デフォルトの転送タイプの変更によるASAスマートライセンスの問題のトラブルシューティング

はじめに

このドキュメントでは、デフォルトの転送方式がCallhomeからSmart Transportに変更されたため、ASA Smart Licensingに導入された変更点について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• 適応型セキュリティアプライアンスCLI
• Cisco Smart Licensing

使用するコンポーネント

このドキュメントの情報は、次のハードウェアに基づくものです。 

• Cisco適応型セキュリティアプライアンス9.20(4)10

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

機能情報

最新のASAリリースでは、デフォルトのライセンス転送方式がスマートトランスポートに変更されています。主な違いは、デバイスがhttps://smartreceiver.cisco.comに接続してライセンス権限を更新する点です。Callhome方式を使用していた以前のリリースでは、デバイスは代わりにhttps://tools.cisco.comに接続されていました。

この移行では設定変更は不要ですが、https://smartreceiver.cisco.comへのトラフィックはアップストリームデバイスで許可される必要があります。

トランスポートモードは、前述のASAのバージョンから導入されました。

• 9.20.4
• 9.22.1
• 9.23.1
• 9.24.1

デバイスがCall Homeまたはスマートトランスポートを使用しているかどうかを確認するには、show license statusコマンドを使用します。

検証

スマートトランスポート：

ASA# show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Smart <----
  URL: https://smartreceiver.cisco.com/licservice/license <----
  Proxy:
    Not Supported
  VRF:
    Not Supported

Callhome:

ASA# show license status 

Smart Licensing is ENABLED

Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Callhome <----

Smart Transportをデフォルトで使用しているASAバージョンでは、smartreceiver.cisco.comでの到達可能性の問題の解決に時間がかかり、サービスが停止した場合は、Callhomeに戻すことができます。ただし、Callhomeは今後廃止される予定ですので、接続が復旧したら必ずスマートトランスポートを使用するように設定を戻してください。

Callhomeへのスマートトランスポート

コマンドライン:

ASA# configure terminal
ASA(config)#
ASA(config-smart-lic)# transport type ?

smart-lic-mode mode commands/options:
  callhome  Use Smart Call Home as license message transport
  smart     Use Smart Transport as license message transport
ASA(config-smart-lic)# transport type callhome

ASDM:

設定>デバイス管理>ライセンス>スマートライセンス

Callhomeからスマートトランスポート

コマンドライン:

ASA# configure terminal
ASA(config)#
ASA(config-smart-lic)# transport type ?

smart-lic-mode mode commands/options:
  callhome  Use Smart Call Home as license message transport
  smart     Use Smart Transport as license message transport
ASA(config-smart-lic)# transport type smart

ASDM:

設定>デバイス管理>ライセンス>スマートライセンス

プロキシサポート

ご使用の環境でhttps://smartreceiver.cisco.comへの接続にプロキシが必要な場合は、スマートライセンス設定でtransport proxy [proxy] port [port]を追加して、プロキシを設定してください。

例：

ASA#configure terminal
ASA(config)#license smart
ASA(config-smart-lic)#transport proxy cisco-lab-proxy.cisco.com port 80 <----

ASDMから、Configuration > Device Management > Smart Licensingの順に選択します

プロキシ設定を確認する際には、「Cisco Bug ID CSCwr56980」を確認してください。

互換性 

Callhomeは、スマートトランスポートがデフォルトモードとして設定されているバージョンでも使用できます。Callhomeオプションを有効にするには、ライセンス設定内でトランスポートタイプをCallhomeに設定する必要があります。

ASA# show run license 
license smart
[..]
 transport type callhome <----

一般的な問題

さまざまな動作が観察され、アップグレード後に製品に影響を与えるリリースや、ライセンスモデルがSmart Transportにアップデートされたリリースなど、一般的なシナリオがいくつかあります。  

シナリオA

条件：ASAがSmart Authorityに到達できません​

​

ステータス：ASA is authorized, no operational impact (less than 90 days)。​

Registration:
  Status: REGISTERED
  Smart Account: Cisco Systems, TAC
  Virtual Account: EU TAC
  Export-Controlled Functionality: ALLOWED
  Initial Registration: SUCCEEDED on Jan 12 2026 13:09:43 UTC
  Last Renewal Attempt: None
  Next Renewal Attempt: Jul 11 2026 13:09:43 UTC
  Registration Expires: Jan 12 2027 13:04:42 UTC

License Authorization:
  Status: AUTHORIZED on Jan 12 2026 13:11:25 UTC
  Last Communication Attempt: FAILED on Jan 12 2026 13:11:25 UTC <----
  Failure reason: Communication message send error <----
  Next Communication Attempt: Jan 12 2026 13:11:55 UTC
  Communication Deadline: Apr 12 2026 13:04:55 UTC

解決手順： 

1. デバイスに設定されているスマートライセンスの転送方法がスマートまたはCallhomeであることを確認します。
2. デバイスが適切なサーバ(スマートトランスポートの場合はsmartreceiver.cisco.com、Callhomeトランスポートの場合はtools.cisco.com)を解決して到達できることを確認することにより、DNS解決が正しく機能していることを確認します。
3. 接続を復元した後、license smart renew authコマンドを実行してライセンス認証を更新します。

シナリオB

条件：ASAは90日を超えてスマート機関に到達できません。

​

ステータス：ライセンス認証の有効期限が切れると、特別なライセンスが必要な機能が制限されます。最も顕著なのは、ASAv AnyConnectセッションが2つに制限され、スループットが100 kbpsに制限されることです。

Registration:
  Status: REGISTERED
  Smart Account: Cisco Systems, TAC
  Virtual Account: EU TAC
  Export-Controlled Functionality: ALLOWED
  Initial Registration: SUCCEEDED on Dec 15 2022 02:52:47 UTC
  Last Renewal Attempt: FAILED on Dec 29 2025 07:20:08 UTC
  Failure reason: Communication message send error
  Next Renewal Attempt: Dec 29 2025 07:20:38 UTC
  Registration Expires: Jun 02 2026 03:15:26 UTC

License Authorization:
  Status: AUTH EXPIRED on Dec 29 2025 06:37:55 UTC
  Last Communication Attempt: FAILED on Dec 29 2025 06:37:55 UTC <----
  Failure reason: Communication message send error <----
  Next Communication Attempt: Dec 29 2025 07:37:55 UTC
  Communication Deadline: DEADLINE EXCEEDED <----

Licensed features for this platform:
Maximum VLANs                     : 1024           
Inside Hosts                      : Unlimited      
Failover                          : Active/Active  
Encryption-DES                    : Enabled        
Encryption-3DES-AES               : Enabled        
Security Contexts                 : 2              
Carrier                           : Disabled       
AnyConnect Premium Peers          : 2 <<<<<<             
AnyConnect Essentials             : Disabled       
Other VPN Peers                   : 10000          
Total VPN Peers                   : 10000          
AnyConnect for Mobile             : Disabled       
AnyConnect for Cisco VPN Phone    : Disabled       
Advanced Endpoint Assessment      : Disabled       
Shared License                    : Disabled       
Total TLS Proxy Sessions          : 2              
Botnet Traffic Filter             : Enabled        
Cluster                           : Enabled 

解決手順： 

1. デバイスに設定されているスマートライセンシングトランスポート方式が、スマートトランスポートまたはCallhomeであることを確認します。
2. デバイスが適切なサーバ(スマートトランスポートの場合はsmartreceiver.cisco.com、Callhomeトランスポートの場合はtools.cisco.com)を解決して到達できることを確認することにより、DNS解決が正しく機能していることを確認します。
3. 接続を復元した後、license smart renew authコマンドを実行してライセンス認証を更新します。

シナリオC

条件: ASAは、1年以上スマートライセンス認証局に到達できなかった後にリブートされました。

ステータス:ライセンス認証局への接続が1年間失敗した後にデバイスをリブートすると、デフォルトで評価モードになります。このモードではエクスポート制御機能（強力な暗号化）が無効になります。 これにより、VPNの停止、スプリットブレインフェールオーバーのシナリオ、またはSSHの停止が発生する可能性があります。 

Status: REGISTERING - REGISTRATION IN PROGRESS​
Export-Controlled Functionality: NOT ALLOWED​
Initial Registration: FAILED on Dec 16 2025 12:59:29 UTC​
Failure reason: Communication message send error​
Next Registration Attempt: Dec 16 2025 14:00:10 UTC​

License Authorization: ​
Status: EVAL MODE

解決手順：

1. デバイスに設定されているスマートライセンシングトランスポート方式が、スマートトランスポートまたはCallhomeトランスポートのいずれかであることを確認します。
2. デバイスが適切なサーバ(スマートトランスポートの場合はsmartreceiver.cisco.com、Callhomeトランスポートの場合はtools.cisco.com)を解決して到達できることを確認することにより、DNS解決が正常に機能していることを確認します。
3. 接続が復元したら、license smart register idtoken [TOKEN]コマンドを実行してデバイスを登録します。
4. デバイスはクリプト関連の設定を行わずに起動されているため、「設定を保存しない」と表示されます。call-homeを使用するために「license smart」サブモードで「transport type callhome」が設定されている場合でも、登録が成功した後に、元の暗号設定が復元されるように設定を保存することなく、デバイスをリロードできます。
5. デバイスが必要な暗号設定で起動したら、ライセンスの問題を解決するため、ライセンス認証局(RA)への接続を復元するか、smartreceiver.cisco.comへの接続が許可されるまで、license smartサブモードで一時的に「transport type callhome」を設定します。

​

トラブルシューティング

• smartreceiver.cisco.comへの到達可能性があり、このFQDNを解決するためにDNSが正しく設定されていることを確認してください。
• 問題に応じて、HTTPおよびライセンスのデバッグを利用できます。
  • debug http 255
  • debug license agent all（ライセンスエージェントの全てをデバッグ）
  • デバッグライセンス255
• 接続の問題を引き起こす可能性がある既知のソフトウェアの不具合は2つあります。検証は次の項目に基づいて実施できます。

「Cisco Bug ID CSCwp10957」:Cisco ASAソフトウェアのバージョンが9.20(4)14、9.22(2)14、または9.23(1)22よりも前である場合、脆弱性が存在します。
Cisco Bug ID CSCws62173:ASAが、ソフトウェアバージョン9.20(4)22、9.22.3、または9.24(1)9よりも前のセキュアファイアウォール2100(FP2100)シリーズプラットフォームで実行されている場合、脆弱性が存在します。

関連情報

• Cisco Secure Firewall ASA一般操作CLIコンフィギュレーションガイド9.20 

更新履歴

改定	発行日	コメント
1.0	21-May-2026	初版