FMC 및 FTD 스마트 라이센스 등록 및 문제 해결

    

소개

이 문서에서는 FTD(Firepower Threat Defense) 관리되는 디바이스에 대한 FMC(Firepower Management Center)의 Smart License 등록 컨피그레이션에 대해 설명합니다.다양한 트러블슈팅 시나리오도 다룹니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

배경 정보

FMC, FTD 및 Smart 라이센스

Smart License 등록은 FMC에서 수행됩니다.FMC는 인터넷을 통해 Cisco CSSM(Smart Software Manager) 포털과 통신합니다.CSSM에서 방화벽 관리자는 Smart Account 및 라이센스를 관리합니다.FMC는 관리되는 FTD 디바이스에 라이센스를 자유롭게 할당 및 삭제할 수 있습니다.즉, FMC는 FTD 디바이스의 라이센스를 중앙에서 관리합니다.

FTD 디바이스의 특정 기능을 사용하려면 추가 라이센스가 필요합니다.FTD 디바이스에 할당할 수 있는 Smart License 유형은 FTD 라이센스 유형 및 제한 사항에 설명되어 있습니다.

기본 라이센스는 FTD 디바이스에 포함되며, FMC가 SSM에 등록될 때 이 라이센스가 Smart Account에 자동으로 등록됩니다.

용어 기반 라이센스 Threat, Malware, URL Filtering은 선택 사항입니다.라이센스와 관련된 기능을 사용하려면 라이센스를 FTD 디바이스에 할당해야 합니다.

FTD 관리에 FMCv(Firepower Management Center Virtual)를 사용할 경우 FMCv에 SSM의 Firepower MCv Device 라이센스도 필요합니다.FMCv 라이센스는 소프트웨어에 포함되어 있으며 영구적입니다.

라이센스에 대한 자세한 내용은 Cisco Firepower System 기능 라이센스 및 Firepower Licensing에 대한 FAQ(자주 묻는 질문)를 참조하십시오.

  

FMC 스마트 라이센스 등록

사전 요구 사항

1. Smart License 등록을 위해 FMC가 인터넷에 액세스할 수 있어야 합니다.또한 인증서가 HTTPS를 사용하여 FMC와 라이센스 클라우드 간에 교환되므로, 경로에 통신에 영향을 주거나 수정할 수 있는 디바이스가 없는지 확인합니다.(예: 방화벽, 프록시, SSL 암호 해독 디바이스 등)

2. CSSM에 액세스하여 Inventory > General > New Token 버튼에서 Token ID를 발급합니다.

강력한 암호화를 사용하려면 이 토큰 옵션에 등록된 제품에서 Allow export-controlled 기능을 활성화해야 합니다.

FMC 스마트 라이센스 등록

System(시스템) > Licenses(라이센스) > Smart Licenses on FMC에서 Register(등록) 버튼을 선택합니다.

Smart Licensing Product Registration(Smart Licensing 제품 등록) 창에 Token ID를 입력하고 Apply Changes(변경 사항 적용)를 선택합니다.

Smart License 등록에 성공하면 Product Registration(제품 등록) 상태가 Registered(등록됨)로 표시됩니다.

FTD 디바이스에 기간별 라이센스를 할당하려면 Edit Licenses를 선택합니다.그런 다음 Devices with license(라이센스가 있는 디바이스) 섹션에 관리되는 디바이스를 선택하고 추가합니다.마지막으로 적용 버튼을 선택합니다.

SSM(Smart Software Manager) 측에서 확인

FMC Smart License 등록의 성공 여부는 CSSM의 Inventory(인벤토리) > Event Log(이벤트 로그)에서 확인할 수 있습니다.

FMC의 등록 상태는 Inventory(인벤토리) > Product Instances(제품 인스턴스)에서 확인할 수 있습니다.Event Log 탭에서 이벤트 로그를 확인할 수도 있습니다.마지막으로 Smart License 등록 및 사용 상태는 Inventory(인벤토리) > Licenses(라이센스) 탭에서 확인할 수 있습니다.구매한 기간별 라이센스가 올바르게 사용되었는지, 라이센스 불량에 대한 알림이 없는지 확인할 수 있습니다.

