FMC en FTD slimme licentieregistratie en probleemoplossing
Inhoud
Inleiding
In dit document wordt de configuratie van de Smart Licentie-registratie beschreven in het Firepower Management Center (FMC) voor Firepower Threat Defense (FTD) beheerde apparaten. Het behandelt ook verschillende scenario's voor het oplossen van problemen.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Achtergrondinformatie
FMC, FTD en slimme licentie
Smart License registration wordt uitgevoerd op het FMC. Het FMC communiceert met het Cisco Smart Software Manager (CSSM)-portaal via het internet. In CSSM beheert de firewallbeheerder de Smart Account en de licenties. Het FMC kan vrij licenties toewijzen en verwijderen aan de beheerde FTD-apparaten. Met andere woorden: het FMC beheert de licenties voor FTD-apparatuur centraal.
Er is een aanvullende licentie vereist om bepaalde functies van FTD-apparaten te kunnen gebruiken. De typen slimme licenties die u aan een FTD-apparaat kunt toewijzen, zijn gedocumenteerd in FTD-licentietypen en -beperkingen.
De basislicentie is opgenomen in het FTD-apparaat en deze licentie wordt automatisch geregistreerd op uw slimme account wanneer het FMC is geregistreerd op SSM.
De term-gebaseerde licenties bedreigd, Malware, URL-filtering zijn optioneel. Als u functies wilt gebruiken die betrekking hebben op een licentie, moet een licentie aan het FTD-apparaat worden toegewezen.
Wanneer u een Firepower Management Center Virtual (FMCv) gebruikt voor het FTD-beheer, is ook een Firepower MCv-apparaatlicentie in SSM nodig voor het FMCv. De FMCv-licentie is in de software opgenomen en is permanent.
Raadpleeg voor meer informatie over licenties Cisco Firepower System-licenties en vaak gestelde vragen (FAQ) over FirePOWER-licenties.
FMC Smart-licentieservering
Voorwaarden
1. Voor de registratie van slimme licenties moet het FMC toegang hebben tot internet. Aangezien het certificaat wordt uitgewisseld tussen de FMC en de licentielek met HTTPS, moet u er ook voor zorgen dat er geen apparaat in het pad is dat de communicatie kan beïnvloeden of wijzigen. (bijvoorbeeld firewall, Proxy, SSL-decryptie apparaat, enz.)
2. Toegang tot CSSM en geef een Token-ID uit inventaris > Algemeen > Nieuwe Token-knop.
Als u een sterke encryptie wilt gebruiken moet u de toestaan export-gecontroleerde functionaliteit op de producten die met deze symbolische optie geregistreerd zijn toelaten.
FMC Smart-licentieservering
Selecteer vanuit het systeem > Licenties > Smart Licenties op FMC, de knop Registreer.
Voer de Token-id in het venster Smart Licensing Product Registration in en selecteer Wijzigingen toepassen.
Als de registratie van slimme licenties is geslaagd, wordt de status van productregistratie weergegeven in geregistreerd.
Als u een licentie aan het FTD-apparaat wilt toewijzen, selecteert u Licenties bewerken. Selecteer en voeg een beheerd apparaat toe aan het Apparaat met licentiesectie. Tenslotte selecteert u de knop Toepassen.
Bevestiging aan de kant van Smart Software Manager (SSM)
Het succes van FMC Smart License registration kan worden bevestigd door inventaris > Event Log in CSSM.
De registratiestatus van FMC kan worden bevestigd door inventaris > Product. U kunt het logbestand van de gebeurtenis ook controleren in het tabblad Event Log. Tot slot kunt u de registratie van Smart Licenties en de gebruiksstatus controleren via het tabblad Inventory > Licenties. U kunt controleren of de door u aangekochte licentie op basis van het begrip correct wordt gebruikt en u hebt geen meldingen van ontoereikende licenties.
