VNF从License Server获取授权失败问题排查前提: VNF虚拟网元(例如vBRAS虚拟宽带远程接入服务器、VSR虚拟路由器、vFW虚拟防火墙等)状态正常,并且License Server上给VNF虚拟网元使用的License注册成功。问题现象表现为从VNF上通过“display license client”命令查看不到VNF从License Server获取的授权。
登录VNF命令行界面,通过“display license client”命令查看无回显。
[h3c]display license client
排查此类问题时,需要首先排查License Server与VNF虚拟网元连接是否正常,然后查看License Server注册的License是否与VNF申请的License类型一致,最后查看是否需要手动使能VNF重连VNF获取License。具体排查思路如下:
登录License Server WEB界面,查看VNF的客户端连接是否正常。如果客户端连接状态正常,转入到步骤7继续排查;否则,进入到步骤2继续排查。
首先登录License Server WEB界面,登录地址为License Server IP:8090,进入License>客户端连接页面,查看VNF的客户端连接是否正常。如果VNF对应的IP地址一行的状态项显示“正常”,则说明该VNF连接正常,否则VNF客户端连接不正常。如下图所示,本例中VNF地址为“99.1.1.167”,状态为“正常”。
检查VNF与License Server所用版本是否存在配套问题,VNF通常要求使用License Server的独立版本。若存在版本问题,请确保使用正确的版本。
(1)查看License Server所用版本
登录到License Server WEB界面,点击右上角的“关于”按钮,在弹框中版本一栏即显示License Server当前使用版本。如下图所示,本例中License Server版本为E1135。
除上述方法外,也可通过Lciense Server后台Linux操作系统命令行界面,通过命令“rpm -qa | grep lic”查看License Server版本。如下所示,标红加粗字体即为License Server版本号,本例中为“license-server-1135-1.e17.centos.x86_64”:
[root@localhost ~]# rpm -qa | grep lic license-server-1135-1.e17.centos.x86_64 |
(2)查看VNF版本号
登录到VNF命令行界面,使用命令“display version”查看VNF软件版本号。如下所示,标红加粗字体即为VNF软件版本号,本例中为“ESS 0324L03”:
[h3c]display version H3C Comware Software, Version 7.1.059, ESS 0324L03 Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C vBRAS1000 uptime is 6 weeks, 6 days, 8 hours, 57 minutes |
(3)查看VNF软件版本说明书,确定VNF配套的License Server软件版本
打开VNF版本对应的软件版本说明书,在“版本配套表”章节查看VNF配套的License Server软件版本,本例中VNF配套的License Server版本为:
通常License Server版本向下兼容,因此虽然本例中License Server使用的是E1135版本,仍然和VNF配套。
通常VNF配套的License Server版本为独立版本,也即通过命令“rpm -qa | grep lic”查看到的以“license-server”开头的版本。如果遇到显示License Server软件版本以“vcf-controller-lics”开头,则说明该License Server为非独立版本,与VNF不配套。
查看License Server各服务是否正常启动,若服务异常,请进一步排查服务异常的原因并确保相关服务正常启动。
登录到License Server后台Linux操作系统命令行界面,使用“service licscore status”、“service licsmonitor status”、“service tomcat status”命令分别查看License server的Core 服务、Monitor 服务和Tomcat服务是否开启。如果都显示active(running)或tomcat is running 信息,则表示License server 服务已开启,否则说明服务异常。如下所示,本例中License server的Core 服务、Monitor 服务和Tomcat服务已开启。
[root@localhost ~] service licscore status Redirecting to /bin/systemctl status licscore.service licscore.service - LICS Core Loaded: loaded (/etc/systemd/system/licscore.service; disabled) Active: active (running) since Thu 2015-05-28 16:53:40 CST; 2min 51s ago …略… [root@localhost ~]# service licsmonitor status Redirecting to /bin/systemctl status licsmonitor.service licsmonitor.service - LICS Monitor Loaded: loaded (/etc/systemd/system/licsmonitor.service; disabled) Active: active (running) since Thu 2015-06-11 01:15:36 CST; 49s ago …略… [root@localhost ~]# service tomcat status tomcat is runnin |
如果服务未启动,通常可通过手动重启服务恢复。如果仍未恢复,请进一步排查服务异常的原因并确保相关服务正常启动。
登录到License Server后台Linux操作系统命令行界面,使用“service licscore restart”、“service licsmonitor restart”、“service tomcat restart”命令手动重启服务,如下所示:
[root@localhost ~]# service licscore restart Redirecting to /bin/systemctl restart licscore.service [root@localhost ~]# service licsmonitor restart Redirecting to /bin/systemctl restart licsmonitor.service [root@localhost ~]# service tomcat restart Restarting tomcat (via systemctl): [ OK ] |
查看VNF与License Server之间IP地址是否可达,若IP地址不可达,请排查VNF与License Server之间的网络连通性。
登录VNF命令行界面,通过执行“ping License Server IP”来检查VNF与License Server之间IP是否可达。如果地址不可达,请检查网络是否存在问题。如下举例所示,VNF与自己的License Server的IP地址99.1.1.21之间通信正常。
Ping 99.1.1.21 (99.1.1.21): 56 data bytes, press CTRL_C to break 56 bytes from 99.1.1.21: icmp_seq=0 ttl=64 time=5.783 ms 56 bytes from 99.1.1.21: icmp_seq=1 ttl=64 time=4.853 ms 56 bytes from 99.1.1.21: icmp_seq=2 ttl=64 time=0.633 ms 56 bytes from 99.1.1.21: icmp_seq=3 ttl=64 time=0.563 ms 56 bytes from 99.1.1.21: icmp_seq=4 ttl=64 time=0.862 ms
|
--- Ping statistics for 99.1.1.21 --- 5 packets transmitted, 5 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 0.563/2.539/5.783/2.290 ms |
检查License Server防火墙状态,如果防火墙状态为开启,则需要检查VNF与License Server通信所用端口是否已被放行。如果没有放行,需要修改防火墙相关配置并重新加载防火墙配置。
(1)检查License Server服务器的防火墙状态。
登录License Server操作系统命令行界面,使用“service firewalld status”命令检查License Server服务器中防火墙状态。如果出现下列举例中标红加粗字体部分“Active: active (running)”,则说明防火墙处于开启状态。否则,防火墙处于关闭状态,无需配置防火墙放通端口。
[root@localhost ~]# service firewalld status Redirecting to /bin/systemctl status firewalld.service firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled) Active: active (running) since Thu 2015-07-30 12:33:26 CST; 20s ago …略… |
(2)查看防火墙是否放行了License server 的授权服务端口号。
登录License Server操作系统命令行界面,使用“firewall-cmd --query-port=XXXX/tcp”(XXXX为端口号)命令检查License Server所使用的端口号是否放通。通常需要放通授权服务所使用5555端口以及HTTP 端口号8090。举例如下,如果出现标红加粗字体部分“no”,则说明相关端口未放通,需要修改防火墙配置。否则如果为“yes”,则说明端口已放通。
[root@localhost ~]# firewall-cmd --query-port=5555/tcp no [root@localhost ~]# firewall-cmd --query-port=8090/tcp no |
(3)配置防火墙放行License server 的授权服务端口号。
登录License Server操作系统命令行界面,使用“firewall-cmd –-permanent --add-port= XXXX /tcp”(XXXX为端口号)命令设置放行License Server及HTTP端口号,并使用“firewall-cmd --reload”命令重载防火墙使配置生效。操作举例如下,当执行完之后出现标红加粗字体部分“success”时,则说明设置成功。
[root@localhost ~]# firewall-cmd –-permanent --add-port=5555/tcp success [root@localhost ~]# firewall-cmd –-permanent --add-port=8090/tcp success [root@localhost ~]# firewall-cmd --reload success |
完成上述操作后,可再次使用“firewall-cmd --query-port=XXXX/tcp”(XXXX为端口号)命令检查License Server所使用的端口号是否放通,如下所示:
[root@localhost ~]# firewall-cmd --query-port=5555/tcp yes [root@localhost ~]# firewall-cmd --query-port=8090/tcp yes [root@localhost ~]# firewall-cmd --query-port=6379/tcp yes |
检查VNF上配置的License Server连接配置与License Server上客户端配置是否一致,如果不一致,需要选择其中一方进行修改。
(1)检查VNF上的License Server连接配置
登录到VNF命令行界面,使用“display current-configuration | include license”命令查看当前VNF上的License Server连接配置。如下举例所示,由标红加粗字体部分可知,VNF上配置的License Server地址为“99.1.1.21”,端口号为“5555”,用户名为“vbras”,并且已经使能License客户端。
license server ipv4 99.1.1.21 port 5555 license client username vbras password cipher $c$3$M6z3ixWMKdJdEcqI0Rp9Tm0MwzuOB0Vd3LDf license client enable |
(2)检查License Server上的客户端连接配置
参考步骤1登录License Server WEB界面,在“配置>客户端”页面查看当前的客户端配置。根据在VNF上查看到的客户端用户名找到对应的客户端。如果不存在对应的用户名,则点击“增加客户端”按钮进行手动添加。如下图所示,本例中,客户端名称为“vbras”。
继续点击上图中右侧“操作”一栏中最左边的客户端详情按钮,勾选“显示密码”,可查看客户端的详细配置信息,如下图所示:
如果需要修改License Server上客户端的相关配置,可点击“操作”一栏中间的编辑按钮,对客户端配置进行修改后点击“确定”保存。
检查License Server WEB界面上License使用信息,判断如果License未使用,请转入步骤8继续排查。如果License 已使用,请转入步骤10,收集信息并拨打热线电话400-810-0504寻求帮助。
登录到License Server WEB界面,进入“License>使用信息>授权详情”界面,查看License使用情况。如下图所示,本例中License Server上有两个vBRAS 1000授权,规格都为标准版、4vCPU、一年。由于是临时License,所以实际每个授权可使用时间为90天。其中一个授权已被使用,剩余54天可用,一个授权未被使用。
检查VNF上获取授权的相关配置(主要是申请的授权类型)是否正确,如果不正确,修改相关配置;如果正确,转入步骤9。
登录到VNF的命令行界面,使用“display current-configuration | include install”命令查看当前VNF上的获取授权配置。如下举例所示,由标红加粗字体部分可知,VNF上配置的获取License 授权类型为“standard 4vcpu-1year”,与License Server上的授权一致。如果不一致,需要手动修改VNF上获取授权的相关配置。
license client install standard 4vcpu-1year |
考虑到License Server新注册License后需要20分钟同步到VNF,当遇到VNF与License Server连接正常但VNF获取不到授权的情况时,可手动在License Server上将VNF强制下线,再重新使能VNF上的License Server连接,获取license。
(1)License Server侧将VNF强制下线
登录到License Server WEB界面,进入“License>客户端连接”页面,点击需要下线的VNF客户端一行最右侧按钮,在弹出的强制下线弹框中选择确定。如下图所示:
(2)VNF侧手动重连
登录到VNF的命令行界面,使用“undo license client enable”和“license client enable”命令重新触发当前VNF连接License Server获取授权。
[h3c]undo license client enable [h3c]license client enable |
如果以上问题都不存在,请通过收集VNF配置信息及License Server日志信息,拨打热线电话400-810-0504寻求帮助。
(1)收集VNF配置信息可使用“display current-configuration”命令。举例如下:
[h3c]display current-configuration |
(2)收集License Server日志信息,需要首先登录License Server WEB界面,在日志页面分别选择“系统日志”、“操作日志”导出。
此外,还需要登录License Server后台命令行界面,导出后台日志,日志路径为“/opt/LicServer/log”,如下所示,建议导出该目录下的所有日志文件:
[root@localhost log]# ls licmcore.log licmwebc.log monitor.log Sys licmcore_startup.log licmwebj.log Oper [root@localhost log]# pwd /opt/LicServer/log |
根据上述排查过程,最后发现问题原因是由于VNF上配置的获取License授权类型与License Server上注册的License不相符,修改VNF配置后解决。
后续排查此类问题时,建议按照下列步骤一步步排查:
1. 步骤1:登录License Server WEB界面,查看VNF的客户端连接是否正常。如果客户端连接状态正常,转入到步骤7继续排查;否则,进入到步骤2继续排查。
2. 步骤2:检查VNF与License Server所用版本是否存在配套问题,VNF通常要求使用License Server的独立版本。若存在版本问题,请确保使用正确的版本。
3. 步骤3:查看License Server各服务是否正常启动,若服务异常,请进一步排查服务异常的原因以及确保相关服务正常启动。
4. 步骤4:查看VNF与License Server之间IP地址是否可达,若IP地址不可达,请排查VNF与License Server之间的网络连通性。
5. 步骤5:检查License Server防火墙的状态,如果防火墙状态为开启,则需要检查VNF与License Server通信所用端口是否已被放行。如果没有放行,需要修改防火墙相关配置并重新加载防火墙配置。
6. 步骤6:检查VNF上配置的License Server连接配置与License Server上客户端配置是否一致,如果不一致,需要选择其中一方进行修改。
7. 步骤7:检查License Server WEB界面上License使用信息,判断如果License未使用,请转入步骤8继续排查。如果License 已使用,请转入步骤10,收集信息并拨打热线电话400-810-0504寻求帮助。
8. 步骤8:检查VNF上获取授权的相关配置(主要是申请的授权类型)是否正确,如果不正确,修改相关配置;如果正确,转入步骤9。
9. 步骤9:考虑到License Server新注册License后需要20分钟同步到VNF,当遇到VNF与License Server连接正常但VNF获取不到授权的情况时,可手动在License Server上将VNF强制下线,再重新使能VNF上的License Server连接,获取license。
10. 步骤10:如果以上问题都不存在,请收集VNF配置信息以及License Server日志信息,拨打热线电话400-810-0504寻求帮助。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作