【Cisco】Smart Licensing Using Policy の概要と設定方法

ルータ

Smart Licensing Using Policy とは

IOS-XE バージョン 16.9.1 以降の Catalyst スイッチや 16.10.1 以降の ASR/ISR ルータでは、ライセンス管理の仕組みとしてスマートライセンスが使用されていました。

スマートライセンスの運用開始後、ユーザから Cisco への多くのフィードバックがあり、スマートライセンスを改修する形で Smart Licensing Using Policy という新たな仕組みが登場しました。

対象となるバージョン

IOS-XE 17.3.2 以降の機器(一部機器は 17.4.1 以降)は Smart Licensing Using Policy をサポートしています。

当記事作成時点で C9000 シリーズはすべて推奨バージョンが 17.3.3 となっているため、Smart Licensing Using Policy の理解は必須といえます。

Catalyst 9200/9300/9400/9500/9600 および Catalyst 3650/3850 プラットフォームの推奨リリース
このドキュメントは、エンタープライズ スイッチング プラットフォーム用の安定したソフトウェアリリースを見つけるのに役立ちます。

主な変更点

従来のスマートライセンスからの主な変更点は以下の通りです。

  • 評価モードがなくなった
  • 機器では初期状態ですべてのライセンスが IN USE 状態となっている(一部を除く)
  • 機器はライセンスとその使用状況のレポートを収集して CSSM に送信し、CSSM からは ACK が返される
  • SLR(ライセンス予約)がサポートされなくなった

RUM レポート

  • Resource Utilization Measurement(リソース使用率の測定)
  • 製品インスタンス (PI) によって生成および保存される使用状況レポート
  • PI で行われたライセンス使用状況の変更がすべてレポートファイルとして保存される
  • CSSM は、PI から RUM レポートデータを受信すると、レポートを検証し、変更されたライセンスの使用状況のタイムラインをチェックし、それに応じて CSSM データを更新する。次に、CSSM は ACK 応答メッセージを介して PI に確認応答する

CSSM へのレポートの方式

従来のスマートライセンス同様、Smart Licensing Using Policy でもいくつかの方式があります。

機器から CSSM へダイレクトにレポート

この方式では、Cisco 機器は直接インターネット上の CSSM へレポートを送信します。オンラインとオフラインの 2 パターンがあります。

オンラインでは機器はインターネットへ接続し、自動で定期的に CSSM へレポートを送信します。(CSSM オンラインと呼ばれたりします。)

オフラインでは機器はインターネット接続しません。管理者が手動で機器からレポートをエクスポートし、そのレポートを手動で CSSM へアップロードします。さらに、CSSM から ACK をダウンロードしてそれを機器にインポートします。(CSSM オフラインと呼ばれたりします。)

Cisco Smart Licensing Utility (CSLU) を使用したレポート

Windows 10 上で動作するアプリケーションである Cisco Smart Licensing Utility (CSLU) を使用します。機器は CSLU へレポートを送信し、さらに CSLU は CSSM へレポートを送信します。

こちらの方式も CSLU のインターネット接続状況によってオンライン/オフラインの 2 パターンがあります。

ライセンスの施行タイプ

2021/9/4
 ライセンスタイプと施行タイプについて認識に誤りがあったため内容を修正しました。

Smart Licensing Using Policy におけるライセンスには施行タイプという分類があり、以下の 3 種類があります。

  • Unenforced or Not Enforced
    • 使用する前の認可や登録を必要としません
    • Catalyst アクセス/コア/アグリゲーションスイッチで使用可能なライセンスはすべてこのタイプ
  • Enforced
    • 使用する前に認可が必要
    • 認可コードを対象機器にインストールする必要がある
    • このタイプのライセンスの例は、Cisco Industrial Ethernet switches で利用可能な Media Redundancy Protocol(MRP)クライアントライセンス
  • Export-Controlled
    • 米国の貿易管理法によって輸出が制限されており、これらのライセンスは使用前に認可が必要
    • 認可コードを対象機器にインストールする必要がある
    • このタイプのライセンスの例は、特定の Cisco ルータで使用可能な高速暗号化(HSECK9)ライセンス

ライセンスタイプ

ライセンスには上で説明した施行タイプとは別にライセンスタイプという分類があり、以下の 2 種類があります。

  • Perpetual(永続的)
    • 有効期限が無い
    • C9000 シリーズの Network EssentialsNetwork Advantage はこのタイプ
  • Subscription(サブスクリプション)
    • 有効期限がある
    • C9000 シリーズの DNA EssentialsDNA Advantage はこのタイプ

ライセンスの施行タイプとライセンスタイプは show license allLicense Usage 項目などで確認できます。

#show license all
...
License Usage
=============

network-essentials (C9200L-NW-E-24):
  Description: C9200L-24 Network Essentials
  Count: 1
  Version: 1.0
  Status: IN USE
  Export status: NOT RESTRICTED
  Feature Name: network-essentials
  Feature Description: C9200L-24 Network Essentials
  Enforcement type: NOT ENFORCED '←---------★注目★'
  License type: Perpetual '←---------★注目★'

dna-essentials (C9200L-DNA-E-24):
  Description: C9200L-24 DNA Essentials
  Count: 1
  Version: 1.0
  Status: IN USE
  Export status: NOT RESTRICTED
  Feature Name: dna-essentials
  Feature Description: C9200L-24 DNA Essentials
  Enforcement type: NOT ENFORCED '←---------★注目★'
  License type: Subscription '←---------★注目★'
...