FMC Smart-licentie-deregistratie
Registratie van de FMC via Cisco Smart Software Manager-software
Als u de licentie om de een of andere reden wilt vrijgeven of een ander token wilt hebben, navigeert u naar Systeem > Licenties > Smart Licenties en selecteert u de knop deregistreren.
Registratie aan SSM-zijde verwijderen
Selecteer in de inventaris > Product-instellingen de optie Verwijderen op de target-VMC. Selecteer vervolgens Productinstantie verwijderen om de FMC te verwijderen en de toegewezen licenties vrij te geven.
Problemen oplossen
Verificatie van tijdinstellingen
Toegang tot de FMC CLI (bijv. SSH) en zorg ervoor dat de tijd correct is en gesynchroniseerd met een vertrouwde NTP-server. Aangezien het certificaat wordt gebruikt voor de verificatie van slimme licenties, is het belangrijk dat het FMC de juiste tijdinformatie heeft:
admin@FMC:~$ date
Thu Jun 14 09:18:47 UTC 2020
admin@FMC:~$
admin@FMC:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*1.0.0.2 171.68.xx.xx 2 u 387 1024 377 0.977 0.469 0.916
127.127.1.1 .SFCL. 13 l - 64 0 0.000 0.000 0.000
Vanaf het FMC UI kunt u de NTP serverinstellingen controleren van Systeem > Configuratie > Tijdsynchroniseren.
Naam en bereikbaarheid op tools.cisco.com inschakelen
Zorg ervoor dat de FMC een FQDN kan oplossen en bereikbaarheid voor tools.cisco.com heeft:
> expert admin@FMC2000-2:~$ sudo su Password: root@FMC2000-2:/Volume/home/admin# ping tools.cisco.com PING tools.cisco.com (173.37.145.8) 56(84) bytes of data. 64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=1 ttl=237 time=163 ms 64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=2 ttl=237 time=163 ms
Vanaf het FMC UI kunt u de IP van het beheer en de DNS server controleren vanuit systeem > Configuratie > Interfaces van het beheer.
Controleer HTTPS (TCP 443) toegang van FMC tot tools.cisco.com
Gebruik de opdracht Telnet of curl om ervoor te zorgen dat FMC HTTPS toegang tot tools.cisco.com heeft. Als de TCP 443-communicatie is verbroken, controleer dan of deze niet is geblokkeerd door een firewall en of er in het pad geen SSL-decryptie apparaat is.
root@FMC2000-2:/Volume/home/admin# telnet tools.cisco.com 443 Trying 72.163.4.38... Connected to tools.cisco.com. Escape character is '^]'. ^CConnection closed by foreign host. <--- Press Ctrl+C
Curletest:
root@FMC2000-2:/Volume/home/admin# curl -vvk https://tools.cisco.com
* Trying 72.163.4.38...
* TCP_NODELAY set
* Connected to tools.cisco.com (72.163.4.38) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=CA; L=San Jose; O=Cisco Systems, Inc.; CN=tools.cisco.com
* start date: Sep 17 04:00:58 2018 GMT
* expire date: Sep 17 04:10:00 2020 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify ok.
> GET / HTTP/1.1
> Host: tools.cisco.com
> User-Agent: curl/7.62.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Wed, 17 Jun 2020 10:28:31 GMT
< Last-Modified: Thu, 20 Dec 2012 23:46:09 GMT
< ETag: "39b01e46-151-4d15155dd459d"
< Accept-Ranges: bytes
< Content-Length: 337
< Access-Control-Allow-Credentials: true
< Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
< Access-Control-Allow-Headers: Content-type, fromPartyID, inputFormat, outputFormat, Authorization, Content-Length, Accept, Origin
< Content-Type: text/html
< Set-Cookie: CP_GUTC=72.163.4.54.1592389711389899; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Set-Cookie: CP_GUTC=72.163.44.92.1592389711391532; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Cache-Control: max-age=0
< Expires: Wed, 17 Jun 2020 10:28:31 GMT
<
<html>
<head>
<script language="JavaScript">
var input = document.URL.indexOf('intellishield');
if(input != -1) {
window.location="https://intellishield.cisco.com/security/alertmanager/";
}
else {
window.location="http://www.cisco.com";
};
</script>
</head>
<body>
<a href="http://www.cisco.com">www.cisco.com</a>
</body>
</html>
* Connection #0 to host tools.cisco.com left intact
root@FMC2000-2:/Volume/home/admin#
DNS-verificatie
Controleer dat u de oplossingen met succes kunt oplossen op tools.cisco.com:
root@FMC2000-2:/Volume/home/admin# nslookup tools.cisco.com Server: 192.0.2.100 Address: 192.0.2.100#53 Non-authoritative answer: Name: tools.cisco.com Address: 72.163.4.38
Proxyverificatie
Indien een proxy wordt gebruikt, controleert u de instellingen op zowel FMC als op de proxy-server. Op FMC controleer of het FMC gebruik maakt van de juiste IP-proxy-server en poort.
root@FMC2000-2:/Volume/home/admin# cat /etc/sf/smart_callhome.conf KEEP_SYNC_ACTIVE:1 PROXY_DST_URL:https://tools.cisco.com/its/service/oddce/services/DDCEService PROXY_SRV:192.0.xx.xx PROXY_PORT:80
In de FMC UI kunnen de proxy-instellingen worden bevestigd via System > Configuration > Management Interfaces.
Als de instelling van de FMC-zijde correct is, controleert u de instellingen van de proxy server-side (bijvoorbeeld of de proxy server toegang biedt via het FMC en op tools.cisco.com. Toestaan van verkeer en uitwisseling van certificaten via de volmacht. Het FMC gebruikt een certificaat voor de registratie van slimme licenties).
Als er een transparante proxy of een L7 FW is in het pad tussen de FMC en de licentiwolk, moet dezelfde controle op de proxy of de L7 FW worden uitgevoerd.
Verlopen Token-id
Controleer of de afgegeven token niet is verlopen. Als het is verlopen, vraagt u de slimme software Manager-beheerder om een nieuwe token op te geven en registreert u de slimme licentie opnieuw met de nieuwe Token-ID.
De FMC-gateway wijzigen
Er zijn gevallen waarin de Smart Licentie-verificatie niet goed kan worden uitgevoerd vanwege de effecten van een relais-proxy of SSL-decryptie apparaat. Indien mogelijk wijzigt u de route voor de FMC Internet-toegang niet via deze apparaten en probeert u Smart License registration.
Controleer de gezondheidsgebeurtenissen op VMC
Op FMC navigeer u naar Systeem > Gezondheid > Gebeurtenissen en controleer de status van de Smart License Monitor module op fouten. Als de verbinding niet goed verloopt vanwege het verlopen van het certificaat, wordt er bijvoorbeeld een fout gegenereerd zoals id-certificering.
Controleer de Event Log in SSM kant
Als het FMC op SSM kan worden aangesloten, kunt u het eventlogboek van de connectiviteit in Voorbeeld > Event Log controleren. Controleer of er al dan niet sprake is van dergelijke gebeurtenis logs, error logs of niet in SSM. Indien er geen probleem is met de instelling/exploitatie van de FMC-site en er geen logbestand van gebeurtenissen aan de kant van de SSM is, bestaat de mogelijkheid dat dit een probleem is van de route tussen het FMC en het SSM.
