Hướng Dẫn Sửa Lỗi Smart Licensing Trên Các Nền Tảng Catalyst Của Cisco

TỔNG QUAN VỀ CISCO SMART LICENSING TRÊN THIẾT BỊ CISCO CATALYST

Cisco Smart Licensing Là Gì?

Cisco Smart Licensing là một hệ thống quản lý license thống nhất dựa trên cloud quản lý tất cả license phần mềm trên các sản phẩm của Cisco. Nó cho phép khách hàng mua, triển khai, quản lý, theo dõi và gia hạn Cisco Software license. Nó cũng cung cấp thông tin về quyền sở hữu và sử dụng license thông qua một giao diện người dùng duy nhất.

Giải pháp bao gồm Smart Accounts trực tuyến (tại Cisco Smart Licensing Portal) được sử dụng để theo dõi tài sản phần mềm của Cisco và Cisco Smart Software Manager (CSSM) được sử dụng để quản lý Smart Accounts. CSSM là nơi tất cả các tác vụ liên quan đến quản lý cấp phép, chẳng hạn như đăng ký, hủy đăng ký, di chuyển và chuyển nhượng giấy phép có thể được thực hiện. Người dùng có thể được thêm và cấp quyền truy cập và quyền vào tài khoản thông minh và các tài khoản ảo cụ thể.

Các Phương Pháp Triển Khai Cisco Smart Licensing

Các phương pháp triển khai Cisco Smart Licensing có thể được sử dụng tùy vào các cài đặt bảo mật, bao gồm:

Triển Khai Trực Tiếp Qua Cloud

Các thiết bị Cisco gửi thông tin sử dụng trực tiếp qua Internet một cách an toàn bằng HTTPS. Không cần thành phần bổ sung

Triển Khai Thông Qua HTTPS Proxy

Các thiết bị Cisco gửi thông tin sử dụng thông qua máy chủ HTTP proxy một cách an toàn bằng HTTPS. Máy chủ proxy hiện có có thể được sử dụng hoặc máy chủ có thể được triển khai thông qua Cổng Transport của Cisco.

Máy Chủ Cấp Phép Tại Chỗ (Cisco Smart Software Manager)

Các thiết bị Cisco gửi thông tin sử dụng đến máy chủ thay vì trực tiếp qua Internet. Mỗi tháng một lần, máy chủ kết nối qua Internet cho tất cả thiết bị thông qua HTTPS hoặc có thể được chuyển theo cách thủ công để đồng bộ hóa cơ sở dữ liệu của nó. CSSM On-prem có sẵn dưới dạng Virtual Machine (VM) và có thể tải xuống.

Nền Tảng Cisco IOS XE Được Hỗ Trợ

• Từ phiên bản Cisco IOS XE 16.9.1 trở đi, các thiết bị Cisco Catalyst 3650/3850 và Cisco Catalyst 9000 Series (C9200/C9300/C9400/C9500/C9600) hỗ trợ Cisco Smart Licensing làm phương pháp cấp phép duy nhất
• Từ phiên bản Cisco IOS XE 16.10.1 trở đi, các nền tảng Router Cisco như ASR1K, ISR1K, ISR4K và bộ định tuyến ảo (CSRv/ISRv) hỗ trợ Cisco Smart Licensing làm phương pháp cấp phép duy nhất

Nâng Cấp Từ License Cũ Lên Smart License

Có hai phương pháp để chuyển đổi từ License cũ sang Smart License. Để biết cần áp dụng phương pháp nào, hãy xem hướng dẫn cấu hình thiết bị Cisco cụ thể bạn đang muốn áp dụng

Thông Qua Device Led Conversion (DLC)

DLC là phương pháp một lần trong đó thiết bị Cisco có thể thông báo loại giấy phép mà thiết bị đang sử dụng và license được tự động gửi vào Smart Account tương ứng của chúng trên Cisco Smart Software Manager (CSSM). Quy trình DLC được thực hiện trực tiếp từ CLI của thiết bị cụ thể

Quy trình DLC chỉ được hỗ trợ trên Cisco Catalyst 3650/Catalyst 3850 và các thiết bị Router được chọn. Với các thiết bị Router cụ thể, hãy tham khảo hướng dẫn cấu hình chi tiết của thiết bị đó.

Thông Qua Cisco Smart Software Manager (CSSM) Hoặc Qua License Registration Portal (LRP)

Thông qua phương pháp CSSM

Làm lần lượt từng bước sau:

• Đăng nhập vào Cisco Smart Software Manager (CSSM)
• Điều hướng đến Smart Software Licensing -> Chuyển sang Smart Licensing
• Chọn Convert PAK hoặc Convert Licenses

• Tìm License trong bảng dưới đây nếu chuyển đổi PAK License. Nếu chuyển đổi license không phải PAK, hãy sử dụng lệnh “License Conversion Wizard” để biết hướng dẫn từng bước

• Xác định sự kết hợp giữa license với thiết bị mong muốn
• Nhấp vào Convert to Smart Licensing

• Chọn virtual account, license và nhấp vào Next

• Xem lại các lựa chọn, sau đó nhấp vào Convert Licenses

Thông qua phương pháp LRP

Thực hiện lần lượt các bước sau:

• Đăng nhập vào License Registration Portal (LRP)
• Điều hướng đến Devices > Add Devices
• Nhập ID sản phẩm và Unique Device Identifier (UDI) thích hợp, sau đó nhấp vào OK. Thông tin UDI có thể được lấy từ “show version” hoặc “show inventory” được lấy từ CLI của thiết bị Cisco

• Chọn thiết bị đã thêm và chọn Convert Licenses to Smart Licensing

• Chỉ định Virtual Account thích hợp, chọn License để chuyển đổi và Submit

---

CẤU HÌNH SMART LICENSING TRÊN THIẾT BỊ CISCO CATALYST

Cấu Hình Smart Licensing Cơ Bản

Bạn có thể tìm thấy quy trình chính xác về cách cấu hình System Management Configuration Guide cho mỗi nền tảng Cisco Catalyst

Token Đăng Ký/Token ID Thiết Bị

Trước khi đăng ký thiết bị, Token cần được tạo. Mã thông báo đăng ký, còn được gọi là mã thông báo ID thiết bị, là mã thông báo duy nhất được tạo từ cổng cấp phép thông minh hoặc Cisco Smart Software Manager khi đăng ký ban đầu thiết bị Cisco vào smart account. Một mã thông báo riêng lẻ có thể được sử dụng để đăng ký nhiều thiết bị Cisco tùy thuộc vào các tham số được sử dụng trong quá trình tạo.

Mã thông báo đăng ký cũng chỉ được yêu cầu trong quá trình đăng ký ban đầu của một thiết bị Cisco vì nó cung cấp thông tin cho thiết bị để call-home và được liên kết với Smart account chính xác. Sau khi thiết bị Cisco được đăng ký, mã thông báo không còn cần thiết nữa.

Những Trạng Thái Đăng Ký Và License

Trong khi triển khai và cấu hình Smart Licensing, Cisco có thể có nhiều trạng thái. Các trạng thái này có thể được hiển thị bằng show license all và show license status từ CLI của thiết bị Cisco

Dưới đây là danh sách tất cả các trạng thái và ý nghĩa của chúng:

Trạng Thái Evaluation (Không Xác Định)

• Đây là trạng thái mặc định của thiết bị Cisco khi khởi động lần đầu
• Thông thường, trạng thái này được nhìn thấy khi thiết bị Cisco chưa được định cấu hình để Smart Licensing hoặc đăng ký Smart Account
• Ở trạng thái này, tất cả tính năng đều có sẵn và thiết bị có thể tự do thay đổi các cấp giấy phép
• Khoảng thời gian đánh giá được sử dụng khi thiết bị ở trạng thái không xác định. Thiết bị sẽ không cố gắng kết nối với Cisco ở trạng thái này.
• Đây sẽ là 90 ngày sử dụng chứ không phải 90 ngày theo lịch. Sau khi hết hạn, nó sẽ không bao giờ được đặt lại.
• Có một khoảng thời gian đánh giá cho toàn bộ thiết bị mà nó không dành cho mỗi quyền lợi
• Khi thời hạn đánh giá hết hạn vào cuối 90 ngày, thiết bị sẽ chuyển sang chế độ EVAL EXPIRY, tuy nhiên không có tác động chức năng hoặc gián đoạn chức năng, ngay cả sau khi tải lại. Hiện tại không có biện pháp cưỡng chế nào được áp dụng.
• Thời gian đếm ngược được duy trì qua các lần khởi động lại.
• Khoảng thời gian đánh giá được sử dụng nếu thiết bị chưa đăng ký với Cisco và chưa nhận được hai thông báo sau từ chương trình phụ trợ của Cisco:
  1. Phản hồi thành công yêu cầu đăng ký
  2. Phản hồi thành công yêu cầu ủy quyền quyền lợi

