Gebruik FMC en FTD Smart License Registration en Common Issues om problemen op te lossen
Inhoud
Inleiding
In dit document wordt de configuratie van de Smart License Registration Configuration van Firepower Management Center beschreven op FirePOWER Defense-beheerde apparaten.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
FMC, FTD en Smart License registration.
Smart License Registration wordt uitgevoerd op Firepower Management Center (FMC). Het FMC communiceert met het Cisco Smart Software Manager (CSSM)-portal via het internet. In CSSM, beheert de firewallbeheerder de Smart Account en de licenties. Het FMC kan licenties vrij toewijzen en verwijderen aan de beheerde Firepower Threat Defense (FTD) apparaten. Met andere woorden: het FMC beheert de licenties voor FTD-apparatuur centraal.
Er is een aanvullende licentie vereist om bepaalde functies van FTD-apparaten te kunnen gebruiken. De klanten van het Smart Licentietypen kunnen aan een FTD-apparaat toewijzen door FTD Licentietypen en -beperkingen.
De basislicentie is in het FTD-apparaat opgenomen. Deze licentie wordt automatisch geregistreerd in uw slimme account wanneer het FMC is geregistreerd op CSSM.
Op de term gebaseerde licenties: Threat, Malware en URL-filtering zijn optioneel. Om functies te gebruiken die betrekking hebben op een licentie, moet een licentie aan het FTD-apparaat worden toegewezen.
Om een Firepower Management Center Virtual (FMCv) te gebruiken voor het FTD-beheer, is een Firepower MCv-apparaatlicentie in CSSM nodig voor het FMCv.
De FMCv-licentie is in de software opgenomen en is permanent.
Daarnaast worden er scenario's in dit document meegeleverd om problemen op te lossen met de gebruikelijke licentieserverfouten die kunnen voorkomen.
Raadpleeg voor meer informatie over licenties Cisco Firepower System-licenties en vaak gestelde vragen (FAQ) over FirePOWER-licenties.
FMC Smart-licentieservering
Voorwaarden
1. Voor de registratie van slimme licenties heeft het FMC toegang tot internet. Aangezien het certificaat wordt uitgewisseld tussen het FMC en de Smart License Cloud met HTTPS, moet u ervoor zorgen dat er geen apparaat in het pad is dat de communicatie kan beïnvloeden of wijzigen. (bijvoorbeeld Firewall, Proxy, SSL-decryptie apparaat, enzovoort).
2. Open CSSM en geef een Token-ID uit vanuit inventaris > Algemeen > Nieuwe Token-knop zoals in deze afbeelding.
Als u een sterke encryptie wilt gebruiken, schakelt u de door export gecontroleerde functionaliteit toe op de producten die met deze symbolische optie geregistreerd zijn. Als deze functie wordt ingeschakeld, wordt er een selectieteken weergegeven in het aanvinkvakje.
3. Selecteer Token maken.
FMC Smart-licentieservering
Blader naar het systeem> Licenties > Smart Licenties op het FMC en selecteer de knop Registreer zoals in deze afbeelding.
Voer de Token-id in het venster Smart Licensing Product Registration in en selecteer Wijzigingen toepassen zoals in deze afbeelding.
Als de registratie van slimme licenties is gelukt, wordt de status van productregistratie geregistreerd, zoals in deze afbeelding weergegeven.
Als u een licentie aan het FTD-apparaat wilt toewijzen, selecteert u Licenties bewerken. Selecteer en voeg een beheerd apparaat toe aan het Apparaat met licentiesectie. Selecteer tot slot de knop Toepassen zoals in deze afbeelding.
Bevestiging in Smart Software Manager (SSM) Side
Het succes van de registratie van FMC Smart Licentie kan worden bevestigd via inventaris > Event Log in CSSM, zoals in deze afbeelding weergegeven.
De registratiestatus van het VCC kan worden bevestigd door inventaris > Product. Controleer het logbestand van de gebeurtenis in het tabblad Event Log. Smart License registration and use status kan worden gecontroleerd vanuit het tabblad Inventory > Licenties. Controleer of de aangeschafte licentie op de juiste manier wordt gebruikt en er zijn geen meldingen die wijzen op ontoereikende licenties.