Gemeenschappelijke kwesties
Samenvatting van de registratie- en autorisatiestaten
| Registratiestatus van producten |
Gebruiksrechtovereenkomst |
Opmerkingen |
| Niet geregistreerd |
— |
Het FMC bevindt zich niet in de registratiefase, noch in de evaluatiemodus. Dit is de eerste toestand na de installatie van het FMC of na afloop van de evaluatie-periode van 90 dagen |
| ingeschreven |
geautoriseerd |
Het FMC is geregistreerd bij Cisco Smart Software Manager (CSCM) en er zijn FTD-apparaten geregistreerd met een geldig abonnement |
| ingeschreven |
Verlopen vergunning |
FMC heeft niet meer dan 90 dagen lang met Cisco-licentieservice gecommuniceerd |
| ingeschreven |
Niet geregistreerd |
Het FMC is geregistreerd bij Cisco Smart Software Manager (CSCM), maar er zijn geen FTD-apparaten geregistreerd op FMC |
| ingeschreven |
Uitgestelde naleving |
Het FMC is geregistreerd bij Cisco Smart Software Manager (CSCM), maar er zijn FTD-apparaten geregistreerd met een ongeldig abonnement(en). Een FTD (FP4112)-apparaat gebruikt bijvoorbeeld THREAT-abonnement, maar in de documentatie met Cisco Smart Software Manager (CSCM) zijn er geen THREAT-abonnementen beschikbaar voor FP4112 |
| Evaluatie (90 dagen) |
N.v.t. |
De evaluatieperiode is in gebruik, maar er zijn geen FTD-apparatuur geregistreerd op VCC |
Zaak nr. 1: Ongeldig Token
Symptoom: Registratie van CSSM mislukt snel (~10 s) door ongeldig token
Resolutie: Gebruik een geldig token
Case Studie 2. Ongeldige DNS
Symptoom: Registratie van het CSSM is na een tijdje (~25 s) mislukt
Controleer het /var/log/process_stdout.log-bestand. U kunt het DNS-probleem zien:
root@FMC2000-2:/Volume/home/admin# cat /var/log/process_stdout.log 2020-06-25 09:05:21 sla[24043]: *Thu Jun 25 09:05:10.989 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494],
failed to perform, err code 6, err string "Couldn't resolve host name"
Resolutie: Fouten in CSSM hostname oplossing. De resolutie is om DNS te configureren als u geen DNS-problemen hebt ingesteld of de DNS-problemen oplossen.
Case Studie 3. Ongeldige tijdinstellingen
Symptoom: Registratie van het CSSM is na een tijdje (~25 s) mislukt
Controleer het /var/log/process_stdout.log-bestand. U kunt certificeringskwesties zien:
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_request_init[59], request "POST", url "https://tools.cisco.com/its/service/oddce/services/DDCEService" 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[299], https related setting 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[302], set ca info 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_head_init[110], init msg header 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494],
failed to perform, err code 60, err string "SSL peer certificate or SSH remote key was not OK" 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_http_unlock[330], unlock http mutex. 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_send_http[365], send http msg, result 30 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue[514],
cert issue checking, ret 60, url https://tools.cisco.com/its/service/oddce/services/DDCEService
Controleer de tijdinstellingen van het FMC:
root@FMC2000-2:/Volume/home/admin# date Fri Jun 25 09:27:22 UTC 2021
Zaak nr. 4. Geen abonnement
Indien er geen licentieabonnement voor een specifieke functie bestaat, is de inzet van het FMC niet mogelijk:
Resolutie: De vereiste abonnement moet op het apparaat worden aangeschaft en toegepast.
Zaak nr. 5. out-of-compliance (OOC)
Als er geen rechten zijn voor FTD-abonnementen, gaat de FMC Smart-licentie naar de OOC-status:
Controleer in CSSM de meldingen op fouten:
Zaak 6. Geen sterke encryptie
Als u Base License alleen DES-encryptie gebruikt, is deze optie ingeschakeld in de FTD LINA-motor. In dat geval mislukken implementaties zoals L2L VPN met sterkere algoritmen:
Resolutie: Registreer de FMC aan CSCM en heb een sterke encryptie-eigenschap ingeschakeld.