FMC Smart 라이센스 등록 취소

Cisco Smart Software Manager에서 FMC 등록 취소

어떤 이유로 라이센스를 릴리스하거나 다른 토큰을 사용하려면 System > Licenses > Smart Licenses로 이동하여 등록 취소 버튼을 선택합니다.

  

SSM 측에서 등록 제거

Inventory(인벤토리) > Product Instances(제품 인스턴스)에서 대상 FMC에서 Remove(제거)를 선택합니다.그런 다음 Remove Product Instance(제품 인스턴스 제거)를 선택하여 FMC를 제거하고 할당된 라이센스를 해제합니다.

문제 해결

시간 설정 확인

FMC CLI(예: SSH)에 액세스하고 시간이 올바르며 신뢰할 수 있는 NTP 서버와 동기화되었는지 확인합니다.인증서는 스마트 라이센스 인증에 사용되므로 FMC에 올바른 시간 정보가 있어야 합니다.

admin@FMC:~$ date
Thu Jun 14 09:18:47 UTC 2020
admin@FMC:~$
admin@FMC:~$ ntpq -pn
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*1.0.0.2         171.68.xx.xx     2 u  387 1024  377    0.977    0.469   0.916
 127.127.1.1     .SFCL.          13 l    -   64    0    0.000    0.000   0.000

FMC UI에서 System > Configuration > Time Synchronization에서 NTP 서버 설정을 확인할 수 있습니다.

tools.cisco.com에 대한 이름 확인 및 연결 확인 활성화

FMC가 FQDN을 확인할 수 있고 tools.cisco.com에 연결할 수 있는지 확인합니다.

> expert
admin@FMC2000-2:~$ sudo su
Password:
root@FMC2000-2:/Volume/home/admin# ping tools.cisco.com
PING tools.cisco.com (173.37.145.8) 56(84) bytes of data.
64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=1 ttl=237 time=163 ms
64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=2 ttl=237 time=163 ms

FMC UI에서 관리 IP 및 DNS 서버 IP를 System(시스템) > Configuration(컨피그레이션) > Management Interfaces(관리 인터페이스)에서 확인할 수 있습니다.

FMC에서 tools.cisco.com에 대한 HTTPS(TCP 443) 액세스 확인

telnet 또는 curl 명령을 사용하여 FMC가 tools.cisco.com에 대한 HTTPS 액세스 권한을 가지는지 확인합니다.TCP 443 통신이 끊어진 경우 방화벽에 의해 차단되지 않고 경로에 SSL 암호 해독 디바이스가 없는지 확인합니다.

root@FMC2000-2:/Volume/home/admin# telnet tools.cisco.com 443
Trying 72.163.4.38...
Connected to tools.cisco.com.
Escape character is '^]'.
^CConnection closed by foreign host.                    <--- Press Ctrl+C

Curl 테스트:

root@FMC2000-2:/Volume/home/admin# curl -vvk https://tools.cisco.com
*   Trying 72.163.4.38...
* TCP_NODELAY set
* Connected to tools.cisco.com (72.163.4.38) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
*  subject: C=US; ST=CA; L=San Jose; O=Cisco Systems, Inc.; CN=tools.cisco.com
*  start date: Sep 17 04:00:58 2018 GMT
*  expire date: Sep 17 04:10:00 2020 GMT
*  issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
*  SSL certificate verify ok.
> GET / HTTP/1.1
> Host: tools.cisco.com
> User-Agent: curl/7.62.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Wed, 17 Jun 2020 10:28:31 GMT
< Last-Modified: Thu, 20 Dec 2012 23:46:09 GMT
< ETag: "39b01e46-151-4d15155dd459d"
< Accept-Ranges: bytes
< Content-Length: 337
< Access-Control-Allow-Credentials: true
< Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
< Access-Control-Allow-Headers: Content-type, fromPartyID, inputFormat, outputFormat, Authorization, Content-Length, Accept, Origin
< Content-Type: text/html
< Set-Cookie: CP_GUTC=72.163.4.54.1592389711389899; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Set-Cookie: CP_GUTC=72.163.44.92.1592389711391532; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Cache-Control: max-age=0
< Expires: Wed, 17 Jun 2020 10:28:31 GMT
<
<html>
<head>
<script language="JavaScript">

var input = document.URL.indexOf('intellishield');
if(input != -1) {
 window.location="https://intellishield.cisco.com/security/alertmanager/";
}
else {
 window.location="http://www.cisco.com";
};

</script>
</head>

<body>
<a href="http://www.cisco.com">www.cisco.com</a>
</body>
</html>
* Connection #0 to host tools.cisco.com left intact
root@FMC2000-2:/Volume/home/admin#

DNS 확인

tools.cisco.com을 성공적으로 확인할 수 있는지 확인합니다.

root@FMC2000-2:/Volume/home/admin# nslookup tools.cisco.com
Server:         192.0.2.100
Address:        192.0.2.100#53

Non-authoritative answer:
Name:   tools.cisco.com
Address: 72.163.4.38

프록시 확인

프록시가 사용되는 경우 FMC 및 프록시 서버 측 모두에서 설정을 확인합니다.FMC에서 FMC가 올바른 프록시 서버 IP 및 포트를 사용하는지 확인합니다.

root@FMC2000-2:/Volume/home/admin# cat /etc/sf/smart_callhome.conf 
KEEP_SYNC_ACTIVE:1
PROXY_DST_URL:https://tools.cisco.com/its/service/oddce/services/DDCEService
PROXY_SRV:192.0.xx.xx
PROXY_PORT:80

FMC UI에서 프록시 설정을 System(시스템) > Configuration(컨피그레이션) > Management Interfaces(관리 인터페이스)에서 확인할 수 있습니다.

FMC 측 설정이 올바르면 프록시 서버측 설정을 확인합니다(예: 프록시 서버가 FMC 및 tools.cisco.com에서 액세스할 수 있는지 여부).또한 프록시를 통한 트래픽 및 인증서 교환을 허용합니다.FMC는 Smart License 등록에 인증서를 사용합니다.)

FMC와 라이센스 클라우드 간의 경로에 투명 프록시 또는 L7 FW가 있는 경우 프록시 또는 L7 FW 측에서 동일한 검사를 수행해야 합니다.

만료된 토큰 ID

발급된 토큰 ID가 만료되지 않았는지 확인합니다.만료된 경우 Smart Software Manager 관리자에게 새 토큰을 발급하고 새 토큰 ID로 Smart License를 다시 등록하도록 요청합니다.

FMC 게이트웨이 변경

릴레이 프록시 또는 SSL 암호 해독 디바이스의 영향으로 인해 Smart License 인증을 올바르게 수행할 수 없는 경우가 있습니다.가능하면 이러한 디바이스를 통하지 않고 FMC 인터넷 액세스에 대한 경로를 변경하고 Smart License 등록을 시도합니다.

FMC의 상태 이벤트 확인

FMC에서 System > Health > Events로 이동하고 Smart License Monitor 모듈의 상태를 확인하여 오류를 확인합니다.예를 들어 인증서 만료 때문에 연결이 실패하면 id certificated expired와 같은 오류가 생성됩니다.

SSM의 이벤트 로그 확인

FMC가 SSM에 연결할 수 있는 경우 Inventory(인벤토리) > Event Log(이벤트 로그)에서 연결의 이벤트 로그를 확인할 수 있습니다.SSM에 이러한 이벤트 로그, 오류 로그 또는 해당 로그가 있는지 확인합니다.FMC 사이트의 설정/운영에 문제가 없고 SSM 측에 이벤트 로그가 없는 경우 FMC와 SSM 간의 경로에 문제가 있을 수 있습니다.

일반적인 문제

등록 및 권한 부여 상태 요약

제품 등록 상태	사용 권한 부여 상태	설명
등록되지 않음	—	FMC가 Registered 또는 Evaluation 모드가 아닙니다.FMC 설치 후 또는 90일 평가판 라이센스 만료 후 초기 상태입니다.
등록	공인	FMC는 Cisco CSCM(Smart Software Manager)에 등록되며 유효한 서브스크립션에 등록된 FTD 디바이스가 있습니다.
등록	권한 부여 만료	FMC가 90일 이상 Cisco 라이센스 백엔드와 통신하지 못했습니다.
등록	등록되지 않음	FMC는 Cisco CSCM(Smart Software Manager)에 등록되지만 FMC에 등록된 FTD 디바이스는 없습니다.
등록	규정 위반	FMC는 Cisco CSCM(Smart Software Manager)에 등록되지만 유효하지 않은 서브스크립션으로 등록된 FTD 디바이스가 있습니다. 예: FTD(FP4112) 디바이스는 THREAT 서브스크립션을 사용하지만, Cisco CSCM(Smart Software Manager)에서 FP4112에 사용할 수 있는 THREAT 서브스크립션이 없습니다.
평가(90일)	해당 없음	평가 기간이 사용 중이지만 FMC에 등록된 FTD 디바이스가 없습니다.

사례 연구 1. 잘못된 토큰

증상:잘못된 토큰으로 인해 CSSM에 대한 등록이 신속하게 (~10s) 실패함

해결 방법:올바른 토큰 사용

사례 연구 2. 잘못된 DNS

증상:잠시 후 CSSM에 등록하지 못했습니다(~25s).

/var/log/process_stdout.log 파일을 확인합니다.DNS 문제가 표시됩니다.

root@FMC2000-2:/Volume/home/admin# cat /var/log/process_stdout.log
2020-06-25 09:05:21 sla[24043]: *Thu Jun 25 09:05:10.989 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494], 
failed to perform, err code 6, err string "Couldn't resolve host name"

해결 방법:CSSM 호스트 이름 확인 실패DNS가 구성되지 않은 경우 DNS를 구성하거나 DNS 문제를 해결하는 것이 해결 방법입니다.

사례 연구 3. 잘못된 시간 설정

증상:잠시 후 CSSM에 등록하지 못했습니다(~25s).

/var/log/process_stdout.log 파일을 확인합니다.인증서 문제가 표시됩니다.

2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_request_init[59], request "POST", url "https://tools.cisco.com/its/service/oddce/services/DDCEService"
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[299], https related setting
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[302], set ca info
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_head_init[110], init msg header
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494], 
failed to perform, err code 60, err string "SSL peer certificate or SSH remote key was not OK"
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_http_unlock[330], unlock http mutex.
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_send_http[365], send http msg, result 30
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue[514], 
cert issue checking, ret 60, url https://tools.cisco.com/its/service/oddce/services/DDCEService

FMC 시간 설정을 확인합니다.

root@FMC2000-2:/Volume/home/admin# date
Fri Jun 25 09:27:22 UTC 2021

사례 연구 4. 서브스크립션 없음

특정 기능에 대한 라이센스 서브스크립션이 없는 경우 FMC 구축은 불가능합니다.

해결 방법:필요한 서브스크립션을 구매하고 디바이스에 적용해야 합니다.

사례 연구 5. OOC(Out-Of-Compliance)

FTD 서브스크립션에 대한 엔타이틀먼트가 없는 경우 FMC Smart License는 OOC 상태로 전환됩니다.

CSSM에서 Alerts for errors(경고에 오류가 있는지 확인):

사례 연구 6. 강력한 암호화 없음

Base License를 사용하는 경우 FTD LINA 엔진에서 DES 암호화만 활성화됩니다.이 경우 L2L VPN과 같이 더 강력한 알고리즘을 사용하는 구축에는 실패합니다.

해결 방법:FMC를 CSCM에 등록하고 Strong Encryption 특성을 사용하도록 설정합니다.

추가 참고 사항

Smart License 상태 알림 설정

SSM별 이메일 알림

SSM 측에서 SSM Email Notification(SSM 이메일 알림)을 사용하면 다양한 이벤트에 대한 요약 이메일을 받을 수 있습니다.예를 들어 곧 만료될 라이센스 또는 라이센스가 없는 경우 알림을 받을 수 있습니다.제품 인스턴스 연결 또는 업데이트 실패 등의 알림을 받을 수도 있습니다.

이 기능은 라이센스 만료로 인한 기능 제한 발생을 인지하고 방지하기 위해 매우 유용합니다.

    

FMC에서 상태 알림 받기

FMC 측에서 상태 모니터 알림을 구성하고 상태 이벤트에 대한 알림 알림을 받을 수 있습니다.Module Smart License Monitor를 사용하여 Smart License 상태를 확인할 수 있습니다.모니터 알림은 Syslog, Email 및 SNMP 트랩을 지원합니다.

다음은 Smart License 모니터 이벤트가 발생할 때 syslog 메시지를 가져오는 컨피그레이션 예입니다.

다음은 상태 알림의 예입니다.

FMC에서 생성된 syslog 메시지:

Mar 13 18:47:10 xx.xx.xx.xx Mar 13 09:47:10 FMC : HMNOTIFY: Smart License Monitor (Sensor FMC): Severity: critical: Smart License usage is out of compliance

Health Monitor Alerts에 대한 자세한 내용은 Health Monitoring을 참조하십시오.

   

동일한 Smart Account의 여러 FMC

동일한 Smart Account에서 여러 FMC를 사용하는 경우 각 FMC 호스트 이름은 고유해야 합니다.각 FMC를 구분하기 위해 SSM에서 여러 FMC를 관리하는 경우 각 FMC의 호스트 이름은 고유해야 합니다.이 기능은 FMC Smart License의 운영 유지 관리에 유용합니다.

FMC는 인터넷 연결을 유지해야 함

등록 후 FMC는 라이센스 클라우드 및 라이센스 상태를 30일마다 한 번씩 확인합니다.FMC가 90일 동안 통신할 수 없는 경우 라이센스가 부여된 기능은 유지되지만 Authorization Expired 상태로 유지됩니다.이 상태에서도 FMC는 계속해서 라이센스 클라우드에 연결하려고 시도합니다.

여러 FMCv 구축

가상 환경에서 Firepower System을 사용할 경우 클론(핫 또는 콜드)은 공식적으로 지원되지 않습니다.각 FMCv(Firepower Management Center Virtual)는 인증 정보가 포함되어 있으므로 고유합니다.여러 FMCv를 구축하려면 OVF 파일에서 하나씩 FMCv를 생성해야 합니다.이 제한 사항에 대한 자세한 내용은 Cisco Firepower Management Center Virtual for VMware 구축 빠른 시작 설명서를 참조하십시오.

  

FAQ(자주 묻는 질문)

FTD HA에서는 몇 개의 디바이스 라이센스가 필요합니까?

고가용성에서 2개의 FTD를 사용하는 경우 각 디바이스에 라이센스가 필요합니다.예를 들어, FTD HA 쌍에서 IPS 및 AMP 기능을 사용하는 경우 두 개의 위협 및 악성코드 라이센스가 필요합니다.

관련 정보

• Firepower Management Center 컨피그레이션 가이드
• Cisco Live Smart Licensing 개요:BRKARC-2034
• Cisco Firepower System 기능 라이센스
• Cisco Smart Software Licensing FAQ(자주 묻는 질문)
• FirePOWER 위협 방어 - 스마트 라이센싱 FAQ