Dépannage des problèmes de licences Smart ASA dus à une modification du type de transport par défaut

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (893.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (572.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:21 mai 2026
ID du document:225967

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit les changements introduits dans ASA Smart Licensing comme la méthode de transport par défaut changée de Callhome à Smart Transport.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • CLI de dispositif de sécurité adaptatif
  • Octroi de licences Cisco Smart

Composant utilisé

Les informations contenues dans ce document sont basées sur : 

  • Appareil de sécurité adaptatif Cisco 9.20(4)10

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations sur les fonctionnalités

Dans les dernières versions d'ASA, la méthode de transport de licence par défaut a été remplacée par Smart Transport. La principale différence est que le périphérique se connecte maintenant à https://smartreceiver.cisco.com pour renouveler son droit de licence. Dans les versions précédentes, qui utilisaient la méthode Callhome, le périphérique était connecté à https://tools.cisco.com à la place.

Cette migration ne nécessite aucune modification de la configuration ; toutefois, le trafic vers https://smartreceiver.cisco.com doit être autorisé sur les périphériques en amont.

Le mode transport a été introduit à partir des versions ASA mentionnées :

  • 9.20.4
  • 9.22.1
  • 9.23.1
  • 9.24.1

Pour vérifier si le périphérique utilise Call Home ou Smart Transport, utilisez la commande show license status.

Vérification

Transport intelligent :

ASA# show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Smart <----
  URL: https://smartreceiver.cisco.com/licservice/license <----
  Proxy:
    Not Supported
  VRF:
    Not Supported

Call Home :

ASA# show license status 

Smart Licensing is ENABLED

Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Callhome <----

Sur les versions ASA utilisant Smart Transport par défaut, il peut être rétabli à Callhome si la résolution du problème d'accessibilité avec smartreceive.cisco.com prend du temps et il y a une panne de service. Cependant, veuillez noter que Callhome sera déconseillé à l'avenir. Veillez donc à rétablir la configuration pour utiliser Smart Transport dès que la connectivité sera rétablie.

Smart Transport vers Callhome

Ligne de commande :

ASA# configure terminal
ASA(config)#
ASA(config-smart-lic)# transport type ?

smart-lic-mode mode commands/options:
  callhome  Use Smart Call Home as license message transport
  smart     Use Smart Transport as license message transport
ASA(config-smart-lic)# transport type callhome

ASDM:

Configuration > Device Management > Licensing > Smart Licensing

daakhtar_1-1779201756620

Rappel vers Smart Transport

Ligne de commande :

ASA# configure terminal
ASA(config)#
ASA(config-smart-lic)# transport type ?

smart-lic-mode mode commands/options:
  callhome  Use Smart Call Home as license message transport
  smart     Use Smart Transport as license message transport
ASA(config-smart-lic)# transport type smart

ASDM:

Configuration > Device Management > Licensing > Smart Licensing

daakhtar_0-1779201327604

Prise en charge proxy

Si votre environnement nécessite un proxy pour se connecter à https://smartreceiver.cisco.com, configurez le proxy sous la configuration de licence Smart en ajoutant le port [port] du proxy de transport [proxy].

Exemple :

ASA#configure terminal
ASA(config)#license smart
ASA(config-smart-lic)#transport proxy cisco-lab-proxy.cisco.com port 80 <----

Dans ASDM, sélectionnez Configuration > Device Management > Smart Licensing

daakhtar_0-1779260005190

Veuillez prendre note de l'ID de bogue Cisco CSCwr56980 lors de la vérification des paramètres de proxy.

Compatibilité 

Callhome reste disponible sur les versions où Smart Transport est configuré comme mode par défaut. Pour activer l'option Callhome, le type de transport doit être défini sur Callhome dans la configuration de licence :

ASA# show run license 
license smart
[..]
 transport type callhome <----

Problèmes courants

Il existe peu de scénarios courants où différents comportements ont été observés, certains ayant eu un impact sur la production après la mise à niveau vers une version dans laquelle le modèle de licence a également été mis à jour vers Smart Transport.  

Scénario A

Condition : ASA ne parvient pas à atteindre Smart Authority​

État : ASA est autorisé, aucun impact opérationnel (moins de 90 jours). ​

Registration:
  Status: REGISTERED
  Smart Account: Cisco Systems, TAC
  Virtual Account: EU TAC
  Export-Controlled Functionality: ALLOWED
  Initial Registration: SUCCEEDED on Jan 12 2026 13:09:43 UTC
  Last Renewal Attempt: None
  Next Renewal Attempt: Jul 11 2026 13:09:43 UTC
  Registration Expires: Jan 12 2027 13:04:42 UTC

License Authorization:
  Status: AUTHORIZED on Jan 12 2026 13:11:25 UTC
  Last Communication Attempt: FAILED on Jan 12 2026 13:11:25 UTC <----
  Failure reason: Communication message send error <----
  Next Communication Attempt: Jan 12 2026 13:11:55 UTC
  Communication Deadline: Apr 12 2026 13:04:55 UTC

Étapes de résolution : 

  1. Vérifiez que la méthode de transport Smart Licensing configurée sur le périphérique est Smart ou Callhome.
  2. Assurez-vous que la résolution DNS fonctionne correctement en vérifiant que le périphérique peut résoudre et atteindre le serveur approprié : smartreceive.cisco.com pour le transport intelligent ou tools.cisco.com pour le transport CallHome.
  3. Après avoir restauré la connectivité, renouvelez l'autorisation de licence en exécutant la commande suivante : licence smart renew auth.

Scénario B

Condition : ASA ne peut pas joindre Smart Authority pendant plus de 90 jours.

État : à l'expiration de l'autorisation de licence, les fonctionnalités nécessitant des licences spéciales sont restreintes. Plus particulièrement, les sessions ASAv AnyConnect sont limitées à deux et le débit est limité à 100 Kbits/s.

Registration:
  Status: REGISTERED
  Smart Account: Cisco Systems, TAC
  Virtual Account: EU TAC
  Export-Controlled Functionality: ALLOWED
  Initial Registration: SUCCEEDED on Dec 15 2022 02:52:47 UTC
  Last Renewal Attempt: FAILED on Dec 29 2025 07:20:08 UTC
  Failure reason: Communication message send error
  Next Renewal Attempt: Dec 29 2025 07:20:38 UTC
  Registration Expires: Jun 02 2026 03:15:26 UTC

License Authorization:
  Status: AUTH EXPIRED on Dec 29 2025 06:37:55 UTC
  Last Communication Attempt: FAILED on Dec 29 2025 06:37:55 UTC <----
  Failure reason: Communication message send error <----
  Next Communication Attempt: Dec 29 2025 07:37:55 UTC
  Communication Deadline: DEADLINE EXCEEDED <----

Licensed features for this platform:
Maximum VLANs                     : 1024           
Inside Hosts                      : Unlimited      
Failover                          : Active/Active  
Encryption-DES                    : Enabled        
Encryption-3DES-AES               : Enabled        
Security Contexts                 : 2              
Carrier                           : Disabled       
AnyConnect Premium Peers          : 2 <<<<<<             
AnyConnect Essentials             : Disabled       
Other VPN Peers                   : 10000          
Total VPN Peers                   : 10000          
AnyConnect for Mobile             : Disabled       
AnyConnect for Cisco VPN Phone    : Disabled       
Advanced Endpoint Assessment      : Disabled       
Shared License                    : Disabled       
Total TLS Proxy Sessions          : 2              
Botnet Traffic Filter             : Enabled        
Cluster                           : Enabled

Étapes de résolution : 

  1. Vérifiez que la méthode de transport Smart Licensing configurée sur le périphérique est Smart Transport ou Callhome.
  2. Assurez-vous que la résolution DNS fonctionne correctement en vérifiant que le périphérique peut résoudre et atteindre le serveur approprié : smartreceive.cisco.com pour Smart Transport ou tools.cisco.com pour Callhome Transport.
  3. Après avoir restauré la connectivité, renouvelez l'autorisation de licence en exécutant la commande suivante : licence smart renew auth.

Scénario C

Condition : L'ASA a été redémarré après avoir échoué à atteindre l'autorité de licence intelligente pendant plus d'un an.

État : si un périphérique est redémarré après un an d'échec de connectivité à l'autorité de licence, il passe par défaut en mode d'évaluation, qui désactive les fonctionnalités d'exportation contrôlée (cryptage fort). Il peut provoquer une panne VPN, un scénario de basculement split-brain ou une panne SSH. 

Status: REGISTERING - REGISTRATION IN PROGRESS​
Export-Controlled Functionality: NOT ALLOWED​
Initial Registration: FAILED on Dec 16 2025 12:59:29 UTC​
Failure reason: Communication message send error​
Next Registration Attempt: Dec 16 2025 14:00:10 UTC​

License Authorization: ​
Status: EVAL MODE

Étapes de résolution :

  1. Vérifiez que la méthode de transport Smart Licensing configurée sur le périphérique est Smart Transport ou Callhome Transport.
  2. Assurez-vous que la résolution DNS fonctionne correctement en vérifiant que le périphérique peut résoudre et atteindre le serveur approprié : smartrecepteur.cisco.com pour le transport intelligent ou tools.cisco.com pour le transport CallHome.
  3. Lors de la restauration de la connectivité, enregistrez le périphérique en exécutant la commande suivante : license smart register idtoken [TOKEN].
  4. "Ne pas enregistrer la configuration", car le périphérique a été démarré sans les configurations liées au chiffrement. Même si « transport type callhome » a été configuré sous le sous-mode « license smart » pour utiliser call-home, le périphérique peut être rechargé sans enregistrer la configuration après un enregistrement réussi afin de s'assurer que la configuration de chiffrement d'origine est restaurée.
  5. Une fois que le périphérique a démarré avec la configuration de chiffrement requise, résolvez le problème de licence en restaurant la connectivité à l'autorité de licence ou en configurant temporairement « transport type callhome » sous le sous-mode « license smart », jusqu'à ce que la connectivité à smartreceive.cisco.com soit autorisée.

Dépannage

  • Assurez-vous que l'accès à smartreceiver.cisco.com et DNS est correctement configuré pour résoudre ce nom de domaine complet.
  • Les débogages HTTP et de licence peuvent être exploités, en fonction du problème.
    • debug http 255
    • debug license agent all
    • debug license 255
  • Deux bogues logiciels connus peuvent provoquer des problèmes de connectivité. La vérification peut être effectuée en fonction des éléments suivants :


'ID de bogue Cisco CSCwp10957' : La vulnérabilité existe si la version du logiciel Cisco ASA est antérieure à 9.20(4)14, 9.22(2)14 ou 9.23(1)22.
'ID de bogue Cisco CSCws62173' : Une vulnérabilité existe si l'ASA est exécuté sur une plate-forme de la gamme Secure Firewall 2100 (FP2100) avec une version logicielle antérieure à 9.20(4)22, 9.22.3 ou 9.24(1)9.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
21-May-2026
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Tomasz Kmiec
    TAC de sécurité
  • Syed Muhammad Daniyal Akhtar
    TAC de sécurité

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits