本記事について
本記事では Cisco Catalyst 9000 シリーズスイッチ (C9200/C9300/C9400/C9500/C9600) にて、スマートライセンスの認証を CSSM オンライン方式(機器が直接 CSSM と通信してレポーティングする方式)で行う場合の設定方法と認証操作手順について説明します。
Catalyst 9000 シリーズスイッチについては IOS-XE 17.3.2 からライセンス認証方式が「Smart Licensing Using Policy (SLP)」になっています。本記事では IOS-XE 17.3.2 以降のバージョンを対象としています。
動作確認環境
- C9200L-24T-4G
- IOS-XE 17.12.05
スマートライセンスの CSSM オンライン方式での認証概要
スマートライセンスの認証方式には以下の4つがあります。
- CSSM オンライン方式 (ダイレクトレポート) ★本記事で扱う対象
- CSSM オフライン方式 (ダイレクトレポート)
- CSLU オンライン方式 (オンプレミスの CSLU を介したレポート)
- CSLU オフライン方式 (オンプレミスの CSLU を介したレポート)
本記事で対象とするのは①の CSSM オンライン方式です。この方式はレポーティング処理が機器によって自動で行われるため、C9000 シリーズスイッチにて DNA ライセンスを使用する場合など、定期的なレポーティングが必要なケースで採用されることがあります。CSSM オンライン方式でのレポーティング手順の概要を以下の図に示します。
上の図は Cisco 機器と CSSM 間のレポートのやり取り部分のみ記載していますが、実際には Cisco 機器の初期構築時に CSSM オンラインに対応するための設定を行う必要があります。
CSSM オンラインに関する留意事項
- 対象機器からインターネットまでの通信経路上にファイアウォール等の通信制御装置が存在する場合、その制御装置には対象機器のソース IP からインターネット宛の HTTPS (port 443) 通信を許可する設定をしておく必要があります
CSSM オンラインに対応するための初期設定手順
C9000 スイッチの初期構築時にスマートライセンスの認証操作を行う前に必要な設定の手順を以下に示します。
CSSM オンライン方式の場合、対象機器からインターネット上の CSSM への HTTPS 通信を行う必要があります。このために以下のようなネットワーク設定を行います。
- ソースインターフェースの IP アドレス設定
- HTTPS 通信の送信元となるインターフェースの IP アドレスを設定します
C9200L01(config)#interface loopback 0
C9200L01(config-if)#ip address 192.168.30.100 255.255.255.255- ルーティング設定
- インターネット宛のデフォルトゲートウェイまたはデフォルトルートを設定します
- 必要に応じて「ip routing」を有効化します
#L2SWとしてデフォルトゲートウェイを設定する場合
C9200L01(config)#ip default-gateway 10.1.30.254
#L3SWとしてデフォルトルートを設定する場合
C9200L01(config)#ip routing
C9200L01(config)#ip route 0.0.0.0 0.0.0.0 Vlan30 10.1.30.254
※VRFを使用する場合はVRF指定のルートを設定する- 名前解決用の DNS 設定
- ドメインルックアップの有効化
- DNS サーバの設定
- ドメインルックアップソースインターフェースの設定
C9200L01(config)#ip domain lookup
C9200L01(config)#ip name-server 1.1.1.1
C9200L01(config)#ip domain lookup source-interface loopback 0- HTTPクライアントソースインターフェースの設定
- CSSM と通信時のソースインターフェースを指定
C9200L01(config)#ip http client source-interface loopback 0- 【オプション】スマートライセンス用の VRF の指定
- CSSM と通信時のソースインターフェースが VRF に所属する場合は指定
- 管理インターフェースをソースとして使用する場合など
C9200L01(config)#license smart vrf Mgmt-vrf- 【オプション】プロキシサーバの設定
- CSSM と通信時にプロキシサーバを使用する場合はそのアドレスとポートを設定
C9200L01(config)#license smart proxy address 10.20.30.40
C9200L01(config)#license smart proxy port 8080ライセンスブートレベルはどのライセンスを使用して機器を起動させるかを指定する設定です。デフォルトでは基本ライセンス(Networkライセンス)とアドオンライセンス(DNAライセンス)の両方を使用する設定になっています。
ライセンスの種類が Essentials なのか Advantage なのか、DNA ライセンスを使用するのかしないのかによって以下の4パターンの中から案件の要件に合わせて設定します。
- Essentials ライセンスの場合
- (config)#license boot level network-essentials
- DNA ライセンスを使用しない場合の設定
- (config)#license boot level network-essentials addon dna-essentials
- DNA ライセンスを使用する場合の設定
- (config)#license boot level network-essentials
- Advantage ライセンスの場合
- (config)#license boot level network-advantage
- DNA ライセンスを使用しない場合の設定
- (config)#license boot level network-advantage addon dna-advantage
- DNA ライセンスを使用する場合の設定
- (config)#license boot level network-advantage
以下は Essentials ライセンスで DNA ライセンスを使用する場合の設定例です。
C9200L01(config)#license boot level network-essentials addon dna-essentials工場出荷時のデフォルト設定では DNA ライセンスを使用する設定になっているため、DNA ライセンスを使用しない場合はライセンスブートレベルを変更することを忘れないようにしてください。
ライセンスブートレベルを変更した場合、機器を再起動後にその設定が有効になるため、再起動が必要です。特権EXECモードにて「write memory」コマンドで設定を保存した上で「reload」コマンドを実行して機器を再起動します。
C9200L01#write memory
C9200L01#reload機器再起動後、ライセンス使用状況を確認します。特権EXECモードにて「show license summary」コマンドを使用することでライセンス使用状況を確認できます。
以下は C9200L にて Network-Essentials と DNA-Essentials を使用している場合の表示例です。
C9200L01#show license summary
Account Information:
Smart Account: <none>
Virtual Account: <none>
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
network-essentials (C9200L-NW-E-24) 1 IN USE
dna-essentials (C9200L-DNA-E-24) 1 IN USEDNA ライセンスを使用していない場合は Network ライセンスのみが「IN USE」状態として表示されます。
以上で CSSM オフライン用の設定は完了です。
トランスポートモードは CSSM と通信する際のモードを指定する設定です。デフォルトでは以下の CSLU を使用する設定となっています。
#デフォルト設定
license smart transport csluCSSM オンラインの場合は「license smart transport smart」と設定します。
C9200L01(config)#license smart transport smartまた接続先 URL をデフォルトの URL とするため「license smart url default」と設定します。これにより URL は「https://smartreceiver.cisco.com/licservice/license」と設定されます。
C9200L01(config)#license smart url default「license smart url default」は show run 上には表示されません。また過去のバージョンでは「license smart url default」投入後以下のコンフィグが自動で入っていましたが、バージョン 17.12.05 ではこのコンフィグも表示されません。
license smart url https://smartreceiver.cisco.com/licservice/license
license smart url smart https://smartreceiver.cisco.com/licservice/license「show license status」または「show license all」コマンドで確認できる「Transport:」項目の内容を確認します。
Transport:
Type: Smart
URL: https://smartreceiver.cisco.com/licservice/license
Proxy:
Not Configured
VRF: <empty>- 「Type: Smart」であることを確認
- 「URL: https://smartreceiver.cisco.com/licservice/license」であることを確認
- 「Proxy:」は「license smart proxy」を設定した場合は設定どおりのアドレス・ポートが表示されていることを確認
- 「VRF:」は「license smart vrf」設定をした場合は設定どおりの VRF になっていることを確認
Telnet コマンドを使用して CSSM のポート 443 宛に疎通できることを確認します。
- # telnet smartreceiver.cisco.com 443 /ipv4 [/source-interface <IF名>] [/vrf <VRF名>]
以下は疎通成功時のログです。
C9200L01#telnet smartreceiver.cisco.com 443 /ipv4 /source-interface loopback0
Trying smartreceiver.cisco.com (146.112.59.81, 443)... Open
[Connection to smartreceiver.cisco.com closed by foreign host]以下は疎通失敗時のログです。
C9200L01#telnet smartreceiver.cisco.com 443 /ipv4 /source-interface loopback0
Trying smartreceiver.cisco.com (146.112.59.81, 443)...
% Connection timed out; remote host not respondingCSSM オンラインのライセンス認証操作手順
機器側で上記の初期設定が完了したら以下の手順でライセンス認証操作を実施します。
- 【スマートライセンス管理者】CSSM にて登録用のトークンを作成し、構築担当者に共有する
- 【構築担当者】登録トークンを機器にインストールする
CSSM での登録トークンの作成
まずスマートライセンス管理者にて、以下の手順で登録用トークンを作成します。
以下 URL にアクセスし、cisco.com ID でログインします。
ログイン後「スマート ソフトウェア マネージャ」配下の「ライセンスの管理>」をクリックして CSSM 管理画面を開きます。
画面上部のメニューの「インベントリ」をクリックします。インベントリ画面にて「バーチャルアカウント:」右のドロップダウンリストから対象のバーチャルアカウントを選択し、「全般」タブを開きます。「全般」タブの「新しいトークン…」をクリックします。
以下のような画面が表示されるため「Proceed」をクリックします。
登録トークンの作成画面にて以下項目を設定します。
- 「期限終了まで:」トークンの使用期限です。デフォルトは30日ですが必要なら 1~365 日の範囲で変更します
- 「最大使用回数:」トークンの再利用可能回数を 1~2147483646 回の範囲で指定します。登録する機器台数に応じて設定します。登録し直すことも考慮して余裕を持った数にすることを推奨します。本記事の例では「3」としています
- ①②の設定ができたら「トークンの作成」をクリックします
トークンが作成されたことを確認します。
登録トークンはランダムな文字列になっています。このランダムな文字列を構築担当者に伝える必要があります。インベントリの全般タブ画面に表示されている対象トークンの「アクション」メニューから以下の何れかの方法でトークン文字列を取得できます。
- 「コピー」・・・操作端末のクリップボードにトークン文字列がコピーされます。メール本文やチャットなどで文字列を伝える場合はこちらからコピーします
- 「ダウンロード」・・・トークン文字列、スマートアカウント情報、有効期限等が記載されたテキストファイルをダウンロードできます
ダウンロードできるテキストファイルの内容は以下のようになっています。
トークン: <トークン文字列>
バーチャル アカウント: <バーチャルアカウント名>
スマート アカウント: <スマートアカウント名>
トークンの説明:
ユーザ による作成: 00uaz046vxxxxxxxxxxxxxxxx
連絡担当者の電子メール: <トークン作成者のメールアドレス>
有効期限: 1754981457000(イン30 日)
* 注:このトークン ファイルはダウンロードされています July 13 2025
* 注:製品インスタンスの登録に使用するには、トークンの文字列全体をコピーします前のSTEPで取得したトークン文字列を構築担当者に共有します。
登録トークンを機器にインストール
登録トークン文字列を受け取った構築担当者は以下の手順で登録トークンを機器にインストールします。
登録トークンを機器にインストールするとインターネット上の CSSM との通信が開始されるため、機器をインターネット接続できるネットワークに接続します。
登録トークンをインストールする前のライセンス状態を確認します。ライセンス状態は以下のコマンドで確認できます。
- show license usage
- show license all
- show license status
- show license summary
特に「show license all」「show license status」で確認できる「Usage Reporting:」を確認します。ACK インポート前は以下のように「Last ACK received」が「<none>」となっています。また「Trust Code Installed:」についても「<none>」となっています。
Usage Reporting:
Last ACK received: <none>
Next ACK deadline: Oct 10 09:24:13 2025 UTC
Reporting push interval: 30 days
Next ACK push check: <none>
Next report push: Jul 13 01:48:05 2025 UTC
Last report push: <none>
Last report file write: <none>
Trust Code Installed: <none>特権EXECモードにおける以下コマンドで登録トークンをインストールします。
- # license smart trust idtoken <トークン> all force
- <トークン>:登録トークンの文字列を入力
- all:スタック構成の全体に対して適用することを意味する。「all」の代わりに自機器のみに適用することを意味する「local」を指定することも可能だが、シングル構成の場合でも「all」指定で問題なし
- force:CSSM に送信されるメッセージに force フラグが設定され、CSSM の製品インスタンスとして対象機器の UDI が既に存在する場合でも新しいトラストコードが作成される
- CSSM に対象機器に該当する製品インスタンスが存在する場合、force オプション無しだと製品登録が拒否される
- force オプションを常につけて実行することで問題なし
以下は実行例、及び CSSM との通信が成功した場合の出力ログ例です。
C9200L01#license smart trust idtoken ODg1YzIxZDEtZ(後略) all force
C9200L01#
*Jul 13 07:47:16.970: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
*Jul 13 07:47:17.249: %PKI-4-NOCONFIGAUTOSAVE: Configuration was modified. Issue "write memory" to save new IOS PKI configuration
*Jul 13 07:47:19.141: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco Smart Software Manager (CSSM) restored
*Jul 13 07:47:19.515: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9200L-24T-4G,S:<シリアルNo.>.登録トークンをインストール直後に CSSM と疎通できなかった場合、再試行間隔は 15 分程度です。必要に応じて特権EXECモードにて「 license smart sync all」コマンドを実行して手動で同期させることができます。
登録トークンをインストールした後のライセンス状態を確認します。ライセンス状態は以下のコマンドで確認できます。
- show license all
- show license status
- show license summary
- show license usage
特に「show license all」「show license status」で確認できる「Usage Reporting:」を確認します。以下のように「Last ACK received」に ACK 受信時刻が表示され、「Next ACK deadline:」が更新されていることを確認します。また「Trust Code Installed:」にトークンインストール日時が表示されます。
