Gebruik FMC en FTD Smart License Registration en Common Issues om problemen op te lossen
Inhoud
Inleiding
In dit document wordt de configuratie voor slimme licentieregistratie van Firepower Management Center op door Firepower Threat Defense beheerde apparaten beschreven.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
FMC, FTD en Smart License registratie.
Slimme licentieregistratie wordt uitgevoerd op het Firepower Management Center (FMC). De FMC communiceert via het internet met de Cisco Smart Software Manager (CSSM) portal. In het CSSM beheert de firewallbeheerder de Smart Account en de bijbehorende licenties. De FMC kan vrijelijk licenties toewijzen en verwijderen aan de beheerde Firepower Threat Defense (FTD)-apparaten. Met andere woorden, het FMC beheert licenties voor FTD-apparaten centraal.
Een extra licentie is vereist om bepaalde functies van FTD-apparaten te gebruiken. De typen slimme licenties die klanten aan een FTD-apparaat kunnen toewijzen, zijn gedocumenteerd in FTD-licentietypen en -beperkingen.
De Base-licentie is opgenomen in het FTD-apparaat. Deze licentie wordt automatisch geregistreerd in uw Smart Account wanneer de FMC is geregistreerd bij CSSM.
De term-based licenties: Threat, Malware en URL Filtering zijn optioneel. Om functies met betrekking tot een licentie te gebruiken, moet een licentie worden toegewezen aan het FTD-apparaat.
Voor het gebruik van een Virtual Firepower Management Center (FMCv) voor het FTD-beheer is ook een Firepower MCv Device License in CSSM vereist voor de FMCv.
De FMCv-licentie is opgenomen in de software en is eeuwigdurend.
Bovendien worden in dit document scenario's gegeven om veelvoorkomende licentieregistratiefouten op te lossen die kunnen optreden.
Voor meer informatie over licenties raadpleegt u Cisco Firepower System Feature Licenses en veelgestelde vragen over Firepower-licenties.
FMC Smart License Registration
Voorwaarden
1. Voor de registratie van slimme licenties moet het VCC toegang hebben tot internet. Omdat het certificaat wordt uitgewisseld tussen de FMC en de Smart License Cloud met HTTPS, moet u ervoor zorgen dat er geen apparaat in het pad is dat de communicatie kan beïnvloeden / wijzigen. (bijvoorbeeld Firewall, Proxy, SSL-decoderingsapparaat, enzovoort).
2. Open het CSSM en geef een Token-ID uit via Inventory > General > New Token, zoals in deze afbeelding wordt weergegeven.
Als u sterke codering wilt gebruiken, schakelt u de functie Exportbeheer toestaan in op de producten die zijn geregistreerd met deze tokenoptie. Als deze optie is ingeschakeld, wordt een vinkje weergegeven in het selectievakje.
3. Selecteer Token maken.
FMC Smart License Registration
Navigeer naar Systeem > Licenties > Slimme licenties op de FMC en selecteer de knop Registreren, zoals weergegeven in deze afbeelding.
Voer de Token-ID in het venster voor de registratie van slimme licentieproducten in en selecteer Wijzigingen toepassen, zoals in deze afbeelding wordt weergegeven.
Als de registratie van de slimme licentie succesvol was, wordt de status van de productregistratie Geregistreerd weergegeven, zoals in deze afbeelding wordt weergegeven.
Selecteer Licenties bewerken om een op een term gebaseerde licentie toe te wijzen aan het FTD-apparaat. Selecteer vervolgens een beheerd apparaat en voeg dit toe aan het gedeelte Apparaten met licentie. Selecteer ten slotte de knop Toepassen zoals weergegeven in deze afbeelding.
Bevestiging aan de kant van Smart Software Manager (SSM)
Het succes van de FMC Smart License registratie kan worden bevestigd vanuit Inventory > Event Log in CSSM, zoals getoond in deze afbeelding.
De registratiestatus van het VCC kan worden bevestigd via Inventaris > Productinstanties. Controleer het gebeurtenissenlogboek op het tabblad Gebeurtenissenlogboek. Slimme licentieregistratie en gebruiksstatus kunnen worden gecontroleerd op het tabblad Inventaris > Licenties. Controleer of de op term gebaseerde licentie correct wordt gebruikt en er geen waarschuwingen zijn die wijzen op onvoldoende licenties.