FMC Smart-licentie-deregistratie
Het FMC verwijderen van het register van Cisco SSM
Als u de licentie om de een of andere reden wilt vrijgeven of een ander token wilt hebben, navigeer dan naar Systeem > Licenties > Smart Licenties en selecteer de knop deregistreren zoals in deze afbeelding.
Registratie aan SSM-zijde verwijderen
Selecteer in de inventaris > Product-instellingen de optie Verwijderen op de target-VMC. Selecteer vervolgens Product Instance verwijderen om de FMC te verwijderen en de toegewezen licenties vrij te geven, zoals in deze afbeelding.
Problemen oplossen
Verificatie van tijd
Toegang tot de FMC CLI (bijvoorbeeld SSH) en zorg ervoor dat de tijd correct is en gesynchroniseerd met een vertrouwde NTP-server. Aangezien het certificaat wordt gebruikt voor de verificatie van slimme licenties, is het belangrijk dat het FMC de juiste tijdinformatie heeft:
admin@FMC:~$ date
Thu Jun 14 09:18:47 UTC 2020
admin@FMC:~$
admin@FMC:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*10.0.0.2 171.68.xx.xx 2 u 387 1024 377 0.977 0.469 0.916
127.127.1.1 .SFCL. 13 l - 64 0 0.000 0.000 0.000
Verifieer vanuit FMC UI de NTP-serverwaarden van systeem > Configuratie > Tijdsynchroniseren.
Naam en bereikbaarheid inschakelen op tools.cisco.com
Zorg ervoor dat FMC een FQDN kan oplossen en dat deze bereikbaar is aan tools.cisco.com:
> expert admin@FMC2000-2:~$ sudo su Password: root@FMC2000-2:/Volume/home/admin# ping tools.cisco.com PING tools.cisco.com (173.37.145.8) 56(84) bytes of data. 64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=1 ttl=237 time=163 ms 64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=2 ttl=237 time=163 ms
Verifieer vanuit FMC UI de IP-beheerserver en DNS-server van systeem > Configuration > Management-interfaces.
Controleer HTTPS (TCP 443) toegang van FMC naar tools.cisco.com
Gebruik Telnet of curl opdracht om te verzekeren dat FMC HTTPS toegang tot tools.cisco.com heeft. Als de TCP 443 communicatie wordt gebroken, controleer of het niet is geblokkeerd door een firewall en er geen SSL decryptie apparaat in het pad is.
root@FMC2000-2:/Volume/home/admin# telnet tools.cisco.com 443 Trying 72.163.4.38... Connected to tools.cisco.com. Escape character is '^]'. ^CConnection closed by foreign host. <--- Press Ctrl+C
Curletest:
root@FMC2000-2:/Volume/home/admin# curl -vvk https://tools.cisco.com
* Trying 72.163.4.38...
* TCP_NODELAY set
* Connected to tools.cisco.com (72.163.4.38) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=CA; L=San Jose; O=Cisco Systems, Inc.; CN=tools.cisco.com
* start date: Sep 17 04:00:58 2018 GMT
* expire date: Sep 17 04:10:00 2020 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify ok.
> GET / HTTP/1.1
> Host: tools.cisco.com
> User-Agent: curl/7.62.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Wed, 17 Jun 2020 10:28:31 GMT
< Last-Modified: Thu, 20 Dec 2012 23:46:09 GMT
< ETag: "39b01e46-151-4d15155dd459d"
< Accept-Ranges: bytes
< Content-Length: 337
< Access-Control-Allow-Credentials: true
< Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
< Access-Control-Allow-Headers: Content-type, fromPartyID, inputFormat, outputFormat, Authorization, Content-Length, Accept, Origin
< Content-Type: text/html
< Set-Cookie: CP_GUTC=10.163.4.54.1592389711389899; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Set-Cookie: CP_GUTC=10.163.44.92.1592389711391532; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Cache-Control: max-age=0
< Expires: Wed, 17 Jun 2020 10:28:31 GMT
<
<html>
<head>
<script language="JavaScript">
var input = document.URL.indexOf('intellishield');
if(input != -1) {
window.location="https://intellishield.cisco.com/security/alertmanager/";
}
else {
window.location="http://www.cisco.com";
};
</script>
</head>
<body>
<a href="http://www.cisco.com">www.cisco.com</a>
</body>
</html>
* Connection #0 to host tools.cisco.com left intact
root@FMC2000-2:/Volume/home/admin#
DNS-verificatie
Controleer de succesvolle oplossing op tools.cisco.com:
root@FMC2000-2:/Volume/home/admin# nslookup tools.cisco.com Server: 192.0.2.100 Address: 192.0.2.100#53 Non-authoritative answer: Name: tools.cisco.com Address: 72.163.4.38
Proxyverificatie
Als apProxy wordt gebruikt, controleer de waarden op zowel FMC als de proxy server-side. Controleer op FMC of het FMC de juiste IP-en poortadapter voor de proxy gebruikt.
