シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

SSM satellite 2.xのセットアップと、ASAvとのスマートライセンス認証方法

 

 

概要

本ドキュメントでは ローカル環境でのスマートライセンス認証を可能とする、中継サーバであるSmart Software Manager(SSM) satelliteのバージョン2.xのセットアップ手順と、ASAvのスマートライセンス認証方法について紹介します。 本ドキュメントでは、SSM satelliteを、ESXiホストにデプロイしセットアップします。

本ドキュメントは、2015年11月リリースの Smart Software Manager Satellite Install Guide 2.1を元に、SSM satellite バージョン 2.4を用いて確認、作成してます。 最新情報は、最新リリースノートやガイドなどを参照してください。

SSM satellite 2.xは、CLIで初期セットアップ後は、Webブラウザで設定や管理が可能です。 GUIで操作時の推奨ブラウザは、Google Chromeです。

  

  

導入構成

本ドキュメントで紹介する導入構成例は以下となります。 SSM satelliteは、セットアップ時、および 運用時に Cisco Smart Software Managerと HTTPS(TCP443)で同期を行います。

ASAvは、SSM satelliteと HTTPS もしくは HTTPを利用し、スマートライセンス認証をローカルで行うことが可能です。

なお、SSM satelliteの導入において、信頼できる DNSサーバと NTPサーバの準備が必須となります。 本ドキュメントでは、DNSサーバは Google Public DNS (IP=8.8.8.8)、NTPサーバは ntp.nict.jpを利用しています。 

  

 

SSM satellite 2.1 初期セットアップ方法

1. Download softwareよりOVAファイルをダウンロード。本例では Smart Software Manager satellite 2.1.3 OVA (ファイル名=SSMS_Rel_2.1.3_Prod.ova)を利用

https://software.cisco.com/download/release.html?i=!y&mdfid=286285506&softwareid=286285517&release=2.1&os=Linux

 
2. OVAを任意ESXiホストにデプロイ

 
3. 仮想マシンを起動しコンソール経由でログイン。 デフォルトは、ID=admin、Password=Admin!23

 
4. 初回ログイン時にパスワード変更指示があるので、任意パスワードに変更

 
5. 任意IP情報を設定。例えば以下設定の場合、Eth0に IPアドレス 172.16.0.211、サブネット 255.255.255.0、Gateway 172.16.0.254を割当て

conf ip eth0 172.16.0.211 255.255.255.0 172.16.0.254

 
6. 任意DNSサ―バ情報を設定。 例えば以下設定の場合、8.8.8.8を DNSサーバとして登録

conf dns -a 8.8.8.8

 
7. reloadコマンドを入力。 y を入力し再起動を実行

admin# reload
Do you want to reload the appliance [y/n]? : y

 
8. 起動後、再度コンソールにアクセスし show ipコマンドで設定が正しいことを確認

admin# show ip
Interface eth0 is up
DHCP is disabled
Device : eth0
IP : 172.16.0.211
MAC : 00:50:56:91:76:84
Subnet Mask : 255.255.255.0

DNS Servers :
Nameserver1 : 172.16.0.254
Nameserver2 : 8.8.8.8

Gateway :
Interface : eth0
Gateway : 172.16.0.254

 
9. timesyncコマンドを実行し、任意NTPサーバのIPアドレスを入力した後、yをクリックし時刻同期が可能であることを確認

admin# timesync
===============================================================================
Synchronize Appliance Time
===============================================================================
Ntp Server Address [2.ntp.esl.cisco.com] : 133.243.238.243
Would you like to synchronize time with '133.243.238.243' (y|n)? y

Successfully updated NTP sync interval


10. コンソールから ping www.cisco.com コマンドを実行し、SSM satelliteからの名前解決、及び 外部アクセスが可能であることを確認

admin# ping www.cisco.com
PING www.cisco.com (72.163.4.161) 56(84) bytes of data.
64 bytes from www.cisco.com (72.163.4.161): icmp_seq=1 ttl=236 time=141 ms
64 bytes from www.cisco.com (72.163.4.161): icmp_seq=2 ttl=236 time=141 ms
64 bytes from www.cisco.com (72.163.4.161): icmp_seq=3 ttl=236 time=141 ms
64 bytes from www.cisco.com (72.163.4.161): icmp_seq=4 ttl=236 time=141 ms
64 bytes from www.cisco.com (72.163.4.161): icmp_seq=5 ttl=236 time=141 ms

 
11. 設定した管理IP宛に、以下のポートを指定し、任意ブラウザよりログイン

http://<ip-address>:8080 もしくは https://<ip-address>:8443

  
12. Time settingsタブが表示されるため、時刻情報が正しいかを確認。 必要に応じて、NTPサーバIPアドレスを再入力

 
Sync Time Nowをクリックし、同期が成功する事を確認したら、Nextをクリック

 
13. Setup Method タブに進むので、Network Setupボタンをチェックし Nextをクリック

 
14. CCOユーザ名・パスワードログイン画面にリダイレクトされるため、Validなユーザ名・パスワードを入力

 
15. ログイン後 以下画面に遷移するので、Allowをクリック

  
16. 情報入力画面にリダイレクトするため、以下3点の情報を入力した後、Register Satelliteボタンをクリック

a) サテライト名
b) Smart Accountを選択
c) Virtualアカウントを追加、もしくは既存のを利用

  
17. Register Satelliteタブに移行するので、SSM satelliteが再起動中のため、しばらく待ってください

  
18. 自動でログイン画面にリダイレクトされるため、再ログイン

  
19. 以下のSynchronization Settingsタブが表示される。 SSM satelliteの利用には、定期的にCiscoクラウドとの同期が必要であるため、Network Synchronization (毎月1日の深夜に自動同期)をチェックし、Nextボタンをクリック

  
20. 最後のSummaryページで設定に問題がない事を最終確認し、Configure satelliteボタンをクリック

   

   

SSM satellite 2.x パッチの適用方法

Note:
最新の不具合修正を適用するため、利用リリースの最新パッチの適用を強く推奨します。2016年12月現在、2.1.3 → 2.2.0 → 2.4.0(最新)の順にパッチ適用が可能です。

 
1. Administrationより Upgradeタブをクリックし、Manual Upgradeの View Available Downloads をクリック

  
2. SSM satelliteの パッチ ダウンロードページが開くため、必要なパッチをダウンロード。 2016年12月現在、2.x系の利用の場合、2.2.0(ファイル名=sp-17.0.1-2-0-lnx64.zip)と 2.4.0(ファイル名=sp-17.0.1-4-0-lnx64.zip)のパッチをダウンロード

  
3. Upgradeタブ画面に戻り、"ファイルを選択"ボタンをクリックし、古いパッチから選択しアップロード

 
4. アップロード完了後、Upgrade Nowボタンをクリックし、パッチ適用を実行。 アップグレードには おおよそ5分~10分ほどかかる

 
5. アップグレードが成功後、再度 SSM satelliteにログインする。 残りパッチがある場合は、上記と同様の手順で各パッチを適用する

   

  

ASAvを SSM satelliteに登録

1. 対象のASAvから SSM satelliteにPING疎通性があることを確認

ciscoasa# ping tcp 172.16.0.211 80
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 172.16.0.211 port 80
from 172.16.0.212, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

  
2. SSM satelliteで、Generalタブより New Tokenボタンをクリックし、その後ポップアップで Create Tokenボタンをクリックし TokenIDを発行

  

     
3. 生成された 以下のような文字列のToken IDを、コピー

Y2JhYTU3MDAtYWZmZi00NmQwLTgxYmItNWY0Y2FhN2JiNjE5LTE0ODU4NDgx%0AODMxNjR8bXd... 略

  
4. 対象ASAvにASDMでアクセスし、Device Management > Smart Call-home より、Name License行をダブルクリックし、Subscribersを SSM satelliteのURLに変更する

変更前: (デフォルト)
https://tools.cisco.com/its/service/oddce/services/DDCEService

 
変更時 書式:
https://<IP_Address>:443/Transportgateway/services/DeviceRequestHandler

  
変更例: (SSM satelliteのIPが 172.16.0.211の場合)
https://172.16.0.211:443/Transportgateway/services/DeviceRequestHandler

  
5. Device Management > Licensing > Smart Licensing に移動し、購入ライセンスに応じた 任意Feature Tier(通常 Standard)と Throughput Levelを選択し、Applyをクリックし適用

  
6. Registerボタンをクリックすると、ID Token入力画面がポップアップするため、先ほど 発行したToken IDを入力し、Registerをクリック

  
7. ASDM上部メニューの Refreshをクリックし、期待のライセンスが有効になることを確認

  

  

SSM satellite 管理状況の確認

SSM satelliteで、Licensesタブより、バーチャルアカウントに紐づいたライセンス情報を確認できます。

    
License名をクリックし、Product Instancesより、登録機器の詳細情報やイベントログを確認できます。

   

  

   

SSM satellite と SSM間の同期の管理

Synchronizationより、ローカルのSSM satelliteと、Ciscoクラウド上の Smart Software Manager(SSM)間の 同期間隔を変更できます。 Network Synchronizationを利用時、デフォルトで 毎月 1日目に行われます。 最新のライセンス権限状況や使用状況を同期できます。 運用に応じてチューニングしてください。

 
Note: 

SSM satelliteと SSM間は 30日毎に同期させる必要があります。 仮に90日 同期が行えなかった場合、そのsatelliteは使用不可になり、登録デバイスもすべて削除されます。 仮に90日過ぎた場合、その復旧には SSM satelliteの再デプロイと、異なる SSM satellite名にしての再登録、それに合わせたCiscoデバイスの再認証が必要となります。

これを避けるため、SSM satelliteが長時間 インターネットに接続不可にならないよう注意し、導入、運用してください。 SSM satelliteが正しくSSMと同期できてるかの確認には、SSMの Email Notificationサービスを利用できます。SSM satelliteが同期に失敗した時に通知を受け取ることができます。

  

  

トラブルシューティング

  • SSM satelliteが、Network synchronizationに失敗する

DNSサーバが正しく設定されているか確認してください。 コンソールから、ping tools.cisco.com コマンドを実行し、名前解決後の外部アクセスが可能であることを確認してください

 

  • パスワード変更し再起動後、"Press any key to continue"で画面がスタックする

何等かキーを入力し、しばらく待ってください。 長時間待っても変化のない場合は、OVAの再デプロイと再インストールを実行してください

 

  • SSM satelliteとASAv間のスマートライセンス認証時、%ASA-3-717027でFailする

以下のエラーログでスマートライセンス認証が失敗する場合、CSCvc62976にて定義されている問題です

%ASA-3-717027: Certificate chain failed validation. No suitable trustpoint was found to validate chain.

回避策は以下の2点のいずれかです。 詳しくは、CSCvc62976を参照してください

 1. 一時的にASAvをインターネットに接続し、"crypto ca trustpool import url http://www.cisco.com/security/pki/trs/ios_core.p7b"コマンドを実行しTrustpoolをアップデート

 2.  ASAvとSSM satellite間の接続に、HTTPSの代わりに、HTTPを利用する。 HTTPを認証に用いる場合、Device Management > Smart Call-homeより "http//[IP_Address]/Transportgateway/services/DeviceRequestHandler"を登録

3. CSCvc62976の修正済みである、バージョン 2.52以降を利用 (2017年6月追記)

   

  • SSM satelliteとASAv間のスマートライセンス認証時、%ASA-3-717009でFailする

以下のエラーログでスマートライセンス認証が失敗する場合、ASAvとSSM satelliteの時刻情報の確認、および 正しい時刻情報を持つ NTPサーバと同期していることを確認してください

%ASA-3-717009: Certificate validation failed. Certificate date is out-of-range

    

  • その他、ASAvのスマートライセンス認証の問題 全般

以下ドキュメントを参照してください

ASAv: スマートライセンス認証とトラブルシューティング
https://supportforums.cisco.com/ja/document/13070711

   

   

その他 制限事項

  • SSM satelliteを ESXiにデプロイするには、以下の構成が必要です

200GB Hard disk
8GB Memory
4 vCPUs

  

  • SSM satellite 2.xは、Proxy経由のインターネット接続をサポートしてません

    

  • SSM satelliteで設定するパスワードは、以下要件を満たしてください

・長さは6文字以上
・少なくとも 1つも文字が必要
・少なくとも 1つの記号が必要
・少なくとも 1つの「._-@#!$%^&*」の何れかが必要

   

   

参考情報

シスコ スマート ソフトウェア ライセンシング 日本語資料掲載サイト
http://www.cisco.com/web/JP/product/smart-software-licensing/index.html
    - スマートライセンス関連の日本語資料 紹介

購入案内 Smart Software Manager サテライト (日本語版)
http://www.cisco.com/web/JP/ordering/smart-software-manager/smart-software-manager-satellite.html
    - インストールガイドや ユーザガイドなど各種資料を確認できます

Ordering Smart Software Manager satellite (英語版)
http://www.cisco.com/web/ordering/smart-software-manager/smart-software-manager-satellite.html
    - 上記サイトの英語版です。 最新情報は英語版を参照してください

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841

バージョン履歴
改訂番号
2/2
最終更新:
‎08-31-2017 10:57 AM
更新者:
 
ラベル(1)
寄稿者: