Cisco FXOS Firepower Chassis Manager コンフィギュレーション ガイド 1.1(1)
ライセンス管理
ライセンス管理

ライセンス管理

シスコ スマート ソフトウェア ライセンスによって、ライセンスを購入し、ライセンスのプールを一元管理することができます。 各ユニットのライセンス キーを管理しなくても、簡単にデバイスを導入したり導入を終了したりできます。 スマート ソフトウェア ライセンスを利用すれば、ライセンスの使用状況と要件をひと目で確認することもできます。

スマート ソフトウェア ライセンスについて

ここでは、スマート ソフトウェア ライセンスの仕組みについて説明します。

Firepower 9300 上のセキュリティ モジュールのスマート ソフトウェア ライセンス

Firepower 9300 上の セキュリティ モジュールの場合、スマート ソフトウェア ライセンス設定は Firepower 9300 スーパーバイザとセキュリティ モジュールの間で分割されます。

  • Firepower 9300:License Authority との通信に使用するパラメータなど、スーパーバイザのすべてのスマート ソフトウェア ライセンス インフラストラクチャを設定します。 Firepower 9300 自体の動作にライセンスは必要ありません。

  • セキュリティモジュール:セキュリティ モジュールのすべてのライセンス資格を設定します。

Smart Software Manager とアカウント

デバイスの 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager で管理します。

http:/​/​tools.cisco.com/​rhodui/​index

Smart Software Manager では、組織のマスター アカウントを作成できます。


(注)  


まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。 Smart Software Manager では、組織のマスター アカウントを作成できます。


デフォルトでは、ライセンスはマスター アカウントの下の [Default Virtual Account] に割り当てられます。 アカウント管理者は、必要に応じて追加の仮想アカウントを作成できます。たとえば、地域、部署、子会社用のアカウントを作成できます。 複数の仮想アカウントを使用すると、大量のライセンスおよびデバイスをより簡単に管理できます。

仮想アカウントごとに管理されるライセンスとデバイス

ライセンスとデバイスは仮想アカウントごとに管理されます。アカウントに割り当てられたライセンスを使用できるのは、その仮想アカウントのデバイスのみです。 追加のライセンスが必要な場合は、別の仮想アカウントから未使用のライセンスを転用できます。 仮想アカウント間でデバイスを移行することもできます。

シャーシ内の セキュリティ モジュールには独自のライセンスが必要なため、Firepower 9300 シャーシのみをデバイスとして登録します。 たとえば 3 つのセキュリティ モジュールを搭載した Firepower 9300 シャーシでは、全シャーシが 1 つのデバイスとして登録されますが、各モジュールは合計 3 つのライセンスを別個に使用します。

デバイス登録とトークン

各仮想アカウントに対して登録トークンを作成できます。 このトークンはデフォルトで 30 日間有効です。 各デバイスの導入時または既存のデバイスの登録時に、このトークン ID と権限付与レベルを入力します。 既存のトークンの有効期限が切れた場合は、新しいトークンを作成できます。


(注)  


デバイス登録は、 セキュリティ モジュールではなく、Firepower 9300 スーパーバイザで設定されます。


導入後、または手動で既存のデバイスにこれらのパラメータを設定した後、起動時にデバイスを Cisco License Authority に登録します。 デバイスをトークンに登録すると、デバイスと License Authority との間の通信に使用する ID 証明書がライセンス機関から発行されます。 この証明書は 6 ヵ月ごとに更新されますが、1 年間有効です。

License Authority との定期通信

デバイスは 30 日ごとに License Authority と通信します。 Smart Software Manager に変更を行う場合、デバイスの認証を更新して変更をすぐに反映させることができます。 またはスケジュール設定されたデバイスの通信を待つこともできます。

必要に応じて、HTTP プロキシを設定できます。 少なくとも 90 日ごとに、デバイスが直接または HTTP プロキシ経由でインターネットにアクセスする必要があります。 通常のライセンス通信が 30 日ごとに行われますが、猶予期間によって、デバイスは Call Home なしで最大 90 日間動作します。 90 日が経過する前に License Authority に連絡してください。


(注)  


オフライン ライセンスはサポートされていません。


コンプライアンス違反状態

デバイスは次の状況でコンプライアンス違反になる可能性があります。

  • 過剰使用:デバイスが利用不可のライセンスを使用した場合。

  • ライセンスの有効期限切れ:時間ベースのライセンスの有効期限が切れた場合。

  • 通信の欠如:デバイスが Licensing Authority にアクセスできず再認証されない場合。

90 日間の再認証試行後、デバイスはアプリケーションに応じた方法で制限されます。

Smart Call Home インフラストラクチャ

デフォルトでは、Licensing Authority の URL を指定する Smart Call Home プロファイルがコンフィギュレーションに存在します。 このプロファイルは削除できません。 ライセンス プロファイルの設定可能なオプションは Licensing Authority の宛先アドレス URL のみであることに注意してください。 Cisco TAC に指示されない限り、License Authority の URL は変更しないでください。

スマート ソフトウェア ライセンスの Smart Call Home をディセーブルにすることはできません。

スマート ソフトウェア ライセンスの前提条件

  • Cisco Smart Software Manager でマスター アカウントを作成します。

    http:/​/​tools.cisco.com/​rhodui/​index

    まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。 Smart Software Manager では、組織のマスター アカウントを作成できます。

  • Cisco Software Central から 1 つ以上のライセンスを購入します。

  • デバイスが Licensing Authority と通信できるように、デバイスからのインターネット アクセスまたは HTTP プロキシ アクセスを確認します。 オフライン ライセンスはサポートされていません。

  • デバイスがライセンス認証局サーバの名前を解決できるように、DNS サーバを設定します。 DNS サーバの設定を参照してください。

  • デバイスのクロックを設定します。 日時の設定を参照してください。

スマート ソフトウェア ライセンスのデフォルト

Firepower 9300 のデフォルト設定には、Licensing Authority の URL を指定する、「SLProf」という Smart Call Home プロファイルが含まれます。

スマート ソフトウェア ライセンスの設定

Cisco License Authority と通信するため、必要に応じて HTTP プロキシを設定できます。 License Authority に登録するには、スマート ソフトウェア ライセンス アカウントから取得した Firepower 9300 の登録トークン ID を入力する必要があります。

手順
    ステップ 1   (任意)HTTP プロキシの設定.
    ステップ 2   Firepower 9300 の License Authority への登録.

    (任意)HTTP プロキシの設定

    ネットワークでインターネット アクセスに HTTP プロキシを使用する場合、スマート ソフトウェア ライセンスのプロキシ アドレスを設定する必要があります。 このプロキシは、一般に Smart Call Home にも使用されます。

    手順
      ステップ 1   [System] > [Licensing] > [Call Home] を選択します。

      [Call Home] ページには、License Authority の宛先アドレス URL を設定するフィールド、および HTTP プロキシを設定するフィールドが表示されます。

      (注)     

      Cisco TAC に指示されない限り、License Authority の URL は変更しないでください。

      ステップ 2   [Server Enable] ドロップダウン リストで [on] を選択します。
      ステップ 3   [Server URL] および [Server Port] フィールドにプロキシの IP アドレスとポートを入力します。 たとえば、HTTPS サーバのポート 443 を入力します。
      ステップ 4   [Save(保存)] をクリックします。

      Firepower 9300 の License Authority への登録

      License Authority に Firepower 9300 を登録すると、Firepower 9300 と License Authority の間の通信に使用する ID 証明書が発行されます。 また、Firepower 9300 が該当する仮想アカウントに割り当てられます。 通常、この手順は 1 回で済みます。 ただし、通信の問題などが原因で ID 証明書の期限が切れた場合は、Firepower 9300 の再登録が必要になります。

      手順
        ステップ 1   Smart Software Manager で、この Firepower 9300 を追加する仮想アカウントの登録トークンを要求してコピーします。
        ステップ 2   Firepower Chassis Manager の場合、[System] > [Licensing] > [Smart License] を選択します。
        ステップ 3   [Enter Product Instance Registration Token] フィールドに登録トークンを入力します。
        ステップ 4   [Register] をクリックします。

        Firepower シャーシが License Authority への登録を試行します。

        デバイスの登録を解除するには、[Unregister] をクリックします。

        Firepower 9300 の登録を解除すると、アカウントからデバイスが削除され、 デバイスのすべてのライセンス資格と証明書が削除されます。 登録を解除することで、ライセンスを新しい Firepower 9300 に利用することもできます。 あるいは、Smart Software Manager からデバイスを削除できます。


        スマート ソフトウェア ライセンスの履歴

        機能名

        プラットフォーム リリース

        説明

        Firepower 9300 のシスコ スマート ソフトウェア ライセンス

        1.1(1)

        スマート ソフトウェア ライセンスによって、ライセンスを購入し、ライセンスのプールを管理することができます。 スマート ライセンスは特定のシリアル番号に関連付けられません。 各ユニットのライセンス キーを管理しなくても、簡単にデバイスを導入したり導入を終了したりできます。 スマート ソフトウェア ライセンスを利用すれば、ライセンスの使用状況と要件をひと目で確認することもできます。 スマート ソフトウェア ライセンス設定は、Firepower 9300 スーパバイザとセキュリティ モジュールの間で分割されます。

        次の画面が導入されました。

        [System] > [Licensing] > [Call Home]

        [System] > [Licensing] > [Smart License]