root@FMC2000-2:/Volume/home/admin# cat /etc/sf/smart_callhome.conf KEEP_SYNC_ACTIVE:1 PROXY_DST_URL:https://tools.cisco.com/its/service/oddce/services/DDCEService PROXY_SRV:192.0.xx.xx PROXY_PORT:80
In de FMC UI kunnen de proxy-waarden worden bevestigd via System > Configuration > Management-interfaces.
Als de FMC-zijwaarden juist zijn, controleer dan de waarden van de proxy server-side (bijvoorbeeld als de proxy server toegang toestaat vanaf de FMC en naar tools.cisco.com. Toestaan van verkeer en uitwisseling van certificaten via de volmacht. Het FMC gebruikt een certificaat voor de registratie van slimme licenties).
Verlopen Token-id
Controleer of de ID van de afgegeven token niet is verlopen. Als het is verlopen, vraagt u de beheerder van Smart Software Manager om een nieuw token op te geven en de slimme licentie opnieuw te registreren met de nieuwe Token-ID.
De FMC-gateway wijzigen
Er kunnen gevallen zijn waarin de Smart Licentie-verificatie niet goed kan worden uitgevoerd vanwege de effecten van een relais-proxy of SSL-decryptie apparaat. Indien mogelijk wijzigt u de route voor de internettoegang van het FMC om deze apparaten te voorkomen en probeert u de registratie van slimme licenties opnieuw.
Controleer de gezondheidsgebeurtenissen op VMC
Kijk op het FMC in op System > Health > Events en controleer de status van de Smart License Monitor-module op fouten. Als de verbinding bijvoorbeeld niet verloopt vanwege een verlopen certificaat; er wordt een fout gegenereerd, zoals blijkt uit de verlopen id, zoals in deze afbeelding.
Controleer het Event Log op SSM zijde
Als het FMC op het CSSM kan aangesloten zijn, controleer het eventlogbestand van de connectiviteit in inventaris > Event Log. Controleer of er in het CSSM dergelijke knoppen of foutmeldingen zijn. Indien er geen probleem is met de waarden/werking van de FMC-site en er geen eventlog is aan de kant van CSSM, bestaat de mogelijkheid dat dit een probleem is met de route tussen het FMC en het CSSM.
Veelvoorkomende problemen
Samenvatting van de registratie- en autorisatiestaten:
| Registratiestatus van producten |
Gebruiksrechtovereenkomst |
Opmerkingen |
| Niet geregistreerd |
— |
Het FMC bevindt zich niet in de registratiefase, noch in de evaluatiemodus. Dit is de eerste toestand na de installatie van het FMC of na afloop van de evaluatie van 90 dagen. |
| ingeschreven |
geautoriseerd |
Het FMC wordt geregistreerd bij Cisco Smart Software Manager (CSSM) en er zijn FTD-apparaten geregistreerd met een geldig abonnement. |
| ingeschreven |
Verlopen vergunning |
De FMC heeft niet meer dan 90 dagen lang met de Cisco-licentiedrempel kunnen communiceren. |
| ingeschreven |
Niet geregistreerd |
Het FMC is geregistreerd bij Cisco Smart Software Manager (CSSM), maar er zijn geen FTD-apparaten geregistreerd op het FMC. |
| ingeschreven |
Uitgestelde naleving |
Het FMC is geregistreerd bij Cisco Smart Software Manager (CSSM), maar er zijn FTD-apparaten geregistreerd met een ongeldig abonnement(en). Een FTD (FP4112) apparaat gebruikt bijvoorbeeld THREAT-abonnement, maar met Cisco Smart Software Manager (CSSM) zijn er geen THREAT-abonnementen beschikbaar voor FP4112. |
| Evaluatie (90 dagen) |
N.v.t. |
De evaluatieperiode is in gebruik, maar er zijn geen FTD-apparaten geregistreerd op het VCC. |
Case Studie 1. Ongeldig Token
Symptoom: Registratie van het CSSM verloopt snel (~10 s) vanwege een ongeldig teken, zoals in deze afbeelding wordt weergegeven.
Resolutie: Gebruik een geldig token.
Case Studie 2. Ongeldige DNS
Symptoom: Registratie in het CSSM is niet uitgevoerd na een tijdje (~25 jaar), zoals in deze afbeelding wordt weergegeven.
Controleer het /var/log/process_stdout.log-bestand. Het DNS-probleem is te zien:
root@FMC2000-2:/Volume/home/admin# cat /var/log/process_stdout.log 2020-06-25 09:05:21 sla[24043]: *Thu Jun 25 09:05:10.989 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494],
failed to perform, err code 6, err string "Couldn't resolve host name"
Resolutie: Fouten in CSSM hostname oplossing. De resolutie is om, indien niet geconfigureerd, DNS te configureren of de DNS-problemen op te lossen.
Case Studie 3. Ongeldige tijdwaarden
Symptoom: Registratie in het CSSM is niet uitgevoerd na een tijdje (~25 jaar), zoals in deze afbeelding wordt weergegeven.
Controleer het /var/log/process_stdout.log-bestand. U vindt de certificaten:
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_request_init[59], request "POST", url "https://tools.cisco.com/its/service/oddce/services/DDCEService" 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[299], https related setting 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[302], set ca info 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_head_init[110], init msg header 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494],
failed to perform, err code 60, err string "SSL peer certificate or SSH remote key was not OK" 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_http_unlock[330], unlock http mutex. 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_send_http[365], send http msg, result 30 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue[514],
cert issue checking, ret 60, url https://tools.cisco.com/its/service/oddce/services/DDCEService
Controleer de FMC-tijdwaarde:
root@FMC2000-2:/Volume/home/admin# date Fri Jun 25 09:27:22 UTC 2021
Zaak nr. 4. Geen abonnement
Als er geen licentieabonnement voor een specifieke functie is, is de inzet van het FMC niet mogelijk:
Resolutie: Het is noodzakelijk het vereiste abonnement op het apparaat aan te schaffen en toe te passen.
Case study 5. Out-of-compliance (OC)
Als er geen rechten zijn voor FTD-abonnementen, gaat de FMC Smart License naar de out-of-compliance (OOC) status:
Controleer in het CSSM op fouten:
Zaak 6. Geen sterke encryptie
Als alleen de Base License wordt gebruikt, is Data Encryption Standard (DES)-encryptie ingeschakeld in de FTD LINA-motor. In dat geval mislukken implementaties zoals L2L Virtual Private Network (VPN) met sterkere algoritmen:
Resolutie: Registreer het FMC in het CSSM en laat een sterke encryptie-attributie ingeschakeld zijn.
Extra opmerkingen
Kennisgeving van slimme licentiestatus instellen
E-mailmelding door SSM
Aan de kant van het SSM kan via SSM-e-mailbericht beknopte e-mails worden ontvangen voor verschillende gebeurtenissen. Bericht voor een gebrek aan vergunning of voor licenties die op het punt staan te verlopen. Meldingen van een verbinding met een productgeval of van een storing in de bijwerking kunnen worden ontvangen.
Deze functie is zeer handig om functionele beperkingen op te merken en te voorkomen tijdens het verlopen van de licentie.
Ontvang meldingen uit het volksgezondheidsrapport van het FMC
Aan de FMC-zijde is het mogelijk om een alarmmelding voor de gezondheid te configureren en een waarschuwingsmelding van een gezondheidsgebeurtenis te ontvangen. De Module Smart License Monitor is beschikbaar om de status Smart Licentie te controleren. Het monitoralarm ondersteunt Syslog, E-mail en SNMP-val.
Dit is een configuratievoorbeeld om een Syrische bericht te krijgen wanneer er een Smart License monitor-gebeurtenis is:
Dit is een voorbeeld van een gezondheidswaarschuwing:
Het door het FMC gegenereerde slogbericht is:
Mar 13 18:47:10 xx.xx.xx.xx Mar 13 09:47:10 FMC : HMNOTIFY: Smart License Monitor (Sensor FMC): Severity: critical: Smart License usage is out of compliance
Raadpleeg de gezondheidsbewaking voor aanvullende informatie over de meldingen van de gezondheidsmonitor.
Meervoudige FMC’s op dezelfde slimme account
Wanneer meerdere FMC's op dezelfde Smart Account worden gebruikt, moet elke FMC-hostname uniek zijn. Wanneer meerdere VCC's in CSSM worden beheerd, om elke FMC van elkaar te onderscheiden, moet de hostnaam van elke FMC uniek zijn. Dit is handig voor het onderhoud van FMC Smart Licentie.
FMC moet internetconnectiviteit behouden
Na registratie controleert het FMC elke 30 dagen de slimme licentiestatus van de Licentie. Als de VCC 90 dagen niet kan communiceren, wordt de erkende functie behouden, maar blijft de Verlopen status. Zelfs in deze toestand probeert het FMC voortdurend verbinding te maken met de Smart License Cloud.
Meervoudige FMCv implementeren
Wanneer het FirePOWER-systeem in een virtuele omgeving wordt gebruikt, wordt klonen (heet of koud) niet officieel ondersteund. Elk virtueel FireSIGHT Management Center (FMCv) is uniek omdat het verificatieinformatie binnen heeft. Om meerdere FMCv in te zetten, moet de FMCv één voor één worden gemaakt uit het OVF-bestand (Open Virtualization Format). Raadpleeg voor meer informatie over deze beperking de Cisco Firepower Management Center Virtual for VMware Deployment Quick Start Guide.
Vaak gestelde vragen (veelgestelde vragen)
Hoeveel licenties zijn er in FTD HA vereist?
Wanneer twee FTD's in Hoge beschikbaarheid worden gebruikt, is er een licentie vereist voor elk apparaat. Er zijn bijvoorbeeld twee licenties voor Threat en Malware nodig als het IPS (Inbraakbeschermingssysteem) en Advanced Malware Protection (AMP) worden gebruikt op het FTD HA-paar.
Waarom worden geen AnyConnect-licenties gebruikt door FTD?
Controleer na registratie door het FMC op de Smart-account of de AnyConnect-licentie is ingeschakeld. Om de licentie in te schakelen, navigeer naarFMC > Apparaten, selecteer uw apparaat en selecteer Licentie. Selecteer het pictogram PencilSelecteer de licentie die in de Smart-account is opgeslagen en selecteer Opslaan.
Waarom is slechts één AnyConnect-licentie 'In gebruik' op de Smart-account wanneer 100 gebruikers zijn aangesloten?
Dit wordt verwacht gedrag, aangezien Smart Account het aantal apparaten volgt dat deze licentie is ingeschakeld en niet actieve gebruikers aangesloten.
Waarom is er een fout? Device does not have the AnyConnect License na configuratie en invoering van een VPN voor externe toegang door het FMC?
Zorg ervoor dat de FMC is geregistreerd in de Smart License Cloud. Het verwachte gedrag is de configuratie van de Externe Toegang die niet kan worden ingezet wanneer het FMC niet is geregistreerd of in de evaluatiemodus. Als het FMC is geregistreerd, controleert u of de AnyConnect-licentie in uw slimme account aanwezig is en of deze aan het apparaat is toegewezen.
Om een licentie toe te wijzen, navigeren inFMC Devices, selecteer uw apparaat, Licentie (pictogram potlood). Kies de licentie in de Smart-account en selecteer Opslaan.
Waarom is er een fout? Remote Access VPN with SSL cannot be deployed when Export-Controlled Features (Strong-crypto) are disabled wanneer is er een implementatie van een VPN-configuratie voor externe toegang?
Voor de Remote Access VPN-applicatie die op de FTD wordt ingezet, moet een sterke encryptie-licentie worden ingeschakeld. NLZorg ervoor dat er een sterke encryptie-licentie op het FMC is ingeschakeld. Om de status van de sterke encryptie-licentie te controleren, navigeren aan de FMC System > Licenties > Smart Licensingen controleer of de door export gecontroleerde functies zijn ingeschakeld.
Hoe kunt u een sterke encryptie-licentie inschakelen indien Export-Controlled Features is uitgeschakeld?
Deze functionaliteit wordt automatisch ingeschakeld als het token dat tijdens de registratie van de FMC naar de Smart Account Cloud wordt gebruikt, de optie Exporteergecontroleerde functionaliteit toestaan op de producten die met deze token zijn geregistreerd. Als deze optie niet is ingeschakeld, registreert u het FMC en registreert u het nogmaals met deze optie ingeschakeld.
Wat kan worden gedaan als de optie "Exportogecontroleerde functionaliteit toestaan op de met deze token geregistreerde producten" niet beschikbaar is wanneer het token wordt gegenereerd?
Neem contact op met uw Cisco-accountteam.
Waarom wordt de fout 'Strong crypto (d.w.z. encryptie algoritme groter dan DES) voor VPN topologie s2s niet ondersteund' ontvangen?
Deze fout wordt weergegeven wanneer het FMC de evaluatiemodus gebruikt of de Smart Licentieaccount geen recht heeft op een sterke Encryptielicentie. Vcontroleren of het VCC bij de Licentieautoriteit is geregistreerd en toestaan dat de door export gecontroleerde functionaliteit op de met deze token geregistreerde producten is ingeschakeld. Als de Smart-account geen sterke encryptie-licentie mag gebruiken, is het gebruik van VPN Site-to-Site configuratie met telefoons die sterker zijn dan DES niet toegestaan.
Waarom wordt de status "out of compliance" op het VCC ontvangen?
Het apparaat kan niet aan de voorschriften voldoen wanneer een van de beheerde apparatuur gebruik maakt van niet-beschikbare licenties.
Hoe kan de "out of compliance"-status worden gecorrigeerd?
Volg de stappen die in de Firepower Configuration Guide zijn beschreven:
1. Kijk in het gedeelte Smart Licenties onder op de pagina om te bepalen welke licenties nodig zijn.
2. Schaf de gewenste licenties aan via uw gebruikelijke kanalen.
3. In Cisco Smart Software Manager (https://software.cisco.com/#SmartLicensing-Inventory)Controleer of de licenties in uw virtuele account verschijnen.
4. Selecteer in het VCC het Systeem > Licenties > Smart Licenties.
5. Selecteer opnieuw autoriseren.
U vindt de volledige procedure in Licentie voor het FirePOWER-systeem.
Wat zijn de eigenschappen van de Firepower Threat Defense Base?
Met de basislicentie is het volgende toegestaan:
- Configuratie van FTD-apparaten aan switch en route (inclusief DHCP Relay en NAT).
- Configuratie van FTD-apparaten in een hoge beschikbaarheid (HA) modus.
- Configuratie van veiligheidsmodules als cluster binnen een chassis met vuurkracht 9300 (intra-chassis cluster).
- Configuratie van Firepower 9300 of Firepower 4100 Series-apparaten (FTD) als cluster (interchassis cluster).
- Configuratie van de controle op gebruikers en toepassingen en toevoeging van de gebruiks- en toepassingsvoorwaarden aan de toegangscontroleregels.
Hoe kan de licentie voor FirePOWER Threat Defense Base Functs worden verkregen?
Een basislicentie wordt automatisch meegeleverd bij elke aankoop van een FirePOWER Threat Defense of Firepower Threat Defense Virtual-apparaat. Het wordt automatisch aan uw Smart Account toegevoegd wanneer FTD bij het FMC registreert.
Welke IP-adressen moeten worden toegestaan in het pad tussen het FMC en de Smart License Cloud?
Het FMC gebruikt het IP-adres. Klik op poort 443 om te communiceren met de Smart License Cloud.
Dat IP-adres (https://tools.cisco.com)is opgelost op deze IP-adressen:
- 72.163.4.38
- 173.37.145.8
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
20-Jul-2022 |
Herhaaldelijk dit document en voerde CCW-analyse en wijzigingen uit om de Cisco.com PVS te verbeteren. |
1.0 |
20-Jul-2020 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)