果可能，配置網路時間協定(NTP)以確保時鐘設定正確。

- 如果無法進行NTP，請驗證手動設定的時鐘（時鐘集）是否正確(show clock)，並透過驗證是否配置了clock calendar-valid來配置為受信任的時間源

注意：預設情況下，系統時鐘不受信任。必須有Clock calendar-valid。

場景#4：交換機註冊「Failure Reason： Communication Transport Not Available」。

「show license all」剪取內容：

註冊：狀態：未註冊-註冊失敗

導出控制功能：不允許

初始註冊失敗：2019年3月9日21:42:02 CST

   失敗原因：通訊傳輸不可用。

可能顯示的記錄：

%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE：無法從Smart Agent啟用用於許可的Call-home：該命令由於現有活動使用者配置檔案而無法啟用Smart Call home。如果您使用CiscoTAC-1配置檔案以外的使用者配置檔案將資料傳送到思科中的SCH伺服器，請在配置檔案模式下輸入reporting smart-licensing-data以配置該配置檔案進行智慧許可。有關SCH的更多詳細資訊，請檢視http://www.cisco.com/go/
%SMART_LIC-3-AGENT_REG_FAILED：向思科智慧軟體管理器或衛星進行許可註冊的智慧代理失敗：通訊傳輸不可用。
%SMART_LIC-3-COMM_FAILED：與思科智慧軟體管理器或衛星的通訊失敗：通訊傳輸不可用。

後續步驟：

- 驗證是否已在Cisco裝置的show running-config輸出中透過service call-home啟用。

- 確認正確的主動通報設定檔作用中.

- 驗證是否在活動Call-home配置檔案下配置了報告Smart-licensing-data。

方案#5：交換機許可證授權「失敗原因：無法傳送Call Home HTTP消息」。

「show license all」剪取內容：

授權驗證：

  狀態：不合規（7月26日09:24:09 2018 UTC）

  上次通訊嘗試：於8月2日2018 UTC 14:26:23失敗

    失敗原因：無法傳送Call Home HTTP消息。

  下次通訊嘗試：8月2日14:26:53 2018 UTC

  通訊截止時間：世界協調時10月25日09時21分38秒

可能顯示的記錄：

%CALL_HOME-5-SL_MESSAGE_FAILED：無法將智慧許可消息傳送到： https://<ip>/its/service/oddce/services/DDCEService （ERR 205：請求已中止）

%SMART_LIC-3-COMM_FAILED：與思科智慧軟體管理器或衛星通訊失敗：無法傳送Call Home HTTP消息。

%SMART_LIC-3-AUTH_RENEW_FAILED：使用思科智慧軟體管理器或衛星進行授權續訂：udi PID：XXX、SN：XXX的通訊消息傳送錯誤

後續步驟：

- 驗證Cisco裝置是否能ping通tools.cisco.com。

- 如果未配置DNS，請為tools.cisco.com的本地nslookup IP配置DNS伺服器或ip host語句。

- 嘗試從Cisco裝置telnet至TCP埠443上的tools.cisco.com（HTTPS使用的埠）。

- 驗證 HTTPS 用戶端來源介面已設定且正確 .

- 驗證是否已在Cisco裝置上透過show call-home profile all正確設定Call home配置檔案中的URL/IP。

- 驗證 IP 路由指向下一個正確躍點.

- 確保思科裝置、Smart Call Home伺服器路徑或思科智慧軟體管理器on-prem（衛星）上的TCP埠443未被阻止。

- 確保在Call-home下配置正確的虛擬路由和轉發(VRF)例項（如果適用）。

案例#6：失敗原因「缺少Id憑證序號欄位；缺少簽署憑證序號欄位；簽署資料與憑證不符」記錄

如思科漏洞ID CSCvr41393中所述，使用加密證書過期的CSSM內部伺服器時，將會出現這種情況。這是預期行為，因為必須允許CSSM內部版本同步和更新其證書，以防止與任何註冊裝置發生證書同步問題。

「show license all」剪取內容：

註冊：
  狀態：未註冊
  智慧帳戶：示例帳戶
  導出控制功能：允許

授權驗證：
 狀態：評估模式
 剩餘評估期：65天、18小時、43分鐘、0秒

可能顯示的記錄：

在show logging或show license eventlog下顯示此錯誤：
SAVET_DEREGISTER_STATUS msgStatus="LS_INVALID_DATA" error="Missing Id cert serial number field； Missing signing cert serial number field； Signed data and certificate does not match"