ポリシー

ポリシーには以下のような要素が含まれ、これによって機器動作が決定されます。

  • CSSM からの ACK の要否
  • 施行タイプ/ライセンスタイプ別に次の項目
    • First report requirement:
      • 初回レポートをここで指定された期間内に送信する必要があります
      • 0 の場合は必要ないことを意味します
    • Reporting frequency:
      • 後続のレポートをここで指定された期間内に送信する必要があります
      • 0 の場合は必要ないことを意味します
    • Report on change:
      • ライセンスの使用法が変更された場合は、ここで指定された期間内にレポートを送信する必要があります
      • 0 の場合は必要ないことを意味します
#show license all
...
Policy:
  Policy in use: Merged from multiple sources.
  Reporting ACK required: yes (CISCO default)
  Unenforced/Non-Export Perpetual Attributes: '←---------★Unenforced/Non-Export、かつ Perpetual タイプに適用されるポリシー★'
    First report requirement (days): 365 (CISCO default)
    Reporting frequency (days): 0 (CISCO default)
    Report on change (days): 90 (CISCO default)
  Unenforced/Non-Export Subscription Attributes: '←---------★Unenforced/Non-Export、かつSubscription タイプに適用されるポリシー★'
    First report requirement (days): 90 (CISCO default)
    Reporting frequency (days): 90 (CISCO default)
    Report on change (days): 90 (CISCO default)
  Enforced (Perpetual/Subscription) License Attributes: '←---------★Enforced タイプに適用されるポリシー★'
    First report requirement (days): 0 (CISCO default)
    Reporting frequency (days): 0 (CISCO default)
    Report on change (days): 0 (CISCO default)
  Export (Perpetual/Subscription) License Attributes: '←---------★Export タイプに適用されるポリシー★'
    First report requirement (days): 0 (CISCO default)
    Reporting frequency (days): 0 (CISCO default)
    Report on change (days): 0 (CISCO default)
...

デフォルトでは、上の通り CISCO default ポリシーが適用されます。

ライセンスタイプやポリシーについては、一般的な Catalyst スイッチにおいてはほとんど意識する必要は無さそうです。

「施行タイプ」と「ライセンスタイプ」の組み合わせによって適用されるポリシーが異なるため、これらのタイプは要確認ポイントとなります。

構築時の最初の確認ポイント

  • 構築対象機器で採用する IOS-XE バージョン
  • レポート方式はどれを使用するか
  • オプションである DNA ライセンスの有無

不必要なライセンスレベルの変更はしない方が無難

上のポリシー項目で記載しているように、ライセンス使用法変更後のレポート期限が設定されていることから、ライセンスレベル(license boot level)変更後には CSSM へのレポートが必要になる可能性が高いです。

そのため、必要ないのにライセンスレベルを変更してしまった場合、CSSM へのレポートの必要が発生してトラブルになるリスクがあります。

試しにライセンスレベルを変えてみる、といったようなことはしない方が無難と思われます。

ダイレクトレポート方式(オンライン)での対応手順

最も利用頻度が高い方式は、ダイレクトレポート方式(オンライン)ではないかと思います。

ダイレクトレポート方式(オンライン)を採用する場合の対応手順は以下の通りです。

  1. 機器を設定する
  2. CSSM でトークン(トラストコード)を発行する
  3. 機器をインターネット接続可能な環境で稼働させ、機器にてトークン(トラストコード)をインストールする
  4. 機器にて CSSM から ACK を受信できたことを確認する

機器の設定内容

CSSM へ接続するための基本的な設定

  • DNS サーバの設定
    • ip name-server <DNS サーバのIP>
  • DNS ドメインルックアップソースインターフェイスの設定
    • ip domain lookup source-interface <IF名>
  • IP ドメイン名の設定
    • ip domain name <ドメイン名>
  • L3 インターフェースの IP アドレスの設定
  • NTP サーバ、タイムゾーンの設定
  • インターネット向けのルーティングの設定
  • HTTP クライアントソースインターフェースの設定
    • ip http client source-interface <IF名>

ライセンスレベルの設定

必要に応じて機器のライセンスレベルを変更します。(グローバル設定)

  • license boot level <Networkライセンスレベル> [addon <DNAライセンスレベル>]

上は C9000 シリーズの場合の設定コマンドです。C9000 シリーズ以外の機種の場合はライセンス体系が異なるため設定値の指定方法が異なる場合があります。

ライセンスレベル変更は再起動後に反映されるため、設定変更後は機器を再起動させます。

トランスポートタイプの設定

従来のスマートライセンスで使用していた call-home は基本的には使用せず、以下のトランスポートタイプと URL を設定するのみで設定は済みます。(call-home を使用する方法も可能。)

トランスポートタイプはデフォルトで cslu になっていますが、ダイレクトレポート方式の場合は smart と設定します。その上で license smart url default を設定します。

#グローバルで以下設定を行う
license smart transport smart
license smart url default

license smart url default の設定を行った後、自動で以下の設定が入ります。

license smart url https://smartreceiver.cisco.com/licservice/license
license smart url smart https://smartreceiver.cisco.com/licservice/license

設定後は show license all コマンドで以下のように表示されることを確認します。

#show license all
...
Transport:
  Type: Smart
  URL: https://smartreceiver.cisco.com/licservice/license
  Proxy:
    Not Configured
...

