ライセンスの仕組みはわかったけど、Ciscoのスマートライセンスってなんかややこしいな…どう設定するのが正解なんだ…?
スマートライセンスは初めてだと難しいよね。今回は最低限抑えるべきスマートライセンスのポイントを解説するよ。
Smart Licenseとは
Smart LicenseとはCiscoの新しいライセンス体系の名称になります。
ざっくりいうと、インターネット経由でライセンス認証ができる仕組みになります。
従来ですと、一度ライセンスtokenを適用するとOKでした。
それがSmart Licenseだと、インターネットに抜けるための設定が必要となりました。
方法としてはDNSやProxyを使用してインターネットに抜ける形になります。
そのため、従来よりもNW機器を納入する顧客環境・構成への理解が必要となりました。
設定方法
設定方法にはいくつかのパターンがあります。(DNS or Proxy/smart or call-home)
今回はおすすめの3つのパターンに絞って解説します。
前提としてCSSMでのtoken発行(機器に登録するキーの発行)は顧客アカウントが必要になります。そちらはメーカーサイトがわかりやすいので参考にしてください。
基本的には購入したお客様にて発行していただくものになります。
ダイレクト認証(smart)
ダイレクト認証では、機器を直接インターネットに抜ける形式で設定を行います。
下記を全部設定できているか確認しながら設定を行ってください。
・機器のIP設定&インターネット向けのルーティング
・DNS設定
・トランスポートタイプ(smart)の設定
・インターネット出口でのファイアーウォールの設定
※本ブログでは例としてMgmtポートを使用してライセンス認証を実施してます。
実際に使用するポートやルーティングは実環境に合わせて設定してください。
①IP・ルーティング設定
(インターネット宛にでるために機器のIPおよびそのIPから抜けれるルーティングを作成)
Switch(config)#interface GigabitEthernet 0/0
Switch(config-if)#ip address x.x.x.x x.x.x.x
Switch(config-if)#no shutdown
Switch(config)#exit
Switch(config)#
Switch(config)#ip route [設定ポートのVRF] 0.0.0.0 0.0.0.0 x.x.x.x
Switch(config)#
②DNS設定(DNSの指定、DNS/HTTP接続のためのsourceの指定)
Switch(config)#ip name-server [source interfaceのVRF] <DNSサーバのアドレス>
Switch(config)#ip domain lookup source-interface GigabitEthernet 0/0
Switch(config)#ip http client lookup source-interface GigabitEthernet 0/0
Switch(config)#
③トランスポートタイプの設定
(call-homeとsmartで選択できる、URLの設定はdefaultでCiscoのライセンス管理サーバのURLが自動指定される)
Switch(config)#license smart transport smart
Switch(config)#license smart url default
Switch(config)#
④インターネット出口でのファイアーウォールの設定
顧客の使用するFWによってconfigがことなるため、通したい通信の記載のみとします。
・HTTPS通信(納入機器→Internet方向のみ)
・DNS通信(納入機器→Internet方向のみ):外部DNSを使用する場合のみ
基本的にNW機器発の通信しか発生しないため、FWのポリシー設定はInternet向けのものだけでOKです。(逆も許可すると危ないです…)
⑤tokenの適用&確認
Switch#license smart trust idtoken <Token> all
Switch#show license status
Usage Reporting:
Last ACK received:xxxxxxxxxx←ここの時間が更新されていればOK
Proxy経由認証(call-home)
Proxy経由認証では、機器をproxy経由でインターネットに抜ける形式で設定を行います。
下記を全部設定できているか確認しながら設定を行ってください。
・機器のIP設定&proxy向けのルーティング
・call-homeの設定
※本ブログでは例としてMgmtポートを使用してライセンス認証を実施してます。
実際に使用するポートやルーティングは実環境に合わせて設定してください。
①IP・ルーティング設定
(proxyと通信を行うためのIPおよびルーティングを作成)
Switch(config)#interface GigabitEthernet 0/0
Switch(config-if)#ip address x.x.x.x x.x.x.x
Switch(config)-if#no shutdown
Switch(config)#exit
Switch(config)#
Switch(config)#ip route [設定ポートのVRF] 0.0.0.0 0.0.0.0 x.x.x.x
Switch(config)#
②call-homeの設定(proxy&proxyのポート番号の指定、proxyまでのsource-ifの指定)
Switch(config)#license smart transport callhome
Switch(config)#call-home
Switch(cfg-call-home)#http-proxy x.x.x.x proxy-port 80
Switch(cfg-call-home)#source-interface GigabitEthernet 0/0
Switch(cfg-call-home)#
③tokenの適用&確認
Switch#license smart trust idtoken <Token> all
Switch#show license status
Usage Reporting:
Last ACK received:xxxxxxxxxx←ここの時間が更新されていればOK
※Proxyがあること前提ですが、こちらのほうがDNSよりも設定内容は少なくなります。
ちなみにDNS認証で設定したURLなどの細かい情報は、call-homeの設定で初期設定されてますので、今回は割愛して説明しています。
加えてFW設定などは、既存のProxyを導入した時点でProxy→Internetは抜けれるようにしているという前提での割愛しています。
オフライン認証
オフライン認証では、インターネットに抜けず、定期的に手動でライセンス認証を行う形式になります。顧客のNW構成など考慮する必要がなく、インターネットにも抜けないので、セキュリティも担保されます。ただし、運用側にて定期的に認証状態を更新する必要があり、継続的に手間がかかります。また機器からファイルを取得・送信する必要があるので、NW上or作業端末にTFTPサーバなどを建てる必要があります。
①ライセンス設定をオフラインに変更
Switch(config)#license smart transport off
Switch(config)#
②機器からレポートファイルの取得
Switch#license smart save usage all file flash:<任意のファイル名>.txt
Switch#copy flash:all_rum.txt tftp://x.x.x.x
Switch#
③CSSMに上記取得ファイルをアップロード&ACKファイルの取得(顧客対応)
→メーカーサイト(ステップ3〜4)が参考になります。
④ACKファイルのインポート
Switch#copy tftp://x.x.x.x/<ACKファイル名>.txt flash:<ACKファイル名>.txt
Switch#license smart import flash:<ACKファイル名>.txt
Switch#
⑤適用ステータス確認
Switch#show license status
Usage Reporting:
Last ACK received:xxxxxxxxxx←ここの時間が更新されていればOK
まとめ
今回はsmart licenseの認証設定を3つ解説しました。
実際は細かく分類すると、様々な設定方法があるのですが、今回は現状よく使われている構成を紹介しました。
大抵の顧客環境であれば、上記設定のみで対応可能かと思いますので、ぜひ参考にしてください!
