システムのライセンス

ここでは、Threat Defense デバイスをライセンスする方法について説明します。

ファイアウォールシステムのスマートライセンス

シスコ スマート ライセンシングは、シスコ ポートフォリオ全体および組織全体でソフトウェアをより簡単かつ迅速に一貫して購入および管理できる柔軟なライセンス モデルです。また、これは安全です。ユーザーがアクセスできるものを制御できます。スマート ライセンスを使用すると、次のことが可能になります。

  • 簡単なアクティベーション:スマートライセンスは、組織全体で使用できるソフトウェアライセンスのプールを確立します。PAK(製品アクティベーションキー)は不要です。

  • 管理の統合:My Cisco Entitlements(MCE)は、使いやすいポータルですべてのシスコ製品とサービスの完全なビューを提供するので、取得したもの、使用しているものを常に把握できます。

  • ライセンスの柔軟性:ソフトウェアはハードウェアにノードロックされていないため、必要に応じてライセンスを簡単に使用および転送できます。

スマートライセンスを使用するには、まず Cisco Software Central でスマートアカウントを設定する必要があります(software.cisco.com)。

シスコライセンスの概要については詳しくは、cisco.com/go/licensingguide [英語] を参照してください。

Cisco Smart Software Manager

Threat Defense デバイスに 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager(https://software.cisco.com/#SmartLicensing-Inventory)でそれらのライセンスを管理します。Cisco Smart Software Manager を使用すると、組織のプライマリアカウントを作成できます。

デフォルトでは、ライセンスはプライマリアカウントの下のデフォルト仮想アカウントに割り当てられます。アカウント管理者は、仮想アカウント(例:地域、部門、支社)を追加できます。複数の仮想アカウントは、大量のライセンスやアプライアンスを管理するのに役立ちます。

ライセンスとアプライアンスは仮想アカウントごとに管理されます。つまり、その仮想アカウントのアプライアンスのみが、そのアカウントに割り当てられたライセンスを使用できます。新たにライセンスを追加する必要がある場合は、別の仮想アカウントから未使用のライセンスを譲渡できます。また、仮想アカウント間でのアプライアンスの譲渡も可能です。

Cisco Smart Software Manager にデバイスを登録する際は、製品インスタンスの登録トークンを Cisco Smart Software Manager で作成し、そのトークンを Device Manager に入力します。登録済みデバイスが、使用されているトークンに基づいて仮想アカウントに関連付けられます。

Cisco Smart Software Manager の詳細については、そのマネージャのオンライン ヘルプを参照してください。

ライセンス認証局との定期通信

Threat Defense デバイスの登録に製品インスタンス登録トークンを使用すると、デバイスはシスコのライセンス認証局に登録されます。ライセンス認証局は、デバイスとライセンス認証局の間の通信用に ID 証明書を発行します。この証明書は 1 年間有効ですが、6 か月ごとに更新されます。ID 証明書の期限が切れた場合(通常、9 か月後または通信のない状態が 1 年続いた後)、デバイスは未登録状態に戻り、ライセンスされた機能は停止されます。

デバイスはライセンス認証局と定期的に通信します。Cisco Smart Software Manager に変更を加えた場合は、デバイス上で許可を更新し、変更をすぐに有効化することができます。また、スケジュールどおりにデバイスが通信するのを待つこともできます。通常のライセンスに関する通信は12時間ごとに行われますが、これには猶予期間があり、デバイスはホームをコールすることなく最大で90日間は動作します。90 日が経過する前にライセンス認証局に連絡する必要があります。

スマート ライセンスのタイプ

次の表に、Threat Defense デバイスで使用可能なライセンスを示します。

Threat Defense デバイスを購入すると、自動的にEssentialsライセンスが含まれます。すべての追加ライセンスはオプションです。

表 1. スマート ライセンスのタイプ

ライセンス

期間

付与される機能

Essentials

永久

オプションのターム ライセンスでカバーされないすべての機能。

Essentials ライセンスは登録時にアカウントに自動的に追加されます。ただし、Secure Firewall 3100 の場合は例外です。ファイアウォールを購入すると、基本ライセンスが取得され、そのライセンスはアカウントに含まれる他のライセンスと同様に管理されます。たとえば、登録時にライセンスが正しいバーチャルアカウントに含まれていることを確認する必要があります。

このトークンに登録された製品の輸出規制された機能を許可するかどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化(および高度な暗号化を必要とする機能)の使用を制御します。

IPS

期間ベース

次のポリシーを使用するために必要です。

  • Intrusion

  • ファイル(File)(マルウェア防御 も必要)

  • セキュリティ インテリジェンス(Security Intelligence)

マルウェア防御

ターム ベース

ファイルポリシー(IPS も必要)

URL

期間ベース

URL ポリシー:カテゴリおよびレピュテーションベースの URL フ ィルタリングまたは DNS ルックアップ要求フィルタリング。

このライセンスがなくても、個別の URL で URL フィルタリングを実行できます。

RA VPN:

  • Secure Client Advantage

  • Secure Client Premier

  • Secure Client VPN のみ

ライセンス タイプに基づきタームベースまたは永久

リモート アクセス VPN の設定。RA VPN を設定できるように、基本ライセンスで輸出規制機能を許可する必要があります。デバイスを登録するときに、エクスポート要件を満たすかどうかを選択します。

Device Manager は、任意の有効な セキュアクライアント ライセンスを使用できます。使用できる機能はライセンス タイプによって異なります。まだ購入していない場合は、リモート アクセス VPN のライセンス要件を参照してください。

Cisco AnyConnect Ordering Guide』(http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf)も参照してください。

通信事業者

ターム ベース

モバイル ネットワーク プロトコルのインスペクション。GTP/GPRS、Diameter、SCTP、および M3UA インスペクションを設定するには、このライセンスが必要です。これらのインスペクションを設定するには、FlexConfig を使用します。

Threat Defense Virtual のライセンス

このセクションでは、Threat Defense Virtual で使用可能なパフォーマンス階層ライセンスの権限について説明します。

すべての Threat Defense Virtual ライセンスを、サポートされているすべての Threat Defense Virtual vCPU/メモリ構成で使用できます。これにより、Threat Defense Virtual を使用しているお客様は、さまざまな VM リソースフットプリントで実行できるようになります。また、サポート対象の AWS および Azure インスタンスタイプの数も増えます。Threat Defense Virtual VM を設定する場合、サポートされる最大コア(vCPU)数は 16 個です。また、サポートされる最大メモリ容量は 32 GB RAM です。

Threat Defense Virtual スマートライセンスのパフォーマンス階層

RA VPN に対するセッション制限は、インストールされている Threat Defense Virtual プラットフォームの権限付与階層によって決定され、レートリミッタによって適用されます。次の表は、権限付与層とレート制限に基づくセッション制限をまとめたものです。

表 2. Threat Defense Virtual 権限付与に基づくライセンス機能の制限

パフォーマンス階層

デバイス仕様(コア/RAM)

レート制限

RA VPN セッション制限

FTDv5、100Mbps

4 コア/8 GB

100Mbps

50

FTDv10、1Gbps

4 コア/8 GB

1Gbps

250

FTDv20、3Gbps

4 コア/8 GB

3 Gbps

250

FTDv30、5Gbps

8 コア/16 GB

5 Gbps

250

FTDv50、10Gbps

12 コア/24 GB

10 Gbps

750

FTDv100、16 Gbps

16 コア/32 GB

16 Gbps

10,000

Threat Defense Virtual パフォーマンス階層ライセンスのガイドラインと制限事項

Threat Defense Virtual デバイスのライセンスを取得する際は、次の注意事項と制限事項に注意してください。

  • Threat Defense Virtual は、導入要件に基づいて異なるスループットレベルと VPN 接続制限を提供するパフォーマンス階層型ライセンスをサポートしています。

  • すべての Threat Defense Virtual ライセンスを、サポートされているすべての Threat Defense Virtual コア/メモリ構成で使用できます。これにより、Threat Defense Virtual を使用しているお客様は、さまざまな VM リソースフットプリントで実行できるようになります。

  • Threat Defense Virtual を展開する際、デバイスが評価モードであるか、すでに Cisco Smart Software Manager に登録されているかに関係なく、パフォーマンス階層を選択できます。


    (注)  


    お使いのスマート ライセンシング アカウントに、必要なライセンスが含まれていることを確認してください。使用アカウントにあるライセンスと一致する階層を選択することが重要です。Threat Defense Virtual をバージョン 7.0 にアップグレードする場合は、[FTDv - Variable] を選択して現在のライセンスコンプライアンスを維持できます。Threat Defense Virtual は、ご使用のデバイスの機能(コア/RAM の数)に基づいてセッション制限を引き続き実行します。


  • REST API を使用して、新しい Threat Defense Virtual デバイスを展開する場合や Threat Defense Virtual をプロビジョニングする場合、デフォルトのパフォーマンス階層は FTDv50 です。

  • Essentials ライセンスはサブスクリプションベースで、パフォーマンス階層にマッピングされます。バーチャルアカウントには、Threat Defense Virtual デバイスの Essentials ライセンス権限と、IPS マルウェア防御、および URL フィルタリング のライセンスが必要です。

  • 各 HA ピアは 1 つの権限を消費します。各 HA ピアの権限は Essentials ライセンスを含めて一致している必要があります。

  • HA ペアのパフォーマンス階層の変更は、プライマリピアに適用される必要があります。

  • ユニバーサル PLR ライセンスは、HA ペアの各デバイスに個別に適用されます。セカンダリデバイスが、プライマリデバイスのパフォーマンス階層を自動的にミラーリングすることはありません。手動で更新する必要があります。

暗号化機能に対するエクスポート制御設定の影響

デバイスを登録する場合、このトークンに登録された製品の輸出規制された機能を許可するかどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化(および高度な暗号化を必要とする機能)の使用を制御します。

評価モードは、非輸出準拠アカウントを使用して登録する場合と同じように扱われます。つまり、評価モードで実行している場合、リモートアクセス VPN を設定したり、高度な暗号化アルゴリズムを使用したりはできません。

特に、DES 標準は評価モードまたは非輸出準拠モードでのみ使用できます。

したがって、サイト間 VPN などの暗号化機能を設定したり、高可用性グループのフェールオーバー接続を暗号化したりすると、輸出準拠アカウントに登録した後に接続の問題が発生する可能性があります。機能が評価モードで DES を使用していた場合、アカウントの登録後にその機能の設定が破損します。

暗号化関連の問題を回避するには、次の推奨事項を考慮してください。

  • サイト間 VPN や暗号化されたフェールオーバー接続などの暗号化機能は、デバイスを登録するまで設定しないでください。

  • 輸出準拠アカウントを使用してデバイスを登録した後、評価モードで設定したすべての暗号化機能を編集し、より安全な暗号化アルゴリズムを選択します。各暗号化機能をテストおよび検証して、正しく機能していることを確認します。


(注)  


評価モードで HA フェールオーバー暗号化を設定した場合は、HA グループ内の両方のデバイスをリブートして、より強力な暗号化の使用を開始する必要もあります。両方のデバイスが自身をアクティブユニットと見なすスプリットブレイン状態を回避するために、最初に暗号化を削除することを推奨します。


期限切れまたは無効になっているオプション ライセンスの影響

次のいずれかのオプションライセンスが期限切れになっても、そのライセンスを必要とする機能は引き続き使用できます。ライセンスはコンプライアンス違反とマークされます。そのため、ライセンスを購入してアカウントに追加し、ライセンスをコンプライアンス状態に戻す必要があります。

オプションのライセンスを無効にすると、システムは次のように反応します。

  • マルウェア防御:システムは Secure Malware Analytics Cloud への問い合わせを停止し、Secure Malware Analytics Cloud から送信される遡及的イベントの確認応答も停止します。ファイルポリシーが含まれている既存のアクセス コントロール ポリシーは再展開できません。マルウェア防御 ライセンスが無効にされた後、システムが既存のキャッシュファイルの性質を使用できるのは極めて短時間のみであることに注意してください。この時間枠の経過後、システムは Unavailable という性質をこれらのファイルに割り当てます。

  • IPS :システムは、侵入ポリシーまたはファイルポリシーを適用しなくなります。セキュリティインテリジェンスポリシーの場合、システムはこのポリシーの適用を中止し、フィード更新のダウンロードを停止します。ライセンスを必要とする既存のポリシーを再展開することはできません。

  • [URL]:URLカテゴリ条件を使用したアクセス制御ルールはURLまたはDNSルックアップ要求のフィルタリングを直ちに停止し、システムはURLデータに対する更新をダウンロードしなくなります。既存のアクセス制御ポリシーにカテゴリおよびレピュテーションベースの URL 条件を使用したルールが含まれている場合は、それらのポリシーを再導入することができません。

  • [RA VPN]:リモート アクセス VPN 設定は編集できませんが、削除は可能です。ユーザは、引き続き、RA VPN 設定を使用して接続できます。ただし、システムがエクスポート準拠でなくなるようにデバイス登録を変更した場合は、リモート アクセス VPN 設定が直ちに停止し、どのリモート ユーザも VPN 経由で接続できなくなります。

スマート ライセンスの管理

システムの現在のライセンス ステータスを表示するには [スマート ライセンス(Smart License)] ページを使用します。システムにライセンスが付与されている必要があります。

90 日間の評価ライセンスを使用しているか、Cisco Smart Software Manager に登録されているかがページに表示されます。登録が完了すると、Cisco Smart Software Manager への接続のステータスと、ライセンスのタイプごとのステータスを確認できます。

使用認証により、スマート ライセンス エージェントのステータスが特定されます。

  • [承認済み(「接続中」、「十分なライセンス」)(Authorized ("Connected"、"Sufficient Licenses"))]:デバイスがライセンス認証局に接続し、登録しました。これにより、アプライアンスのライセンス権限付与が承認されました。これでデバイスはコンプライアンスに遵守しています。

  • [コンプライアンス違反(Out-of-Compliance)]:デバイスに使用可能なライセンス権限付与がありません。ライセンスされた機能は動作を継続します。ただし、遵守するためには、追加の権限付与を購入するか、他を解放して権限付与を確保する必要があります。

  • [承認期限切れ(Authorization Expired)]:デバイスはライセンス認証局と 90 日以上通信していません。ライセンスされた機能は動作を継続します。スマート ライセンス エージェントが認証要求を再試行します。再試行に成功すると、エージェントは [コンプライアンス違反(Out-of-Compliance)] または [承認済み(Authorized)] 状態になり、新しい認証期間が始まります。デバイスを手動で同期してみてください。


(注)  


スマート ライセンス ステータスの横にある [i] ボタンをクリックすると、仮想アカウント、輸出規制機能を表示できます。また、Cisco Smart Software Manager へのリンクも表示されます。輸出規制機能は、国家の安全、外交政策、およびテロ対策関連の法規制の対象となるソフトウェアを制御します。


次の手順では、システム ライセンスの管理方法の概要について説明します。

始める前に

システムのインターネットへのパスがない場合は、スマートライセンスを使用できません。代わりに、パーマネントライセンス予約(PLR)モードに切り替えます。詳細については、エアギャップネットワークでの永久ライセンスの適用を参照してください。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

デバイスを登録します。

オプションのライセンスを割り当てる前に、Cisco Smart Software Manager に登録する必要があります。評価期間が終了するまでに登録してください。

デバイスの登録を参照してください。

(注)  

 

登録する際に、使用状況データをシスコに送信するかどうかを選択します。選択内容は、歯車アイコンの横にある [Cisco Success Networkにアクセス(Go To Cisco Success Network)] リンクをクリックすると変更できます。

ステップ 3

オプション機能のライセンスをリクエストして管理します。

ライセンスによって制御される機能を使用するには、オプションのライセンスを登録する必要があります。オプション ライセンスのイネーブル化とディセーブル化を参照してください。

ステップ 4

システム ライセンスを維持します。

次のタスクを実行できます。


デバイスの登録

Threat Defense デバイスを購入すると、自動的に Essentials ライセンスが含まれます。Essentials ライセンスは、オプションライセンスではカバーされないすべての機能をカバーしています。これは永久ライセンスです。

システムの初期セットアップ時に、Cisco Smart Software Manager にデバイスを登録するよう求められます。90 日間の評価ライセンスを選択した場合、評価期間が終了する前にデバイスを登録する必要があります。

デバイスを登録すると、仮想アカウントによってライセンスがデバイスに割り当てられます。デバイスを登録すると、有効にしているすべてのオプション ライセンスも登録されます。

始める前に

デバイスの登録時には、そのデバイスだけが登録されます。高可用性のために設定されているデバイスの場合は、その装置を登録するために、高可用性ペアにあるその他の装置にログインする必要があります。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

[Register Device] をクリックして、説明に従います。

  1. リンクをクリックして Cisco Smart Software Manager を開いて自分のアカウントにログインするか、必要に応じて新しいアカウントを作成します。

  2. 新しいトークンを生成します。

    トークンを作成するとき、トークンの使用に有効な期間を指定します。推奨される有効期間は 30 日間です。この期間は、トークン自体の有効期限を定義するものであり、トークンを使用して登録するデバイスには影響しません。有効期限が切れた後にトークンを使用するには、新しいトークンを生成します。

    このトークンに登録された製品の輸出規制された機能を許可するかどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化(および高度な暗号化を必要とする機能)の使用を制御します。

  3. トークンをコピーして [スマート ライセンス登録(Smart License Registration)] ボックスに貼り付けます。

  4. Threat Defense Virtualデバイスのパフォーマンス階層(Threat Defense Virtualのみ)を選択するか、デフォルトの選択のままにします。

    パフォーマンス階層が選択されていない場合、Threat Defense Virtual デバイスはレガシーモードで動作します。デフォルト設定は 4 コア/ 8 GB です。詳細については、Threat Defense Virtual パフォーマンス階層の変更を参照してください。

  5. シスコ クラウドサービスの登録リージョンを選択します。

    登録後、このリージョンを変更する必要がある場合は、デバイスの登録を解除してから再度登録し、新しいリージョンを選択する必要があります。

  6. 使用状況データをシスコに送信するかどうかを決定します。

    Cisco Success Network ステップの情報を読み、[サンプル データ(Sample Data)] をクリックして収集された実際のデータへのリンクを表示して、[Cisco Success Network を有効にする(Enable Cisco Success Network)] オプションを選択したままにするかどうかを決定します。

  7. [デバイスの登録(Register Device)] をクリックします。


Threat Defense Virtual パフォーマンス階層の変更

Threat Defense Virtual は、導入要件に基づいて異なるスループットレベルと VPN 接続制限を提供するパフォーマンス階層型ライセンスをサポートしています。すべての Threat Defense Virtual ライセンスを、サポートされているすべての Threat Defense Virtual コア/メモリ構成で使用できます。これにより、Threat Defense Virtual を使用しているお客様は、さまざまな VM リソースフットプリントで実行できるようになります。Threat Defense Virtual スマートライセンスのパフォーマンス階層を参照してください。

Threat Defense Virtual をバージョン 7.0+ にアップグレードすると、デバイスは自動的に「FTDv 変数」 階層状態に移行し、権限付与レベルを選択するまで非階層化権限を使用し続けます。

次の点を考慮してください。

  • スループットまたは RA VPN の要件に基づいて、導入ニーズに合わせてパフォーマンス階層を変更できます。Threat Defense Virtual は、調整可能なコアおよびメモリリソースを使用して展開することに注意してください。選択したパフォーマンス階層は、デバイスの仕様を超えることはできません。

  • AWS では、パフォーマンス階層の変更はサポートされていません。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス概要(Smart License summary)] の [設定の表示(View Configuration)] をクリックします。

ステップ 2

[パフォーマンス階層(Performance Tier)] ドロップダウンリストから目的のオプションを選択します。

  • FTDv5(4 コア/8 GB)
  • FTDv10(8 コア/8 GB)
  • FTDv20(8 コア/8 GB)
  • FTDv30(8 コア/16 GB)
  • FTDv50(12 コア/24 GB)
  • FTDv100(16 コア/24 GB)

(注)  

 

現在のデバイス仕様に基づいて最適な階層が強調表示されます。

ステップ 3

選択内容とデバイスの仕様を確認します。

(注)  

 

Threat Defense Virtual VM を設定する場合、サポートされる最大コア(vCPU)数は 12 個です(VMware および KVM での FTDv100 の場合は 16 個)。また、サポートされる最大メモリ容量は 24 GB RAM です。選択したパフォーマンス階層は、デバイスの仕様を超えることはできません。

ステップ 4

[はい(Yes)] をクリックして、パフォーマンス階層を変更します。


オプション ライセンスのイネーブル化とディセーブル化

オプションのライセンスを有効化(登録)または無効化(リリース)できます。ライセンスによって制御される機能を使用するには、そのライセンスをイネーブルにする必要があります。

オプションのターム ライセンスの対象となる機能が不要になった場合は、そのライセンスをディセーブルにできます。ライセンスをディセーブルにすると、Cisco Smart Software Manager アカウントでライセンスが解放され、それを他のデバイスに適用できます。

また、評価モードで実行中の場合は、これらのライセンスの評価版をイネーブルにすることもできます。評価モードでは、デバイスを登録するまでライセンスは Cisco Smart Software Manager に登録されません。ただし、評価モードでは RA VPN ライセンスまたはキャリアライセンスを有効化できません。

始める前に

ライセンスをディセーブルにする前に、そのライセンスを使用していないことを確認してください。ライセンスを必要とするポリシーは書き換えるか削除します。

高可用性の設定で動作する装置の場合は、アクティブな装置でのみライセンスを有効化または無効化します。スタンバイ装置が必要なライセンスを要求(または解放)すると、次の設定の展開時にスタンバイ装置に変更内容が反映されます。ライセンスを有効にする際は、Cisco Smart Software Manager アカウントで十分な数のライセンスが使用可能であることを確認する必要があります。これを確認しないと、一方の装置が準拠、もう一方の装置が非準拠になる可能性があります。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

必要に応じて、それぞれのオプション ライセンスの [有効化/無効化(Enable/Disable)] コントロールをクリックします。

  • [イネーブル(Enable)]:ライセンスを Cisco Smart Software Manager アカウントに登録し、制御される機能をイネーブルにします。これで、そのライセンスによって制御されるポリシーを設定し展開できます。

  • [ディセーブル(Disable)]:ライセンスを Cisco Smart Software Manager アカウントから登録解除し、制御される機能をディセーブルにします。新しいポリシーでこの機能を設定することも、この機能を使用するポリシーを展開することもできません。

ステップ 3

RA VPN ライセンスを有効にしている場合、アカウントで使用可能なライセンス タイプを選択します。


Cisco Smart Software Manager との同期

システムは定期的にライセンス情報を Cisco Smart Software Manager と同期します。通常のライセンスに関する通信は 30 日ごとに行われます。猶予期間においてアプライアンスは、Call Home を行うことなく最大で 90 日間動作します。

ただし、Cisco Smart Software Manager に変更を加えた場合は、デバイス上で許可を更新し、すぐに変更が適用されるようにすることができます。

同期により、ライセンスの現在のステータスが取得され、認証と ID 証明書が更新されます。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス概要(Smart License summary)] の [設定の表示(View Configuration)] をクリックします。

ステップ 2

ドロップダウン リストから [接続の再同期(Resync Connection)] を選択します。


デバイスの登録解除

デバイスを使用しなくなった場合は、Cisco Smart Software Manager からデバイスの登録を解除できます。登録を解除すると、仮想アカウントでデバイスに関連付けられているEssentialsライセンスとすべてのオプションライセンスが解放されます。オプション ライセンスは他のデバイスに割り当てることができます。また、デバイスはクラウドおよびクラウドサービスから登録解除されます。

デバイスの登録を解除すると、デバイスの現在の設定とポリシーはそのまま機能しますが、変更を加えたり展開したりすることはできません。


注意    


デバイスの登録を解除するには、次の手順を使用する必要があります。代わりに Cisco Smart Software Manager アカウントから登録を解除すると、デバイスでのライセンス状態と Cisco Smart Software Manager でのライセンス状態の間に不一致が生じます。これにより、HA ペアを形成する場合など、デバイスのライセンス登録を再度試行したときにエラーが発生します。この失敗の症状を示すメッセージは、「Failed to generate token to enroll with Cisco Cloud using Smart License」と「Could not return the certificate for the given sn (serial_number) since it is REVOKED.」です。この場合は、この手順を使用してユニットの登録を解除し、再試行してください。


始める前に

デバイスの登録解除時には、そのデバイスだけが登録解除されます。高可用性のために設定されているデバイスの場合は、その装置を登録解除するために、高可用性ペアにあるその他の装置にログインする必要があります。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

歯車ドロップダウンリストから [デバイスの登録解除(Unregister Device)] を選択します。

ステップ 3

警告を読み、デバイスを登録解除する場合は [登録解除(Unregister)] をクリックします。


エアギャップネットワークでの永久ライセンスの適用

エアギャップネットワークは、インターネットへのパスがないネットワークです。これらは、外部からの侵入や攻撃の可能性を完全に防ぐことを目指した高セキュリティネットワークです。インターネットへのパスがないため、Cisco Smart Software Manager にデバイスを直接登録することはできません。代わりに、永久ライセンス予約(PLR)モードを使用して、デバイスに適用可能なライセンスを取得できます。

PLR モードを使用する必要がある場合は、次のことに注意してください。

  • ファイルポリシー、URL ルックアップ、パブリック Web サイトへの状況に応じた相互起動といった、インターネットへのアクセスを必要とする機能は使用できません。

  • Web 分析と Cisco Success Network を有効にしても、インターネットへのアクセスがないため、シスコは関連データを収集しません。

  • 地理位置情報データベース、侵入ルール、および脆弱性データベース(VDB)に更新を手動でアップロードする必要があります。たとえば、更新をフラッシュドライブにダウンロードし、そのドライブをセキュリティ保護された建物に持ち込んで、セキュリティ保護されたワークステーションからアップロードすることができます。


(注)  


Cisco Smart Software Manager は、デバイスのシリアル番号を使用して永久ライセンスを割り当てます。デバイスの登録を解除する必要があるものの、通常の登録解除プロセスまたはキャンセルプロセスでライセンス割り当ての削除に失敗した場合、シスコ テクニカルサポートに連絡して、Cisco Smart Software Manager から登録を削除する必要があります。デバイスを再イメージ化しても、ライセンス登録は削除されません。


次のトピックでは、各タイプの永久ライセンス、それらを適用する方法、およびデバイスの登録をキャンセルまたは解除する方法について詳しく説明します。

ユニバーサル永久ライセンスと特定ライセンス予約

ライセンス予約には、次の 2 つの異なるタイプがあります。

  • ユニバーサル永久ライセンス予約(ユニバーサル PLR または UPLR):ユニバーサル永久ライセンスでは、サポートされているファイアウォール製品(すべてのオプションライセンスを含む)を無期限かつ無制限で使用できます。ユニバーサル永久ライセンスを購入して適用すると、適用される機能ライセンスが、無期限に適用されます(通常は時間ベース)。ただし、スマート ライセンス アカウントで有効期限が切れた場合は、交換用ライセンスを購入する必要があります。

  • 特定ライセンス予約:特定ライセンス予約には、標準スマートライセンスと同じ数およびタイプのライセンスが必要です。このライセンスを取得する場合は、基本ライセンスに追加するオプションの機能ライセンスを選択します。このライセンスは有効期限があるため、定期的に更新する必要があります。

Device Manager ではユニバーサル PLR だけがサポートされています。

Cisco Smart Software Manager(CSSM)アカウントでユニバーサル永久ライセンス予約(PLR)モードを有効にする場合は、シスコの担当者と協同で作業する必要があります。

スマートアカウントがユニバーサルライセンスを提供できることの確認

永久ライセンスを取得して適用できることを確認するには、CSSM アカウントにログインし、[スマートソフトウェアライセンシング(Smart Software Licensing)] > [インベントリ(Inventory)] ページに移動して、[ライセンス(Licenses)] タブをクリックします。[ライセンスの予約(License Reservation)] ボタンが表示された場合は、永久ライセンス予約を取得する権限があります。

ただし、このボタンを使用すると、ユニバーサルライセンスと特定の永久ライセンスの両方に対して機能するウィザードが開始します。

また、デバイスのユニバーサルライセンスがあることを確認するには、使用可能なライセンスのリストを参照する必要があります。このライセンスは、[ライセンスの予約(License Reservation)] ボタンで起動するウィザードのステップ 2 で選択可能な項目として表示されます。

[ライセンスの予約(License Reservation)] ボタンが表示され、ユニバーサルライセンスを取得できる場合は、永久ライセンスを使用するためのシステムの変換に進めます。ボタンが表示されない場合、または特定のライセンスのみを予約できる場合は、シスコの担当者に連絡し、お客様のアカウントに対してユニバーサル PLR モードを有効にするように依頼してください。

PLR モードへの切り替えおよびユニバーサルライセンスの適用

スマートアカウントがユニバーサルライセンスを提供できることの確認の説明に従い、永久ライセンスを取得できることを確認し、必要なユニバーサルライセンスを購入したら、永久ライセンス予約(PLR)モードに切り替えてライセンスを適用できます。


注意    


現在評価モードになっている場合、PLR モードに切り替えた後で評価モードに戻ることはできません。


始める前に

デバイスが高可用性用に設定されている場合は、HA グループ内の両方のデバイスに対して、このタスクを個別に実行する必要があります。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

スマートライセンスを使用してすでにデバイスを登録している場合は、歯車 歯車/設定] をクリックします。 ドロップダウンリストから [デバイスの登録解除(Unregister Device)] を選択し、登録解除を確認します。登録解除タスクが完了するのを待ってから、次に進みます。

ステップ 3

歯車 歯車/設定] をクリックします。 ドロップダウンリストから [ユニバーサルPLRに切り替え(Switch to Universal PLR)] を選択して、ユニバーサル永久ライセンス予約(PLR)モードに切り替えます。

警告を読み、[はい(Yes)] をクリックしてスイッチを確認します。

システムが PLR モードに切り替わり、PLR 登録プロセスが開始されます。

ステップ 4

PLR 登録を完了します。

  1. [ユニバーサル永久ライセンス予約(Universal Permanent License Reservation)] ダイアログボックスが開いたら、最初のステップで必要な要求コードを含めます。テキストファイルに保存する場合は [テキストで保存(Save AS TXT)] をクリックし、印刷する場合は [印刷(Print)] をクリックします。文字列を強調表示し、Ctrl+C を押してクリップボードにコピーすることもできます。

    モードの切り替え後にプロセスをキャンセルした場合は、[ライセンス(Licensing)] ページの [予約の続行(Continue Reservation)] ボタンをクリックして、この時点から再開できます。

  2. CSSM アカウントにログインし、[スマートソフトウェアライセンシング(Smart Software Licensing)] > [インベントリ(Inventory)] ページに移動して、[ライセンス(Licenses)] タブをクリックします。

  3. [ライセンス予約(License Reservation)] ボタンをクリックし、ウィザードの指示に従います。生成した要求コードの入力を求められ、入力すると、承認コードを入手できます。

    ウィザードには、次のステップが含まれています。

    1. ライセンス要求コードを入力するか、コードを含むテキストファイルをアップロードして、[次へ(Next)] をクリックします。

    2. ステップ 2 では、ライセンスを取得しているシステムの製品の詳細と、使用可能なライセンスの箇条書きリストが表示されます。ローカルで管理されている Threat Defense デバイスのユニバーサルライセンスを選択し、[次へ(Next)] をクリックします。

    3. ステップ 3 では、適切なライセンスが選択されていることを確認し、[承認コードの生成(Generate Authorization Code)] をクリックします。

    4. ステップ 4 では、承認コードが表示されます。必要に応じて、[ファイルとしてダウンロード(Download As File)] または [クリップボードにコピー(Copy to Clipboard)] をクリックして、コードを保存します。

    5. [閉じる(Close)] をクリックして、ウィザードを終了します。

  4. Device Manager に戻り、承認コードを適切なフィールドに貼り付けます。

    ユニバーサルライセンスの有効な承認コードの形式は次のとおりです。XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXX。ここで X は英数字です。承認コードが XML ファイルである場合、特定のライセンスを保有していますが、このシステムでは使用できません。PLR 登録のキャンセルの説明に従って登録をキャンセルし、CSSM で予約済みライセンスをリリースしてください。次に、シスコの担当者と協力して、スマートアカウントを ユニバーサル PLR に変換します。

  5. [Register] をクリックします。

    登録プロセスが開始されます。[ライセンス(Licensing)] ページを更新して、登録ステータスを確認します。

ステップ 5

必要に応じて、オプションの機能ライセンスを有効にします。

ユニバーサルライセンスでは、Essentialsライセンスに対してのみデバイスが登録されます。必要な機能ライセンスごとに、[有効化(Enable)] をクリックできます。


PLR 登録のキャンセル

ユニバーサル永久ライセンス予約(PLR)要求は、完了する前にキャンセルできます。たとえば、PLR 登録プロセスを開始したが、Smart Software Manager アカウントが PLR に対して設定されていない場合は、PLR モードの承認を取得している間にプロセスをキャンセルし、スマート ライセンス アカウントを適切に設定できます。

PLR 登録プロセスが完了している場合は、キャンセルできません。代わりに、「PLR モードでのデバイスの登録解除」を参照してください。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

歯車 歯車/設定] をクリックします。 ドロップダウンリストから [PLRのキャンセル(Cancel PLR)] を選択して、キャンセルプロセスを開始します。

ステップ 3

状況に適したオプションを選択します。

  • [CSSMにライセンスがあります(I have a license in CSSM)]: Cisco Smart Software Manager(CSSM)でライセンス登録ウィザードを実行し、承認コードを取得している場合は、このオプションを使用します。この時点で、CSSM に予約されているライセンスがあるため、それらのライセンスをリリースする必要があります。

  • [CSSMにライセンスがありません(I do not have a license in CSSM)]]:承認コードを取得した時点で CSSM ウィザードを完了していない場合は、このオプションを使用します。たとえば、Device Manager で PLR 登録を開始したが、自分のスマートアカウントに [ライセンス予約(License Reservation)] ボタンがないことに気付いた場合に使用します。

ステップ 4

([CSSMにライセンスがあります(I have a license in CSSM)] を選択した場合)。ライセンスが使用中としてマークされていないことを確認するには、CSSM からリリースコードを取得する必要があります。取得しないと、それらのライセンスは他のデバイスで使用可能な状態になりません。

  1. (登録時に)CSSM から取得した承認コードを [キャンセル(Cancellation)] ダイアログボックスに貼り付け、[リリースコードの生成(Generate Release Code)] をクリックします。

  2. [ライセンスコードのリリース(Release License Code)] フィールドにコードがある場合は、[テキストで保存(Save As TXT)] をクリックしてテキストファイルに保存するか、[印刷(Print)] をクリックして印刷します。コードを選択し、Ctrl+C を押してクリップボードにコピーすることもできます。

  3. CSSM の [スマートソフトウェアライセンシング(Smart Software Licensing)] > [インベントリ(Inventory)] ページでデバイスを見つけ([名前(Name)] はデバイスのシリアル番号)、[アクション(Action)] > [削除(Remove)] をクリックして、リリースコードを入力します。

    CSSM に製品が正常に削除されたことが表示されるまで待ちます。

ステップ 5

[OK] をクリックしてキャンセルプロセスを完了します。

システムがスマートライセンスモードに戻ります。ただし、デバイスは登録解除されるため、評価モードは再開できません。この時点で、スマートライセンスを使用してデバイスを登録するか、PLR モードに切り替えて、使用するデバイスを再度登録する必要があります。


PLR モードでのデバイスの登録解除

デバイスの使用を停止する、別のファシリティに移動するなどによりデバイスのライセンスを必要としなくなった場合、デバイスの登録を解除できます。

デバイスの登録を解除すると、ライセンスが未使用の状態に戻ります。デバイスの登録を解除しない場合、ライセンスは使用中としてマークされたままになり、他の目的で使用することはできません。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

歯車 歯車/設定] をクリックします。 ドロップダウンリストから [ユニバーサルPLRの登録解除(Unregister Universal PLR)] を選択し、警告を読み、[はい(Yes)] をクリックしてプロセスを開始します。

ステップ 3

[ユニバーサル永久ライセンス予約の登録解除(Unregister Universal Permanent License Reservation)] ダイアログボックスが開くと、[リリースライセンスコード(Release License Code)] フィールドには、CSSM アカウントに現在割り当てられているライセンスを解放するために必要なコードが入力されます。このコードのコピーを保持するには、[テキストで保存(Save as TXT)] または [印刷(Print)] をクリックします。コードを選択し、Ctrl+C を押してクリップボードにコピーすることもできます。

ステップ 4

CSSM アカウントに移動し、[スマートソフトウェアライセンシング(Smart Software Licensing)] > [インベントリ(Inventory)] ページでデバイスを見つけ([名前(Name)] はデバイスのシリアル番号)、[アクション(Action)] > [削除(Remove)] をクリックして、リリースコードを入力します。

CSSM に製品が正常に削除されたことが表示されるまで待ちます。

ステップ 5

Device Manager に戻り、[デバイスの登録解除(Unregister Device)] ダイアログボックスで [登録解除(Unregister)] をクリックします。

これでプロセスは完了です。この時点で、CSSM のライセンスは他のデバイスに自由に割り当てることができ、Threat Defense デバイスのライセンスは解除されます。