ポリシーを使用したCisco Smart Licensingの設定方法について

Cisco
スポンサーリンク
スポンサーリンク

背景・目的

Cisco機器へのスマートライセンスの設定をする必要がありまして、マニュアルを元に設定用のconfigを作っておりましたが、上手くいきませんでした。そのため、困っている人が少なくないと思いまして備忘として残します。

2023/5/30 追記:色々誤っていたので更新しました!すみません。

設定を行うために必要な製品ライセンスの登録やスマートライセンスへの変換作業、トークンの作成方法については下記に整理しております。併せてご覧ください。

また、設定コマンドにsmartという単語が登場します。運用管理系の機能であまり馴染みがなく解説しているブログもほとんどないSmart Call Homeについては下記で詳細に紹介しております。参考として目を通してもらえると良いでしょう。

対象OS

OS:IOS-XE、NX-OS
となります。

設定config例(NX-OS)

複数ある設定方法の中でプロキシサーバ経由でCSSMへ接続する方法を紹介します。
https://www.cisco.com/c/ja_jp/td/docs/dcn/nx-os/nexus9000/102x/configuration/slp/nx-os-smart-licensing-using-policy-guide-102x.html#_Toc80735835
に詳細について書かれています。

プロキシサーバを経由せずに直接インターネット接続している環境の場合は下記のproxy設定は不要となります。

また、紹介するコマンドはCSSMへスマート通信を用いた方法となります。シスコシステムズとしても推奨している方法です。今回はこちらを紹介させていただきます。

①スマートソフトウェアライセンシングの有効化※1
feature license smart (2023/12/20更新 多分要らないです)

②HTTPプロキシを介したスマート通信の有効化※2
license smart transport smart
license smart proxy address 1.1.1.1
license smart proxy port 8080

③DNSクライアントの設定※3
ip domain-lookup
ip domain-name cisco.com
ip dns source-interface Vlan1
ip name-server 2.2.2.2 3.3.3.3 use-vrf test
vrf context test
ip name-server 2.2.2.2 3.3.3.3

④HTTP通信に関する設定※4
ip http client source-interface Vlan1

⑤ライセンス用トークンの登録※5
license smart trust idtoken トークン local|all

補足事項

※1:まず始めにfeature license smartで機能を有効化する必要があります。

※2:スマート通信を用いて通信をさせるための設定です。ここでもプロキシサーバのIPアドレスの指定が必要です。さらにプロキシサーバとの通信のために必要なポート番号の指定もここで行います。

※3:ip domain-nameコマンドは要件次第で必要となりますがCSSMとの名前解決をする観点だけでは不要です。CSSMへの接続に使用するルーティングテーブルがグローバル以外の場合は、グローバルに加えてVRFでも設定が必要となります。また、VLANを複数持っている場合でルーティング的に特定のVLANを使う必要がある場合は明示的にip dns | http source-interface vlan x で指定する必要があります。

名前解決はtools.cisco.comへNW機器から接続する場合に設定が必要です(あと、https://smartreceiver.cisco.com/licservice/licenseへの接続にも必要のはずですが、ドキュメントには明記はされていません)。プロキシサーバを使用する場合は、NW機器から接続できる必要はないので、DNSサーバの設定は不要です。しかし、②にてプロキシサーバのFQDN名で指定している場合は、その名前を解決するためのDNSサーバの設定が必要となります。

言わずもがなですが、プロキシサーバにCSSMと接続したいNW機器の情報を登録していないと通信できません。大企業の場合は別部門が運用していると思われますので、通信ができない場合は確認してみましょう。また、CSSMとの通信はHTTPSで行います。FWで穴あけがされていないと通信ができません。もし、トークンの登録後にうまくCSSMとの通信が出来ていないと思ったら、FWに許可設定が入っているか確認してみましょう。

※4:HTTP通信をするためのinterfaceを明示的に指定する必要がある場合には設定します。そうではない場合は不要な設定です。但し、後述するIOS-XEでは必須みたいです。

※5:Cisco Software Central で生成したトークンを機器へ登録します。このコマンドを投入することで、NW機器からCSSMへ接続を試みます。認証がうまくいくと Cisco Software Central  の画面にて、トークンが消費されて0/5 → 1/5 のように表示が変わります。

また、トークン消費に伴い、ライセンスも消費されると思っていたのですが、必ずしもそういうわけではありません。ライセンス消費をする機能とそうではない機能がありまして、後者の場合はトークンのみ消費されます。featureコマンドでL2スイッチとして使用する最低限の機能しか有効化していない場合を考えます。この場合、CSSMとの接続が成功しポータルでトークンの消費が確認できても、ライセンスは消費されません。

ライセンスを消費する機能がどれかは下記を参照ください。
https://www.cisco.com/c/ja_jp/td/docs/switches/datacenter/sw/nx-os/licensing/guide/b_Cisco_NX-OS_Licensing_Guide/b_Cisco_NX-OS_Licensing_Guide_chapter_01.html

また、ライセンス消費を必要としない機能のみを有効化している確認の仕方は下記となります。

step1:show license usage を投入

step2:出力が下記であることを確認する。
>License Authorization:
> Status: Not Applicable

設定config例(IOS-XE)

①CSSMへの通信に関する設定※1
license smart url smart https://smartreceiver.cisco.com/licservice/license
license smart transport smart
license smart proxy address 1.1.1.1
license smart proxy port 8080

②DNSに関する設定※2
ip domain-lookup
ip name-server 2.2.2.2 3.3.3.3
ip domain lookup source-interface Vlan1
ip host tools.cisco.com 209.165.201.30

③HTTP通信に関する設定※3
ip http client source-interface Vlan100

④ライセンスレベルの設定※4
license boot level network-essentials addon dna-essentials

⑤ライセンス用トークンの登録※5
license smart trust idtoken トークン local|all

補足事項

※1:license smart url defaultコマンドで問題ないと思っていたのですが、例に載せたコマンドも念のため投入しておきました。プロキシサーバを使用しない場合はproxy関連の設定は不要です。

また、NTPサーバとの通信が確立していることが前提です。NTPサーバとの時刻同期がうまくいっていない場合は接続できない可能性があります。

※2:NX-OSの場合と観点は同じです。CSSMへの接続用に名前解決の設定が必要ですが、プロキシサーバを経由する場合はその限りではありません。

ip host tools.cisco.com 209.165.201.30 は、CSSMへ直接接続するケースでtools.cisco.comの名前解決が出来ない場合に使用します。DNSで名前解決ができる場合やプロキシサーバ経由で接続する場合は不要な設定となります。

※3:HTTP通信をするためのinterfaceを明示的に指定する必要があります。

※4:使用するライセンスレベルを指定する場合は必須となるコマンドです。例で示したものはデフォルトのライセンスレベルとなります。仮に異なるライセンスを使用する場合は、このコマンドで設定が必要となります。適用には機器の再起動が必要です。

※5:Cisco Software Central で生成したトークンを機器へ登録します。このコマンドを投入することで、NW機器からCSSMへ接続を試みます。認証がうまくいくと Cisco Software Central  の画面にて、トークンが消費されて0/5 → 1/5 のように表示が変わります。

また、allは2台で1台のような機器構成の場合、localはstandaloneで動作させている場合に設定します。困ったらallで設定しても問題なさそうな感じではあります。

参考ドキュメント

ポリシーを使用した Cisco スマート ライセンシング ユーザ ガイド リリース 10.2(x) – Cisco

ポリシーを使用した Cisco スマート ライセンシング ユーザ ガイド リリース 10.2(x)
ポリシーを使用した Cisco スマート ライセンシング ユーザ ガイド リリース 10.2(x)

Cisco NX-OS ライセンス インストール ガイド – Cisco Nexus 3000 シリーズ スイッチおよび Cisco Nexus 9000 シリーズ スイッチのスマート ソフトウェア ライセンシング [Cisco NX-OS ソフトウェア] – Cisco

Cisco NX-OS ライセンス インストール ガイド(PAK ベースおよび スマート ソフトウェア ライセンス) - Cisco Nexus 3000 シリーズ スイッチおよび Cisco Nexus 9000 シリーズ スイッチのスマート ソフトウェア ライセンシング [Cisco NX-OS ソフトウェア]
Cisco Nexus 3000 シリーズ スイッチおよび Cisco Nexus 9000 シリーズ スイッチのスマート ソフトウェア ライセンシング

Cisco IOS XE Gibraltar 16.12.x(Catalyst 9200 スイッチ)システム管理コンフィギュレーション ガイド

Cisco IOS XE Gibraltar 16.12.x(Catalyst 9200 スイッチ)システム管理コンフィギュレーション ガイド – スマート ライセンスの設定 [サポート] – Cisco

Catalystスイッチングプラットフォームでのポリシーを使用したスマートライセンスについて

CatalystスイッチのSmart Licensingについて
このドキュメントでは、Catalystスイッチングプラットフォームでのポリシーを使用したスマートライセンス機能と、サポートされる導入について説明します。

Nexusプラットフォームでのスマートライセンスの設定とトラブルシューティング

Nexusプラットフォームでのスマートライセンスの設定とトラブルシューティング
このドキュメントでは、Cisco Smart Licensing(クラウドベースシステム)を使用してNexusのソフトウェアライセンスを設定、トラブルシューティング、および管理する方法について説明します

Cisco Nexus シリーズ : Smart Licensing Using Policy (SLP) に関する障害時に取得する情報

Cisco Nexus シリーズ : Smart Licensing Using Policy (SLP) に関する障害時に取得する情報
はじめに ここでは Smart Licensing Using Policy (SLP) で問題が発生した際に取得すべきログを紹介します。 デバイス上で共通で取得すべきログ 事象発生デバイスにて下記 show コマンドのログを取得してくださ...

 

 

コメント