スマート ソフトウェア ライセンスについて
ここでは、スマート ソフトウェア ライセンスの仕組みについて説明します。
(注) |
このセクションは、Firepower 4100/9300 シャーシ上の ASA 論理デバイスにのみ該当します。Firepower Threat Defense 論理デバイスのライセンスの詳細については、『Firepower Management Center Configuration Guide』を参照してください。 |
ASA のススマート ソフトウェア ライセンシング
Firepower 4100/9300 シャーシ上の ASA アプリケーションの場合、スマート ソフトウェア ライセンス設定は Firepower 4100/9300 シャーシ スーパバイザとアプリケーションの間で分割されます。
-
Firepower 4100/9300 シャーシ:ライセンス認証局との通信を行うためのパラメータを含めて、スーパバイザにすべてのスマート ソフトウェア ライセンス インフラストラクチャを設定します。Firepower 4100/9300 シャーシ 自体の動作にライセンスは必要ありません。
(注)
シャーシ間クラスタリングでは、クラスタ内の各シャーシで同じスマート ライセンス方式を有効にする必要があります。
-
ASA アプリケーション:アプリケーションのすべてのライセンスの権限付与を設定します。
Smart Software Manager とアカウント
デバイスの 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager で管理します。
https://software.cisco.com/#module/SmartLicensing
Smart Software Manager では、組織のマスター アカウントを作成できます。
(注) |
まだアカウントをお持ちでない場合は、このリンクをクリックして新しいアカウントをセットアップしてください。Smart Software Manager では、組織のマスター アカウントを作成できます。 |
デフォルトでは、ライセンスはマスター アカウントの下のデフォルトの仮想アカウントに割り当てられます。アカウントの管理者として、オプションで追加の仮想アカウントを作成できます。たとえば、地域、部門、または子会社ごとにアカウントを作成できます。複数の仮想アカウントを使用することで、多数のライセンスおよびデバイスの管理をより簡単に行うことができます。
オフライン管理
デバイスにインターネット アクセスがなく、License Authority に登録できない場合は、オフライン ライセンスを設定できます。
パーマネント ライセンスの予約
デバイスがセキュリティ上の理由でインターネットにアクセスできない場合、オプションで、各 ASA の永続ライセンスを要求できます。永続ライセンスでは、License Authority への定期的なアクセスは必要ありません。PAK ライセンスの場合と同様にライセンスを購入し、ASA のライセンス キーをインストールします。PAK ライセンスとは異なり、ライセンスの取得と管理に Smart Software Manager を使用します。通常のスマート ライセンス モードと永続ライセンスの予約モード間で簡単に切り替えることができます。
すべての機能、すなわちモデルの正しい最大スループットを備えた標準ティアおよびキャリア ライセンスを有効にするライセンスを取得できます。ライセンスは Firepower 4100/9300 シャーシ上で管理されますが、それに加えて ASA の設定で権限付与を要求することにより、ASA でそれらを使用できるようにする必要があります。
サテライト サーバ
デバイスがセキュリティ上の理由でインターネットにアクセスができない場合、オプションで、仮想マシン(VM)としてローカル Smart Software Manager サテライト サーバをインストールできます。サテライト(衛星)は、Smart Software Manager 機能のサブセットを提供し、これによりすべてのローカル デバイスに重要なライセンス サービスが提供可能になります。ライセンス使用を同期するために、定期的にサテライトだけが License Authority と同期する必要があります。スケジュールに沿って同期するか、または手動で同期できます。
サテライト アプリケーションをダウンロードして導入したら、インターネットを使用して Cisco SSM にデータを送信しなくても、以下の機能を実行できます。
-
ライセンスの有効化または登録
-
企業ライセンスの表示
-
会社のエンティティ間でのライセンス移動
詳細については、スマート アカウント マネージャ サテライトにある『Smart Software Manager satellite installation and configuration guide』を参照してください。
仮想アカウントごとに管理されるライセンスとデバイス
ライセンスとデバイスは仮想アカウントごとに管理されます。つまり、その仮想アカウントのデバイスのみが、そのアカウントに割り当てられたライセンスを使用できます。追加のライセンスが必要な場合は、別の仮想アカウントから未使用のライセンスを転用できます。仮想アカウント間でデバイスを転送することもできます。
Firepower 4100/9300 シャーシのみがデバイスとして登録され、シャーシ内の ASA アプリケーションはそれぞれ固有のライセンスを要求します。たとえば、3 つのセキュリティ モジュールを搭載した Firepower 9300 シャーシでは、全シャーシが 1 つのデバイスとして登録されますが、各モジュールは合計 3 つのライセンスを別個に使用します。
評価ライセンス
Firepower 4100/9300 シャーシ は、次の 2 種類の評価ライセンスをサポートしています。
-
シャーシ レベル評価モード:Firepower 4100/9300 シャーシによる Licensing Authority への登録の前に、評価モードで 90 日間(合計使用期間)動作します。このモードでは、ASA は固有の権限付与を要求できません。デフォルトの権限のみが有効になります。この期間が終了すると、Firepower 4100/9300 シャーシはコンプライアンス違反の状態になります。
-
権限付与ベースの評価モード:Firepower 4100/9300 シャーシが Licensing Authority に登録をした後、ASA に割り当て可能な時間ベースの評価ライセンスを取得できます。ASA で、通常どおりに権限付与を要求します。時間ベースのライセンスの期限が切れると、時間ベースのライセンスを更新するか、または永続ライセンスを取得する必要があります。
(注)
高度暗号化(3DES/AES)の評価ライセンスを取得することはできません。永続ライセンスのみでこの権限がサポートされます。
Smart Software Manager 通信
このセクションでは、デバイスが Smart Software Manager と通信する方法について説明します。
デバイス登録とトークン
各仮想アカウントに対し、登録トークンを作成できます。このトークンは、デフォルトで 30 日間有効です。各シャーシを導入するとき、または既存のシャーシを登録するときにこのトークン ID と権限付与レベルを入力します。既存のトークンの有効期限が切れている場合は、新しいトークンを作成できます。
導入した後、または既存のシャーシでこれらのパラメータを手動で設定した後、そのシャーシを起動するとシスコのライセンス認証局に登録されます。シャーシがトークンで登録されるとき、ライセンス認証局はシャーシとそのライセンス認証局との間で通信を行うために ID 証明書を発行します。この証明書の有効期間は 1 年ですが、6 か月ごとに更新されます。
ライセンス認証局との定期通信
デバイスはライセンス認証局と 30 日おきに通信します。Smart Software Manager に変更を加えた場合は、デバイス上で許可を更新し、すぐに変更されるようにすることができます。または、スケジュールどおりにデバイスが通信するのを待ちます。
必要に応じて、HTTP プロキシを設定できます。
Firepower 4100/9300 シャーシでは、少なくとも 90 日おきに、直接接続または HTTP プロキシを介したインターネットアクセスが必要です。通常のライセンス通信が 30 日ごとに行われますが、猶予期間によって、デバイスは Call Home なしで最大 90 日間動作します。猶予期間後、Licensing Authority に連絡しない限り、特別なライセンスを必要とする機能の設定変更を行なえませんが、動作には影響ありません。
(注) |
デバイスが 1 年間ライセンス認証局と通信できない場合、デバイスは強力な暗号化ライセンスを使用せずに未登録状態になります。 |
コンプライアンス逸脱状態
次の状況では、デバイスがコンプライアンスから逸脱している可能性があります。
-
使用超過:デバイスが利用できないライセンスを使用している場合。
-
ライセンスの有効期限切れ:時間ベースのライセンスの有効期限が切れている場合。
-
通信の欠落:デバイスが再許可を得るために Licensing Authority に到達できない場合。
アカウントのステータスがコンプライアンス違反状態なのか、違反状態に近づいているのかを確認するには、Firepower 4100/9300 シャーシで現在使用中の権限付与とスマート アカウントのものを比較する必要があります。
コンプライアンス違反の場合、特別なライセンスが必要な機能への設定変更はできなくなりますが、その他の動作には影響ありません。たとえば、標準のライセンス制限を超える既存のコンテキストは実行を継続でき、その構成を変更することもできますが、新しいコンテキストを追加することはできません。
Smart Call Home インフラストラクチャ
デフォルトで、Smart Call Home のプロファイルは、ライセンス認証局の URL を指定する FXOS 設定内にあります。このプロファイルは削除できません。ライセンス プロファイルの設定可能なオプションは、ライセンス機関の宛先アドレス URL のみであることに注意してください。Cisco TAC に指示されない限り、License Authority の URL は変更しないでください。