【Cisco】CSSM オフライン採用時の対応方法【Smart License】

対象環境
【スマートライセンス】 CSSM オフラインについて
1. CSSM オフラインの対応の流れ
Cisco 機器での具体的な対応方法
CSSM オフラインでは定期的な手動運用が必要な場合有
1. Network ライセンスのみ使用の場合
2. DNA ライセンスを使用する場合
CSSM オフライン採用時の注意点
その他情報
参考資料

対象環境

C9000 シリーズスイッチ
- IOS-XE 17.3.2 以降

【スマートライセンス】 CSSM オフラインについて

IOS-XE 17.3.2 以降の C9000シリーズスイッチでは、Smart Licensing Using Policy と呼ばれる新しい仕組みでライセンス管理を行います。

Smart Licensing Using Policy のライセンス管理方式はいくつかありますが、最も良く利用される方式は以下のいずれかではないかと思います。

CSSM オンライン
CSSM オフライン

インターネット接続可能な環境で機器を稼働させる場合は CSSM オンライン、そうでない場合は CSSM オフラインを採用するということになるかと思います。

以下では CSSM オフラインが採用された場合に、構築担当者としてはどのように対応すれば良いかを記載します。

CSSM オフラインの対応の流れ

(1) Cisco 機器でレポートを出力し、そのレポートファイルを TFTP サーバ等へ転送することでレポートファイルを入手します。

(2) 構築担当からエンドユーザへレポートファイルを送付し、エンドユーザの Cisco アカウント管理画面でのレポートファイルのアップロード、及び Ack ファイルのエクスポートを依頼します。
※中間業者がいる場合は中間業者へ依頼します

(3) エンドユーザから Ack ファイルを受け取ります。

(4) TFTP サーバ等から Cisco 機器へ Ack ファイルを転送し、Cisco 機器にて Ack ファイルをインポートします。

以上で対応は完了です。

スタック構成の場合は、スタック構成後に上記の対応を行います。この場合、出力されるレポートファイルは一つのみとなり、1 ファイルにスタック台分のレポートが記録されます。Ack ファイルについても同様に 1 ファイルのみとなります。

Cisco 機器での具体的な対応方法

対応手順は以下の通りです。

Cisco 機器での対応手順

トランスポートモードの設定
ライセンスレベルの設定（必要に応じて）
- 設定変更後は再起動が必要
レポートファイルの出力
Ack ファイルのインポート
ステータスの確認

トランスポートモードの設定

トランスポートモードはデフォルトで cslu になっていますが、CSSM オフラインの場合は off に設定変更します。

(config)# license smart transport off

C9000(config)# license smart transport off

ライセンスレベルの設定

必要に応じて機器のライセンスレベルを変更します。

(config)# license boot level <Network-license> [addon <DNA-license>]

ライセンスレベル変更は再起動後に反映されるため、設定変更後は機器を再起動させます。

(例) Network Essentials で DNA ライセンスを使用する場合

C9000(config)# license boot level network-essentials addon dna-essentials

(例) Network Essentials で DNA ライセンスを使用しない場合

C9000(config)# license boot level network-essentials

DNA ライセンスを使用するかどうかを関係者に確認してから設定してください。後述しますが DNA ライセンスを使用する場合は定期的なレポーティングの運用が必要になります。ほとんどの場合は DNA ライセンスは使用しないかと思います。

デフォルトでは DNA ライセンスを使用する設定になっているため注意してください。

レポートファイルの出力前にライセンスレベルの設定（再起動含む）を実施してください。

レポートファイルの出力

レポートファイルの出力は特権モードで以下コマンドにて実施します。

# license smart save usage all file flash:<file-name>
- <file-name>：任意のファイル名。拡張子は .txt とします

flash 内にレポートファイルが出力されます。レポートの中身は XML 形式になっています。

ファイル名に関しては任意ですが、どの機器のレポートなのかを判別できるような名前が良いかと思います。

C9000# license smart save usage all file flash:C9000_cssm_offline_report.txt

レポート出力後は TFTP サーバ等に転送します。

C9000# copy flash:C9000_cssm_offline_report.txt tftp://10.1.10.4

Ack ファイルのインポート

Ack ファイル受領後のインポートの方法です。

まず Ack ファイルを TFTP サーバ等から Cisco 機器へ転送します。

C9000# copy tftp://10.1.10.4/C9000_cssm_offline_ack.txt flash:

