スマート ソフトウェア ライセンスについて
ここでは、スマート ソフトウェア ライセンスの仕組みについて説明します。
(注) |
このセクションは、Firepower 4100/9300 シャーシ上の ASA 論理デバイスにのみ該当します。 Firepower Threat Defense 論理デバイスのライセンスの詳細については、『FMC Configuration Guide』を参照してください。 |
ASA のススマート ソフトウェア ライセンシング
Firepower 4100/9300 シャーシ上の ASA アプリケーションの場合、スマート ソフトウェア ライセンス設定は Firepower 4100/9300 シャーシ スーパバイザとアプリケーションの間で分割されます。
-
Firepower 4100/9300 シャーシ:ライセンス認証局との通信を行うためのパラメータを含めて、スーパバイザにすべてのスマート ソフトウェア ライセンス インフラストラクチャを設定します。Firepower 4100/9300 シャーシ 自体の動作にライセンスは必要ありません。
(注)
シャーシ間クラスタリングでは、クラスタ内の各シャーシで同じスマート ライセンス方式を有効にする必要があります。
-
ASA アプリケーション:アプリケーションのすべてのライセンスの権限付与を設定します。
(注) |
Cisco Transport Gateway は、Firepower 4100/9300 セキュリティアプライアンスではサポートされていません。 |
Smart Software Manager とアカウント
デバイスの 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager で管理します。
https://software.cisco.com/#module/SmartLicensing
Smart Software Manager では、組織のマスター アカウントを作成できます。
(注) |
まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のマスター アカウントを作成できます。 |
デフォルトでは、ライセンスはマスター アカウントの下のデフォルトの仮想アカウントに割り当てられます。アカウントの管理者として、オプションで追加の仮想アカウントを作成できます。たとえば、地域、部門、または子会社ごとにアカウントを作成できます。複数の仮想アカウントを使用することで、多数のライセンスおよびデバイスの管理をより簡単に行うことができます。
オフライン管理
デバイスにインターネット アクセスがなく、License Authority に登録できない場合は、オフライン ライセンスを設定できます。
永久ライセンスの予約
デバイスがセキュリティ上の理由でインターネットにアクセスできない場合、オプションで、各 ASA の永続ライセンスを要求できます。永続ライセンスでは、License Authority への定期的なアクセスは必要ありません。PAK ライセンスの場合と同様にライセンスを購入し、ASA のライセンス キーをインストールします。PAK ライセンスとは異なり、ライセンスの取得と管理に Smart Software Manager を使用します。通常のスマート ライセンス モードと永続ライセンスの予約モード間で簡単に切り替えることができます。
すべての機能、すなわちモデルの正しい最大スループットを備えた標準ティアおよびキャリア ライセンスを有効にするライセンスを取得できます。ライセンスは Firepower 4100/9300 シャーシ上で管理されますが、それに加えて ASA の設定で権限付与を要求することにより、ASA でそれらを使用できるようにする必要があります。
サテライト サーバ
デバイスがセキュリティ上の理由でインターネットにアクセスができない場合、オプションで、仮想マシン(VM)としてローカル Smart Software Manager サテライト サーバをインストールできます。サテライト(衛星)は、Smart Software Manager 機能のサブセットを提供し、これによりすべてのローカル デバイスに重要なライセンス サービスが提供可能になります。ライセンス使用を同期するために、定期的にサテライトだけが License Authority と同期する必要があります。スケジュールに沿って同期するか、または手動で同期できます。
サテライト アプリケーションをダウンロードして導入したら、インターネットを使用して Cisco SSM にデータを送信しなくても、以下の機能を実行できます。
-
ライセンスの有効化または登録
-
企業ライセンスの表示
-
会社のエンティティ間でのライセンス移動
詳細については、スマート アカウント マネージャ サテライトにある『Smart Software Manager satellite installation and configuration guide』を参照してください。
仮想アカウントごとに管理されるライセンスとデバイス
ライセンスとデバイスは仮想アカウントごとに管理されます。つまり、その仮想アカウントのデバイスのみが、そのアカウントに割り当てられたライセンスを使用できます。追加のライセンスが必要な場合は、別の仮想アカウントから未使用のライセンスを転用できます。仮想アカウント間でデバイスを転送することもできます。