Trạng Thái Registered

• Đây là trạng thái mặc định sau khi hoàn tất
• Thiết bị Cisco đã có thể giao tiếp thành công với Smart Licensing hoặc đăng ký Smart Account
• Thiết bị nhận được chứng chỉ ID có giá trị trong 1 năm sẽ được sử dụng cho các trao đổi trong tương lai
• Thiết bị sẽ gửi yêu cầu tới CSSM để cho phép các quyền được hưởng đối với các license đang được sử dụng trên thiết bị
• Tùy thuộc vào phản hồi CSSM, thiết bị sau đó sẽ nhập vào Authorized hoặc Out of Compliance
• Chứng chỉ ID sẽ hết hạn vào cuối một năm. Sau 6 tháng, quy trình phần mềm Agent sẽ cố gắng gia hạn chứng chỉ. Nếu Agent không thể giao tiếp với Cisco Smart Software Manager, Agent sẽ tiếp tục thử và gia hạn chứng chỉ ID cho đến ngày hết hạn (1 năm). Vào cuối một năm, agent sẽ quay trở lại trạng thái Un-Identified và sẽ cố gắng kích hoạt giai đoạn Evaluation. CSSM sẽ xóa phiên bản sản phẩm khỏi cơ sở dữ liệu của nó.

Trạng Thái Authorized

• Đây là trạng thái khi thiết bị đang sử dụng quyền lợi và đang ở Compliance (không có số dư âm)
• Tài khoản ảo trên CSSM có đúng loại và số lượng license để cho phép sử dụng license của thiết bị
• Sau 30 ngày, thiết bị sẽ gửi một yêu cầu mới tới CSSM để gia hạn ủy quyền
• Có khoảng thời gian là 90 ngày, sau đó (nếu không được gia hạn) được chuyển sang trạng thái Authorization Expired

Trạng Thái Out of Compliance

• Đây là trạng thái khi thiết bị đang sử dụng quyền lợi và đang ở Compliance (số dư âm)
• Trạng thái này được nhìn thấy khi thiết bị không có license khả dụng trong Virtual Account tương ứng mà thiết bị Cisco được đăng ký trong Smart Account của Cisco
• Để chuyển sang trạng thái Compliance/Authorized, khách hàng phải thêm đúng số lượng và loại license vào Smart Account
• Khi ở trạng thái này, thiết bị sẽ tự động gửi yêu cầu gia hạn ủy quyền mỗi ngày
• License và tính năng sẽ tiếp tục hoạt động và không có tác động chức năng

Trạng Thái Authorization Expired

• Đây là trạng thái khi thiết bị đang sử dụng quyền không thể giao tiếp với Smart Account của Cisco được liên kết trong hơn 90 ngày
• Điều này thường thấy nếu thiết bị Cisco mất quyền truy cập internet hoặc không thể kết nối với tools.cisco.com sau khi đăng ký lần đầu.
• Các phương pháp cấp phép trực tuyến thông minh yêu cầu các thiết bị Cisco phải giao tiếp tối thiểu 90 ngày một lần để ngăn chặn tình trạng này
• CSSM sẽ trả lại tất cả các license đang sử dụng cho thiết bị này trở lại nhóm vì nó không có bất kỳ thông tin liên lạc nào trong vòng 90 ngày
• Trong khi ở trạng thái này, thiết bị sẽ tiếp tục cố gắng liên hệ với Cisco mỗi giờ, để gia hạn ủy quyền quyền, cho đến khi thời hạn đăng ký (chứng chỉ id) hết hạn
• Nếu phần mềm Agent được thiết lập lại liên lạc với Cisco và nhận được yêu  cầu ủy quyền của Cisco, nó sẽ xử lý phản hồi đó bình thường và đi vào một trong các trạng thái đã thiết lập