De-registratie van FMC Smart-licenties
De-registreer de FMC van het Cisco SSM
Als u de licentie om een of andere reden wilt vrijgeven of een ander token wilt gebruiken, gaat u naar Systeem > Licenties > Slimme licenties en selecteert u de knop uitschrijven, zoals in deze afbeelding wordt weergegeven.
Registratie verwijderen van SSM Side
Ga naar de Smart Software Manager (Cisco Smart Software Manager) en selecteer Verwijderen op de doelFMC vanuit Inventory > Product Instances. Selecteer vervolgens Product Instance verwijderen om de FMC te verwijderen en de toegewezen licenties vrij te geven, zoals in deze afbeelding wordt getoond.
RMA
Als de FMC wordt geretourneerd, verwijdert u de registratie van de FMC bij Cisco Smart Software Manager (CSSM) met behulp van de stappen in het gedeelte FMC Smart License De-Registration > Remove Registration from SSM Side en registreert u de FMC opnieuw bij CSSM met behulp van de stappen in het gedeelte FMC Smart License Registration.
Problemen oplossen
Verificatie tijdsynchronisatie
Open de FMC CLI (bijvoorbeeld SSH) en zorg ervoor dat de tijd correct is en wordt gesynchroniseerd met een vertrouwde NTP-server. Omdat het certificaat wordt gebruikt voor Smart License-verificatie, is het belangrijk dat de FMC over de juiste tijdinformatie beschikt:
admin@FMC:~$ date
Thu Jun 14 09:18:47 UTC 2020
admin@FMC:~$
admin@FMC:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*10.0.0.2 171.68.xx.xx 2 u 387 1024 377 0.977 0.469 0.916
127.127.1.1 .SFCL. 13 l - 64 0 0.000 0.000 0.000
Controleer in de FMC UI de NTP-serverwaarden in Systeem > Configuratie > Tijdsynchronisatie.
Naamresolutie inschakelen en Bereikbaarheid controleren op tools.cisco.com (smartreceiver.cisco.com van FMC 7.3+)
Zorg ervoor dat de FMC een FQDN kan oplossen en bereikbaar is via tools.cisco.com (smartreceiver.cisco.com vanaf FMC 7.3) volgens de Cisco-bug-ID CSCwj95397
> expert admin@FMC2000-2:~$ sudo su Password: root@FMC2000-2:/Volume/home/admin# ping tools.cisco.com PING tools.cisco.com (173.37.145.8) 56(84) bytes of data. 64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=1 ttl=237 time=163 ms 64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=2 ttl=237 time=163 ms
Controleer vanuit de UI van de FMC het IP-beheer en de IP-beheerserver van de DNS-server vanuit Systeem > Configuratie > Beheerinterfaces.
HTTPS (TCP 443)-toegang van FMC tot tools.cisco.com (smartreceiver.cisco.com van FMC 7.3+) verifiëren
Gebruik de opdracht Telnet of curl om ervoor te zorgen dat de FMC HTTPS-toegang heeft tot tools.cisco.com (smartreceiver.cisco.com van FMC 7.3+). Als de TCP 443-communicatie is verbroken, controleert u of deze niet is geblokkeerd door een firewall en of er geen SSL-decoderingsapparaat in het pad zit.
root@FMC2000-2:/Volume/home/admin# telnet tools.cisco.com 443 Trying 72.163.4.38... Connected to tools.cisco.com. Escape character is '^]'. ^CConnection closed by foreign host. <--- Press Ctrl+C
Krultest:
root@FMC2000-2:/Volume/home/admin# curl -vvk https://tools.cisco.com
* Trying 72.163.4.38...
* TCP_NODELAY set
* Connected to tools.cisco.com (72.163.4.38) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=CA; L=San Jose; O=Cisco Systems, Inc.; CN=tools.cisco.com
* start date: Sep 17 04:00:58 2018 GMT
* expire date: Sep 17 04:10:00 2020 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify ok.
> GET / HTTP/1.1
> Host: tools.cisco.com
> User-Agent: curl/7.62.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Wed, 17 Jun 2020 10:28:31 GMT
< Last-Modified: Thu, 20 Dec 2012 23:46:09 GMT
< ETag: "39b01e46-151-4d15155dd459d"
< Accept-Ranges: bytes
< Content-Length: 337
< Access-Control-Allow-Credentials: true
< Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
< Access-Control-Allow-Headers: Content-type, fromPartyID, inputFormat, outputFormat, Authorization, Content-Length, Accept, Origin
< Content-Type: text/html
< Set-Cookie: CP_GUTC=10.163.4.54.1592389711389899; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Set-Cookie: CP_GUTC=10.163.44.92.1592389711391532; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Cache-Control: max-age=0
< Expires: Wed, 17 Jun 2020 10:28:31 GMT
<
<html>
<head>
<script language="JavaScript">
var input = document.URL.indexOf('intellishield');
if(input != -1) {
window.location="https://intellishield.cisco.com/security/alertmanager/";
}
else {
window.location="http://www.cisco.com";
};
</script>
</head>
<body>
<a href="http://www.cisco.com">www.cisco.com</a>
</body>
</html>
* Connection #0 to host tools.cisco.com left intact
root@FMC2000-2:/Volume/home/admin#DNS-verificatie
Controleer of het oplossen is gelukt naar tools.cisco.com (smartreceiver.cisco.com van FMC 7.3+):
root@FMC2000-2:/Volume/home/admin# nslookup tools.cisco.com Server: 192.0.2.100 Address: 192.0.2.100#53 Non-authoritative answer: Name: tools.cisco.com Address: 72.163.4.38
proxyverificatie
Als apProxy wordt gebruikt, controleert u de waarden op zowel de FMC- als de proxyserver. Controleer in de FMC of de FMC de juiste IP-poort en proxyserver gebruikt.
root@FMC2000-2:/Volume/home/admin# cat /etc/sf/smart_callhome.conf KEEP_SYNC_ACTIVE:1 PROXY_DST_URL:https://tools.cisco.com/its/service/oddce/services/DDCEService PROXY_SRV:192.0.xx.xx PROXY_PORT:80
In de gebruikersinterface van de FMC kunnen de proxywaarden worden bevestigd via Systeem > Configuratie > Beheerinterfaces.
Als de waarden aan de FMC-zijde correct zijn, controleert u de waarden aan de proxyserver (bijvoorbeeld als de proxyserver toegang vanuit de FMC en naar tools.cisco.com toestaat). Verkeer en certificaatuitwisseling via de proxy toestaan. De FMC gebruikt een certificaat voor de Smart License registratie).
ID verlopen token
Controleer of de uitgegeven token-ID niet is verlopen. Als de licentie is verlopen, vraagt u de beheerder van de Smart Software Manager om een nieuwe token uit te geven en de Smart License opnieuw te registreren met de nieuwe Token-ID.
De FMC-gateway wijzigen
Er kunnen gevallen zijn waarin de verificatie van de Smart License niet correct kan worden uitgevoerd vanwege de effecten van een relaisproxy of SSL-decoderingsapparaat. Wijzig indien mogelijk de route voor de internettoegang van de FMC om deze apparaten te vermijden en probeer de Smart License-registratie opnieuw.
Controleer de gezondheidsgebeurtenissen op FMC
Navigeer in de FMC naar Systeem > Gezondheid > Gebeurtenissen en controleer de status van de module Smart License Monitor op fouten. Als de verbinding bijvoorbeeld mislukt als gevolg van een verlopen certificaat, wordt een fout, zoals een verlopen ID-certificaat, gegenereerd, zoals in deze afbeelding wordt weergegeven.
Controleer het gebeurtenissenlogboek aan de SSM-kant
Als de FMC verbinding kan maken met het CSSM, controleert u het gebeurtenissenlogboek van de connectiviteit in Inventaris > Gebeurtenissenlogboek. Controleer of er dergelijke gebeurtenissenlogboeken of foutenlogboeken in de CSSM staan. Als er geen probleem is met de waarden/werking van de FMC-locatie en er geen gebeurtenissenlogboek aan de CSSM-zijde is, bestaat de mogelijkheid dat het een probleem is met de route tussen de FMC en de CSSM.
Veelvoorkomende problemen
Overzicht van de registratie- en machtigingsstaten:
|
Status productregistratie |
Toestemmingsstaat voor gebruik |
Opmerkingen |
|
NIET GEREGISTREERD |
-- |
Het VCC bevindt zich noch in de geregistreerde, noch in de evaluatiemodus. Dit is de begintoestand na de installatie van de FMC of na afloop van de evaluatievergunning van 90 dagen. |
|
geregistreerd |
bevoegd |
De FMC is geregistreerd bij de Cisco Smart Software Manager (CSSM) en er zijn FTD-apparaten geregistreerd met een geldig abonnement. |
|
geregistreerd |
Autorisatie verlopen |
De FMC heeft meer dan 90 dagen niet gecommuniceerd met de Cisco License-backend. |
|
geregistreerd |
NIET GEREGISTREERD |
De FMC is geregistreerd bij de Cisco Smart Software Manager (CSSM), maar er zijn geen FTD-apparaten geregistreerd in de FMC. |
|
geregistreerd |
Niet-naleving |
De FMC is geregistreerd bij de Cisco Smart Software Manager (CSSM), maar er zijn FTD-apparaten geregistreerd met een of meer ongeldige abonnementen. Een FTD (FP4112)-apparaat maakt bijvoorbeeld gebruik van THREAT-abonnementen, maar met de Cisco Smart Software Manager (CSSM) zijn er geen THREAT-abonnementen beschikbaar voor FP4112. |
|
Evaluatie (90 dagen) |
N.v.t. |
De evaluatieperiode is in gebruik, maar er zijn geen FTD-hulpmiddelen geregistreerd in het VCC. |
Casestudy 1. Ongeldige token
Symptoom: registratie bij de CSSM mislukt snel (~10s) als gevolg van een ongeldige token, zoals weergegeven in deze afbeelding.
Oplossing: gebruik een geldige token.
Casestudy 2. Ongeldige DNS
Symptoom: registratie bij de CSSM is na enige tijd mislukt (~25s), zoals in deze afbeelding wordt getoond.
Controleer het bestand /var/log/process_stdout.log. Het DNS-probleem wordt gezien:
root@FMC2000-2:/Volume/home/admin# cat /var/log/process_stdout.log 2020-06-25 09:05:21 sla[24043]: *Thu Jun 25 09:05:10.989 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494],
failed to perform, err code 6, err string "Couldn't resolve host name"
Oplossing: CSSM-hostnamesolutie mislukt. De resolutie is om DNS te configureren, indien niet geconfigureerd, of de DNS-problemen op te lossen.
Casestudy 3. Ongeldige tijdwaarden
Symptoom: registratie bij de CSSM is na enige tijd mislukt (~25s), zoals in deze afbeelding wordt getoond.
Controleer het bestand /var/log/process_stdout.log. De certificaatuitgiften zijn te zien:
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_request_init[59], request "POST", url "https://tools.cisco.com/its/service/oddce/services/DDCEService" 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[299], https related setting 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[302], set ca info 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_head_init[110], init msg header 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494],
failed to perform, err code 60, err string "SSL peer certificate or SSH remote key was not OK" 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_http_unlock[330], unlock http mutex. 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_send_http[365], send http msg, result 30 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue[514],
cert issue checking, ret 60, url https://tools.cisco.com/its/service/oddce/services/DDCEService
Controleer de FMC-tijdwaarde:
root@FMC2000-2:/Volume/home/admin# date Fri Jun 25 09:27:22 UTC 2021
Casestudy 4. Geen abonnement
Als er geen licentieabonnement is voor een specifieke functie, is de FMC-implementatie niet mogelijk:
Oplossing: Er is een noodzaak om het vereiste abonnement op het apparaat aan te schaffen en toe te passen.
Casestudy 5. Out-of-Compliance (OOC)
Als er geen recht is op FTD-abonnementen, gaat de FMC Smart License naar de out-of-compliance (OOC)-status:
Controleer in het CSSM de waarschuwingen op fouten:
Casestudy 6. Geen sterke encryptie
Als alleen de basislicentie wordt gebruikt, is de codering van de gegevenscoderingsstandaard (DES) ingeschakeld in de FTD LINA-engine. In dat geval mislukken implementaties zoals L2L Virtual Private Network (VPN) met sterkere algoritmen:
Oplossing: Registreer de FMC bij het CSSM en laat een sterk coderingskenmerk ingeschakeld.
Aanvullende opmerkingen
Melding van Smart License-status instellen
Melding per e-mail via SSM
Aan de SSM-kant maakt SSM Email Notification het mogelijk om samenvattende e-mails voor verschillende evenementen te ontvangen. Bijvoorbeeld een melding voor een gebrek aan licenties of voor licenties die op het punt staan te vervallen. Meldingen van een verbinding met een productinstantie of een update-fout kunnen worden ontvangen.
Deze functie is zeer nuttig om functionele beperkingen op te merken en te voorkomen als gevolg van het verlopen van de licentie.
