Smart Licensing Using Policy とは
IOS-XE バージョン 16.9.1 以降の Catalyst スイッチや 16.10.1 以降の ASR/ISR ルータでは、ライセンス管理の仕組みとしてスマートライセンスが使用されていました。
スマートライセンスの運用開始後、ユーザから Cisco への多くのフィードバックがあり、スマートライセンスを改修する形で Smart Licensing Using Policy という新たな仕組みが登場しました。
対象となるバージョン
IOS-XE 17.3.2 以降の機器(一部機器は 17.4.1 以降)は Smart Licensing Using Policy をサポートしています。
当記事作成時点で C9000 シリーズはすべて推奨バージョンが 17.3.3 となっているため、Smart Licensing Using Policy の理解は必須といえます。
主な変更点
従来のスマートライセンスからの主な変更点は以下の通りです。
- 評価モードがなくなった
- 機器では初期状態ですべてのライセンスが IN USE 状態となっている(一部を除く)
- 機器はライセンスとその使用状況のレポートを収集して CSSM に送信し、CSSM からは ACK が返される
- SLR(ライセンス予約)がサポートされなくなった
RUM レポート
- Resource Utilization Measurement(リソース使用率の測定)
- 製品インスタンス (PI) によって生成および保存される使用状況レポート
- PI で行われたライセンス使用状況の変更がすべてレポートファイルとして保存される
- CSSM は、PI から RUM レポートデータを受信すると、レポートを検証し、変更されたライセンスの使用状況のタイムラインをチェックし、それに応じて CSSM データを更新する。次に、CSSM は ACK 応答メッセージを介して PI に確認応答する
CSSM へのレポートの方式
従来のスマートライセンス同様、Smart Licensing Using Policy でもいくつかの方式があります。
機器から CSSM へダイレクトにレポート
この方式では、Cisco 機器は直接インターネット上の CSSM へレポートを送信します。オンラインとオフラインの 2 パターンがあります。
オンラインでは機器はインターネットへ接続し、自動で定期的に CSSM へレポートを送信します。(CSSM オンラインと呼ばれたりします。)
オフラインでは機器はインターネット接続しません。管理者が手動で機器からレポートをエクスポートし、そのレポートを手動で CSSM へアップロードします。さらに、CSSM から ACK をダウンロードしてそれを機器にインポートします。(CSSM オフラインと呼ばれたりします。)
Cisco Smart Licensing Utility (CSLU) を使用したレポート
Windows 10 上で動作するアプリケーションである Cisco Smart Licensing Utility (CSLU) を使用します。機器は CSLU へレポートを送信し、さらに CSLU は CSSM へレポートを送信します。
こちらの方式も CSLU のインターネット接続状況によってオンライン/オフラインの 2 パターンがあります。
ライセンスの施行タイプ
Smart Licensing Using Policy におけるライセンスには施行タイプという分類があり、以下の 3 種類があります。
- Unenforced or Not Enforced
- 使用する前の認可や登録を必要としません
- Catalyst アクセス/コア/アグリゲーションスイッチで使用可能なライセンスはすべてこのタイプ
- Enforced
- 使用する前に認可が必要
- 認可コードを対象機器にインストールする必要がある
- このタイプのライセンスの例は、Cisco Industrial Ethernet switches で利用可能な Media Redundancy Protocol(MRP)クライアントライセンス
- Export-Controlled
- 米国の貿易管理法によって輸出が制限されており、これらのライセンスは使用前に認可が必要
- 認可コードを対象機器にインストールする必要がある
- このタイプのライセンスの例は、特定の Cisco ルータで使用可能な高速暗号化(HSECK9)ライセンス
ライセンスタイプ
ライセンスには上で説明した施行タイプとは別にライセンスタイプという分類があり、以下の 2 種類があります。
- Perpetual(永続的)
- 有効期限が無い
- C9000 シリーズの
Network Essentials、Network Advantageはこのタイプ
- Subscription(サブスクリプション)
- 有効期限がある
- C9000 シリーズの
DNA Essentials、DNA Advantageはこのタイプ
ライセンスの施行タイプとライセンスタイプは show license all の License Usage 項目などで確認できます。
#show license all
...
License Usage
=============
network-essentials (C9200L-NW-E-24):
Description: C9200L-24 Network Essentials
Count: 1
Version: 1.0
Status: IN USE
Export status: NOT RESTRICTED
Feature Name: network-essentials
Feature Description: C9200L-24 Network Essentials
Enforcement type: NOT ENFORCED '←---------★注目★'
License type: Perpetual '←---------★注目★'
dna-essentials (C9200L-DNA-E-24):
Description: C9200L-24 DNA Essentials
Count: 1
Version: 1.0
Status: IN USE
Export status: NOT RESTRICTED
Feature Name: dna-essentials
Feature Description: C9200L-24 DNA Essentials
Enforcement type: NOT ENFORCED '←---------★注目★'
License type: Subscription '←---------★注目★'
...ポリシー
ポリシーには以下のような要素が含まれ、これによって機器動作が決定されます。
- CSSM からの ACK の要否
- 施行タイプ/ライセンスタイプ別に次の項目
First report requirement:- 初回レポートをここで指定された期間内に送信する必要があります
- 0 の場合は必要ないことを意味します
Reporting frequency:- 後続のレポートをここで指定された期間内に送信する必要があります
- 0 の場合は必要ないことを意味します
Report on change:- ライセンスの使用法が変更された場合は、ここで指定された期間内にレポートを送信する必要があります
- 0 の場合は必要ないことを意味します
#show license all
...
Policy:
Policy in use: Merged from multiple sources.
Reporting ACK required: yes (CISCO default)
Unenforced/Non-Export Perpetual Attributes: '←---------★Unenforced/Non-Export、かつ Perpetual タイプに適用されるポリシー★'
First report requirement (days): 365 (CISCO default)
Reporting frequency (days): 0 (CISCO default)
Report on change (days): 90 (CISCO default)
Unenforced/Non-Export Subscription Attributes: '←---------★Unenforced/Non-Export、かつSubscription タイプに適用されるポリシー★'
First report requirement (days): 90 (CISCO default)
Reporting frequency (days): 90 (CISCO default)
Report on change (days): 90 (CISCO default)
Enforced (Perpetual/Subscription) License Attributes: '←---------★Enforced タイプに適用されるポリシー★'
First report requirement (days): 0 (CISCO default)
Reporting frequency (days): 0 (CISCO default)
Report on change (days): 0 (CISCO default)
Export (Perpetual/Subscription) License Attributes: '←---------★Export タイプに適用されるポリシー★'
First report requirement (days): 0 (CISCO default)
Reporting frequency (days): 0 (CISCO default)
Report on change (days): 0 (CISCO default)
...デフォルトでは、上の通り CISCO default ポリシーが適用されます。
ライセンスタイプやポリシーについては、一般的な Catalyst スイッチにおいてはほとんど意識する必要は無さそうです。
「施行タイプ」と「ライセンスタイプ」の組み合わせによって適用されるポリシーが異なるため、これらのタイプは要確認ポイントとなります。
構築時の最初の確認ポイント
- 構築対象機器で採用する IOS-XE バージョン
- レポート方式はどれを使用するか
- オプションである DNA ライセンスの有無
不必要なライセンスレベルの変更はしない方が無難
上のポリシー項目で記載しているように、ライセンス使用法変更後のレポート期限が設定されていることから、ライセンスレベル(license boot level)変更後には CSSM へのレポートが必要になる可能性が高いです。
そのため、必要ないのにライセンスレベルを変更してしまった場合、CSSM へのレポートの必要が発生してトラブルになるリスクがあります。
試しにライセンスレベルを変えてみる、といったようなことはしない方が無難と思われます。
ダイレクトレポート方式(オンライン)での対応手順
最も利用頻度が高い方式は、ダイレクトレポート方式(オンライン)ではないかと思います。
ダイレクトレポート方式(オンライン)を採用する場合の対応手順は以下の通りです。
- 機器を設定する