Firepower 4100/9300 シャーシのみがデバイスとして登録され、シャーシ内の ASA アプリケーションはそれぞれ固有のライセンスを要求します。たとえば、3 つのセキュリティ モジュールを搭載した Firepower 9300 シャーシでは、全シャーシが 1 つのデバイスとして登録されますが、各モジュールは合計 3 つのライセンスを別個に使用します。
評価ライセンス
Firepower 4100/9300 シャーシ は、次の 2 種類の評価ライセンスをサポートしています。
-
シャーシ レベル評価モード:Firepower 4100/9300 シャーシによる Licensing Authority への登録の前に、評価モードで 90 日間(合計使用期間)動作します。このモードでは、ASA は固有の権限付与を要求できません。デフォルトの権限のみが有効になります。この期間が終了すると、Firepower 4100/9300 シャーシはコンプライアンス違反の状態になります。
-
権限付与ベースの評価モード:Firepower 4100/9300 シャーシが Licensing Authority に登録をした後、ASA に割り当て可能な時間ベースの評価ライセンスを取得できます。ASA で、通常どおりに権限付与を要求します。時間ベースのライセンスの期限が切れると、時間ベースのライセンスを更新するか、または永続ライセンスを取得する必要があります。
(注)
高度暗号化(3DES/AES)の評価ライセンスを取得することはできません。永続ライセンスのみでこの権限がサポートされます。
Smart Software Manager 通信
このセクションでは、デバイスが Smart Software Manager と通信する方法について説明します。
デバイス登録とトークン
各仮想アカウントに対し、登録トークンを作成できます。このトークンは、デフォルトで 30 日間有効です。各シャーシを導入するとき、または既存のシャーシを登録するときにこのトークン ID と権限付与レベルを入力します。既存のトークンの有効期限が切れている場合は、新しいトークンを作成できます。
導入した後、または既存のシャーシでこれらのパラメータを手動で設定した後、そのシャーシを起動するとシスコのライセンス認証局に登録されます。シャーシがトークンで登録されるとき、ライセンス認証局はシャーシとそのライセンス認証局との間で通信を行うために ID 証明書を発行します。この証明書の有効期間は 1 年ですが、6 か月ごとに更新されます。
ライセンス認証局との定期通信
デバイスはライセンス認証局と 30 日おきに通信します。Smart Software Manager に変更を加えた場合は、デバイス上で許可を更新し、すぐに変更されるようにすることができます。または、スケジュールどおりにデバイスが通信するのを待ちます。
必要に応じて、HTTP プロキシを設定できます。
Firepower 4100/9300 シャーシでは、少なくとも 90 日おきに、直接接続または HTTP プロキシを介したインターネットアクセスが必要です。通常のライセンス通信が 30 日ごとに行われますが、猶予期間によって、デバイスは Call Home なしで最大 90 日間動作します。猶予期間後、Licensing Authority に連絡しない限り、特別なライセンスを必要とする機能の設定変更を行なえませんが、動作には影響ありません。
(注) |
デバイスが 1 年間ライセンス認証局と通信できない場合、デバイスは未登録状態になりますが、以前に有効にされた強力な暗号化機能は失われません。 |
コンプライアンス逸脱状態
次の状況では、デバイスがコンプライアンスから逸脱している可能性があります。
-
使用超過:デバイスが利用できないライセンスを使用している場合。
-
ライセンスの有効期限切れ:時間ベースのライセンスの有効期限が切れている場合。
-
通信の欠落:デバイスが再許可を得るために Licensing Authority に到達できない場合。
アカウントのステータスがコンプライアンス違反状態なのか、違反状態に近づいているのかを確認するには、Firepower 4100/9300 シャーシで現在使用中の権限付与とスマート アカウントのものを比較する必要があります。
コンプライアンス違反の場合、特別なライセンスが必要な機能への設定変更はできなくなりますが、その他の動作には影響ありません。たとえば、標準のライセンス制限を超える既存のコンテキストは実行を継続でき、その構成を変更することもできますが、新しいコンテキストを追加することはできません。
Smart Call Home インフラストラクチャ
デフォルトで、Smart Call Home のプロファイルは、ライセンス認証局の URL を指定する FXOS 設定内にあります。このプロファイルは削除できません。ライセンス プロファイルの設定可能なオプションは、ライセンス機関の宛先アドレス URL のみであることに注意してください。Cisco TAC に指示されない限り、License Authority の URL は変更しないでください。
(注) |
Cisco Transport Gateway は、Firepower 4100/9300 セキュリティアプライアンスではサポートされていません。 |
Cisco Success Network
Cisco Success Network はユーザ対応のクラウドサービスです。Cisco Success Network を有効にすると、Firepower 4100/9300 シャーシ と Cisco Cloud 間にセキュアな接続が確立され、使用状況に関する情報と統計情報がストリーミングされます。テレメトリのストリーミングにより、対象データを ASA から選択して、構造化形式でリモート管理ステーションに送信するメカニズムが提供されるため、次のことが実現します。
-
ネットワーク内の製品の有効性を向上させるために利用可能な未使用の機能が通知されます。
-
製品に付随する追加のテクニカル サポート サービスとモニタリングについて通知されます。
-
シスコ製品の改善に役立ちます。
Cisco Smart Software Manager に Firepower 4100/9300 を登録するときは、Cisco Success Network を有効にします。Firepower 4100/9300 シャーシ の License Authority への登録を参照してください。
次の条件がすべて満たされている場合にのみ、Cisco Success Network に登録できます。
-
スマート ソフトウェア ライセンスが登録されている
-
スマートライセンスのサテライトモードが無効になっている
-
パーマネントライセンスが無効になっている
Cisco Success Network に登録すると、シャーシは常にセキュアな接続を確立して維持します。Cisco Success Network を無効にすることで、いつでもこの接続をオフにできます。これにより、デバイスが Cisco Success Network クラウドから接続解除されます。
Cisco Success Network の登録の変更 を参照してください。
ページで Cisco Success Network の登録ステータスを表示できます。また、登録ステータスを変更することもできます。Cisco Success Network テレメトリ データ
Cisco Success Network により、シャーシの設定と動作状態に関する情報を 24 時間ごとに Cisco Success Network クラウドにストリーミングすることができます。収集およびモニタ対象のデータには、次の情報が含まれます。
-
登録済みデバイス情報:Firepower 4100/9300 シャーシ のモデル名、製品 ID、シリアル番号、UUID、システム稼働時間、およびスマートライセンス情報。登録済みデバイス データを参照してください。
-
ソフトウェア情報:Firepower 4100/9300 シャーシ で実行されているソフトウェアのタイプとバージョン番号。ソフトウェア バージョン データを参照してください。
-
ASA デバイス情報:Firepower 4100/9300 の セキュリティ モジュール/エンジン で稼動している ASA デバイスに関する情報。Firepower 4100 シリーズ の場合は、単一の ASA デバイスに関する情報のみが対象になることに注意してください。ASA デバイス情報には、各デバイス、デバイスモデル、シリアル番号、およびソフトウェアバージョンに使用されるスマートライセンスが含まれます。ASA デバイスデータを参照してください。
-
パフォーマンス情報:ASA デバイスのシステム稼働時間、CPU 使用率、メモリ使用率、ディスク容量の使用率、および帯域幅の使用状況に関する情報。パフォーマンス データを参照してください。
-
使用状況:機能ステータス、クラスタ、フェールオーバー、およびログイン情報。
-
機能ステータス:設定済みまたはデフォルトで有効になっている ASA 機能のリスト。
-
クラスタ情報:ASA デバイスがクラスタモードの場合は、クラスタ情報が表示されます。ASA デバイスがクラスタモードではない場合、この情報は表示されません。クラスタ情報には、ASA デバイスのクラスタグループ名、クラスタ インターフェイス モード、ユニット名、および状態が含まれます。同じクラスタ内の他のピア ASA デバイスの場合、クラスタ情報には名前、状態、およびシリアル番号が含まれます。
-
フェールオーバー情報:ASA がフェールオーバーモードの場合、フェールオーバー情報が表示されます。ASA がフェールオーバーモードではない場合、この情報は表示されません。フェールオーバー情報には、ASA のロールと状態、およびピア ASA デバイスのロール、状態、およびシリアル番号が含まれます。
-
ログイン履歴:ASA デバイスで最後にログインに成功したユーザのログイン頻度、ログイン時間、および日付スタンプ。ただし、ログイン履歴にはユーザのログイン名、ログイン情報、その他の個人情報は含まれません。
詳細については、使用状況データを参照してください。
-
-
登録済みデバイス データ
Cisco Success Network に Firepower 4100/9300 シャーシ を登録したら、シャーシに関するテレメトリデータの Cisco Cloud ヘのストリーミングを選択します。収集およびモニタ対象のデータを次の表に示します。
データ ポイント |
値の例 |
---|---|
デバイス モデル |
Cisco Firepower FP9300 セキュリティ アプライアンス |
シリアル番号 |
GMX1135L01K |
スマートライセンス PIID |
752107e9-e473-4916-8566-e26d0c4a5bd9 |
スマートライセンスの仮想アカウント名 |
FXOS-general |
システムの動作期間 |
32115 |
UDI 製品 ID |
FPR-C9300-AC |
ソフトウェア バージョン データ
Cisco Success Network には、タイプやソフトウェアバージョンといったソフトウェア情報が収集されます。収集およびモニタ対象のソフトウェア情報を次の表に示します。
データ ポイント |
値の例 |
---|---|
タイプ |
package_version |
バージョン |
2.7(1.52) |
ASA デバイスデータ
Cisco Success Network には、 Firepower 4100/9300 の セキュリティ モジュール/エンジン で稼動している ASA デバイスに関する情報が収集されます。収集およびモニタ対象の ASA デバイス情報を次の表に示します。
データ ポイント |
値の例 |
---|---|
ASA デバイス PID |
FPR9K-SM-36 |
ASA デバイスモデル |
Cisco Adaptive Security Appliance |
ASA デバイスのシリアル番号 |
XDQ311841WA |
展開タイプ(ネイティブまたはコンテナ) |
Native |
セキュリティ コンテキスト モード(シングルまたはマルチ) |
シングル |
ASA のソフトウェアバージョン |
|
デバイスマネージャのバージョン |
|
使用中の有効なスマートライセンス |
|
パフォーマンス データ
Cisco Success Network には、ASA デバイス固有のパフォーマンス情報が収集されます。この情報には、システム稼働時間、CPU 使用率、メモリ使用率、ディスク容量の使用率、および帯域幅の使用状況が含まれます。
-
CPU 使用率:過去 5 分間の CPU 使用率情報
-
メモリ使用率:システムの空きメモリ、使用メモリ、および合計メモリ
-
ディスク使用率:ディスクの空き容量、使用済み容量、および合計容量の情報
-
システムの稼働時間:システムの稼働時間情報
-
帯域幅の使用状況:システム帯域幅の使用状況(nameif が設定されたすべてのインターフェイスから集約)
これは、システムの稼働時間以降に受信および送信された 1 秒あたりのパケット(またはバイト)の統計情報を示します。
収集およびモニタ対象の情報を次の表に示します。
データ ポイント |
値の例 |
---|---|
過去 5 分間のシステム CPU 使用率 |
|
システム メモリ使用率 |
|
システムのディスク使用率 |
|
システムの動作期間 |
99700000 |
システム帯域幅の使用状況 |
|
使用状況データ
Cisco Success Network には、シャーシの セキュリティ モジュール/エンジン で稼動している ASA デバイスの機能ステータス、クラスタ、フェールオーバー、およびログイン情報が収集されます。ASA デバイス使用率に関して収集およびモニタされる情報を次の表に示します。
データ ポイント |
値の例 |
---|---|
機能ステータス |
|
クラスタ情報 |
|
フェールオーバー情報 |
|
ログイン履歴 |
|
テレメトリ ファイルの例
Firepower 4100/9300 シャーシ テレメトリが有効でオンライン状態にあるすべての ASA デバイスから受信されたデータは、シャーシ固有の情報やその他のフィールドと集約されてから Cisco Cloud に送信されます。テレメトリデータを持つアプリケーションがない場合でも、テレメトリはシャーシ情報とともに Cisco Cloud に送信されます。
以下は、Cisco Success Network テレメトリファイルの例です。このファイルには、Cisco Cloud に送信された Firepower 9300 の 2 台の ASA デバイスの情報が保存されています。
{
"version": "1.0",
"metadata": {
"topic": "ASA.telemetry",
"contentType": "application/json",
"msgID": "2227"
},
"payload": {
"recordType": "CST_ASA",
"recordVersion": "1.0",
"recordedAt": 1560868270055,
"FXOS": {
"FXOSdeviceInfo": {
"deviceModel": "Cisco Firepower FP9300 Security Appliance",
"serialNumber": "HNY4475P01K",
"smartLicenseProductInstanceIdentifier": "413509m0-f952-5822-7492-r62c0a5h4gf4",
"smartLicenseVirtualAccountName": "FXOS-general",
"systemUptime": 32115,
"udiProductIdentifier": "FPR-C9300-AC"
},
"versions": {
"items": [
{
"type": "package_version",
"version": "2.7(1.52)"
}
]
}
},
"asaDevices": {
"items": [
{
"CPUUsage": {
"fiveMinutesPercentage": 0,
"fiveSecondsPercentage": 0,
"oneMinutePercentage": 0
},
"bandwidthUsage": {
"receivedBytesPerSec": 1,
"receivedPktsPerSec": 0,
"transmittedBytesPerSec": 1,
"transmittedPktsPerSec": 0
},
"deviceInfo": {
"deploymentType": "Native",
"deviceModel": "Cisco Adaptive Security Appliance",
"securityContextMode": "Single",
"serialNumber": "ADG2158508T",
"systemUptime": 31084,
"udiProductIdentifier": "FPR9K-SM-24"
},
"diskUsage": {
"freeGB": 19.781810760498047,
"totalGB": 20.0009765625,
"usedGB": 0.21916580200195312
},
"featureStatus": {
"items": [
{
"name": "aaa-proxy-limit",
"status": "enabled"
},
{
"name": "firewall_user_authentication",
"status": "enabled"
},
{
"name": "IKEv2 fragmentation",
"status": "enabled"
},
{
"name": "inspection-dns",
"status": "enabled"
},
{
"name": "inspection-esmtp",
"status": "enabled"
},
{
"name": "inspection-ftp",
"status": "enabled"
},
{
"name": "inspection-hs232",
"status": "enabled"
},
{
"name": "inspection-netbios",
"status": "enabled"
},
{
"name": "inspection-rsh",
"status": "enabled"
},
{
"name": "inspection-rtsp",
"status": "enabled"
},
{
"name": "inspection-sip",
"status": "enabled"
},
{
"name": "inspection-skinny",
"status": "enabled"
},
{
"name": "inspection-snmp",
"status": "enabled"
},
{
"name": "inspection-sqlnet",
"status": "enabled"
},
{
"name": "inspection-sunrpc",
"status": "enabled"
},
{
"name": "inspection-tftp",
"status": "enabled"
},
{
"name": "inspection-xdmcp",
"status": "enabled"
},
{
"name": "management-mode",
"status": "normal"
},
{
"name": "mobike",
"status": "enabled"
},
{
"name": "ntp",
"status": "enabled"
},
{
"name": "sctp-engine",
"status": "enabled"
},
{
"name": "smart-licensing",
"status": "enabled"
},
{
"name": "static-route",
"status": "enabled"
},
{
"name": "threat_detection_basic_threat",
"status": "enabled"
},
{
"name": "threat_detection_stat_access_list",
"status": "enabled"
}
]
},
"licenseActivated": {
"items": []
},
"loginHistory": {
"lastSuccessfulLogin": "05:53:18 UTC Jun 18 2019",
"loginTimes": "1 times in last 1 days"
},
"memoryUsage": {
"freeMemoryInBytes": 226031548496,
"totalMemoryInBytes": 241583656960,
"usedMemoryInBytes": 15552108464
},
"versions": {
"items": [
{
"type": "asa_version",
"version": "9.13(1)248"
},
{
"type": "device_mgr_version",
"version": "7.13(1)31"
}
]
}
},
{
"CPUUsage": {
"fiveMinutesPercentage": 0,
"fiveSecondsPercentage": 0,
"oneMinutePercentage": 0
},
"bandwidthUsage": {
"receivedBytesPerSec": 1,
"receivedPktsPerSec": 0,
"transmittedBytesPerSec": 1,
"transmittedPktsPerSec": 0
},
"deviceInfo": {
"deploymentType": "Native",
"deviceModel": "Cisco Adaptive Security Appliance",
"securityContextMode": "Single",
"serialNumber": "RFL21764S1D",
"systemUptime": 31083,
"udiProductIdentifier": "FPR9K-SM-24"
},
"diskUsage": {
"freeGB": 19.781543731689453,
"totalGB": 20.0009765625,
"usedGB": 0.21943283081054688
},
"featureStatus": {
"items": [
{
"name": "aaa-proxy-limit",
"status": "enabled"
},
{
"name": "call-home",
"status": "enabled"
},
{
"name": "crypto-ca-trustpoint-id-usage-ssl-ipsec",
"status": "enabled"
},
{
"name": "firewall_user_authentication",
"status": "enabled"
},
{
"name": "IKEv2 fragmentation",
"status": "enabled"
},
{
"name": "inspection-dns",
"status": "enabled"
},
{
"name": "inspection-esmtp",
"status": "enabled"
},
{
"name": "inspection-ftp",
"status": "enabled"
},
{
"name": "inspection-hs232",
"status": "enabled"
},
{
"name": "inspection-netbios",
"status": "enabled"
},
{
"name": "inspection-rsh",
"status": "enabled"
},
{
"name": "inspection-rtsp",
"status": "enabled"
},
{
"name": "inspection-sip",
"status": "enabled"
},
{
"name": "inspection-skinny",
"status": "enabled"
},
{
"name": "inspection-snmp",
"status": "enabled"
},
{
"name": "inspection-sqlnet",
"status": "enabled"
},
{
"name": "inspection-sunrpc",
"status": "enabled"
},
{
"name": "inspection-tftp",
"status": "enabled"
},
{
"name": "inspection-xdmcp",
"status": "enabled"
},
{
"name": "management-mode",
"status": "normal"
},
{
"name": "mobike",
"status": "enabled"
},
{
"name": "ntp",
"status": "enabled"
},
{
"name": "sctp-engine",
"status": "enabled"
},
{
"name": "smart-licensing",
"status": "enabled"
},
{
"name": "static-route",
"status": "enabled"
},
{
"name": "threat_detection_basic_threat",
"status": "enabled"
},
{
"name": "threat_detection_stat_access_list",
"status": "enabled"
}
]
},
"licenseActivated": {
"items": []
},
"loginHistory": {
"lastSuccessfulLogin": "05:53:16 UTC Jun 18 2019",
"loginTimes": "1 times in last 1 days"
},
"memoryUsage": {
"freeMemoryInBytes": 226028740080,
"totalMemoryInBytes": 241581195264,
"usedMemoryInBytes": 15552455184
},
"versions": {
"items": [
{
"type": "asa_version",
"version": "9.13(1)248"
},
{
"type": "device_mgr_version",
"version": "7.13(1)31"
}
]
}
}
]
}
}
}