後續步驟：

- 驗證思科裝置具有 CSSM 內部部署伺服器的 IP 連線能力.
- 如果使用 HTTPS，請確認裝置主動通報組態中的認證 CNAME 正在使用.
- 如果DNS伺服器無法解析證書C名稱，請配置靜態ip host語句來對映域名和IP地址。

- 驗證 CSSM 內部部署伺服器的憑證狀態仍有效.
- 如果CSSM本地證書已過期，請使用思科漏洞ID CSCvr41393

注意：預設情況下，HTTPS在SSL握手期間執行伺服器身份檢查，以驗證URL或IP是否與伺服器提供的證書相同。如果主機名稱和 IP 不符，如此使用 IP 位址而非 DNS 項目時可能會造成問題。如果無法使用DNS或靜態ip host語句，則無法將http secure server-identity-check配置為停用此證書檢查。

方案#7：交換機許可證授權「失敗原因：等待回覆」 

「show license all」剪取內容：

授權驗證：
 狀態：不合規（7月26日09:24:09 2018 UTC）
 最後一次通訊嘗試：UTC8月2日14:34:51 PENDING
  失敗原因：等待回覆
 下次通訊嘗試：8月2日14:53:58 2018 UTC
 通訊截止時間：世界協調時10月25日09時21分39秒

可能顯示的記錄：

%PKI-3-CRL_FETCH_FAIL： CRL fetch for trustpoint SLA-TrustPoint failed原因：無法選擇套接字。超時：5 （連線超時）
%PKI-3-CRL_FETCH_FAIL： CRL fetch for trustpoint SLA-TrustPoint failed原因：無法選擇套接字。超時：5 （連線超時）

後續步驟：

- 要解決此問題，必須在運行配置下將SLA-TrustPoint配置為none

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revocation-check none

什麼是 CRL？

憑證撤銷清單 (CRL) 為已撤銷之憑證的清單。CRL 會由原始發行憑證的憑證授權單位 (CA) 建立和數位簽署。CRL 會包含每個憑證發行和到期的日期。如需有關 CRL 的詳細資訊，請參閱此處。

場景#8：許可證處於「不合規」狀態

「show license all」剪取內容：

授權驗證：
 狀態：不合規（7月26日09:24:09 2018 UTC）
 最後一次通訊嘗試：UTC8月2日14:34:51 PENDING
  失敗原因：等待回覆
 下次通訊嘗試：8月2日14:53:58 2018 UTC
 通訊截止時間：世界協調時10月25日09時21分39秒

可能顯示的記錄：

%SMART_LIC-3-OUT_OF_COMPLIANCE：一個或多個權利檔案不合規。

後續步驟：

- 驗證是否已使用來自正確智慧虛擬帳戶的令牌。

- 驗證此處可用的授權數量。

方案#9：交換機許可證授權「失敗原因：資料和簽名不匹配」

「show license all」剪取內容：

授權驗證：

 狀態：授權時間：3月12日09:17:45 2020東部夏令時間

 上次通訊嘗試：於3月12日09:17:45 2020東部夏令時間失敗

  失敗原因：資料和簽名不匹配

 下次通訊嘗試：3月12日09:18:15 2020東部夏令時間

 溝通截止時間：2020年5月9日21:22:43東部夏令時間

可能顯示的記錄：

%SMART_LIC-3-AUTH_RENEW_FAILED：使用思科智慧軟體管理器(CSSM)進行授權續訂：從智慧軟體管理器接收錯誤：資料和簽名與udi PID：C9000，SN：XXXXXXXXXXX不匹配

後續步驟：

- 使用許可證智慧取消註冊來取消註冊交換機。

- 然後使用新令牌和許可證智慧註冊idtoken <TOKEN>強制註冊交換機。

參考資料

1) Cisco Smart Licensing 首頁

2) 思科社群 - 隨選訓練

3) 智慧型帳戶 - 管理入口網站：Smart Software Licensing

4) 智慧型帳戶 - 建立新帳戶：智慧型帳戶

5) 組態設定指南（範例）- Cisco IOS XE Fuji 16.9.x（Catalyst 9300 交換器）系統組態設定指南