購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
26193
閲覧回数
16
いいね!
0
コメント

Catalyst の Smart License (スマートライセンス) 設定 - Proxy Server (プロキシサーバー)

yukiyosh
Cisco Employee
Cisco Employee

‎2020-05-19 10:12 PM ‎2021-02-16 04:24 PM 更新

 

 

はじめに

本ドキュメントは Catalyst の Smart License (スマートライセンス)で Proxy Server (プロキシサーバー) を介してCSSM (シスコスマートソフトウェアマネージャー)へ接続の設定を紹介します。

HTTPS Proxy Server.PNG

 

  

初期設定

スマートライセンスをサポートするソフトウェアバージョンで起動しますと、次のデフォルト設定がデバイスに追加されます。

service call-home
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
  active
  destination transport-method http
  no destination transport-method email
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
 ! Alternatively, if you cannot resolve DNS, a static entry can be configued with "ip host" for CSSM IPs.

    

  

Proxy Server を介した CSSM へ接続の設定

基本設定として 以下 1~3を設定します。さらに Transport Gateway または サードバーティの Proxy Server を使用するかにより、その後の設定が異なります。

  1. DNS の指定
  2. Catalyst が HTTPS Client、CSSM が HTTPS Server の関係
  3. Proxy Server へ接続用の 経路情報を設定
ip routing
!
license smart enable
! to enable smart licensing
license smart transport callhome
! call-home is the transport method used
!
! L3 SVI Config
interface Vlan100
 ip address 192.168.1.11 255.255.255.0
!
! Ensure http client source interface can reach tools.cisco.com and port 443 is open.
ip http client source-interface Vlan100  
! http is used to communicate via call-home therefore we must define the http client interface
!
! Route 
ip route 0.0.0.0 0.0.0.0 192.168.1.254
! DNS Server 
ip name-server 8.8.8.8

 

Smart Callhome Transport Gateway (スマートコールホームトランスポートゲートウェイ) または 既製の プロキシ (例:Apache) を使用します。

Smart Callhome Transport Gateway の 詳細

http:/ / www.cisco.com/ c/ dam/ en/ us/ td/ docs/ switches/ lan/ smart_call_home/ user_guides/ SCH_ ...

Smart Call Home Transport Gateway を使用している場合は、CiscoTAC-1 の URL を VM のインストール中に提供された URL に変更します。

Transport Gateway Configuration Guide: https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
から
destination address http https://<TransportGW-IP_Address>:<port_number>/Transportgateway/services/DeviceRequestHandler
へ変更します
The required IP is pulled from Transport Gateway HTTP settings under "Device Service URL" like shown below:

Transport Gateway.PNG

  Apache などの既存のプロキシを使用する場合は、設定の call-home の下、および 全体の下に設定を追加します

switch(config)#call-home
switch(cfg-call-home)#http-proxy <url / ip> port <port #>
例:switch(cfg-call-home)#http-proxy "10.1.1.1" port 80

switch(config)#ip http client proxy-server <proxy-name> proxy-port <port-number>
例:switch(config)#ip http client proxy-server 10.1.1.1 proxy-port 80

 

Proxy Server を使用した際の注意点

Proxy Server を使用した際に注意点がいつかあります。

  1. Apache、Bluecoat などのサードパーティの Proxy Server を使用している場合は、SSL 証明書を傍受して独自のものに置き換えるように構成できます
    Smart Licenseで証明書は CSSM からのものであるため、Proxy Server の傍受によりは Authorized に失敗します
  2. Proxy Serverで HTTPのドメイン単位で 傍受している場合は、可能な限り ドメイン単位ではなく Catalystからの HTTP は全て スルーするようお願いします
  3. Catalyst と CSSM 間で Proxy Server 以外にも SSL 複合化装置、Firewall 等により SSLの書き換え、傍受してる場合、Authorized に失敗します

Proxy Serverを使用の場合、CRL チェックを無効にします。

Switch(config)#crypto pki trustpoint SLA-TrustPoint
Switch(ca-trustpoint)#  revocation-check none  <<< noneへ変更

 

Proxy Serverでドメイン単位で傍受から除外する場合は以下を除外リストに追加します
www.cisco.com、tools.cisco.com

  

CSSM の 接続確認

CSSM へ 接続を開始から 接続が完了し、CSSM で SA (スマートアカウント), VA (バーチャルアカウント),ライセンスの認証されるログを確認します。

! Smart licensing process starts
!
Registration process is in progress. Use the 'show license status' command to check the progress and result
!
! Crypto key is automatically generated for HTTPS communication
!
Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds)
%CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
%PKI-4-NOCONFIGAUTOSAVE: Configuration was modified.  Issue "write memory" to save new IOS PKI configuration
!
! Call-home start registration process
!
%CALL_HOME-6-SCH_REGISTRATION_IN_PROGRESS: SCH device registration is in progress. Call-home will poll SCH server for registration result. You can also check SCH registration status with "call-home request registration-info" under EXEC mode.
!
! Smart Licensing process connects with CSSM and check entitlement.
!
%SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is allowed
%SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with the Cisco Smart Software Manager or satellitefor udi PID:<PID>,SN:<SN>
%SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved

 

show コマンドで 合わせて AUTHORIZED を確認します

Catalyst# show license status
Tue Sep 29 07:34:36.023 PDT
Smart Licensing is ENABLED
  Initial Registration: SUCCEEDED on Mon Sep 28 2017 21:55:46 PDT
  Last Renewal Attempt: None
  Registration Expires: Sun Dec 27 2017 11:49:40 PDT
License Authorization:
  Status: AUTHORIZED on Mon Sep 28 2017 21:56:10 PDT
  Last Communication Attempt: SUCCEEDED on Mon Sep 28 2017 21:56:10 PDT
  Next Communication Attempt: Wed Oct 28 2017 21:56:10 PDT
  Communication Deadline: Sun Dec 27 2017 11:49:16 PDT

 

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents