04-License管理配置
本章节下载: 04-License管理配置 (416.10 KB)
目 录
License即授权,指新华三技术有限公司授予用户使用特定软件功能的合法权限。
请登录设备后,在任意视图下执行display license feature命令,通过显示信息了解哪些软件功能需要授权才能使用、这些软件功能是否已经安装License,以及已安装License的状态。再根据您的业务需求,选择安装对应的License。
根据License使用场景不同,License授权情况分为:预授权、临时授权和正式授权。
为便于您开机即可试用需要授权的软件功能,设备出厂时已经安装了此类软件功能的授权,这样的授权称为预授权。
预授权具有以下特征:
· 设备出厂时已携带,开机可用。
· 预授权不支持授权安装、卸载和迁移操作。
· 预授权有时限要求。若在预授权到期后仍需使用该软件功能,请购买并安装正式授权,以免影响软件功能的继续使用。
为便于您试用需要授权的软件功能,您可联系新华三技术有限公司市场或技术支持人员来获取软件功能的临时授权码,再使用临时授权码到H3C License管理平台(网址为http://www.h3c.com/cn/License)申请激活文件,并将激活文件安装到设备后,可获得临时授权。
临时授权具有以下特征:
· 您需要新华三技术有限公司市场或技术支持人员协助您申请并安装临时授权。
· 临时授权不支持授权卸载和迁移操作。
· 临时授权有时限要求。若在临时授权到期后仍需使用该软件功能,请购买并安装正式授权,以免影响软件功能的继续使用。
当您想使用需要授权的软件功能时,请通过H3C官方渠道购买授权书(授权书中包含授权码),再使用购买的授权码到H3C License管理平台(网址为http://www.h3c.com/cn/License)申请激活文件,并将激活文件安装到设备后,可获得正式授权。
正式授权具有以下特征:
· 您需要购买并安装正式授权。
· 正式授权是否支持卸载和迁移操作,与产品的型号有关,请参见产品License支持情况说明文档。
· 正式授权是否具有有效期、有效期长短以及正式授权的启用时间,请参见产品License支持情况说明文档。
在进行License操作前,请了解以下License基本概念。
H3C License管理平台是新华三技术有限公司为用户提供产品授权业务服务的网站。通过该网站,您可以进行License激活申请、设备授权迁移申请和设备授权卸载申请。
您可以直接使用网址http://www.h3c.com/cn/License访问H3C License管理平台。
软件使用授权书是新华三技术有限公司授予用户合法使用H3C软件功能的相关说明文件,包含授权码、授权许可数量等信息。
授权码是用户获得对应软件功能授权的唯一凭证。
· 正式授权的授权码包含在授权书中,对应授权书上的授权序列号(License Key),您购买授权书后即可获得正式授权码。
· 临时授权的授权码请联系新华三技术有限公司市场或技术支持人员协助获取,产品是否支持临时授权,请查阅产品License支持情况说明文档。
H3C设备S/N用于在H3C License管理平台申请授权,设备出厂时会携带。
H3C设备S/N是设备的生产条码,可在全球范围内唯一标识一台设备。
DID和设备信息文件用于在H3C License管理平台申请授权,设备出厂时会选择支持并携带其中一种。
DID是设备的识别信息,是唯一标识一台硬件设备的字符串。
设备信息文件是存储了DID等信息的文件。
激活文件是绑定了授权码和硬件设备信息的授权凭证,将激活文件安装到设备后,设备上的软件功能才能获得授权。
激活文件是文件形式的授权凭证。
激活文件需要您从H3C License管理平台申请。H3C License管理平台会根据您申请授权时输入的授权码和硬件设备信息,自动生成激活文件。
卸载码是用户将软件授权从某台设备上卸载的凭证。卸载码是字符串形式的,包含在卸载文件中。如果您需要取消授权码与设备的绑定关系,或者将一台设备未过期的授权迁移到另一台设备,您需要使用卸载文件中包含的卸载码。
您在设备上执行获取卸载文件操作时,会生成卸载文件。
License存储区是设备上大小固定、专用于存储授权相关信息的存储区。授权相关信息包括授权状态、授权时间、卸载码/卸载文件等。
为确保授权信息的准确性和延续性,License存储区中的信息在设备断电的情况下均不会丢失。
在进行License操作前,请您务必了解以下使用注意事项。
· 请通过H3C官方销售渠道购买授权。
· 如果设备上已经安装了授权,请通过display license命令查看授权的有效期,并在有效期内安装新的授权,以免当前授权过期,影响对应业务的继续运行。
· 授权需要和设备绑定,所以,申请和安装授权时,请务必确认每步操作中输入信息的准确性,以免误操作给您造成损失。您需要确认的信息包括但不限于以下方面:
a. 确定您需要授权的设备。
b. 确定您需要授权的软件功能。
c. 确认购买的授权规格和您的使用需求一致。
d. 确保和授权码绑定的设备是您需要授权的设备。
e. 确保将获取到的激活文件安装到您需要授权的设备上。
· 请不要多个用户同时在同一台设备上进行License操作,以免操作失败。
License管理操作只能在缺省Context上进行。缺省Context下执行的License操作对所有Context生效。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。
授权安装/迁移/卸载操作中均可能需要上传或下载文件,例如设备信息文件、激活文件和卸载文件等。在执行文件操作时,请注意:
· 不要修改文件名称或编辑文件内容,以免造成授权失败。
· 安装激活文件前,您仅需将激活文件下载到设备的存储介质上(例如Flash卡),在设备上安装激活文件时,设备会自动将激活文件拷贝到存储介质根目录下的license文件夹内。license文件夹下存储了和授权相关的重要文件,请不要删除、修改license文件夹以及license文件夹内的文件,以免导致授权不可用。
合一License是一种具有合一属性的授权。它将多个软件授权(包括需要安装的授权和设备上已安装的未过期的正式授权)集成在最新的激活文件中:
· 您只需要执行一次操作将这个最新的激活文件安装到设备上,就能获得多个软件功能的授权,简化了激活文件安装过程。
· 设备只需存储一个激活文件,解决了License存储区容量限制的问题。
对于非合一License,每份授权对应一个激活文件:
· 您需要维护多个激活文件,执行多次操作将这些激活文件安装到设备上,才能获得多个软件功能的授权。
· 设备需要存储多个激活文件,占用License存储区较多。
如表1-1所示,设备支持本地授权和远程授权两种License安装方式,请根据产品支持情况以及您需要授权的设备数量选择合适的方式。
表1-1 License安装方式描述表
License 安装方式 |
License 安装位置 |
License 生效位置 |
适用组网环境 |
本地授权 |
本设备 |
本设备 |
本地授权适用于规模较小的网络 您需要为网络中的每台设备申请并安装授权 |
远程授权 |
H3C License Server (授权服务器) |
License Client (可多台) |
远程授权适用于规模较大的网络 您只需为H3C License Server申请并安装一次授权,就可以向多台License Client提供授权,简化了授权的安装和管理。同时,设备能自动向License Server申请授权,提高了授权的利用率 |
License本地授权需要在本设备上安装License来获取授权。该方式适用于规模较小的网络,需要为网络中的每台待授权设备申请并安装授权。
使用License本地授权功能时,需要用户执行以下操作:
(1) 获取授权码和本设备的设备信息。
(2) 到H3C License管理平台申请激活文件。
(3) 将申请到的激活文件安装到本设备上,获得授权。
授权后,对应的软件功能只能在本设备上运行。当您将本设备的激活文件安装到其它设备上时,安装失败。
图2-1 本地授权示意图
临时授权和正式授权的安装流程相同,仅授权码获取渠道不同。License本地授权通用安装流程如图2-2所示。
本文仅描述图2-2中设备侧的操作,授权安装的完整操作步骤请参见产品的License使用指南。
图2-2 License本地授权通用安装流程图
请在任意视图下执行以下命令,确认License存储区空间大小。
display license feature
如果显示信息中,Total字段的值减去Usage字段的值小于待安装的License个数,则表示需要清理License存储区。
通过清理License存储区,设备会自动将已卸载授权和过期授权的信息从License存储区中删除,从而达到释放License存储区的目的。
License存储区用于存储授权信息。因为License存储区空间大小有限,所以设备限定了可安装的授权个数。
· 初次安装授权,一般无需清理License存储区。
· 如果在设备使用过程中,您已根据需要安装了多个授权,但设备还可安装的授权数量少于待安装的授权数量,则在申请激活文件之前,您需要清理License存储区,以免因License存储区空间不足导致新授权安装失败。
备份已卸载授权的卸载码/卸载文件,以便后续在H3C License管理平台执行授权迁移、授权卸载操作时使用。
清理License存储区可能会改变设备的DID/设备信息文件。为避免因DID/设备信息文件的改变,导致通过现有DID/设备信息文件申请到、但还未安装的激活文件后期无法安装,建议在清理License存储区前,确认使用现有DID/设备信息文件申请的激活文件已经全部安装完毕。
· 如果现有DID/设备信息文件申请的激活文件未安装,且License存储区还有空间来安装这些激活文件,请先安装这些激活文件。安装步骤请参见产品的License使用指南。
· 如果现有DID/设备信息文件申请的激活文件未安装,但License存储区没有空间来安装这些激活文件,且清理License存储区后,未安装的激活文件无法安装,请联系H3C技术支持人员处理。
(1) 进入系统视图。
system-view
(2) 清理License存储区。
license compress slot slot-number
请在任意视图下执行以下命令,显示设备信息(SN和DID信息)。设备信息用于在H3C License管理平台申请激活文件。
display license device-id slot slot-number
在安装激活文件前,请备份并妥善保管您获取的激活文件。当误操作将激活文件删除,或者设备故障授权不可用时,可使用备份的激活文件恢复授权。
将从H3C License管理平台申请到的激活文件安装到设备上,可获得授权。
请使用FTP/TFTP等方式将激活文件上传到设备备用。在使用FTP传输激活文件时,请设置传输方式为binary方式。
(1) 进入系统视图。
system-view
(2) 安装激活文件。
license activation-file install license-file slot slot-number
用户可以一次安装一个或多个后缀为.ak的激活文件。如需安装多个激活文件,请将所有的激活文件存放在一个目录下,license-file参数指定为该目录的路径即可。
当开启了License告警功能后,如果出现以下情况时,License模块会自动生成告警信息:
· 设备上正在使用的激活文件丢失,即display license命令显示信息中处于in use状态的文件丢失。
· 设备作为License Client与License Server断开连接或者重新连接成功。
· 设备作为License Client从License Server获取的授权即将过期或者已经过期。
生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
系列 |
型号 |
说明 |
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
不支持 |
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
不支持 |
F5000-V系列 |
F5000-V30 |
不支持 |
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
不支持 |
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
不支持 |
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
不支持 |
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
(1) 进入系统视图。
system-view
(2) 开启License告警功能。
snmp-agent trap enable license
缺省情况下,License告警功能处于开启状态。
在完成上述配置后,在任意视图下执行display命令可以显示License的相关信息,通过查看显示信息验证配置的效果。
表2-1 授权显示和维护
操作 |
命令 |
显示License的详细信息 |
display license [ activation-file ] [ slot slot-number ] |
显示SN和DID信息 |
display license device-id slot slot-number |
显示特性的License摘要信息 |
display license feature |
License远程授权基于Client/Server架构,适用于规模较大的网络。远程授权具有以下优点:
· 授权的安装、卸载、迁移操作只需在License Server上操作,无需在每台License Client上执行,简化了授权安装和维护流程。
· 多台License Client共用License Server上的授权,提高了授权利用率。
使用License远程授权功能时,用户需要执行以下操作:
(1) 安装H3C License Server(授权服务器)软件。H3C License Server是H3C推出的一款授权管理软件,具有集中管理授权、集中分发授权等功能。
(2) 将设备(作为License Client)需要的授权安装在H3C License Server上,通过H3C License Server将授权分发给License Client。
(3) 配置License Client功能,例如配置License Server的IP地址、端口号,License Client登录License Server时使用的用户名和密码参数,开启License Client功能等。
完成以上配置后,License Client会立即与License Server建立连接,并根据业务需要从License Server获取相应的授权。
图3-1 远程授权示意图
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
系列 |
型号 |
说明 |
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
不支持 |
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
不支持 |
F5000-V系列 |
F5000-V30 |
不支持 |
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、 F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
不支持 |
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
不支持 |
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
不支持 |
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
预授权无需安装,临时授权和正式授权的安装流程相同,仅授权码获取渠道不同。License远程授权通用安装流程如图3-2所示。
本文仅描述图3-2中License Client侧的操作,授权安装的完整操作步骤请参见产品的License使用指南。
图3-2 License远程授权通用安装流程
License Client是设备上的一个软件功能。在License远程授权应用场景下,授权安装在H3C License Server上,设备作为License Client,向License Server申请授权。
不管授权是否过期,执行卸载操作,设备都会卸载并释放从License Server申请到的授权,并自动归还给License Server。归还的未过期的License资源可以继续向其他设备授权。
license client install standard命令用于通过License Server授权的方式安装基础授权。基础授权用于控制设备最多可使用的虚拟CPU的个数。用户创建设备时,可指定设备能使用的虚拟CPU的个数,指定的虚拟CPU的个数必须小于或等于当前授权允许使用的虚拟CPU个数,否则,可能会出现严重丢包的情况。例如,创建时指定的虚拟CPU个数是5个,但当前安装的是4vcpu类型的授权,则可能会出现严重丢包的情况,此时,应安装8vcpu类型的授权。设备出厂时会携带一个期限为180天、可使用的虚拟CPU个数为256个的试用版License,第一次创建设备时,开始计时。请在试用版License到期前,使用本命令安装VCPU个数匹配的正式License,以免因为缺少License出现严重丢包的情况。
设备没有安装l3vpn-advance License时,最多可使用的虚拟CPU个数由设备上当前安装的基础授权决定,可创建的L3VPN实例数量为8191个。如果要使设备可使用的虚拟CPU的个数大于8个,则必须安装l3vpn-advance License,否则,可能会出现严重丢包的情况。安装l3vpn-advance License后,设备最多可使用的虚拟CPU个数增加到256个,同时可创建的L3VPN实例数量减少到240,用户可以通过license client install feature l3vpn-50 count l3vpn-count命令安装l3vpn-50 License,来增加可创建的L3VPN实例的数量。也可以在本地安装l3vpn-advance License和l3vpn-50 License。通过License Server授权的L3VPN数量和本地授权的L3VPN数量会叠加(但实际最多可创建的L3VPN的数量不能超过产品允许的最大规格),可使用的虚拟CPU个数不会叠加。
当设备获取并安装了一个基础授权,又申请一个基础授权时,License Client会先卸载已有授权并归还给License Server,再向License Server申请新的授权。建议申请新的授权前,确保License Sserver路由可达,且License Server上存在新的授权,以免已有授权被卸载,新的授权申请失败。
当设备不再使用授权时,可卸载并释放授权,License Server将回收授权。回收的且未过期的授权可以继续向其他设备授权。
(1) 进入系统视图。
system-view
(2) 配置License Server的IP地址和端口。
license server { ipv4 ipv4-address | ipv6 ipv6-address } port port-number [ vpn-instance vpn-instance-name ]
缺省情况下,未配置License Server的IP地址和端口。
最多可配置四组License Server IP地址。超过四组时,配置将失败,请删除已有配置后重新配置。
请确保同一时刻,仅有一组IP地址路由可达。否则,设备将选择最先建立连接的远端设备作为License Server。
如需修改License Server的地址和端口,请先关闭License Client功能。
(3) 配置设备连接License Server时使用的用户名和密码。
license client username username password { cipher | simple } password
缺省情况下,未配置连接License Server时使用的用户名和密码。
本命令配置的用户名和密码必须与License Server上指定的用户名和密码一致。
(1) 进入系统视图。
system-view
(2) 开启License Client功能。
license client enable
缺省情况下,License Client功能处于关闭状态,设备不能从License Server获取授权。
(1) 进入系统视图。
system-view
(2) 向License Server申请并安装基础授权。
license client install standard { 100M-common-1year | 100M-common-permanent count count-number | 1cpu | 1G-common-1year | 1G-common-permanent count count-number | 1vcpu-1year | 1vcpu-3year | 1vcpu- permanent | 2cpu | 256cpu-permanent | 256vcpu-permanent |300M-common-1year | 300M-common-permanent count count-number | 3G-common-1year | 3G-common-permanent count count-number | 4cpu | 4vcpu-1year | 4vcpu-3year | 4vcpu-permanent | 500M-common-1year | 500M-common-permanent count count-number | 5G-common-1year | 5G-common-permanent count count-number | 8vcpu-1year | 8vcpu-3year | 8vcpu-permanent | common-1year | common-permanent | l3vpn-advance | license-type }
(3) 向License Server申请并安装特性授权。
license client install feature { bras-4vcpu | bras-8vcpu | dpi-1year | ecloud-security-1year | ipsec-acc-2g | l3vpn-50 count l3vpn-count | sslvpn-100 count count | sslvpn-1000 count count | sslvpn-25 count count | sslvpn-500 count count | threat-intelligence-1year | threat-intelligence-3year | url-filter-1year | url-filter-3year | waf-1year | waf-3year }
在完成上述配置后,在任意视图下执行display命令可以显示配置后License Client的运行情况,通过查看显示信息验证配置的效果。
命令 |
|
显示设备作为License Client的配置信息以及设备获取到的授权信息 |
display license client slot slot-number |
显示License Client获取到的永久通用License授权信息 |
display license client common-permanent-license slot slot-number |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!