【構築者向け】Cisco スマートライセンスの概要と設定方法

ルータ
スポンサーリンク

スマートライセンスとは

概要

  • Cisco が提供するクラウドシステム(Cisco Smart Software Manager:CSSM)上でライセンスを管理する仕組み、およびそのライセンスの名称です
  • ユーザは CSSM 上にアカウント(Smart Account:SA)を作成します
    • SA に対してバーチャルアカウント(Virtual Account:VA)と呼ばれるアカウントを作成して使用します
  • ユーザが機器(スマートライセンス)を購入すると、機器(スマートライセンス)購入時に指定した SA に対してライセンスが登録されます
  • スマートライセンスの管理はユーザによって Web のポータルサイトで行えます
  • スマートライセンス認証用の設定がなされた機器をインターネット接続できる環境で稼働させることで、ライセンス認証を行うことができます(異なる方式もあります)
    • 初回認証時は認証用コマンドを実行します
      • CSSM で発行したトークン(文字列)を使用します
    • 以降は、機器が自動で定期的に CSSM への接続を行うことでライセンス管理が行われます
  • スマートライセンス登録対象機器については任意に別の機器へ変更することができます

対応機器について

  • スマートライセンスのみに対応する機器と、スマートライセンスと従来のライセンスの両方に対応している機器があります。Cisco の以下のページからリストをダウンロードできます
  • 以下のファームウェアおよび機器ではスマートライセンスが唯一のライセンス方式となっています
    • IOS-XE バージョン 16.9.1 以降の Catalyst 3650/3850 および Catalyst 9000 シリーズスイッチ
    • IOS-XE バージョン 16.10.1 以降の ASR1K、ISR1K、ISR4K、および仮想ルータ (CSRv/ISRv) などのルータ

IOS-XE 17.3.2 および 17.4.1 以降の方式について

IOS-XE 17.3.2 および 17.4.1 以降 (機種により異なる) では Smart Licensing Using Policy という新しい仕組みが登場しました。

この仕組みでは、機器のすべてのライセンスは初期状態で IN USE となっています。

機器は CSSM に対してライセンスの使用状況に関するレポートを定期的に送信することで、ライセンスの管理を行います。

従来の概念である、評価モード、登録、および予約(SLR)は、Smart Licensing Using Policy で廃止されます。

また従来のスマートライセンスとは設定方法が異なるため注意してください。

詳しくは以下記事に記載しています。

【Cisco】Smart Licensing Using Policy の概要と設定方法

認証方式の種類

ダイレクトクラウドアクセス方式(オンライン)

機器から直接、またはプロキシサーバを介してインターネット上の CSSM へ接続することで認証する方式です。最もシンプルな方式といわれています。

サテライトサーバ方式(オンライン/オフライン)

オンプレミスにサテライトと呼ばれるライセンス管理用のサーバを構築し、機器はサテライトと通信することで管理を行う方式です。オンライン方式とオフライン方式があります。

  • オンライン方式では、サテライトがインターネット接続され CSSM と通信することで自動で情報交換を行います
  • オフライン方式では、サテライトがインターネット接続されずに手動で情報交換を行います

サテライトという名称は旧称で現在は Smart Software Manager オンプレミス という名称になったようです。

参考:
https://www.cisco.com/c/ja_jp/buy/smart-accounts/software-manager-satellite.html

ライセンス予約方式(SLR、オフライン)

CSSM で発行した認証コードを手動で機器に登録する方式です。この方式については対応機種が限られています。

スマートライセンスのステータスについて

No.ステータス意味
1Un-Registered・新規購入時、または1年間認証サーバと通信しなかった製品の状態
・Evaluation Mode で
動作
2Register Product・製品は VA で発行したトークン情報と、UDI を持って、登録要求を認証サーバに
送る
・認証サーバは①認証IDと有効期限(通常1年)か、②失敗を返信
3Registered Status製品がスマートアカウントに登録された状態(PIの生成)
4Consume License・製品は設定に基づき必要なライセンスの Entitlement 要求を認証サーバに送

・認証サーバは①有効期限(通常90日)の認可か、②OOCを返信
5Authorized State・有効期限(通常90日)付きライセンス認可を得て、製品が利用できる状態
・Entitlement 応答で今回の認可の有効期間と再確認周期が通知される
6Out of
Compliance State
認証サーバからの OOC 応答により、VA で保持するライセンスが足りない状態
になっていることが分かった状態
※一旦”Authorized state”に入ると90日の使用認可を持つため、30日後の同
期通信で OOC になっても最短60日間は正常動作は継続される
7Authorization
Expired
有効期限(通常90日)付きライセンス認可を得て以降90日以上、認証サーバ
との通信ができなかった状態(一部機能制限を含む場合がある)
※このとき CSSM では該当製品のライセンスが使われていないと判断して PI を
Deactivate し、ライセンス使用数を1減らす
  • UDI:Unique Device Identifier
  • PI:製品インスタンス
  • OOC : Out Of Compliance

Evaluation Mode について

  • Evaluation Mode の持続期間は 90 日間
  • 機器の電源が入っている間のみ使用期間としてカウントされる
  • 残り期間は show license summary または show license all コマンドで確認可能
------------------ show license summary ------------------


Smart Licensing is ENABLED

Registration:
  Status: UNREGISTERED
  Export-Controlled Functionality: NOT ALLOWED

License Authorization: 
  Status: EVAL MODE
  Evaluation Period Remaining: 73 days, 14 hours, 46 minutes, 46 seconds

License Usage:
  License                 Entitlement tag               Count Status
  -----------------------------------------------------------------------------
                          (C9300-24 Network Essen...)       3 EVAL MODE

  • Evaluation Mode 期限切れ後は EVAL EXPIRYモードになるが機能への影響はない

Call Home について

機器と CSSM との間の通信は、Smart Call Home ソフトウェアによって行われます。

Call Home は、電子メール ベースおよび http/https ベースの通知を提供します。

Call Home の設定では宛先プロファイルを設定しますが、Cisco TAC へアラートを送信するためのプロファイルがデフォルトで定義されているため、必要な個所のみ修正して使用することができます。

デフォルトのプロファイル例:

call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
  active
  destination transport-method http
  no destination transport-method email

機器側の認証用設定(ダイレクトクラウドアクセス方式)

ダイレクトクラウドアクセス方式で認証する場合の機器側の設定手順は以下の通りです。

  1. ライセンスレベルの設定
  2. CSSM との接続のための設定
  3. Call Home プロファイルの設定
  4. CSSM でトークンを発行
  5. ライセンス認証コマンドの実行

ライセンスレベルの設定

ライセンス認証する前に、必要なライセンスレベルを機器側で設定しておく必要があります。

例として、Cisco Catalyst 9000シリーズスイッチで使用できるライセンスレベルは以下のとおりです。

  • 基本ライセンス
    • Network Essentials
    • Network Advantage(Network Essentialsを含む)
  • アドオンライセンス(これらは、3年、5年、または 7年の固定期間で購入可能)
    • Digital Networking Architecture (DNA) Essentials
    • DNA Advantage(DNA Essentials を含む)

ライセンスレベルの設定は以下の手順で行います。

  1. 現在のライセンスレベルの確認
    • # show run all | inc license boot
    • # show version
    • # show license summary
  2. ライセンスブートレベルの変更
    • (config)# license boot level LICENSE-NAME [addon ADDON-NAME]
  3. コンフィグの保存
    • # write memory
  4. 設定の確認
    • # show run all | inc license boot
    • # show version
    • # show license summary
  5. 機器の再起動
    • # reload

ライセンスレベル確認例:

cisco# show run | inc license boot
license boot level network-advantage addon dna-advantage

cisco# show version
.
Technology Package License Information: 

------------------------------------------------------------------------------
Technology-package                                     Technology-package
Current                        Type                       Next reboot  
------------------------------------------------------------------------------
network-advantage   	Smart License                 	 network-advantage   
dna-advantage       	Subscription Smart License    	 dna-advantage                 


Smart Licensing Status: RESERVATION IN PROGRESS/EVAL MODE
.

cisco#show license summary
Smart Licensing is ENABLED
License Reservation is ENABLED

Registration:
Status: REGISTERED - SPECIFIC LICENSE RESERVATION
Export-Controlled Functionality: Allowed

License Authorization:
Status: AUTHORIZED - RESERVED

License Usage:
License Entitlement tag Count Status
-----------------------------------------------------------------------------
Cisco IR1101 Network... (IR1101_Network_Advantage) 1 AUTHORIZED

CSSM との接続のための設定

CSSM との接続を確立するための以下の設定を行います。

  • DNS サーバの設定または静的マッピングの設定(以下のいずれかを設定)
    • (config)# { ip | ipv6 } name-server SERVER-ADDRESS
    • (config)# ip name-server vrf Mgmt-vrf SERVER-ADDRESS
    • (config)# ip host DOMAIN ADDRESS
  • 機器のドメイン名を設定
    • (config)# ip domain name DOMAIN
  • DNS ドメインルックアップのソース L3 インターフェイスを設定
    • (config)# ip domain lookup source-interface IF-NAME
  • DNS ドメインルックアップのソース L3 インターフェイスの IP 設定
    • (config)# interface IF-NAME
      • (config-if)# ip address ADDRESS MASK
    • 必要に応じてスイッチポートの設定(VLAN 設定)
  • CSSM へのルーティング設定(以下のいずれかを設定)
    • 静的ルーティング((config)# ip route DEST NEXTHOP
    • 動的ルーティング
  • NTP サーバの設定
    • (config)# ntp server SERVER-ADDRESS version VERSION prefer
  • CallHome としてトランスポートモードを有効にする設定
    • (config)# license smart transport callhome
  • HTTP クライアントのソース L3 インターフェイスを設定
    • (config)# ip http client source-interface IF-NAME
  • 設定を保存
    • # write memory

Call Home プロファイルの設定

以下の通り Call Home プロファイルを設定します。

プロキシサーバを利用しない場合

  1. Call Home コンフィグモードへ移行
    • (config)# call-home
  2. HTTP 接続が確立されたときのサーバー ID チェックを無効に設定
    • (config-call-home)# no http secure server-identity-check
  3. ユーザの電子メールアドレスを設定
    • (config-call-home)# contact-email-addr xxxx@yyyy
    • メールアドレス形式でスペースなしで最大200文字を入力可能
  4. デフォルトで存在する CiscoTAC-1 プロファイルのコンフィグモードへ移行
    • (config-call-home)# profile CiscoTAC-1
  5. HTTP による CallHome サービスを有効に設定
    • (config-call-home-profile)# destination transport-method http
  6. CSSM に接続するための宛先 URL を設定
    • (config-call-home-profile)# destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
      • この URL は destination address http のデフォルト値と同様
  7. プロファイルを有効化
    • (config-call-home-profile)# active
    • CiscoTAC-1 プロファイルはデフォルトでもアクティブ
  8. 電子メールによる CallHome サービスを無効に設定
    • (config-call-home-profile)# no destination transport-method email
  9. スマートライセンス認証用のプロファイルとして設定
    • (config-call-home-profile)# reporting smart-licensing-data
  10. グローバルコンフィグモードに移行
    1. (config-call-home-profile)# exit
    2. (config-call-home)# exit
  11. Call Home サービスを有効に設定
    • (config)# service call-home
  12. 設定を保存
    • # write memory

上記手順のコマンドのみ抜粋:

call-home
 no http secure server-identity-check
 contact-email-addr "xxxx@yyyy"
 profile CiscoTAC-1
  destination transport-method http
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  active
  no destination transport-method email
  reporting smart-licensing-data
  exit
 exit
service call-home

end
write memory

※パラメータ(要件によって変える部分)は “” で囲っています
※上の設定例は、デフォルトで存在するプロファイルをスマートライセンス用に流用する方針の設定です

プロキシサーバを利用する場合

  1. Call Home コンフィグモードへ移行
    • (config)# call-home
  2. ユーザの電子メールアドレスを設定
    • (config-call-home)# contact-email-addr xxxx@yyyy
    • メールアドレス形式でスペースなしで最大200文字を入力可能
  3. Call Home サービスへ接続時のプロキシサーバ情報を設定
    • (config-call-home)# http-proxy ADDRESS port PORT
  4. デフォルトで存在する CiscoTAC-1 プロファイルのコンフィグモードへ移行
    • (config-call-home)# profile CiscoTAC-1
  5. HTTP による CallHome サービスを有効に設定
    • (config-call-home-profile)# destination transport-method http
  6. 電子メールによる CallHome サービスを無効に設定
    • (config-call-home-profile)# no destination transport-method email
  7. スマートライセンス認証用のプロファイルとして設定
    • (config-call-home-profile)# reporting smart-licensing-data
  8. CSSM に接続するための宛先 URL を設定
    • (config-call-home-profile)# destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
      • この URL は destination address http のデフォルト値と同様
  9. プロファイルを有効化
    • (config-call-home-profile)# active
  10. グローバルコンフィグモードに移行
    1. (config-call-home-profile)# exit
    2. (config-call-home)# exit
  11. Call Home サービスを有効に設定
    • (config)# service call-home
  12. HTTP クライアント接続のために HTTP クライアントをプロキシサーバに接続するよう設定
    • (config)# ip http client proxy-server ADDRESS port PORT
  13. 設定を保存
    • # write memory

上記手順のコマンドのみ抜粋:

call-home
 contact-email-addr "xxxx@yyyy"
 http-proxy "ADDRESS" port "PORT"
 profile CiscoTAC-1
  destination transport-method http
  no destination transport-method email
  reporting smart-licensing-data
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  active
  exit
 exit
service call-home
ip http client proxy-server "ADDRESS" port "PORT"

end
write memory

※パラメータ(要件によって変える部分)は “” で囲っています
※上の設定例は、デフォルトで存在するプロファイルをスマートライセンス用に流用する方針の設定です

宛先プロファイルの表示

  • show call-home profile all
cisco# show call-home profile all
Profile Name: CiscoTAC-1
    Profile status: ACTIVE
    Profile mode: Full Reporting
    Reporting Data: Smart Call Home, Smart Licensing
    Preferred Message Format: xml
    Message Size Limit: 3145728 Bytes
    Transport Method: http
    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
    Other address(es): default

    Periodic configuration info message is scheduled every 1 day of the month at 09:15

    Periodic inventory info message is scheduled every 1 day of the month at 09:00

    Alert-group               Severity
    ------------------------  ------------
    crash                     debug       
    diagnostic                minor       
    environment               warning     
    inventory                 normal      

    Syslog-Pattern            Severity
    ------------------------  ------------
    APF-.-WLC_.*              warning     
    .*                        major  

CSSM でトークンを発行

トークン発行方法についてはここでは省略します。トークンの発行は CSSM アカウントの利用権限所有者にて行います。

ライセンス認証コマンドの実行

トークンを入手出来たら機器側にて以下の手順で認証操作を行います

  1. 機器を CSSM と接続できるネットワーク環境にて稼働させる
  2. CSSM から生成されたトークンを使用して以下コマンドで CSSM に機器を登録
    • # license smart register idtoken TOKEN
    • 特権モードで実行します
  3. 設定を保存
    • # write memory
  4. 登録後のライセンスステータスの確認
    • # show license all
    • # show license summary
cisco# show license all
Load for five secs: 0%/0%; one minute: 2%; five minutes: 1%
No time source, 06:31:19.378 JST Fri Jul 13 2020

Smart Licensing Status
======================

Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: Smart Account Name
  Virtual Account: Virtual Account 1
  Export-Controlled Functionality: Allowed
  Initial Registration: SUCCEEDED on Jul 13 06:30:40 2020 JST
  Last Renewal Attempt: None
  Next Renewal Attempt: Jan 09 06:30:46 2021 JST
  Registration Expires: Jul 13 06:25:41 2021 JST

License Authorization: 
  Status: AUTHORIZED on Jul 13 09:30:45 2020 JST
  Last Communication Attempt: SUCCEEDED on Jul 13 06:30:46 2020 JST
  Next Communication Attempt: Aug 12 06:30:46 2020 JST
  Communication Deadline: Oct 11 06:25:41 2020 JST

Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Callhome

License Usage
==============

C9300 DNA Advantage (C9300-24 DNA Advantage):
  Description: C9300-24P DNA Advantage
  Count: 3
  Version: 1.0
  Status: AUTHORIZED

C9300 Network Advantage (C9300-24 Network Advantage):
  Description: C9300-24P Network Advantage
  Count: 3
  Version: 1.0
  Status: AUTHORIZED

Product Information
===================
UDI: PID:C9300-24U,SN:FCWxxxxxxxx

HA UDI List:
    Active:PID:C9300-24U,SN:FCWxxxxxxxx
    Standby:PID:C9300-24U,SN:FCWxxxxxxxx
    Member:PID:C9300-24U,SN:FCWxxxxxxxx

Agent Version
=============
Smart Agent for Licensing: 4.4.13_rel/116
Component Versions: SA:(1_3_dev)1.0.15, SI:(dev22)1.2.1, CH:(rel5)1.0.3, PK:(dev18)1.0.3

Reservation Info
================ 
License reservation: DISABLED

考慮点

  • Cisco 機器からインターネットへの経路上に ACL フィルタを実装した機器やファイアウォールなどが存在する場合は、Cisco 機器から CSSM への通信を許可するよう設定しておく必要があります

機器側の認証用設定(サテライトサーバ方式)

サテライトサーバとの接続のための設定

ダイレクトクラウドアクセス方式における [CSSM との接続のための設定] と同様。ただしサテライトサーバとの接続のために IP アドレス指定でアクセスする場合は DNS 関連の設定は不要と思われます。

Call Home プロファイルの設定

  1. Call Home コンフィグモードへ移行
    • (config)# call-home
  2. HTTP 接続が確立されたときのサーバー ID チェックを無効に設定
    • (config-call-home)# no http secure server-identity-check
  3. デフォルトで存在する CiscoTAC-1 プロファイルのコンフィグモードへ移行
    • (config-call-home)# profile CiscoTAC-1
  4. プロファイルを無効化
    • (config-call-home-profile)# no active
  5. サテライト認証用のプロファイルを作成し、そのコンフィグモードへ移行
    • (config-call-home)# profile PROFILE-NAME
  6. スマートライセンス認証用のプロファイルとして設定
    • (config-call-home-profile)# reporting smart-licensing-data
  7. HTTP による CallHome サービスを有効に設定
    • (config-call-home-profile)# destination transport-method http
  8. サテライトサーバに接続するための宛先 URL を設定
    • (config-call-home-profile)# destination address http https://Satellite-IP/Transportgateway/services/DeviceRequestHandler
  9. 優先メッセージ形式を XML と設定(デフォルト値)
    • (config-call-home-profile)# destination preferred-msg-format xml
  10. 電子メールによる CallHome サービスを無効に設定
    • (config-call-home-profile)# no destination transport-method email
  11. プロファイルを有効化
    • (config-call-home-profile)# active
  12. グローバルコンフィグモードに移行
    1. (config-call-home-profile)# exit
    2. (config-call-home)# exit
  13. Call Home サービスを有効に設定
    • (config)# service call-home
  14. 特権モードへ移行
    • (ca-trustpoint)# end
  15. 設定を保存
    • # write memory

上記手順のコマンドのみ抜粋:

call-home
 no http secure server-identity-check
 profile CiscoTAC-1
  no active
 profile "PROFILE-NAME"
  reporting smart-licensing-data
  destination transport-method http
  destination address http https://"Satellite-IP"/Transportgateway/services/DeviceRequestHandler
  destination preferred-msg-format xml
  no destination transport-method email
  active
  exit
 exit
service call-home

end
write memory

※パラメータ(要件によって変える部分)は “” で囲っています
※上の設定例は、デフォルトで存在するプロファイルを無効に設定してスマートライセンス用のプロファイルを新たに作成する方針の設定です

プロキシサーバを介して通信する場合、通信が上手くいかない場合は CRL チェックを無効化すると成功する可能性があります。

crypto pki trustpoint SLA-TrustPoint
 revocation-check none


▼このケースでのエラーログ例

%PKI-3-CRL_FETCH_FAIL:トラストポイントSLA-TrustPointのCRLフェッチが失敗した理由:ソケットを選択できませんでした。タイムアウト:5(接続タイムアウト)


▼CRLとは
証明書失効リスト(CRL)は、失効した証明書のリストです。CRLは、最初に証明書を発行した認証局(CA)によって作成され、デジタル署名されます。CRLには、各証明書が発行された日付と有効期限の日付が含まれます。

サテライトでトークンを発行

サテライトサーバ方式の場合はサテライトサーバでトークンを発行します。

ライセンス認証コマンドの実行

  1. 機器をサテライトサーバと接続できるネットワーク環境にて稼働させる
  2. サテライトサーバから生成されたトークンを使用して以下コマンドでサテライトサーバに機器を登録
    • # license smart register idtoken TOKEN
    • 特権モードで実行します
  3. 設定を保存
    • # write memory
  4. 登録後のライセンスステータスの確認
    • # show license all
    • # show license summary

ライセンス関連の確認コマンド

  • show license status
  • show license all
  • show license udi
  • show license summary
  • show license usage
  • show license platform summary
  • show license platform detail
  • show call-home smart-licensing statistics

参考資料

PDF:【Cisco】お客様向けスマートアカウント・スマートライセンス概要

スマート ソフトウェア ライセンシングの概要
シスコ スマート ソフトウェア ライセンシングは、エンタイトルメントの購入、導入、管理を企業全体で簡素化します。
Cisco Smart Licensing:Catalyst プラットフォームのトラブルシューティングの手順と考慮事項
このドキュメントでは、Cisco Smart Licensing(クラウドベースシステム)を使用して Catalyst スイッチのソフトウェアライセンスを管理する際の考慮事項について説明します。
Smart Software Licensing Overview
Cisco Smart Software Licensing simplifies purchasing, deploying, and managing entitlements across the enterprise.

PDF:【Cisco】スマート ライセンスを使用したライセンスの設定

System Management Configuration Guide, Cisco IOS XE Fuji 16.9.x (Catalyst 9300 Switches) - Configuring Smart Licensing [Support]
Configuring Smart Licensing
Catalyst の Smart License 設定
16.9.1より従来の PAK (プロダクトアクティベーションキー)から Smart Licenseへ変更となりました。   Smart License で CSSM(Cisco Smart Software Manager) へ接続する際の設定例を紹介します。   再起動すると、以下の設定が追加されます。 servi...

PDF:【Cisco】Cisco Smart Account 実運用のためのDeep Dive編

実践! Cisco Smart License(スマートライセンス)第1回
シスコ社の製品では新たなライセンス認証の方法として、スマートライセンス認証の採用が進んでいます。今回のブログでは、改めて スマートライセンスとは について簡単に説明しつつ、実際にインターネットダイレクト方式でライセンス認証を行う方法について解説します。
実践! Cisco Smart License(スマートライセンス)第2回
シスコ社の製品では新たなライセンス認証の方法として、スマートライセンス認証の採用が進んでいます。今回のブログでは、前回の続きとしてライセンス予約方式(SLR: Specific License Reservation)でライセンス認証を行う方法について実際の操作方法を交えながら解説します。
Smart Software Manager オンプレミス
Cisco Smart Software Manager オンプレミスは、お客様の製品ライセンスをインテリジェントに管理し、リアルタイムの可視性とレポート生成を提供します。

【PDF】シスコソフトウェア:スマート ライセンシング Specific License Reservation(SLR)

アクセスルータおよびエッジルータ向けスマートライセンシング ガイド - 特定ライセンス予約の設定 [Cisco IOS XE Gibraltar 16.11.1]
特定ライセンス予約の設定
Catalyst3650/3850、Catalyst9K SLR(Specific License Reservation)でのSmart License適用方法について
はじめに   Catalyst 3850 / 3650、Catalyst 9K では 16.9 train 以降 Smart License の使用が必要となっています。 本ドキュメントは、SLR (Specific License Reservation) の方式でライセンスを適用する方法を紹介します。 Cataly...

―――――――――――――

タイトルとURLをコピーしました