- CSSM でトークン(トラストコード)を発行する
- 機器をインターネット接続可能な環境で稼働させ、機器にてトークン(トラストコード)をインストールする
- 機器にて CSSM から ACK を受信できたことを確認する
機器の設定内容
CSSM へ接続するための基本的な設定
- DNS サーバの設定
ip name-server <DNS サーバのIP>
- DNS ドメインルックアップソースインターフェイスの設定
ip domain lookup source-interface <IF名>
- IP ドメイン名の設定
ip domain name <ドメイン名>
- L3 インターフェースの IP アドレスの設定
- NTP サーバ、タイムゾーンの設定
- インターネット向けのルーティングの設定
- HTTP クライアントソースインターフェースの設定
ip http client source-interface <IF名>
ライセンスレベルの設定
必要に応じて機器のライセンスレベルを変更します。(グローバル設定)
license boot level <Networkライセンスレベル> [addon <DNAライセンスレベル>]
ライセンスレベル変更は再起動後に反映されるため、設定変更後は機器を再起動させます。
トランスポートタイプの設定
従来のスマートライセンスで使用していた call-home は基本的には使用せず、以下のトランスポートタイプと URL を設定するのみで設定は済みます。(call-home を使用する方法も可能。)
トランスポートタイプはデフォルトで cslu になっていますが、ダイレクトレポート方式の場合は smart と設定します。その上で license smart url default を設定します。
#グローバルで以下設定を行う
license smart transport smart
license smart url defaultlicense smart url default の設定を行った後、自動で以下の設定が入ります。
license smart url https://smartreceiver.cisco.com/licservice/license
license smart url smart https://smartreceiver.cisco.com/licservice/license設定後は show license all コマンドで以下のように表示されることを確認します。
#show license all
...
Transport:
Type: Smart
URL: https://smartreceiver.cisco.com/licservice/license
Proxy:
Not Configured
...CSSM でのトークンの発行
トークンの発行は権限がある人に依頼します。トークン発行手順は以下の通りです。
- CSSM にログインし、Smart Software Licensing をクリック
- Inventory タブをクリック
- Virtual Account ドロップダウンリストから、対象のバーチャルアカウントを選択
- General タブをクリック
- New Token をクリック(Create Registration Token 画面が開く)
- Description フィールドに説明文を入力(オプション)
- Expire After フィールドにトークンの有効期間を入力(オプション、デフォルト 30 日間)
- Max. Number of Uses フィールドにトークンの使用可能回数を入力(オプション、デフォルト無制限)
- Create Token をクリック
- トークンリストの中から対象のトークンレコードの Actions 欄で Copy を選択するとトークンをコピーできる
機器へのトークンのインストールと確認
トークンを入手できたら機器にトークンをインストールします。
インターネットに接続できる環境で以下コマンドを使用してトークンをインストールします。
# license smart trust idtoken <トークン> <local | all> [force]<トークン>:CSSM から取得したトークン(文字列)<local | all>- 機器がスタック構成でない場合は
local、スタック構成の場合はallを指定
- 機器がスタック構成でない場合は
[force]- CSSM に送信されるメッセージに force フラグが設定され、対象 UDI がすでに存在する場合でも新しいトラストコードが作成される
license smart trust idtoken XXXXXX localトークンインストール後、show license all コマンドで状態を確認します。
# show license all
...
Usage Reporting:
Last ACK received: Mmm dd hh:mm:ss 2021 JST
Next ACK deadline: Mmm dd hh:mm:ss 2021 JST
Reporting push interval: 30 days
Next ACK push check: <none>
Next report push: Mmm dd hh:mm:ss 2021 JST
Last report push: Mmm dd hh:mm:ss 2021 JST
Last report file write: <none>
Trust Code Installed: Mmm dd hh:mm:ss 2021 JST
...Last ACK received:に CSSM からの ACK を受信した時刻が表示されていることTrust Code Installed:にトークンインストール日時が表示されていること
また、CSSM の Product Instances 画面で対象機器が登録されていることを確認します。
以上で対応完了です。
ダイレクトレポート方式(オフライン)での対応手順
以下記事にまとめました。
【Cisco】CSSM オフライン採用時の対応方法【Smart License】
参考資料