Ack ファイルを転送できたら、Cisco 機器で以下コマンドを実行し Ack ファイルをインポートします。

# license smart import flash:<file-name>
- <file-name>：Ack ファイル名

C9000# license smart import flash:C9000_cssm_offline_ack.txt
Import Data Successful

ステータスの確認

ステータスの確認としては、show license status または show license all の Usage Reporting: を確認します。

Ack インポート前の表示は以下のようになっています。

Usage Reporting:
  Last ACK received: <none> '←---------★注目★'
  Next ACK deadline: Mmm dd hh:mm:ss 2021 JST '←---------★注目★'
  Reporting push interval: 30  days
  Next ACK push check: <none>
  Next report push: Mmm dd hh:mm:ss 2021 JST
  Last report push: <none>
  Last report file write: <none>

Ack インポート後の表示は以下のようになっています。

Usage Reporting:
  Last ACK received: Mmm dd hh:mm:ss 2021 JST '←---------★注目★'
  Next ACK deadline: Mmm dd hh:mm:ss 2022 JST '←---------★注目★'
  Reporting push interval: 30  days
  Next ACK push check: <none>
  Next report push: Mmm dd hh:mm:ss 2021 JST
  Last report push: <none>
  Last report file write: <none>

上のように Last ACK received: に Ack インポート実行日時が表示されます。また、Next ACK deadline: の表示が更新されます。

CSSM オフラインの対応は以上です。

CSSM オフラインでは定期的な手動運用が必要な場合有

Network ライセンスのみ使用の場合

Network ライセンスは Unenforced/Non-Export かつ Perpetual タイプのライセンスとなります。

このタイプのライセンスに適用されるポリシーに基づくと、初回レポートの次からの定期的なレポートは不要となります。

DNA ライセンスを使用する場合

DNA ライセンスは Unenforced/Non-Export かつ Subscription タイプのライセンスとなります。

このタイプのライセンスに適用されるポリシーに基づくと、90 日ごとにレポート期限が訪れるため、90 日間隔で定期的にレポート操作が必要となります。

CSSM オフライン採用時の注意点

Ack インポート実施後に write erase を実行して設定を初期化すると、再度レポートファイルの出力と ACK の発行・インポートが必要になります。Ack インポート実施後は write erase を実行しないことをお勧めします
機器の時刻が大きくずれている場合、Ack インポート時にエラーとなる場合があります
まれに Ack インポート実施時に Import Data Failed / Signature Verification Failed というエラーになる場合があります。この場合は運が悪かったとあきらめて以下の手順で再度レポート操作が必要です
1. 【機器側】で以下の操作を実施
  1. # license smart factory reset を実行する
  2. # write memory を実行し、機器を再起動する
  3. RUM レポートを再度出力する
2. 【CSSM側】で以下の操作を実施
  1. 対象機器の PI 情報を削除する
  2. 機器側で再度出力した RUM レポートをインポートして Ack を出力し直す
3. 【機器側】で再度発行した Ack をインポートする

その他情報

C9000 スイッチで DNA ライセンスを使用していない状態で Ack をインポートした後、Usage Reporting: の Next ACK deadline: が 1 年後の日付になりますが、これは表示上のバグのようです

Network Essentials もしくは Network Advantage のみ利用の場合、 CSSM へのレポーティングを行った後、下記のように Next ACK deadline: が 1 年後の日付になる事象は表示上の不具合です。この場合、 Next ACK deadline: の日付を無視してください。この Next ACK deadline を超えた場合でも Network Essentials もしくは Network Advantage が正常に動作し続けて、ライセンス関連のログ出力もありません。
Smart Licensing Using Policy の offline mode 利用時 CSSM へのレポーティング間隔について