---

CHÚ Ý VÀ CẢNH BÁO

• Bắt đầu từ phiên bản 16.9.1 cho các thiết bị Switch Cisco và phiên bản 16.10.1 cho các thiết bị Router Cisco, cấu hình Call-home mặc định có tên “CiscoTAC-1” được tạo để hỗ trợ chuyển sang Smart Licensing. Theo mặc định, cấu hình này được thiết lập cho phương pháp Triển khai trực tiếp thông qua Cloud

#show call-home profile CiscoTAC-1
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
Other address(es): default
<snip>

• Khi sử dụng máy chủ on-premise của Cisco Smart Software Manager, địa chỉ đích trong cấu hình call-home đang hoạt động phải trỏ đến nó (phân biệt chữ hoa chữ thường)

(config)#call-home
(cfg-call-home)#profile "CiscoTAC-1"
(cfg-call-home-profile)#destination address http https://<IP/FQDN>/Transportgateway/services/DeviceRequestHandler

• DNS được yêu cầu để phân giải tools.cisco.com. Nếu kết nối máy chủ DNS trong VRF, hãy đảm bảo giao diện nguồn phù hợp và VRF được xác định như sau

Global Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]
(config)#ip name-server <IP>

VRF Routing Table Used:
(config)#ip domain-lookup [source-interface <INTERFACE>]     <<-- "ip vrf forwarding <VRF-NAME>" defined on the interface
(config)#ip name-server vrf <VRF-NAME> <SERVER-IP>

• Ngoài ra, nếu DNS không khả dụng, hãy định cấu hình cục bộ DNS thành IP mapping (dựa trên độ phân giải DNS cục bộ trên thiết bị đầu cuối của bạn) hoặc thay thế tên DNS trong cấu hình call-home bằng địa chỉ IP.

(config)#ip host tools.cisco.com <x.x.x.x>

• Nếu giao tiếp tới tools.cisco.com cần được bắt nguồn từ giao diện trong VRF cụ thể thì CLI sau đây cần được cấu hình

(config)#ip http client source-interface <VRF_INTERFACE>

• Một số lượng license khác nhau có thể được sử dụng tùy thuộc vào cấu hình của thiết bị Cisco, chẳng hạn như với các thiết bị Switch Cisco Catalyst trong StackWise hoặc StackWise Virtual
• Chỉ có thể kích hoạt một cấu hình call-home cho Smart Licensing
• License chỉ được sử dụng nếu một tính năng tương ứng được định cấu hình
• Các thiết bị Cisco được cấu hình cho Smart Licensing cần được định cấu hình với ngày và giờ hệ thống chính xác để đảm bảo chúng được đồng bộ hóa đúng cách với Cisco Smart Account tương ứng. Nếu khoảng cách thời gian của thiết bị Cisco quá xa, thiết bị có thể không đăng ký được. Đồng hồ sẽ cần được đặt hoặc cấu hình theo cách thủ công thông qua giao thức định thời như Network Time Protocol (NTP) hoặc Precision Time Protocol (PTP)
• Public Key Infrastructure (PKI) được tạo trong quá trình đăng ký thiết bị Cisco cần được lưu nếu key này không được lưu tự động sau khi đăng ký. Nếu thiết bị không lưu được khóa PKI thì syslog sẽ được tạo để lưu cấu hình thông qua “copy running-config startup-config” hoặc “write memory”
• Nếu PKI key của thiết bị Cisco không được lưu đúng cách, trạng thái cấp phép có thể bị mất khi chuyển dự phòng hoặc tải lại.
• Smart Licensing không hỗ trợ HTTPS Proxy SSL theo mặc định khi sử dụng proxy của bên thứ ba cho phương thức HTTPS Proxy. Để hỗ trợ tính năng này, bạn có thể tắt tính năng chặn SSL trên Proxy hoặc nhập thủ công chứng nhận được gửi từ Proxy

How to Manually Import Certification as a TrustPoint:
The certificate will need be in a BASE64 format to be copied and pasted onto the device as a TrustPoint. 

The following example shown below uses "LicRoot" as the TrustPoint name, however, this name can be changed as desired.

Device#conf t 
Device(config)#crypto pki trustpoint LicRoot 
Device(ca-trustpoint)#enrollment terminal 
Device(ca-trustpoint)#revocation-check none 
Device(ca-trustpoint)#exit 
Device(config)#crypto pki authenticate LicRoot 
Enter the base 64 encoded CA certificate. 
End with a blank line or the word "quit" on a line by itself 
-----BEGIN CERTIFICATE----- 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE----- 
Certificate has the following attributes: 
     Fingerprint MD5: XXXXXXXX
   Fingerprint SHA1: XXXXXXX
% Do you accept this certificate? [yes/no]: yes 
Trustpoint CA certificate accepted. 
% Certificate successfully imported

• Khi sử dụng cổng truyền tải HTTP Proxy, địa chỉ IP cần được thay đổi từ tools.cisco.com thành proxy như sau:

destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
              TO
destination address http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler

• Địa chỉ IP Transport Gateway có thể được tìm thấy bằng cách điều hướng đến HTTP Settings và xem trong HTTP Service URLs ở Cisco Transport Gateway GUI.

---

XỬ LÝ SỰ CỐ SMART LICENSING TRÊN CISCO CATALYST

Thiết Bị Không Đăng Ký Được

Sau khi cấu hình lần đầu, để bật Smart Licensing, Token được tạo trên Cisco Smart Software Manager on-prem, cần được đăng ký trên thiết bị qua CLI:

license smart register idtoken <TOKEN>

Điều này sẽ tạo ra các kết quả sau:

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result
!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds)
%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration
!
! Call-home start registration process
!
%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode.
!
! Smart Licensing process connects with CSSM and check entitlement.
!
%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed
%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN>
%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved

Để kiểm tra cấu hình call-home, hãy chạy CLI sau:

#show call-home profile all

Profile Name: CiscoTAC-1
    Profile status: ACTIVE
    Profile mode: Full Reporting
    Reporting Data: Smart Call Home, Smart Licensing
    Preferred Message Format: xml
    Message Size Limit: 3145728 Bytes
    Transport Method: http
    HTTP  address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
    Other address(es): default

    Periodic configuration info message is scheduled every 1 day of the month at 09:15

    Periodic inventory info message is scheduled every 1 day of the month at 09:00

    Alert-group               Severity
    ------------------------  ------------
    crash                     debug
    diagnostic                minor
    environment               warning
    inventory                 normal

    Syslog-Pattern            Severity
    ------------------------  ------------
    APF-.-WLC_.*              warning
    .*                        major

Để kiểm tra trạng thái Smart Licensing, hãy chạy CLI sau:

Nếu thiết bị không đăng ký được (và nếu trạng thái khác REGISTERED), tình trạng Out-of-Compliance chỉ ra vấn đề trên CSSM, chẳng hạn như thiếu license trong Smart Virtual Account, ánh xạ không chính xác. Kiểm tra các mục sau:

• Xác minh cài đặt cấu hình và các tình huống lỗi phổ biến
• Kiểm tra kết nối cơ bản

Xác minh rằng thiết bị có thể truy cập (và mở cổng TCP) tới tools.cisco.com (trong trường hợp truy cập trực tiếp) hoặc tới server on-premise của Cisco Smart Software Manager

#show run all | in destination address http
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
!
! check connectivity
!
#telnet tools.cisco.com 443 /source-interface gi0/0
Trying tools.cisco.com (x.x.x.x, 443)... Open
[Connection to tools.cisco.com closed by foreign host]

Trong trường hợp trên không hoạt động, hãy kiểm tra kỹ các quy tắc định tuyến, giao diện nguồn và cài đặt tường lửa của bạn

• Xác minh cài đặt Smart Licensing

Thu thập kết quả trả về của

#show tech-support license

Và xác thực configuration / logs đã thu thập

• Bật gỡ lỗi

#debug call-home smart-licensing [all | trace | error]
#debug ip http client [all | api | cache | error | main | msg | socket]

Đối với gỡ lỗi nội bộ, hãy bật và đọc dấu vết nhị phân

---

CÁC TÌNH HUỐNG LỖI SMART LICENSING PHỔ BIẾN TRÊN THIẾT BỊ CISCO CATALYST

Tình Huống 1: Switch Registration “Failure Reason: Product Already Registered”

Xác thực của “show license all”:

Registration:

