この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
シスコ スマート ソフトウェア ライセンスによって、ライセンスを購入し、ライセンスのプールを一元管理することができます。各ユニットのライセンス キーを管理しなくても、簡単にデバイスを導入したり導入を終了したりできます。スマート ソフトウェア ライセンスを利用すれば、ライセンスの使用状況と要件をひと目で確認することもできます。
(注) | このセクションは、Firepower 4100/9300 シャーシ上の ASA 論理デバイスにのみ該当します。Firepower Threat Defense 論理デバイスのライセンスの詳細については、『Firepower Management Center Configuration Guide』を参照してください。 |
ここでは、スマート ソフトウェア ライセンスの仕組みについて説明します。
(注) | このセクションは、Firepower 4100/9300 シャーシ上の ASA 論理デバイスにのみ該当します。Firepower Threat Defense 論理デバイスのライセンスの詳細については、『Firepower Management Center Configuration Guide』を参照してください。 |
Firepower 4100/9300 シャーシ上の ASA アプリケーションの場合、スマート ソフトウェア ライセンス設定は Firepower 4100/9300 シャーシ スーパバイザとアプリケーションの間で分割されます。
デバイスの 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager で管理します。
https://software.cisco.com/#module/SmartLicensing
Smart Software Manager では、組織のマスター アカウントを作成できます。
(注) | まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のマスター アカウントを作成できます。 |
デフォルトでは、ライセンスはマスター アカウントの下のデフォルトの仮想アカウントに割り当てられます。アカウントの管理者として、オプションで追加の仮想アカウントを作成できます。たとえば、地域、部門、または子会社ごとにアカウントを作成できます。複数の仮想アカウントを使用すると、大量のライセンスおよびデバイスをより簡単に管理できます。
デバイスにインターネット アクセスがなく、License Authority に登録できない場合は、オフライン ライセンスを設定できます。
デバイスがセキュリティ上の理由でインターネットにアクセスできない場合、オプションで、各 ASA の永続ライセンスを要求できます。永続ライセンスでは、License Authority への定期的なアクセスは必要ありません。PAK ライセンスのように、ライセンスを購入し、ASA のライセンス キーをインストールします。PAK ライセンスとは異なり、ライセンスの取得と管理に Smart Software Manager を使用します。通常のスマート ライセンス モードと永続ライセンスの予約モード間で簡単に切り替えできます。
すべての機能、すなわちモデルの正しい最大スループットを備えた標準ティアおよびキャリア ライセンスを有効にするライセンスを取得できます。ライセンスは Firepower 4100/9300 シャーシ 上で管理されますが、それに加えて ASA の設定で権限付与を要求することにより、ASA でそれらを使用できるようにする必要があります。
デバイスがセキュリティ上の理由でインターネットにアクセスができない場合、オプションで、仮想マシン(VM)としてローカル Smart Software Manager サテライト サーバをインストールできます。衛星は、Smart Software Manager 機能のサブセットを提供し、すべてのローカル デバイスに重要なライセンス サービスを提供することが可能になります。ライセンス使用を同期するために、定期的に衛星だけが License Authority と同期する必要があります。スケジュールに沿って同期するか、手動で同期できます。
サテライト アプリケーションをダウンロードして導入したら、インターネットを使用して Cisco SSM にデータを送信しなくても、以下の機能を実行できます。
詳細については、Smart Account Manager satelliteにあるスマート ソフトウェア マネージャ サテライトのインストール ガイドおよびコンフィギュレーション ガイドを参照してください。
ライセンスとデバイスは仮想アカウントごとに管理されます。アカウントに割り当てられたライセンスを使用できるのは、その仮想アカウントのデバイスのみです。追加のライセンスが必要な場合は、別の仮想アカウントから未使用のライセンスを転用できます。仮想アカウント間でデバイスを転送することもできます。
Firepower 4100/9300 シャーシのみがデバイスとして登録され、シャーシ内の ASA アプリケーションはそれぞれ固有のライセンスを要求します。たとえば、3 つのセキュリティ モジュールを搭載した Firepower 9300 シャーシでは、全シャーシが 1 つのデバイスとして登録されますが、各モジュールは合計 3 つのライセンスを別個に使用します。
Firepower 4100/9300 シャーシ は、次の 2 タイプの評価ライセンスをサポートしています。
シャーシ レベル評価モード:Firepower 4100/9300 シャーシによる Licensing Authority への登録の前に、評価モードで 90 日間(合計使用時間)動作します。このモードでは、ASA は固有の権限付与を要求できません。デフォルトの権限のみが有効になります。この期間が終了すると、Firepower 4100/9300 シャーシ はコンプライアンス違反の状態になります。
権限付与ベースの評価モード:Firepower 4100/9300 シャーシ が Licensing Authority に登録をした後、ASA に割り当て可能な時間ベースの評価ライセンスを取得できます。ASA で、通常どおりに権限付与を要求します。時間ベースのライセンスの期限が切れると、時間ベースのライセンスを更新するか、または永続ライセンスを取得する必要があります。
(注) | 高度暗号化(3DES/AES)の評価ライセンスは取得できません。永続ライセンスのみがこの権限をサポートします。 |
このセクションでは、デバイスの Smart Software Manager に対する通信方法について説明します。
各仮想アカウントに対し、登録トークンを作成できます。このトークンは、デフォルトで 30 日間有効です。各シャーシを導入するとき、または既存のシャーシを登録するときにこのトークン ID と権限付与レベルを入力します。既存のトークンの有効期限が切れている場合は、新しいトークンを作成できます。
導入した後、または既存のシャーシでこれらのパラメータを手動で設定した後、そのシャーシを起動するとシスコのライセンス認証局に登録されます。シャーシがトークンで登録されるとき、ライセンス認証局はシャーシとそのライセンス認証局との間で通信を行うために ID 証明書を発行します。この証明書の有効期間は 1 年ですが、6 か月ごとに更新されます。
デバイスは 30 日ごとに License Authority と通信します。Smart Software Manager に変更を行う場合、デバイスの認証を更新して変更をすぐに反映させることができます。またはスケジュール設定されたデバイスの通信を待つこともできます。
Firepower 4100/9300 シャーシ では、少なくとも 90 日おきに、直接接続または HTTP プロキシを介したインターネット アクセスが必要です。通常のライセンス通信が 30 日ごとに行われますが、猶予期間によって、デバイスは Call Home なしで最大 90 日間動作します。猶予期間後、Licensing Authority に連絡しない限り、特別なライセンスを必要とする機能の設定変更を行なえませんが、動作には影響ありません。
デバイスは次の状況でコンプライアンス違反になる可能性があります。
アカウントのステータスがコンプライアンス違反状態なのか、違反状態に近づいているのかを確認するには、Firepower 4100/9300 シャーシで現在使用中の権限付与とスマート アカウントのものを比較する必要があります。
コンプライアンス違反の場合、特別なライセンスが必要な機能への設定変更はできなくなりますが、その他の動作には影響ありません。たとえば、標準のライセンス制限を超える既存のコンテキストは実行を継続でき、その構成を変更することもできますが、新しいコンテキストを追加することはできません。
デフォルトで、Smart Call Home のプロファイルは、ライセンス認証局の URL を指定する FXOS 設定内にあります。このプロファイルは削除できません。ライセンス プロファイルの設定可能なオプションは、ライセンス機関の宛先アドレス URL のみであることに注意してください。Cisco TAC に指示されない限り、License Authority の URL は変更しないでください。
この章は、Firepower 4100/9300 シャーシ上の ASA 論理デバイスにのみ該当します。Firepower Threat Defense 論理デバイスのライセンスの詳細については、『Firepower Management Center Configuration Guide』を参照してください。
Cisco Smart Software Manager でマスター アカウントを作成します。
https://software.cisco.com/#module/SmartLicensing
まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のマスター アカウントを作成できます。
Cisco Commerce Workspace から 1 つ以上のライセンスを購入します。ホーム ページの [Find Products and Solutions] フィールドで、該当するプラットフォームを検索します。一部のライセンスは無料ですが、スマート ソフトウェア ライセンス アカウントにそれらを追加する必要があります。
シャーシがライセンス機関と通信できるように、シャーシからのインターネット アクセスまたは HTTP プロキシ アクセスを確保します。
シャーシのための時間を設定します。
ASA ライセンス資格を設定する前に、Firepower 4100/9300 シャーシでスマート ソフトウェア ライセンス インフラストラクチャを設定します。
各 Firepower 4100/9300 シャーシは、License Authority またはサテライト サーバに登録される必要があります。セカンダリ ユニットに追加費用はかかりません。永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入する必要があります。
Firepower 4100/9300 シャーシ のデフォルト設定には、Licensing Authority の URL を指定する、「SLProf」という Smart Call Home プロファイルが含まれます。
Cisco License Authority と通信するため、必要に応じて HTTP プロキシを設定できます。License Authority に登録するには、スマート ソフトウェア ライセンス アカウントから取得した Firepower 4100/9300 シャーシ の登録トークン ID を入力する必要があります。
ステップ 1 | (任意)HTTP プロキシの設定. |
ステップ 2 | Firepower セキュリティ アプライアンスの License Authority への登録. |
ネットワークでインターネット アクセスに HTTP プロキシを使用する場合、スマート ソフトウェア ライセンスのプロキシ アドレスを設定する必要があります。このプロキシは、一般に Smart Call Home にも使用されます。
(注) | 認証を使用する HTTP プロキシはサポートされません。 |
以前に設定された Call Home URL を削除するには、次の手順を実行します。
License Authority に Firepower 4100/9300 シャーシ を登録すると、Firepower 4100/9300 シャーシ と License Authority の間の通信に使用する ID 証明書が発行されます。また、Firepower 4100/9300 シャーシ が該当する仮想アカウントに割り当てられます。通常、この手順は 1 回で済みます。ただし、通信の問題などが原因で ID 証明書の期限が切れた場合は、Firepower 4100/9300 シャーシ の再登録が必要になります。
ステップ 1 | Smart Software Manager または Smart Software Manager Satellite で、このFirepower 4100/9300 シャーシの追加先となるバーチャル アカウントの登録トークンを要求してコピーします。
スマート ソフトウェア マネージャ サテライトを使用して登録トークンを要求する方法について詳しくは、『Cisco Smart Software Manager Satellite User Guide』(http://www.cisco.com/web/software/286285517/138897/Smart_Software_Manager_satellite_4.1.0_User_Guide.pdf)を参照してください。 |
ステップ 2 | Firepower Chassis Manager で、 の順に選択します。 |
ステップ 3 | [Enter Product Instance Registration Token] フィールドに登録トークンを入力します。 |
ステップ 4 | [Register] をクリックします。
Firepower 4100/9300 シャーシが License Authority への登録を試行します。 デバイスの登録を解除するには、[Unregister] をクリックします。 Firepower 4100/9300 シャーシ の登録を解除すると、アカウントからデバイスが削除され、デバイスのすべてのライセンス資格と証明書が削除されます。登録を解除することで、ライセンスを新しい Firepower 4100/9300 シャーシ に利用することもできます。あるいは、Smart Software Manager からデバイスを削除できます。 |
スマート ライセンス サテライト サーバを使用するように Firepower 4100/9300 シャーシを設定するには、次の手順に従います。
スマート ソフトウェア ライセンスの前提条件に記載のすべての前提条件を満たす必要があります。
スマート ライセンス サテライト OVA ファイルを Cisco.com からダウンロードし、VMwareESXi サーバにインストールおよび設定します。詳細については、『Smart Software Manager satellite Install Guide』を参照してください。
証明書チェーンがまだない場合、次の手順を使用してそれを要求します。
キー リングを作成します(キー リングの作成)。
そのキー リングの証明書要求を作成します(基本オプション付きのキー リングの証明書要求の作成)。
キー リングの証明書チェーンを取得するために、この証明書要求をトラスト アンカーまたは認証局に送信します。
詳細については、証明書、キー リング、トラスト ポイントを参照してください。
ステップ 1 | を選択します。 |
ステップ 2 | [Call home Configuration] 領域で、[Address] フィールドのデフォルト URL を、サテライト URL https://ip_address/Transportgateway/services/DeviceRequestHandler に置き換えます。 |
ステップ 3 | 新しいトラスト ポイントを作成します。新しいトラスト ポイントを作成するには、FXOS CLI を使用する必要があります。 例: firepower-chassis# scope security firepower-chassis /security # create trustpoint tPoint10 firepower-chassis /security/trustpoint* # set certchain Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. Trustpoint Certificate Chain: > -----BEGIN CERTIFICATE----- > MIIDMDCCApmgAwIBAgIBADANBgkqhkiG9w0BAQQFADB0MQswCQYDVQQGEwJVUzEL > BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT > ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG > 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ > AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU > ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl > GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq > hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD > gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU > Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6 > jtcEMyZ+f7+3yh421ido3nO4MIGeBgNVHSMEgZYwgZOAFLlNjtcEMyZ+f7+3yh42 > 1ido3nO4oXikdjB0MQswCQYDVQQGEwJVUzELMAkGA1UECBMCQ0ExFDASBgNVBAcT > C1NhbnRhIENsYXJhMRswGQYDVQQKExJOdW92YSBTeXN0ZW1zIEluYy4xFDASBgNV > BAsTC0VuZ2luZWVyaW5nMQ8wDQYDVQQDEwZ0ZXN0Q0GCAQAwDAYDVR0TBAUwAwEB > /zANBgkqhkiG9w0BAQQFAAOBgQAhWaRwXNR6B4g6Lsnr+fptHv+WVhB5fKqGQqXc > wR4pYiO4z42/j9Ijenh75tCKMhW51az8copP1EBmOcyuhf5C6vasrenn1ddkkYt4 > PR0vxGc40whuiozBolesmsmjBbedUCwQgdFDWhDIZJwK5+N3x/kfa2EHU6id1avt > 4YL5Jg== > -----END CERTIFICATE----- > ENDOFBUF firepower-chassis /security/trustpoint* # commit-buffer firepower-chassis /security/trustpoint # |
ステップ 4 | Firepower セキュリティ アプライアンスの License Authority への登録。スマート ライセンス マネージャ サテライトの登録トークンを要求し、コピーする必要があることに注意してください。 |
Firepower 4100/9300 シャーシにパーマネント ライセンスを割り当てることができます。このユニバーサル予約では、デバイスで無制限の数の使用権を使用できるようになります。
(注) | Smart Software Manager で使用できるように、開始前にパーマネント ライセンスを購入する必要があります。すべてのアカウントがパーマネント ライセンスの予約について承認されているわけではありません。設定を開始する前に、この機能についてシスコの承認があることを確認します。 |
以下の手順は、Firepower 4100/9300 シャーシにパーマネント(永続)ライセンスを割り当てる方法を示しています。
ステップ 1 | [System] > [Licensing] > [Permanent License] を選択します。 |
ステップ 2 | [Generate] をクリックして、予約要求コードを生成します。予約要求コードをクリップボードにコピーします。 |
ステップ 3 | Cisco Smart Software Manager ポータルの Smart Software Manager インベントリ画面に移動して、[Licenses] タブをクリックします。
https://software.cisco.com/#SmartLicensing-Inventory [Licenses] タブにアカウントに関連するすべての既存のライセンスが、標準およびパーマネントの両方とも表示されます。 |
ステップ 4 | [License Reservation] をクリックして、生成された予約リクエスト コードをボックスにペーストします。 |
ステップ 5 | [Reserve License] をクリックします。
Smart Software Manager が承認コードを生成します。コードをダウンロードまたはクリップボードにコピーできます。この時点で、ライセンスは、Smart Software Manager に従って使用中です。 [License Reservation] ボタンが表示されない場合、お使いのアカウントにはパーマネント ライセンスの予約が許可されていません。この場合、パーマネント ライセンスの予約を無効にして標準のスマート ライセンス コマンドを再入力する必要があります。 |
ステップ 6 | Firepower Chassis Managerで、生成された承認コードを [Authorization Code] テキスト ボックスに入力します。 |
ステップ 7 | [Install] をクリックします。
Firepower 4100/9300 シャーシが PLR で完全にライセンス付与されたら、[Permanenet License] ページにライセンス ステータスが表示され、パーマネント ライセンスを返却するためのオプションが示されます。 |
ステップ 8 | ASA 論理デバイスで機能のライセンス資格を有効にします。ライセンス資格を有効にするには、ASA ライセンスの章を参照してください。 |
パーマネント ライセンスが不要になった場合、この手順で Smart Software Manager に正式に返却する必要があります。すべてのステップに従わないと、ライセンスが使用状態のままになり、別の場所で使用できません。
ステップ 1 | [System] > [Licensing] > [Permanent License] を選択します。 |
ステップ 2 | [Return] をクリックして、戻りコードを生成します。戻りコードをクリップボードにコピーします。
ただちに Firepower 4100/9300 シャーシ のライセンスがなくなり、評価状態に移行します。 |
ステップ 3 | Smart Software Manager インベントリ画面に移動して、[Product Instances] タブをクリックします。 |
ステップ 4 | ユニバーサル デバイス識別子(UDI)を使用して Firepower 4100/9300 シャーシを検索します。 |
ステップ 5 | [Actions] > [Remove] の順に選択して、生成された戻りコードをボックスに貼り付けます。 |
ステップ 6 | [Remove Product Instance] をクリックします。
パーマネント ライセンスが使用可能なライセンスのプールに戻されます。 |
スマート ソフトウェア ライセンスによって、ライセンスを購入し、ライセンスのプールを管理することができます。スマート ライセンスは特定のシリアル番号に関連付けられません。各ユニットのライセンス キーを管理しなくても、簡単にデバイスを導入したり導入を終了したりできます。スマート ソフトウェア ライセンスを利用すれば、ライセンスの使用状況と要件をひと目で確認することもできます。スマート ソフトウェア ライセンス設定は、Firepower 4100/9300 シャーシ スーパバイザとセキュリティ モジュールの間で分割されます。
|