Extra opmerkingen
Kennisgeving van slimme licentiestatus instellen
E-mailkennisgeving door SSM
Aan de kant van SSM kunt u met behulp van SSM-e-mailberichten samengevatte e-mails ontvangen voor verschillende gebeurtenissen. U kunt bijvoorbeeld worden geïnformeerd over een gebrek aan licentie of licenties die binnenkort zullen verlopen. U kunt ook meldingen ontvangen van een verbinding met een productinstantie, een storing of een update enz.
Deze functie is zeer nuttig om het optreden van functionele beperkingen wegens het verlopen van de licentie te noteren en te voorkomen.
Ontvang meldingen uit het gezondheidsrapport van het FMC
Aan de FMC-zijde is het mogelijk een gezondheidsmonitor te configureren en een melding van een gezondheidsgebeurtenis te ontvangen. De Module Smart License Monitor is beschikbaar om de status Smart Licentie te controleren. Het monitoralarm ondersteunt Syslog, E-mail en SNMP-val.
Dit is een configuratievoorbeeld om een syslog-bericht te krijgen wanneer er een Smart License monitor-gebeurtenis is:
Dit is een voorbeeld van een gezondheidswaarschuwing:
Het door FMC gegenereerd syslog-bericht:
Mar 13 18:47:10 xx.xx.xx.xx Mar 13 09:47:10 FMC : HMNOTIFY: Smart License Monitor (Sensor FMC): Severity: critical: Smart License usage is out of compliance
Raadpleeg de gezondheidsbewaking voor aanvullende informatie over de meldingen van de gezondheidsmonitor.
Meervoudige FMC’s op dezelfde slimme account
Wanneer u meerdere FMC's op dezelfde slimme account gebruikt, moet elke FMC-hostname uniek zijn. Wanneer u meerdere VCC's in SSM's beheert om elk FMC van elkaar te onderscheiden, moet de hostnaam van elke FMC uniek zijn. Dit is handig voor het onderhoud van FMC Smart Licentie.
FMC moet internetconnectiviteit behouden
Na registratie controleert het FMC elke 30 dagen de licentiestudie en de licentiestatus. Als de VCC 90 dagen niet kan communiceren, wordt de erkende functie behouden, maar blijft de Verlopen status. Zelfs in deze toestand probeert FMC voortdurend verbinding te maken met de licentielolk.
Meervoudige FMCv implementeren
Wanneer het Firepower System in een virtuele omgeving wordt gebruikt, wordt klon (heet of koud) niet officieel ondersteund. Elk virtueel FireSIGHT Management Center (FMCv) is uniek omdat het verificatieinformatie binnen heeft. Als u meerdere FMCv wilt inzetten, moet de FMCv worden gemaakt uit het OVF-bestand één voor één. Raadpleeg voor meer informatie over deze beperking de Cisco Firepower Management Center Virtual for VMware Deployment Quick Start Guide.
Vaak gestelde vragen (FAQ)
Hoeveel licenties zijn er in FTD HA vereist?
Wanneer u twee FTD's in Hoge beschikbaarheid gebruikt, is er een licentie vereist voor elk apparaat. Er zijn bijvoorbeeld twee bedreigings- en malware-licenties nodig als u de IPS- en AMP-functie op het FTD HA-paar gebruikt.
- Configureer de FTD-apparaten om switching en routing uit te voeren (inclusief DHCP Relay en NAT).
- Configureer de FTD-apparaten in een hoge beschikbaarheid (HA) modus.
- Beveiligingsmodules configureren als cluster binnen een FirePOWER 9300 chassis (clustering binnen het chassis).
- Configuratie van Firepower 9300 of Firepower 4100 series (FTD) als een cluster (clustervorming tussen chassis).
- Configuratie van gebruiker en toepassingscontrole en voeg gebruiker en toepassingsvoorwaarden aan toegangscontroleregels toe.
- 72.163.4.38
- 173.37.145.8
Gerelateerde informatie
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)