  Status: UNREGISTERED – REGISTRATION FAILED

  Export-Controlled Functionality: NotAllowed

  Initial Registration: FAILED on Oct 22 14:25:31 2018 EST

   Failure reason: Product Already Registered

  Next Registration Attempt: Oct 22 14:45:34 2018 EST

Bước tiếp theo:

• Thiết bị Cisco sẽ cần được đăng ký lại
• Nếu thiết bị Cisco được nhìn thấy trong Cisco Smart Software Manager (CSSM), thì thông số “force” sẽ cần được sử dụng (“license smart register idtoken <TOKEN> force”)

∗ Lưu ý: Lý do lỗi cũng có thể hiển thị như sau

• Lý do lỗi: Sản phẩm <X> và Sudi chứa udiSerialNumber:<SerialNumber>,udiPid:<Product> đã được đăng ký
• Lý do không thành công: Phiên bản sản phẩm hiện tại

Tình Huống 2: Switch Registration “Failure Reason: Your request could not be processed right now. Please try again”

Xác thực của “show license all”:

Registration:

  Status: REGISTERING – REGISTRATION IN PROGRESS

  Export-Controlled Functionality: NotAllowed

  Initial Registration: FAILED on Oct 24 15:55:26 2018 EST

  Failure reason: Your request could not be processed right now. Please try again

  Next Registration Attempt: Oct 24 16:12:15 2018 EST

Bước tiếp theo:

• Bật gỡ lỗi như đã đề cập trong phần 4 để có thêm thông tin chi tiết về vấn đề
• Tạo mã thông báo mới trong CSSM trong Smart Licensing và thực hiện một cách khác

Tình Huống 3: Failure Reason “The device date 1526135268653 is offset beyond the allowed tolerance limit

Xác thực của “show license all”:

Registration:

  Status: REGISTERING – REGISTRATION IN PROGRESS

  Export-Controlled Functionality: NotAllowed

  Initial Registration: FAILED on Nov 1117:55:46 2018 EST

    Failure reason: {“timestamp”:[“The device date ‘1526135268653’ is offset beyond the allowed tolerance limit.”]}

  Next Registration Attempt: Nov 11 18:12:17 2018 EST

Nhật ký có thể được nhìn thấy:

%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: Certificate chain validation has failed.  The certificate (SN: XXXXXX) is not yet valid. Validity period starts on 2018-12-12:43Z

Bước tiếp theo:

• Xác minh đồng hồ của thiết bị Cisco đang hiển thị thời gian chính xác (show clock)
• Cấu hình Network Time Protocol (NTP) nếu có  thể để đảm bảo đồng hồ được đặt chính xác
• Nếu không thể sử dụng NTP, hãy xác minh đồng hồ được đặt theo cách thủ công (clock set) là chính xác và được cấu hình làm nguồn thời gian đáng tin cậy bằng cách xác minh “clock calendar-valid”

Tình Huống 4: Switch Registration “Failure Reason: Communication transport not available.”

Xác thực của “show license all”:

Registration: Status: UNREGISTERED – REGISTRATION FAILED

Export-Controlled Functionality: Not Allowed

Initial Registration: FAILED on Mar 09 21:42:02 2019 CST

   Failure reason: Communication transport not available.

Nhật ký có thể được nhìn thấy:

%CALL_HOME-3-CALL_HOME_FAILED_TO_ENABLE: Không thể bật call-home từ Smart Agent để cấp phép
%SMART_LIC-3-AGENT_REG_FAILED: Smart Agent để đăng ký cấp phép với Cisco Smart Software Manager hoặc vệ tinh không thành công: Truyền thông tin liên lạc không khả dụng.
%SMART_LIC-3-COMM_FAILED: Lỗi kết nối với Cisco Smart Software Manager hoặc vệ tinh: Không có phương tiện truyền thông.

Bước tiếp theo:

• Xác minh rằng call-home được bật với “service call-home” trong kết quả đầu ra “show running-config” của thiết bị Cisco
• Đảm bảo cấu hình call-home chính xác đang hoạt động
• Xác minh rằng “reporting smart-licensing-data” được cấu hình trong hồ sơ call-home đang hoạt động

Tình Huống 5: Switch License Authorization “Failure reason: Fail to send out Call Home HTTP message.”

Xác thực của “show license all”:

License Authorization:

  Status: OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC

  Last Communication Attempt: FAILED on Aug 02 14:26:23 2018 UTC

    Failure reason: Fail to send out Call Home HTTP message.

  Next Communication Attempt: Aug 02 14:26:53 2018 UTC

  Communication Deadline: Oct 25 09:21:38 2018 UTC

Các bản ghi có thể được nhìn thấy:

%CALL_HOME-5-SL_MESSAGE_FAILED: Không thể gửi thông báo Smart Licensing tới: https://<ip>/its/service/oddce/services/DDCEService (ERR 205 : Request Aborted)

%SMART_LIC-3-COMM_FAILED: Lỗi kết nối với Cisco Smart Software Manager hoặc vệ tinh: Fail to send out Call Home HTTP message.

%SMART_LIC-3-AUTH_RENEW_FAILED: Gia hạn ủy quyền với Cisco Smart Software Manager hoặc vệ tinh: Communication message send error for udi PID:XXX, SN: XXX

Bước tiếp theo:

• Xác thực rằng thiết bị Cisco có thể ping tools.cisco.com
• Nếu DNS không được cấu hình, hãy định cấu hình máy chủ DNS hoặc câu lệnh “ip host” cho nslookup IP cục bộ
• Cố gắng telnet từ thiết bị Cisco tới tools.cisco.com trên cổng TCP 443 (cổng được sử dụng bởi HTTPS)
• Xác minh rằng giao diện nguồn máy khách HTTPs được xác định và chính xác
• Xác minh rằng URL/IP trong hồ sơ call-home được đặt chính xác trên thiết bị Cisco thông qua “show call-home profile all”
• Xác minh ip route đang trỏ đến đúng bước tiếp theo
• Đảm bảo rằng cổng TCP 443 không bị chặn trên thiết bị Cisco, đường dẫn đến Smart Call Home Server, hoặc Cisco Smart Software Manager on-prem (vệ tinh)
• Đảm bảo rằng phiên bản Virtual Routing and Forwarding (VRF) chính xác được định cấu hình call-home nếu có

Tình Huống 6: Failure Reason “Missing Id cert serial number field; Missing signing cert serial number field; Signed data and certificate does not match” Log

Hành vi này được nhìn thấy khi làm việc với máy chủ CSSM on-premise đã có chứng chỉ crypto hết hạn. Đây là hành vi cần thiết vì CSSM on-prem phải được phép đồng bộ hóa và gia hạn chứng chỉ của nó để ngăn sự cố đồng bộ hóa chứng chỉ với bất kỳ thiết bị đăng ký nào

Xác thực của “show license all”:

Registration:
  Status: UNREGISTERED
  Smart Account: Example Account
  Export-Controlled Functionality: ALLOWED

License Authorization:
 Status: EVAL MODE
 Evaluation Period Remaining: 65 days, 18 hours, 43 minutes, 0 seconds

Nhật ký có thể được nhìn thấy:

Trong “show logging” hoặc “show license eventlog”, lỗi sau được phát hiện:

SAEVT_DEREGISTER_STATUS msgStatus=”LS_INVALID_DATA” error=”Missing Id cert serial number field; Missing signing cert serial number field; Signed data and certificate does not match”

Bước tiếp theo:

• Xác minh rằng thiết bị Cisco có kết nối IP với máy chủ tại CSSM on-premise
• Nếu sử dụng HTTPS, hãy xác nhận chứng nhận C-Name đang được cấu hình
• Nếu không có máy chủ DNS để giải quyết chứng chỉ C-Name, định cấu hình câu lệnh static “ip host” để ánh xạ tên miền và địa chỉ IP
• Xác minh trạng thái của chứng chỉ CSSM on-premise vẫn còn hiệu lực

Tình Huống 7: Switch License Authorization “Failure reason: Waiting for reply”

Xác thực của “show license all”:

License Authorization:
 Status: OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
 Last Communication Attempt: PENDING on Aug 02 14:34:51 2018 UTC
  Failure reason: Waiting for reply
 Next Communication Attempt: Aug 02 14:53:58 2018 UTC
 Communication Deadline: Oct 25 09:21:39 2018 UTC

Các bản ghi có thể được nhìn thấy:

%PKI-3-CRL_FETCH_FAIL: Tìm nạp CRL cho điểm tin cậy SLA-TrustPoint không thành công. Lý do: Không chọn được ổ cắm. Hết thời gian chờ : 5 (Kết nối đã hết thời gian chờ)
%PKI-3-CRL_FETCH_FAIL: Tìm nạp CRL cho điểm tin cậy SLA-TrustPoint không thành công. Lý do: Không chọn được ổ cắm. Hết thời gian chờ : 5 (Kết nối đã hết thời gian chờ)

Bước tiếp theo:

Để khắc phục sự cố này, SLA-TrustPoint phải được cấu hình none trong cấu hình đang chạy

show running-config

<omitted>

crypto pki trustpoint SLA-TrustPoint

revocation-check none

Tình Huống 8: License in “OUT OF COMPLIANCE” status

Xác thực của “show license all”:

License Authorization:
 Status: OUT OF COMPLIANCE on Jul 26 09:24:09 2018 UTC
 Last Communication Attempt: PENDING on Aug 02 14:34:51 2018 UTC
  Failure reason: Waiting for reply
 Next Communication Attempt: Aug 02 14:53:58 2018 UTC
 Communication Deadline: Oct 25 09:21:39 2018 UTC

Các bản ghi có thể được nhìn thấy:

%SMART_LIC-3-OUT_OF_COMPLIANCE: Một hoặc nhiều quyền không tuân thủ

Bước tiếp theo:

• Xác minh xem Token từ Smart Virtual Account đã được sử dụng hay chưa

Tình Huống 9: Switch License Authorization “Failure reason: Data and signature do not match “

Xác thực của “show license all”:

License Authorization:

 Status: AUTHORIZED on Mar 12 09:17:45 2020 EDT

 Last Communication Attempt: FAILED on Mar 12 09:17:45 2020 EDT

  Failure reason: Data and signature do not match

 Next Communication Attempt: Mar 12 09:18:15 2020 EDT

 Communication Deadline: May 09 21:22:43 2020 EDT

Các bản ghi có thể được nhìn thấy:

%SMART_LIC-3-AUTH_RENEW_FAILED: Gia hạn ủy quyền với Cisco Smart Software Manager (CSSM) : Lỗi nhận được từ Smart Software Manager: Dữ liệu và chữ ký không khớp với udi PID:C9000,SN:XXXXXXXXXXX

Bước tiếp theo:

• Hủy đăng ký switch với “License smart deregister”
• Sau đó đăng ký switch bằng cách sử dụng token mới với “license smart register idtoken <TOKEN> force”

---

KẾT LUẬN

Như vậy là qua bài viết này, quản trị viên của Cisco Việt Nam ™ đã gửi đến quý khách hàng cũng như các bạn độc giả hướng dẫn sửa lỗi Smart Licensing trên các thiết bị Cisco Catalyst

Cisco Việt Nam ™ là một địa chỉ phân phối Cisco chính hãng uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của nhà sản xuất. Hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

Cisco Việt Nam ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn). Giúp thuận tiện cho khách hàng có như cầu mua Switch Cisco Catalyst 9000 Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm máy chủ chính hãng đến với khách hàng..

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Đặt Hàng, Giao Hàn Bảo Hành, Khuyến Mại, Hỗ trợ kỹ thuật của các sản phẩm Switch Cisco Catalyst 9000 Chính Hãng tại TP Hà Nội và khu vực lân cận, Hãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của Cisco Việt Nam ™. Hoặc nếu quý khách ở Hà Nội hoặc các tỉnh lân cận, có thể liên hệ tới văn phòng của chúng tôi tại Hà Nội theo thông tin sau:

Địa Chỉ Phân Phối Cisco Chính Hãng Giá Tốt Tại Hà Nội

• Địa chỉ: Số 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP Hà Nội.
• Hotline/Zalo: 0967.40.70.80
• Email: info@anbinhnet.com.vn
• Website: https://ciscovietnam.com/

Địa Chỉ Phân Phối Cisco Chính Hãng Giá Tốt Tại Sài Gòn (TP HCM)

• Địa chỉ: Số 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP Hồ Chí Minh
• Hotline/Zalo: 0967.40.70.80
• Email: info@anbinhnet.com.vn
• Website: https://ciscovietnam.com/

---

Nguồn: https://anbinhnet.com.vn/sua-loi-smart-licensing-tren-cisco-catalyst/