审批者-该角色为用户申请访问,用户申请成为该公司或组织下的相应权限用户,例如:申请成为管理员角色,以及申请能够访问license等。审批者和管理员可以为同一用户。
管理员-可以管理smart account中的license,对license进行迁移等操作。
一般用户-只可查看所允许查看的license,不具备编辑操作权限。
虚拟账号
如果把一个smart account比作总公司,那么虚拟账号就相当于分公司。比如:一家公司注册了smart account(只能注册一个),而各个子公司需要各自分别管理自己的license。那么这时候就需要虚拟账号进行管理。
管理员可以创建虚拟账号,如下图所示。并且在虚拟账号下可以单独分配该虚拟账号的管理员专门只对该虚拟账号进行管理。
申请smart account
1、 访问https://software.cisco.com
2、点击这个页面中的“Request a Smart account”
3、使用用户CCO进行登录,如果没有CCO则注册一个。
4、注册流程可参考:《创建思科智能账户–最终用户(适用).pptx》
5、这里要说明一下,注册的“邮箱”后缀和“账户域标识符”一定要一致。如果信息与cisco后台记录的信息不一致,则提交信息时会提示相关信息不一致。如果要变更信息需要和cisco license中心进行联系更新用户的信息。
激活smart account
当完成申请smart account后,会收到cisco的邮件,需要进行激活操作。具体步骤可参考《创建思科智能账户–最终用户(适用).pptx》。需要说明下,同样这里的提交的信息也要和cisco后台记录的信息一致,否则提交会提示错误。按照文档中描述完成激活操作。
当成功完成激活后,如下图所示:
接收smart license
当完成smart account的注册激活(icense发送到smart account还需通过cisco审批(24-96小时内))。
查看smart account下的license,需要访问https://software.cisco.com,点击“License”选项下的“Smart Software Licensing”。如下图所示。
进入“Smart Software Licensing”后,选择“inventory”项目下的“License”,看有无收到license。当接收到相应license,即可对设备进行激活操作。下图示例为接收到的license。
激活设备(FirePower2140_ASA和Catalyst 9407R)
以下介绍Cisco FirePower2140_ASA、Catalyst 9407R两种型号的激活操作。
FirePower2140_ASA
两种方式:1、在线激活方式;2、离线方式;
1、 在线激活方式
首先连接设备到internet,例如可以使用个人电脑进行代理,能连网的同时还要能进行域名访问,因为设备是通过域名去访问cisco licensing的认证中心。
然后建立Token.如下图所示。
在设备上安装Token
在ASA上使用license smart register idtoken “idtoken的值”。这时候使用show license summary查看设备上的license smart信息,若信息中有smart account中的对应用户名等信息说明注册成功。
但是现在还需在设备上开启ASA上的特性,进入设备的配置模式,使用license smart进入到license smart的配置模式中,使用命令feature tier standard先开启standard license,该license是基本的license功能,包括3DES功能。然后例如有虚墙的license功能的话,需要继续使用feature context +虚墙数量。
最后进行验证,show license summary,若开启的license状态为authorization表示已经激活成功,而eval状态为失败。同时如下图所示,在smart account下的License界面也会显示设备的激活状态。
2、 离线激活
非常类似于传统的PAK激活方式。条件是需要向cisco去申请license reservation的授权,否则在下图中的这个界面没有这个按钮。
首先在设备中把license方式改为reservation模式,使用命令license smart reservation。之后生成一串code,使用命令license smart reservation request universal生成一串code。把这串code粘贴到下图界面中的方框中(该界面为点击”license reservation”后所示)。下一步下一步完成即可。
最后生成authorization code。把该code进行拷贝,然后到设备中进行安装。使用命令license smart reservation installl安装这串code。最后与在线激活一样,进行验收是否激活相关特性。
Catalyst 9407R
该设备只能进行在线激活,生成IDTOKEN的方法和FirePower2140_ASA章节中介绍的一样。区别在于设备上的操作稍微不一样。
1**、首先系统版本要使用16.09.01**(不要使用16.09.02,该版本重启设备会造成license会变为eval状态)。
2**、确认设备的call-home配置**
使用命令:
show call-home profile all
默认的call-home配置如下:
Profile Name: CiscoTAC-1
Profile status: ACTIVE
Profile mode: Full Reporting
Reporting Data: Smart Call Home, Smart Licensing
Preferred Message Format: xml
Message Size Limit: 3145728 Bytes
Transport Method: http
HTTP address(es): https://tools.cisco.com/its/service/oddce/services/DDCEService
3、配置**NTP**
和FirePower的激活不一样,9407的时钟必须和internet时间一致,否则激活不了,所以要配置ntp把时间先进行同步。
3、 安装IDTOKEN
在设备上使用license smart register idtoken命令安装IDTOKEN,然后使用show license summary进行查看。如下图所示,注册状态为成功,license状态为:authorized等即表示已成功激活。如果长时间不连接interent,license状态将由authorized变为pending状态,该状态属正常,没有任何影响,只要重新连接到internet,状态又会回到authorized。
