Licences Smart pour le système de pare-feu
Cisco Smart Licensing est un modèle de licence flexible qui vous offre un moyen plus facile, plus rapide et plus cohérent d'acheter et de gérer les logiciels du portefeuille Cisco et de votre organisme. De plus, il est sécurisé : vous contrôlez ce à quoi les utilisateurs peuvent accéder. Avec les licences Smart, vous obtenez :
-
Easy Activation (activation facile) : les licences Smart établissent un ensemble de licences logicielles qui peuvent être utilisées dans l’ensemble de l’entreprise. Plus de clés d’activation de produit (PAK).
-
Unified Management (gestion unifiée) : My Cisco Entitlements (MCE) fournit une vue complète de tous vos produits et services Cisco dans un portail facile à utiliser, afin que vous sachiez toujours ce que vous avez et ce que vous utilisez.
-
License Flexibility (Flexibilité des licences) : Votre logiciel n’est pas verrouillé par un nœud sur votre matériel, vous pouvez donc facilement utiliser et transférer des licences selon vos besoins.
Pour utiliser les licences Smart, vous devez d’abord configurer un compte Smart sur Cisco Software Central (software.cisco.com).
Pour une vue d'ensemble plus détaillée sur les licences Cisco, allez à cisco.com/go/licensingguide
Cisco Smart Software Manager
Lorsque vous achetez une ou plusieurs licences pour le périphérique FTD, vous les gérez dans le Cisco Smart Software Manager : https://software.cisco.com/#SmartLicensing-Inventory. Le Cisco Smart Software Manager vous permet de créer un compte principal pour votre organisation.
Par défaut, vos licences sont affectées au compte virtuel par défaut sous votre compte principal. En tant qu'administrateur du compte, vous pouvez créer d'autres comptes virtuels. par exemple, pour les régions, les services ou les filiales. Plusieurs comptes virtuels vous aident à gérer un grand nombre de licences et de périphériques.
Les licences et les périphériques sont gérés par compte virtuel; seuls les périphériques de ce compte virtuel peuvent utiliser les licences attribuées au compte. Si vous avez besoin de licences supplémentaires, vous pouvez transférer une licence inutilisée d’un autre compte virtuel. Vous pouvez également transférer des périphériques entre des comptes virtuels.
Lorsque vous enregistrez un périphérique dans Cisco Smart Software Manager, vous créez un Product Instance Registration Token (jeton d’enregistrement d’instance de produit) dans le gestionnaire, puis vous le saisissez dans FDM. Un périphérique enregistré est associé à un compte virtuel en fonction du jeton utilisé.
Pour en savoir plus sur le Cisco Smart Software Manager, consultez l’aide en ligne du gestionnaire.
Communication périodique avec l’autorité de licence
Lorsque vous utilisez un jeton d'enregistrement d'instance de produit pour enregistrer un FTD, le périphérique s'enregistre auprès de l'autorité de licence de Cisco. L’autorité de licence délivre un certificat d'identification pour la communication entre le périphérique et l’autorité de licence. Ce certificat est valide pour un an, mais il sera renouvelé tous les six mois. Si un certificat d’identification expire (généralement au bout de neuf mois ou d'un an sans communication), le périphérique passe à l’état Non inscrit et l’utilisation des fonctionnalités sous licence est suspendue.
Le périphérique communique avec l’autorité de licence sur une base périodique. Si vous apportez des modifications dans Cisco Smart Software Manager, vous pouvez actualiser l’autorisation sur le périphérique pour que les modifications prennent effet immédiatement. Vous pouvez également attendre que le périphérique communique comme planifié. La communication normale de licence a lieu toutes les 12 heures, mais avec le délai de grâce, votre périphérique fonctionnera jusqu’à 90 jours sans appel à Cisco. Vous devez communiquer avec l’autorité de licence avant que les 90 jours ne soient écoulés.
Type de licence Smart
Le tableau suivant présente les licences disponibles pour le périphérique FTD.
L’achat d’un périphérique FTD comprend automatiquement une licence De base. Toutes les licences supplémentaires sont facultatives.