Usage Reporting:
Last ACK received: Jul 13 07:47:19 2025 UTC
Next ACK deadline: Oct 11 07:47:19 2025 UTC
Reporting push interval: 30 days
Next ACK push check: Jul 13 07:53:57 2025 UTC
Next report push: Aug 12 07:48:59 2025 UTC
Last report push: Jul 13 07:48:59 2025 UTC
Last report file write: <none>
Trust Code Installed: Jul 13 07:47:19 2025 UTCDNA ライセンスを使用している場合は上記出力例のように「Next ACK deadline:」が 90 日後になります。DNA ライセンスを使用していない場合は「<none>」となります。
「show license all」「show license status」「show license summary」で確認できる「Account Information:」では CSSM のスマートアカウントやバーチャルアカウントの情報を確認できます。
Account Information:
Smart Account: <スマートアカウント名> As of Jul 13 07:47:37 2025 UTC
Virtual Account: <バーチャルアカウント名>上記コマンド出力の情報が更新されるまでに数分タイムラグがある場合があります。
CSSM での製品インスタンス及びライセンス状態を確認
機器に登録トークンをインストール後、必要に応じて CSSM にて製品インスタンスの登録状況とライセンスの使用状況を確認します。
以下 URL にアクセスし、cisco.com ID でログインします。
ログイン後「スマート ソフトウェア マネージャ」配下の「ライセンスの管理>」をクリックして CSSM 管理画面を開きます。
画面上部のメニューの「インベントリ」をクリックします。インベントリ画面にて「バーチャルアカウント:」右のドロップダウンリストから対象のバーチャルアカウントを選択し、「製品インスタンス」タブを開きます。リストに対象機器が追加されていることを確認します。
「名前」には対象機器にてホスト名設定済みの場合はホスト名が表示されます。ホスト名をデフォルトから変えていない場合は UDI (PID + シリアル) が表示されます。
続いて「ライセンス」タブを開き、ライセンスの使用数が想定通りになっていることを確認にします。
「全般」タブでは登録トークンの使用回数を確認できます。「用途」にて「<使用回数>/<全使用可能回数>」を確認できます。
その他の CSSM オンラインに関する操作コマンド
手動でのレポート同期
以下コマンドを実行すると保留中の RUM レポートのアップロード、ACK 応答のダウンロードを手動で行うことができます。
- # license smart sync all
- 「all」指定でスタック機器全体が対象となります。自機器のみにしたい場合は「local」とします
C9200L01#license smart sync all
C9200L01#コマンド実行後はログは何も表示されません。
登録トークン(トラストコード) の削除
CSSM オンラインによる認証を止める場合などで登録トークンを削除する場合は以下コマンドを実行します。
- # license smart remove_trust all
- 「all」指定でスタック機器全体が対象となります。自機器のみにしたい場合は「local」とします
C9200L01#license smart remove_trust all
C9200L01#コマンド実行後はログは何も表示されません。
登録トークンを削除すると「Usage Reporting:」にて「Trust Code Installed: <none>」の表示に変わります。
Usage Reporting:
Last ACK received: Jul 13 08:35:29 2025 UTC
Next ACK deadline: Oct 11 08:35:29 2025 UTC
Reporting push interval: 30 days
Next ACK push check: <none>
Next report push: Aug 12 08:30:30 2025 UTC
Last report push: Jul 13 08:30:30 2025 UTC
Last report file write: <none>
Trust Code Installed: <none>機器側で登録トークン(トラストコード)を削除しても CSSM 側では製品インスタンスが削除されたり使用していたライセンスが解放されたりすることはありません。CSSM からの登録を削除したい場合は CSSM にて対象の製品インスタンスの削除操作を行う必要があります。
ライセンス関連の情報をすべてクリア
以下のコマンドを実行するとライセンス関連の情報(登録トークン含む)がすべてクリアされます。何か動作がおかしくなったなどでライセンス認証を最初からやり直したい場合はこのコマンドを実行します。
- # icense smart factory reset
このコマンド実行後は「write memory」を実行した上で機器を再起動する必要があります。
C9200L01#license smart factory reset
%Warning: reload required after "license smart factory reset" command
C9200L01#参考資料
- https://community.cisco.com/t5/tkb-%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%A4%E3%83%B3%E3%83%95%E3%83%A9-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/smart-licensing-using-policy-%E3%81%AE-online-%E6%96%B9%E5%BC%8F%E3%81%A7%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E3%82%92%E9%81%A9%E7%94%A8%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95/ta-p/4806258
- https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst_9000/b_smart-licensing-using-policy-cat9k-switches.html
- https://community.cisco.com/t5/networking-knowledge-base/smart-license-using-policy-faq/ta-p/4415506
- https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2024/pdf/LTROPS-1007.pdf
Cisco Catalyst 9000 シリーズスイッチ関連記事一覧
Amazon で買えるおすすめアイテム
以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。
コメント