スマートライセンスとは
概要
- Cisco が提供するクラウドシステム(
Cisco Smart Software Manager:CSSM
)上でライセンスを管理する仕組み、およびそのライセンスの名称です - ユーザは CSSM 上にアカウント(
Smart Account:SA
)を作成します- SA に対してバーチャルアカウント(Virtual Account:VA)と呼ばれるアカウントを作成して使用します
- ユーザが機器(スマートライセンス)を購入すると、機器(スマートライセンス)購入時に指定した SA に対してライセンスが登録されます
- スマートライセンスの管理はユーザによって Web のポータルサイトで行えます
- スマートライセンス認証用の設定がなされた機器をインターネット接続できる環境で稼働させることで、ライセンス認証を行うことができます(異なる方式もあります)
- 初回認証時は認証用コマンドを実行します
- CSSM で発行したトークン(文字列)を使用します
- 以降は、機器が自動で定期的に CSSM への接続を行うことでライセンス管理が行われます
- 初回認証時は認証用コマンドを実行します
- スマートライセンス登録対象機器については任意に別の機器へ変更することができます
対応機器について
- スマートライセンスのみに対応する機器と、スマートライセンスと従来のライセンスの両方に対応している機器があります。Cisco の以下のページからリストをダウンロードできます
- 以下のファームウェアおよび機器ではスマートライセンスが唯一のライセンス方式となっています
- IOS-XE バージョン 16.9.1 以降の Catalyst 3650/3850 および Catalyst 9000 シリーズスイッチ
- IOS-XE バージョン 16.10.1 以降の ASR1K、ISR1K、ISR4K、および仮想ルータ (CSRv/ISRv) などのルータ
IOS-XE 17.3.2 および 17.4.1 以降の方式について
IOS-XE 17.3.2 および 17.4.1 以降 (機種により異なる) では Smart Licensing Using Policy
という新しい仕組みが登場しました。
この仕組みでは、機器のすべてのライセンスは初期状態で IN USE となっています。
※C9000 シリーズスイッチの場合。他機種の場合は異なります。
機器は CSSM に対してライセンスの使用状況に関するレポートを定期的に送信することで、ライセンスの管理を行います。
従来の概念である、評価モード、登録、および予約(SLR)は、Smart Licensing Using Policy
で廃止されます。
また従来のスマートライセンスとは設定方法が異なるため注意してください。
詳しくは以下記事に記載しています。
【Cisco】Smart Licensing Using Policy の概要と設定方法
認証方式の種類
ダイレクトクラウドアクセス方式(オンライン)
機器から直接、またはプロキシサーバを介してインターネット上の CSSM へ接続することで認証する方式です。最もシンプルな方式といわれています。
サテライトサーバ方式(オンライン/オフライン)
オンプレミスにサテライトと呼ばれるライセンス管理用のサーバを構築し、機器はサテライトと通信することで管理を行う方式です。オンライン方式とオフライン方式があります。
- オンライン方式では、サテライトがインターネット接続され CSSM と通信することで自動で情報交換を行います
- オフライン方式では、サテライトがインターネット接続されずに手動で情報交換を行います
ライセンス予約方式(SLR、オフライン)
CSSM で発行した認証コードを手動で機器に登録する方式です。この方式については対応機種が限られています。
スマートライセンスのステータスについて
No. | ステータス | 意味 |
1 | Un-Registered | ・新規購入時、または1年間認証サーバと通信しなかった製品の状態 ・Evaluation Mode で動作 |
2 | Register Product | ・製品は VA で発行したトークン情報と、UDI を持って、登録要求を認証サーバに 送る ・認証サーバは①認証IDと有効期限(通常1年)か、②失敗を返信 |
3 | Registered Status | 製品がスマートアカウントに登録された状態(PIの生成) |
4 | Consume License | ・製品は設定に基づき必要なライセンスの Entitlement 要求を認証サーバに送 る ・認証サーバは①有効期限(通常90日)の認可か、②OOCを返信 |
5 | Authorized State | ・有効期限(通常90日)付きライセンス認可を得て、製品が利用できる状態 ・Entitlement 応答で今回の認可の有効期間と再確認周期が通知される |
6 | Out of Compliance State | 認証サーバからの OOC 応答により、VA で保持するライセンスが足りない状態 になっていることが分かった状態 ※一旦”Authorized state”に入ると90日の使用認可を持つため、30日後の同 期通信で OOC になっても最短60日間は正常動作は継続される |
7 | Authorization Expired | 有効期限(通常90日)付きライセンス認可を得て以降90日以上、認証サーバ との通信ができなかった状態(一部機能制限を含む場合がある) ※このとき CSSM では該当製品のライセンスが使われていないと判断して PI を Deactivate し、ライセンス使用数を1減らす |
- UDI:Unique Device Identifier
- PI:製品インスタンス
- OOC : Out Of Compliance
Call Home について
機器と CSSM との間の通信は、Smart Call Home
ソフトウェアによって行われます。
Call Home は、電子メール ベースおよび http/https ベースの通知を提供します。
Call Home の設定では宛先プロファイルを設定しますが、Cisco TAC へアラートを送信するためのプロファイルがデフォルトで定義されているため、必要な個所のみ修正して使用することができます。
デフォルトのプロファイル例:
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
機器側の認証用設定(ダイレクトクラウドアクセス方式)
ダイレクトクラウドアクセス方式で認証する場合の機器側の設定手順は以下の通りです。
- ライセンスレベルの設定
- CSSM との接続のための設定
- Call Home プロファイルの設定
- CSSM でトークンを発行
- ライセンス認証コマンドの実行
ライセンスレベルの設定
ライセンス認証する前に、必要なライセンスレベルを機器側で設定しておく必要があります。
例として、Cisco Catalyst 9000シリーズスイッチで使用できるライセンスレベルは以下のとおりです。
- 基本ライセンス
- Network Essentials
- Network Advantage(Network Essentialsを含む)
- アドオンライセンス(これらは、3年、5年、または 7年の固定期間で購入可能)
- Digital Networking Architecture (DNA) Essentials
- DNA Advantage(DNA Essentials を含む)
ライセンスレベルの設定は以下の手順で行います。
- 現在のライセンスレベルの確認
# show run all | inc license boot
# show version
# show license summary
- ライセンスブートレベルの変更
(config)# license boot level LICENSE-NAME [addon ADDON-NAME]
- コンフィグの保存
# write memory
- 設定の確認
# show run all | inc license boot
# show version
# show license summary
- 機器の再起動
# reload
ライセンスレベル確認例:
cisco# show run | inc license boot
license boot level network-advantage addon dna-advantage
cisco# show version
.
Technology Package License Information:
------------------------------------------------------------------------------
Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------------------
network-advantage Smart License network-advantage
dna-advantage Subscription Smart License dna-advantage
Smart Licensing Status: RESERVATION IN PROGRESS/EVAL MODE
.
cisco#show license summary
Smart Licensing is ENABLED
License Reservation is ENABLED
Registration:
Status: REGISTERED - SPECIFIC LICENSE RESERVATION
Export-Controlled Functionality: Allowed
License Authorization:
Status: AUTHORIZED - RESERVED
License Usage:
License Entitlement tag Count Status
-----------------------------------------------------------------------------
Cisco IR1101 Network... (IR1101_Network_Advantage) 1 AUTHORIZED
CSSM との接続のための設定
CSSM との接続を確立するための以下の設定を行います。
- DNS サーバの設定または静的マッピングの設定(以下のいずれかを設定)
(config)# { ip | ipv6 } name-server SERVER-ADDRESS
(config)# ip name-server vrf Mgmt-vrf SERVER-ADDRESS
(config)# ip host DOMAIN ADDRESS
- 機器のドメイン名を設定
(config)# ip domain name DOMAIN
- DNS ドメインルックアップのソース L3 インターフェイスを設定
(config)# ip domain lookup source-interface IF-NAME
- DNS ドメインルックアップのソース L3 インターフェイスの IP 設定
(config)# interface IF-NAME
(config-if)# ip address ADDRESS MASK
- 必要に応じてスイッチポートの設定(VLAN 設定)
- CSSM へのルーティング設定(以下のいずれかを設定)
- 静的ルーティング(
(config)# ip route DEST NEXTHOP
) - 動的ルーティング
- 静的ルーティング(
- NTP サーバの設定
(config)# ntp server SERVER-ADDRESS version VERSION prefer
- CallHome としてトランスポートモードを有効にする設定
(config)# license smart transport callhome
- HTTP クライアントのソース L3 インターフェイスを設定
(config)# ip http client source-interface IF-NAME
- 設定を保存
# write memory
Call Home プロファイルの設定
以下の通り Call Home プロファイルを設定します。
プロキシサーバを利用しない場合
- Call Home コンフィグモードへ移行
(config)# call-home
- HTTP 接続が確立されたときのサーバー ID チェックを無効に設定
(config-call-home)# no http secure server-identity-check
- ユーザの電子メールアドレスを設定
(config-call-home)# contact-email-addr xxxx@yyyy
- メールアドレス形式でスペースなしで最大200文字を入力可能
- デフォルトで存在する CiscoTAC-1 プロファイルのコンフィグモードへ移行
(config-call-home)# profile CiscoTAC-1
- HTTP による CallHome サービスを有効に設定
(config-call-home-profile)# destination transport-method http
- CSSM に接続するための宛先 URL を設定
(config-call-home-profile)# destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
- この URL は
destination address http
のデフォルト値と同様
- この URL は
- プロファイルを有効化
(config-call-home-profile)# active
- CiscoTAC-1 プロファイルはデフォルトでもアクティブ
- 電子メールによる CallHome サービスを無効に設定
(config-call-home-profile)# no destination transport-method email
- スマートライセンス認証用のプロファイルとして設定
(config-call-home-profile)# reporting smart-licensing-data
- グローバルコンフィグモードに移行
(config-call-home-profile)# exit
(config-call-home)# exit
- Call Home サービスを有効に設定
(config)# service call-home
- 設定を保存
# write memory
上記手順のコマンドのみ抜粋:
call-home
no http secure server-identity-check
contact-email-addr "xxxx@yyyy"
profile CiscoTAC-1
destination transport-method http
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
active
no destination transport-method email
reporting smart-licensing-data
exit
exit
service call-home
end
write memory
※パラメータ(要件によって変える部分)は “” で囲っています
※上の設定例は、デフォルトで存在するプロファイルをスマートライセンス用に流用する方針の設定です
プロキシサーバを利用する場合
- Call Home コンフィグモードへ移行
(config)# call-home
- ユーザの電子メールアドレスを設定
(config-call-home)# contact-email-addr xxxx@yyyy
- メールアドレス形式でスペースなしで最大200文字を入力可能
- Call Home サービスへ接続時のプロキシサーバ情報を設定
(config-call-home)# http-proxy ADDRESS port PORT
- デフォルトで存在する CiscoTAC-1 プロファイルのコンフィグモードへ移行
(config-call-home)# profile CiscoTAC-1
- HTTP による CallHome サービスを有効に設定
(config-call-home-profile)# destination transport-method http
- 電子メールによる CallHome サービスを無効に設定
(config-call-home-profile)# no destination transport-method email
- スマートライセンス認証用のプロファイルとして設定
(config-call-home-profile)# reporting smart-licensing-data
- CSSM に接続するための宛先 URL を設定
(config-call-home-profile)# destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
- この URL は
destination address http
のデフォルト値と同様
- この URL は
- プロファイルを有効化
(config-call-home-profile)# active
- グローバルコンフィグモードに移行
(config-call-home-profile)# exit
(config-call-home)# exit
- Call Home サービスを有効に設定
(config)# service call-home
- HTTP クライアント接続のために HTTP クライアントをプロキシサーバに接続するよう設定
(config)# ip http client proxy-server ADDRESS port PORT
- 設定を保存
# write memory
上記手順のコマンドのみ抜粋:
call-home
contact-email-addr "xxxx@yyyy"
http-proxy "ADDRESS" port "PORT"
profile CiscoTAC-1
destination transport-method http
no destination transport-method email
reporting smart-licensing-data
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
active
exit
exit
service call-home
ip http client proxy-server "ADDRESS" port "PORT"
end
write memory
※パラメータ(要件によって変える部分)は “” で囲っています
※上の設定例は、デフォルトで存在するプロファイルをスマートライセンス用に流用する方針の設定です
宛先プロファイルの表示
show call-home profile all
cisco# show call-home profile all
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
Periodic configuration info message is scheduled every 1 day of the month at 09:15
Periodic inventory info message is scheduled every 1 day of the month at 09:00
Alert-group Severity
------------------------ ------------
crash debug
diagnostic minor
environment warning
inventory normal
Syslog-Pattern Severity
------------------------ ------------
APF-.-WLC_.* warning
.* major
CSSM でトークンを発行
トークン発行方法についてはここでは省略します。トークンの発行は CSSM アカウントの利用権限所有者にて行います。
ライセンス認証コマンドの実行
トークンを入手出来たら機器側にて以下の手順で認証操作を行います
- 機器を CSSM と接続できるネットワーク環境にて稼働させる
- CSSM から生成されたトークンを使用して以下コマンドで CSSM に機器を登録
# license smart register idtoken TOKEN
- 特権モードで実行します
- 設定を保存
# write memory
- 登録後のライセンスステータスの確認
# show license all
# show license summary
cisco# show license all
Load for five secs: 0%/0%; one minute: 2%; five minutes: 1%
No time source, 06:31:19.378 JST Fri Jul 13 2020
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: Smart Account Name
Virtual Account: Virtual Account 1
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Jul 13 06:30:40 2020 JST
Last Renewal Attempt: None
Next Renewal Attempt: Jan 09 06:30:46 2021 JST
Registration Expires: Jul 13 06:25:41 2021 JST
License Authorization:
Status: AUTHORIZED on Jul 13 09:30:45 2020 JST
Last Communication Attempt: SUCCEEDED on Jul 13 06:30:46 2020 JST
Next Communication Attempt: Aug 12 06:30:46 2020 JST
Communication Deadline: Oct 11 06:25:41 2020 JST
Utility:
Status: DISABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
License Usage
==============
C9300 DNA Advantage (C9300-24 DNA Advantage):
Description: C9300-24P DNA Advantage
Count: 3
Version: 1.0
Status: AUTHORIZED
C9300 Network Advantage (C9300-24 Network Advantage):
Description: C9300-24P Network Advantage
Count: 3
Version: 1.0
Status: AUTHORIZED
Product Information
===================
UDI: PID:C9300-24U,SN:FCWxxxxxxxx
HA UDI List:
Active:PID:C9300-24U,SN:FCWxxxxxxxx
Standby:PID:C9300-24U,SN:FCWxxxxxxxx
Member:PID:C9300-24U,SN:FCWxxxxxxxx
Agent Version
=============
Smart Agent for Licensing: 4.4.13_rel/116
Component Versions: SA:(1_3_dev)1.0.15, SI:(dev22)1.2.1, CH:(rel5)1.0.3, PK:(dev18)1.0.3
Reservation Info
================
License reservation: DISABLED
考慮点
- Cisco 機器からインターネットへの経路上に ACL フィルタを実装した機器やファイアウォールなどが存在する場合は、Cisco 機器から CSSM への通信を許可するよう設定しておく必要があります
機器側の認証用設定(サテライトサーバ方式)
サテライトサーバとの接続のための設定
ダイレクトクラウドアクセス方式における [CSSM との接続のための設定] と同様。ただしサテライトサーバとの接続のために IP アドレス指定でアクセスする場合は DNS 関連の設定は不要と思われます。
Call Home プロファイルの設定
- Call Home コンフィグモードへ移行
(config)# call-home
- HTTP 接続が確立されたときのサーバー ID チェックを無効に設定
(config-call-home)# no http secure server-identity-check
- デフォルトで存在する CiscoTAC-1 プロファイルのコンフィグモードへ移行
(config-call-home)# profile CiscoTAC-1
- プロファイルを無効化
(config-call-home-profile)# no active
- サテライト認証用のプロファイルを作成し、そのコンフィグモードへ移行
(config-call-home)# profile PROFILE-NAME
- スマートライセンス認証用のプロファイルとして設定
(config-call-home-profile)# reporting smart-licensing-data
- HTTP による CallHome サービスを有効に設定
(config-call-home-profile)# destination transport-method http
- サテライトサーバに接続するための宛先 URL を設定
(config-call-home-profile)# destination address http https://Satellite-IP/Transportgateway/services/DeviceRequestHandler
- 優先メッセージ形式を XML と設定(デフォルト値)
(config-call-home-profile)# destination preferred-msg-format xml
- 電子メールによる CallHome サービスを無効に設定
(config-call-home-profile)# no destination transport-method email
- プロファイルを有効化
(config-call-home-profile)# active
- グローバルコンフィグモードに移行
(config-call-home-profile)# exit
(config-call-home)# exit
- Call Home サービスを有効に設定
(config)# service call-home
- 特権モードへ移行
(ca-trustpoint)# end
- 設定を保存
# write memory
上記手順のコマンドのみ抜粋:
call-home
no http secure server-identity-check
profile CiscoTAC-1
no active
profile "PROFILE-NAME"
reporting smart-licensing-data
destination transport-method http
destination address http https://"Satellite-IP"/Transportgateway/services/DeviceRequestHandler
destination preferred-msg-format xml
no destination transport-method email
active
exit
exit
service call-home
end
write memory
※パラメータ(要件によって変える部分)は “” で囲っています
※上の設定例は、デフォルトで存在するプロファイルを無効に設定してスマートライセンス用のプロファイルを新たに作成する方針の設定です
サテライトでトークンを発行
サテライトサーバ方式の場合はサテライトサーバでトークンを発行します。
ライセンス認証コマンドの実行
- 機器をサテライトサーバと接続できるネットワーク環境にて稼働させる
- サテライトサーバから生成されたトークンを使用して以下コマンドでサテライトサーバに機器を登録
# license smart register idtoken TOKEN
- 特権モードで実行します
- 設定を保存
# write memory
- 登録後のライセンスステータスの確認
# show license all
# show license summary
ライセンス関連の確認コマンド
show license status
show license all
show license udi
show license summary
show license usage
show license platform summary
show license platform detail
show call-home smart-licensing statistics
参考資料
PDF:【Cisco】お客様向けスマートアカウント・スマートライセンス概要


PDF:【Cisco】スマート ライセンスを使用したライセンスの設定
PDF:【Cisco】Cisco Smart Account 実運用のためのDeep Dive編



【PDF】シスコソフトウェア:スマート ライセンシング Specific License Reservation(SLR)

―――――――――――――