|
Licence |
Durée |
Capacités accordées |
|---|---|---|
|
De base |
Perpétuel |
Toutes les fonctionnalités non couvertes par les licences à durée déterminée optionnelles. La licence De base est automatiquement ajoutée à votre compte lors de votre enregistrement. L’exception concerne le pare-feu Secure Firewall 3100. Vous obtenez une licence de base lorsque vous achetez le pare-feu, et la licence est gérée comme les autres licences dans votre compte. Par exemple, vous devez vous assurer que la licence se trouve dans le bon compte virtuel lors de votre enregistrement. Vous devez préciser s’il faut permettre la fonction de contrôle de l’exportation sur les produits enregistrés avec ce jeton (Allow export-controlled functionality on the products registered with this token). Vous ne pouvez sélectionner cette option que si votre pays respecte les normes de contrôle des exportations. Cette option régit votre utilisation du chiffrement avancé et les fonctionnalités qui nécessitent un chiffrement avancé. |
|
Menace |
À durée déterminée |
Nécessaire pour utiliser les politiques suivantes :
|
|
Programme malveillant |
À durée déterminée |
Politiques de fichiers (le Menace est également obligatoire). |
|
URL |
À durée déterminée |
Politiques d’URL : filtrage d’URL basé sur la catégorie et la réputation ou filtrage des demandes de recherche DNS. Vous pouvez effectuer le filtrage d’URL sur des URL individuelles sans cette licence. |
|
VPN d’accès à distance :
|
Licences à durée déterminée ou perpétuelle selon le type de licence. |
Configuration VPN d’accès à distance Votre licence de base doit autoriser les fonctionnalités soumises à contrôle à l’exportation pour configurer le VPN d’accès à distance. Vous pouvez choisir de respecter ou non les exigences d’exportation lors de l’enregistrement du périphérique . FDM peut utiliser n’importe quelle licence client AnyConnect valide. Les fonctionnalités disponibles ne varient pas selon le type de licence. Si vous n’en avez pas encore acheté, consultez Exigences de licence pour le VPN d’accès à distance. Voir aussi le Guide de commande Cisco AnyConnect, http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf. |
FTDv Obtention de licence
Cette section décrit les droits de licence par niveau de performance disponibles pour FTDv.
Toute licence FTDv peut être utilisée sur n’importe quelle configuration vCPU/mémoire FTDvprise en charge. Cela permet aux clients FTDv d’exécuter une grande variété d’empreintes de ressources de VM. Cela augmente également le nombre d’instances AWS et Azure prises en charge. Lors de la configuration de la machine virtuelle FTDv, le nombre maximal de cœurs (vCPU) pris en ; et la mémoire maximale prise en charge est de 32 Go .
Niveaux de performance pour Smart Licensing FTDv
Les limites de session pour les RA VPN sont déterminées par le niveau d’autorisation de la plateforme FTDv installée et appliquées par l’intermédiaire d’un limiteur de débit. Le tableau suivant récapitule les limites de session en fonction du niveau d’admissibilité et du limiteur de débit.
|
Niveau de performance |
Caractéristiques du périphérique (cœur/RAM) |
Limite du débit |
Limite de session RA VPN |
|---|---|---|---|
|
FTDv5, 100 Mbit/s |
4 cœurs/8 Go |
100 Mbit/s |
50 |
|
FTDv10, 1 Gbit/s |
4 cœurs/8 Go |
1 Gbit/s |
250 |
|
FTDv20, 3 Gbit/s |
4 cœurs/8 Go |
3 Gbit/s |
250 |
|
FTDv30, 5 Gbit/s |
8 cœurs/16 Go |
5 Gbit/s |
250 |
|
FTDv50, 10 Gbit/s |
12 cœurs/24 Go |
10 Gbit/s |
750 |
|
FTDv100, 16 Gbit/s |
16 cœurs/32 Go |
16 Gbit/s |
10 000 |
FTDv Directives et limites des licences de niveaux de performance
N’oubliez pas de tenir compte des consignes et restrictions suivantes lors de la mise sous licence de votre appareil FTDv.
-
Le FTDv prend en charge les licences par niveau de performance qui fournissent différents niveaux de débit et limites de connexion VPN en fonction des exigences de déploiement.
-
Toute licence FTDv peut être utilisée sur n’importe quelle configuration de cœur/mémoire FTDvprise en charge. Cela permet aux FTDv clients de fonctionner sur une grande variété de profils de ressources VM.
-
Vous pouvez sélectionner un niveau de performance lorsque vous déployez le FTDv, que votre appareil soit en mode d'évaluation ou qu'il soit déjà enregistré auprès de Cisco Smart Software Manager.

Remarque
Assurez-vous que votre compte de licences Smart contient les licences disponibles dont vous avez besoin. Il est important de choisir le niveau qui correspond à la licence présente dans votre compte. Si vous mettez à niveau votre FTDv pour la version 7.0, vous pouvez choisir FTDv - Variable pour maintenir la conformité de votre licence actuelle. Votre FTDv continue de fonctionner avec des limites de session en fonction des capacités de votre appareil (nombre de cœurs/RAM).
-
Le niveau de performance par défaut est FTDv50 lors du déploiement d’un nouvel appareil FTDv ou lors du provisionnement de FTDv à l’aide de l’API REST.
-
Les licences De base sont basées sur un abonnement et sont mappées aux niveaux de performance. Votre compte virtuel doit disposer des droits de licence De base pour les périphériques FTDv, ainsi que des licences Menace , Programme malveillant, Filtrage des URL.
-
Chaque homologue de haute disponibilité (HA) correspond à un droit et les droits s’appliquant sur chaque homologue HA doivent correspondre, y compris la licence De base.
-
Une modification du niveau de performance pour une paire haute disponibilité doit être appliquée à l’homologue principal.
-
La licence Universal PLR est appliquée à chaque périphérique d’une paire haute disponibilité séparément. Le périphérique secondaire ne reflétera pas automatiquement le niveau de performance du périphérique principal. Il doit être mis à jour manuellement.
Incidence du paramètre de contrôle des exportations sur les fonctionnalités de chiffrement
Vous devez préciser s’il faut Allow export-controlled functionality (Autoriser les fonctionnalités soumises au contrôle des exportations). Vous ne pouvez sélectionner cette option que si votre pays respecte les normes de contrôle des exportations. Cette option régit votre utilisation du chiffrement avancé et les fonctionnalités qui nécessitent un chiffrement avancé.
Le mode d’évaluation est traité de la même manière que l’enregistrement à l’aide d’un compte non conforme à la norme d’exportation. Cela signifie que vous ne pouvez pas configurer le VPN d’accès à distance ou utiliser des algorithmes de chiffrement avancés lors de l’exécution en mode d’évaluation.
Plus particulièrement, la norme DES est disponible uniquement en mode d’évaluation ou non conforme à l’exportation.
Ainsi, si vous configurez des fonctionnalités chiffrées, telles que le VPN de site à site, ou si vous chiffrez la connexion de basculement dans un groupe à haute disponibilité, vous risquez de rencontrer des problèmes de connexion après vous être enregistré dans un compte conforme à l’exportation. Si la fonctionnalité utilisait DES en mode d’évaluation, cette configuration sera interrompue après l’enregistrement du compte.
Tenez compte des recommandations suivantes pour éviter les problèmes liés au chiffrement :
-
Évitez de configurer des fonctionnalités chiffrées, telles que le VPN de site à site et les connexions de basculement chiffrées, avant d’avoir enregistré le périphérique.
-
Après avoir enregistré le périphérique à l’aide d’un compte conforme à l’exportation, modifiez toutes les fonctionnalités de chiffrement que vous avez configurées en mode d’évaluation et sélectionnez des algorithmes de chiffrement plus sécurisés. Testez et vérifiez chacune de ces fonctionnalités pour vous assurer qu’elles fonctionnent correctement.
![]() Remarque |
Si vous avez configuré le chiffrement de basculement à haute disponibilité en mode d’évaluation, vous devrez également redémarrer les deux périphériques du groupe à haute disponibilité pour commencer à utiliser un chiffrement plus fort. Nous vous recommandons de supprimer d’abord le chiffrement pour éviter une situation de split-brain, dans laquelle les deux périphériques se considèrent comme l’unité active. |
Incidence des licences facultatives expirées ou désactivées
Si l’une des licences facultatives suivantes expire, vous pouvez continuer à utiliser les fonctionnalités qui nécessitent la licence. Cependant, la licence est marquée comme non conforme et vous devez l’acheter et l’ajouter à votre compte pour la rendre conforme.
Si vous désactivez une licence facultative, le système réagit comme suit :
-
Programme malveillant—Le système cesse d’interroger le Cisco Secure Malware Analytics Cloud et cesse également d’accuser réception des événements rétrospectifs envoyés par le Cisco Secure Malware Analytics Cloud. Vous ne pouvez pas redéployer des stratégies de contrôle d’accès existantes si elles comprennent des politiques de fichiers.. Notez que, pendant un très court laps de temps après la désactivation d’une licence, le système peut utiliser les dispositions de fichiers en cache existantes. Programme malveillant À l'expiration de ce délai, le système attribue à ces fichiers la mention unavailable (Indisponible).
-
Menace —Le système n’applique plus les politiques de prévention des intrusions ou de fichiers. Pour les politiques de renseignements de sécurité, le système n’applique plus la politique et arrête de télécharger les mises à jour de flux. Vous ne pouvez pas redéployer les politiques existantes qui nécessitent la licence.
-
URL—Les règles de contrôle d’accès avec des conditions de catégorie d’URL arrêtent immédiatement de filtrer les URL ou les demandes de recherche DNS, et le système ne télécharge plus les mises à jour des données d’URL. Vous ne pouvez pas redéployer des politiques de contrôle d’accès existantes si elles comprennent des règles avec des conditions d’URL basées sur la catégorie et la réputation.
-
RA VPN—Vous ne pouvez pas modifier la configuration du VPN d’accès à distance, mais vous pouvez la supprimer. Les utilisateurs peuvent toujours se connecter en utilisant la configuration VPN d’accès à distance. Toutefois, si vous modifiez l’enregistrement du périphérique de sorte que le système n’est plus conforme à la norme d’exportation, la configuration VPN d’accès à distance s’arrête immédiatement et aucun utilisateur distant ne peut se connecter par l’intermédiaire du VPN.

Commentaires