セキュアファイアウォールのスマートライセンスのコンプライアンス違反エラーのトラブルシューティング
はじめに
このドキュメントでは、Cisco FMCおよびFTDモデルでのコンプライアンス違反の最も一般的なCisco Smart Licensingについて説明します。
バックグラウンド情報
Cisco Smart Licensingは、多くの製品に対してライセンスの一元管理を提供します。Cisco Secure Firewallは、センサーの大規模な導入の可能性があるライセンスの管理を簡素化し、アプライアンス、仮想、およびパブリッククラウドモデルで使用できます。このドキュメントでは、Cisco Firewall Management Center(FMC)およびCisco Firewall Threat Defense(FTD)ソフトウェアとアプライアンスモデルのスマートライセンスのコンプライアンス違反の問題に関するトラブルシューティングガイドを提供します。
スマートライセンスがコンプライアンス違反であるとFMCから報告された場合、スマートアカウントで適切なライセンスが見つからないことを示します。この場合、ヘルスアラートが表示されます。このドキュメントで概説した理由のいくつかは、この問題の原因である可能性があります。
コンプライアンス違反ステータスの原因となるライセンスタイプを特定する方法
FMCグラフィックユーザインターフェイス(GUI)の使用。
FMC通知アイコンからヘルスアラートに移動し、ヘルスをクリックします。
スマートアカウントポータルの使用
System >> Licenses >> Smart Licensesで、スマートライセンスステータスに移動します。 FMCが登録されている仮想アカウント情報は、ここを参照してください。
スマートライセンスセクションには、コンプライアンス違反の特定のライセンスが表示されます。この例では、Cisco Secure Firewall 1120機能ライセンス「Malware Defense」の「Out of Compliance」ステータスが表示されています。「Out of Compliance」と記載されているすべての機能/製品を赤で示します。緑色の「In-Compliance」チェックマークは、特定のライセンスタイプが使用可能であり、FMCがスマートアカウントから取得できることを示します。
これらのライセンスが使用可能かどうかを確認するには、スマートアカウントポータルにログインし、スマートアカウント>>インベントリ> [仮想アカウント名]に移動します。必要に応じて、ライセンス名をフィルタリングします。
次のステータスが考えられます。
使用可能=購入済み数
使用中=この機能が有効になっているデバイスの数
バランス=購買と使用の間のオフセット。
バランスが負になると、その機能または製品のコンプライアンス違反ステータスがFMCに表示されます。
また、アラートはスマートアカウント>>アラートで確認できます。必要に応じて、「ソース」の仮想アカウントをフィルタリングします。
FMCのコマンドラインインターフェイス(CLI)の使用
ステップ 1:FMC CLIにログインします。
ステップ 2次のコマンドを使用して、Linuxシェルにアクセスします
expert
ステップ 3次のコマンドを発行します。
less /var/log/sam.log
ファイル内の最新のエントリに移動するには、スクロールダウンして最新のステータスを確認します。
ライセンスを適切に取得すると、そのライセンスは「AUTHORIZED」と表示されます。
ライセンスが使用できない場合、特定のライセンスタイプはOUT OF COMPLIANCEと表示されます。
トラブルシュート
次に、最も一般的なシナリオの一部と、それぞれのトラブルシューティング方法を示します。
シナリオ1:FTD物理プラットフォームの特定の機能に対するライセンスが不足している。
さまざまなライセンスタイプがあります。これらは、ハードウェアと機能固有に分類できます。ライセンスは、ライセンス名に表示されたモデルと、そのライセンスを提供している機能に基づいて識別できます。
-Base(7.xより前)またはEssentials(7.xより後)
– マルウェア防御
-IPS
-URL
– キャリア
– セキュアクライアントプレミア
– セキュアなクライアントの利点
– クライアントVPNのみ保護
ライセンスが購入され、スマートアカウントで使用できない疑いがある場合は、発注情報を確認し、発注時に提供されたスマートライセンスアカウントを確認します。
発注の際に割り当て済みスマートアカウントが提供されると、ライセンスは「割り当て済みスマートアカウント」に移行されます。
割り当てられたスマートアカウントが提供されず、パートナーを通じて注文が行われると、ライセンスはパートナーの暫定アカウントに転送されます。その場合は、シスコパートナー企業に注文書を提出してください。これらのライセンスをスマートアカウントに転送する際に、パートナー企業がサポートを提供します。
シナリオ2 – ライセンスが別の仮想アカウントで使用可能になる
デフォルトでは、すべてのスマートアカウントにDEFAULTという名前の仮想アカウントが1つだけ存在します。スマートアカウント管理者は、管理を容易にし、その他の目的のために複数の仮想アカウントを作成できます。
必要なライセンスが別の仮想アカウントの一部である場合は、次の手順を使用して適切な仮想アカウントに移行できます。
ステップ 1:スマートアカウント>>インベントリに移動します。
ステップ 2正しい仮想アカウントをフィルタリングします。 必要に応じてライセンスをフィルタリングします。
ステップ 3 適切なライセンスを特定したら、ActionsドロップダウンをクリックしてTransferを選択します。
ステップ 4ライセンスが必要な転送先の仮想アカウントを選択し、転送するライセンスの数を指定します。
ステップ 5Show Previewをクリックして検証し、Transferをクリックします。
FMCが登録されている仮想アカウントですべてのライセンスが使用可能になったら、FMCでRe-Authorizeボタンをクリックして、Out of Complianceステータスをクリアします。
シナリオ3:Firepower MCvデバイスライセンスの欠落
仮想管理モデルでは、2つの異なるプラットフォームが混在していることが一般的です。
FMCvデバイスライセンスは「Firepower MCvデバイスライセンス」として表示され、FMCv300デバイスライセンスは「Firepower MCv300デバイスライセンス」になります。
ファイアウォールを管理するには、FMCにもデバイスライセンスが必要です。
ライセンスの種類をクリックすると、それらのライセンスを消費しているFMCを特定するのに役立ちます。この例では、FMCv-aは5つのライセンスを消費しており、これはFMCスマートライセンスページと一致します。
シナリオ4:FTDが7.0より前のバージョンを実行している仮想プラットフォームである
基本ライセンスは自動的に要求され、階層化されていません。7.xより前のFTDv在庫保持ユニット(SKU)については、『シスコネットワークセキュリティ発注ガイド』の表60および61を参照してください。
これらは、スマートアカウントの7.x以前のFTDvライセンス名です。
脅威防御仮想マルウェア防御
脅威対策仮想URLフィルタリング
Firepower MCvデバイスライセンス
Firepower Threat Defense Baseの機能
脅威対策の仮想脅威保護
Cisco AnyConnect Plusライセンス
Cisco AnyConnect Apexライセンス
Cisco AnyConnect VPN Onlyライセンス
この例では、仮想アカウントに十分なライセンスがないため、マルウェアおよび脅威のライセンスはコンプライアンスに違反しています。
ライセンスに準拠するには、ユーザはスマートライセンス仮想アカウントに十分なライセンスがあることを確認する必要があります。7.xより前のFTDv SKUについては、『シスコネットワークセキュリティ発注ガイド』を参照してください。
シナリオ5:FTDは7.0バージョン以降を実行する仮想プラットフォームです
基本ライセンスはサブスクリプションベースで、階層にマッピングされます。仮想アカウントには、FTDvsおよび脅威、マルウェア、URLフィルタリングの基本ライセンス権限が必要です。
FTDvをバージョン7.0以降にアップグレードすると、デバイスは自動的にFTDv – 変数階層に移行し、非階層権限を消費します。この例では、FTDが6.6.7から7.2.5にアップグレードされ、スマートライセンスのステータスがAuthorized and In-Complianceになっています。
階層化されていないエンタイトルメントを消費し続けます。
ユーザが資格を持たないパフォーマンス階層を選択した場合(またはデフォルトで自動割り当てされた場合)、ステータスとして「Out of Compliance」が表示されます。
この例では、ユーザは、登録済みの仮想アカウントに基本マルウェアおよび脅威ライセンスがないパフォーマンス階層FTDv50を選択します。
仮想アカウントには、要求されたパフォーマンス層のライセンス数または権限数が多く表示されている必要があります。
これに準拠するには、ユーザは仮想スマートライセンスアカウントでパフォーマンス層の権限を選択する必要があります。誤ったパフォーマンス階層が選択された場合、ユーザーはFMCまたはFDMのページに移動し、仮想アカウントに設定されているパフォーマンス階層を調整できます。
仮想スマートライセンスアカウントに、選択されたパフォーマンス層に対して要求されたライセンス/権限がない場合は、次のステップとしてシナリオ1を参照してください。
パフォーマンス階層を編集するには、FMC歯車アイコン>スマートライセンス>パフォーマンス階層の編集に移動し、正しいパフォーマンス階層を選択します。
この表は、パフォーマンス階層と関連する仕様、ライセンス、および制限を簡単に参照するためのものです。
表 1
|
パフォーマンス層 |
デバイス仕様(コア/RAM) |
Rate Limit |
RA VPNセッション制限 |
ライセンス名 |
ライセンスPID |
RA VPNライセンスおよびPID |
|
FTDv5、100Mbps |
4コア/8 GB |
100 Mbps |
50 |
FTDv Base 100 Mbps |
FTD-V-5S-BSE-K9 |
Cisco AnyConnect Apexライセンス Cisco AnyConnect Plusライセンス Cisco AnyConnect VPN Onlyライセンス RA VPNライセンスPIDについては、『Cisco Secure Client発注ガイド』を参照してください。 |
|
FTDvマルウェア100 Mbps |
FTD-V-5S-TMC |
|||||
|
FTDv URLフィルタリング100 Mbps |
||||||
|
FTDv脅威保護100 Mbps |
||||||
|
Firepower FTDvキャリアライセンス |
FTDV-CAR |
|||||
|
FTDv10、1 Gbps |
4コア/8 GB |
1Gbps |
250 |
FTDvベース1 Gbps |
FTD-V-10S-BSE-K9 |
|
|
FTDvマルウェア1 Gbps |
FTD-V-10S-TMC |
|||||
|
FTDv URLフィルタリング1 Gbps |
||||||
|
FTDv脅威保護1 Gbps |
||||||
|
Firepower FTDvキャリアライセンス |
FTDV-CAR |
|||||
|
FTDv20、3 Gbps |
4コア/8 GB |
3 Gbps |
250 |
FTDvベース3 Gbps |
FTD-V-20S-BSE-K9 |
|
|
FTDvマルウェア3 Gbps |
FTD-V-20S-TMC |
|||||
|
FTDv URLフィルタリング3 Gbps |
||||||
|
FTDv脅威保護3 Gbps |
||||||
|
Firepower FTDvキャリアライセンス |
FTDV-CAR |
|||||
|
FTDv30、5 Gbps |
8コア/16 GB |
5 Gbps |
250 |
FTDvベース5 Gbps |
FTD-V-30S-BSE-K9 |
|
|
FTDvマルウェア5 Gbps |
FTD-V-30S-TMC |
|||||
|
FTDv URLフィルタリング5 Gbps |
||||||
|
FTDv脅威保護5 Gbps |
||||||
|
Firepower FTDvキャリアライセンス |
FTDV-CAR |
|||||
|
FTDv50、10 Gbps |
12コア/24 GB |
10Gbps |
750 |
FTDvベース10 Gbps |
FTD-V-50S-BSE-K9 |
|
|
FTDvマルウェア10 Gbps |
FTD-V-50S-TMC |
|||||
|
FTDv URLフィルタリング10 Gbps |
||||||
|
FTDv脅威保護10 Gbps |
||||||
|
Firepower FTDvキャリアライセンス |
||||||
|
FTDv100、16 Gbps |
16コア/32 GB |
16 Gbps |
10,000 |
FTDvベース16 Gbps |
FTD-V-100S-BSE-K9 |
|
|
FTDvマルウェア16 Gbps |
FTD-V-100S-TMC |
|||||
|
FTDv URLフィルタリング16 Gbps |
||||||
|
FTDv脅威保護16 Gbps |
||||||
|
Firepower FTDvキャリアライセンス |
FTDV-CAR |
|||||
|
FTDv変数 |
デバイスの機能に基づく |
デバイスの機能に基づく |
Firepower Threat Defense Baseの機能 |
|||
|
脅威防御仮想マルウェア防御 |
||||||
|
脅威対策仮想URLフィルタリング |
||||||
|
脅威対策の仮想脅威保護 |
||||||
|
Firepower FTDvキャリアライセンス |
FTDV-CAR |
FTDvパフォーマンスティアライセンスSKUの詳細については、表59を参照してください。Cisco Secure Firewall Threat Defense仮想パフォーマンス階層型ベースサブスクリプションと脅威、マルウェア、URLフィルタリングサブスクリプションSKU
シナリオ6 – ライセンスが適切なスマートアカウントまたは仮想アカウントにない
製品インスタンスは、正しい仮想アカウントに転送できます。
ステップ 1:ブラウザを使用して、software.cisco.comにアクセスします
ステップ 2ライセンスの管理に移動します
ステップ 3右上のドロップダウンから適切なスマートアカウントを選択し、インベントリ> [仮想アカウント名] > [製品インスタンス] > [アクション]に移動して、転送>製品インスタンスの転送をクリックします。
ステップ 4ダイアログボックスが開いたら、正しい仮想アカウントを選択して、FMCまたはFTD製品インスタンスを移動します。
シナリオ7:FMCが適切なスマートアカウントまたは仮想アカウントにない
FMCまたはFTDが正しいスマートアカウントに登録されていない場合は、FMCスマートライセンスページで登録解除アイコンをクリックして、Smart Software ManagerからFMCの登録を解除します。
次に、適切なスマートアカウントと仮想アカウントからトークンを生成し、FMCをスマートソフトウェアマネージャに登録します。
シナリオ8:オンボックス管理用スマートアカウントからの製品インスタンスの削除
FMCは管理対象のデバイスのライセンスを取得するだけなので、FMCで管理されているデバイスには適用されません。
デバイスを再イメージングするときに、スマートアカウントからライセンスの登録を解除しないと、ライセンスが過剰に消費される場合があります。
ステップ 1:スマートアカウントの製品インスタンスに移動し、ホスト名を使用してインスタンスを特定します
ステップ 2Actions >> Removeの順にクリックします。
ステップ 3[製品インスタンスを削除]ボタンをクリックします。
上記のいずれのシナリオも役に立たない場合は、シスコテクニカルサポートセンターに連絡してください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
15-Jan-2024
|
初版 |
フィードバック