CSSM でのトークンの発行

トークンの発行は権限がある人に依頼します。トークン発行手順は以下の通りです。

  1. CSSM にログインし、Smart Software Licensing をクリック
  2. Inventory タブをクリック
  3. Virtual Account ドロップダウンリストから、対象のバーチャルアカウントを選択
  4. General タブをクリック
  5. New Token をクリック(Create Registration Token 画面が開く)
  6. Description フィールドに説明文を入力(オプション)
  7. Expire After フィールドにトークンの有効期間を入力(オプション、デフォルト 30 日間)
  8. Max. Number of Uses フィールドにトークンの使用可能回数を入力(オプション、デフォルト無制限)
  9. Create Token をクリック
  10. トークンリストの中から対象のトークンレコードの Actions 欄で Copy を選択するとトークンをコピーできる

機器へのトークンのインストールと確認

トークンを入手できたら機器にトークンをインストールします。

インターネットに接続できる環境で以下コマンドを使用してトークンをインストールします。

  • # license smart trust idtoken <トークン> <local | all> [force]
    • <トークン>:CSSM から取得したトークン(文字列)
    • <local | all>
      • 機器がスタック構成でない場合は local、スタック構成の場合は all を指定
    • [force]
      • CSSM に送信されるメッセージに force フラグが設定され、対象 UDI がすでに存在する場合でも新しいトラストコードが作成される
license smart trust idtoken XXXXXX local

トークンインストール後、show license all コマンドで状態を確認します。

# show license all
...
Usage Reporting:
  Last ACK received: Mmm dd hh:mm:ss 2021 JST
  Next ACK deadline: Mmm dd hh:mm:ss 2021 JST
  Reporting push interval: 30  days
  Next ACK push check: <none>
  Next report push: Mmm dd hh:mm:ss 2021 JST
  Last report push: Mmm dd hh:mm:ss 2021 JST
  Last report file write: <none>

Trust Code Installed: Mmm dd hh:mm:ss 2021 JST
...

  • Last ACK received: に CSSM からの ACK を受信した時刻が表示されていること
  • Trust Code Installed: にトークンインストール日時が表示されていること

トークンをインストールしてから Last ACK received: に時刻が表示されるまで 5 分程度かかります。

また、CSSM の Product Instances 画面で対象機器が登録されていることを確認します。

以上で対応完了です。

ダイレクトレポート方式(オフライン)での対応手順

以下記事にまとめました。

【Cisco】CSSM オフライン採用時の対応方法【Smart License】

参考資料

Catalystスイッチングプラットフォームでのポリシーを使用したスマートライセンスについて
このドキュメントでは、Catalystスイッチングプラットフォーム上のポリシーを使用したスマートライセンス機能と、サポートされるさまざまな導入メカニズムについて説明します。
Cisco IOS XEルータでのポリシーを使用したスマートライセンスの設定
このドキュメントでは、Cisco IOS® XEルータとSmart Licensing Using Policy機能の設定および登録に必要な手順について説明します。
Release Notes for Cisco Catalyst 9200 Series Switches, Cisco IOS XE Amsterdam 17.3.x
Release Notes for Cisco Catalyst 9200 Series Switches, Cisco IOS XE Amsterdam 17.3.x-Release Notes: Release Notes for Cisco Catalyst 9200 Series Switches, Cisco...
Cisco IOS XE Amsterdam 17.3.x(Cisco Catalyst 9300 シリーズ スイッチ)リリースノート
Cisco IOS XE Amsterdam 17.3.x(Cisco Catalyst 9300 シリーズ スイッチ)リリースノート
System Management Configuration Guide, Cisco IOS XE Amsterdam 17.3.x (Catalyst 9200 Switches) - Smart Licensing Using Policy [Support]
Smart Licensing Using Policy
System Management Configuration Guide, Cisco IOS XE Amsterdam 17.3.x (Catalyst 9300 Switches) - Smart Licensing Using Policy [Support]
Smart Licensing Using Policy
Smart Licensing Using Policy for Cisco Enterprise Routing Platforms - Information About Smart Licensing Using Policy [Cisco IOS XE Amsterdam 17.3.2]
Information About Smart Licensing Using Policy

https://network-knowledge.work/cisco-slusingpolicy/

https://network-knowledge.work/cisco-cssmoffline/

タイトルとURLをコピーしました