Meldingen voor gezondheidswaarschuwingen ontvangen van de FMC
Aan de FMC-zijde is het mogelijk om een Health Monitor Alert te configureren en een waarschuwingsmelding te ontvangen van een gezondheidsgebeurtenis. De module Smart License Monitor is beschikbaar om de status van de Smart License te controleren. De monitorwaarschuwing ondersteunt Syslog, Email en SNMP-trap.
Dit is een configuratievoorbeeld om een Syslog-bericht op te halen wanneer een Smart License-monitorgebeurtenis plaatsvindt:
Dit is een voorbeeld van een gezondheidswaarschuwing:
Het Syslog-bericht dat door de FMC wordt gegenereerd, is:
Mar 13 18:47:10 xx.xx.xx.xx Mar 13 09:47:10 FMC : HMNOTIFY: Smart License Monitor (Sensor FMC): Severity: critical: Smart License usage is out of compliance
Raadpleeg Gezondheidsbewaking voor meer informatie over de waarschuwingen voor de gezondheidsmonitor.
Meerdere FMC's op dezelfde Smart Account
Wanneer meerdere FMC's op dezelfde Smart Account worden gebruikt, moet elke FMC-hostnaam uniek zijn. Wanneer meerdere FMC's in CSSM worden beheerd, moet de hostnaam van elk FMC uniek zijn om elke FMC te onderscheiden. Dit is handig voor FMC Smart License-onderhoud in bedrijf.
FMC moet internetverbinding onderhouden
Na registratie controleert de FMC elke 30 dagen de Smart License Cloud en de licentiestatus. Als het VCC 90 dagen niet kan communiceren, blijft de gelicentieerde functie behouden, maar blijft deze in de status Verlopen autorisatie. Zelfs in deze staat probeert de FMC voortdurend verbinding te maken met de Smart License Cloud.
Meerdere FMCv's implementeren
Wanneer het Firepower System in een virtuele omgeving wordt gebruikt, wordt kloon (warm of koud) niet officieel ondersteund. Elk virtueel Firepower Management Center (FMCv) is uniek omdat het verificatiegegevens bevat. Als u meerdere FMCv-bestanden wilt implementeren, moet de FMCv één voor één worden gemaakt op basis van het Open Virtualization Format (OVF)-bestand. Raadpleeg de snelstartgids van het Cisco Firepower Management Center for Virtual VMware Deployment voor meer informatie over deze beperking.
Veelgestelde vragen (FAQ's)
Hoeveel apparaatlicenties zijn er nodig voor FTD HA?
Wanneer twee FTD's worden gebruikt in High Availability, is een licentie vereist voor elk apparaat. Er zijn bijvoorbeeld twee licenties voor bedreigingen en malware nodig als de functies Intrusive Protection System (IPS) en Advanced Malware Protection (AMP) op het FTD HA-paar worden gebruikt.
Waarom worden er geen AnyConnect-licenties gebruikt door FTD?
Controleer na registratie van de FMC bij de Smart Account of de AnyConnect-licentie is ingeschakeld. Als u de licentie wilt inschakelen, navigeert u naar FMC > Apparaten, kiest u uw apparaat en selecteert u Licentie. Selecteer het pictogram Potlood, kies de licentie die is gedeponeerd in de Smart Account en selecteer Opslaan.
Waarom is slechts één AnyConnect-licentie 'In gebruik' in de Smart Account wanneer 100 gebruikers zijn verbonden?
Dit is te verwachten gedrag, omdat Smart Account het aantal apparaten bijhoudt waarvoor deze licentie is ingeschakeld, niet het aantal actieve gebruikers dat is verbonden.
Waarom is er een fout Device does not have the AnyConnect License opgetreden na de configuratie en implementatie van een Remote Access VPN door de FMC?
Zorg ervoor dat de FMC is geregistreerd in de Smart License Cloud. Het verwachte gedrag is dat de configuratie voor externe toegang niet kan worden geïmplementeerd wanneer de FMC niet is geregistreerd of in de evaluatiemodus staat. Als de FMC is geregistreerd, moet u ervoor zorgen dat de AnyConnect-licentie in uw Smart Account bestaat en aan het apparaat wordt toegewezen.
Als u een licentie wilt toewijzen, navigeert u naar FMC Devices, selecteert u uw apparaat, Licentie (Potloodpictogram). Kies de licentie in de Smart Account en selecteer Opslaan.
Waarom is er een fout Remote Access VPN with SSL cannot be deployed when Export-Controlled Features (Strong-crypto) are disabled opgetreden bij de implementatie van een Remote Access VPN-configuratie?
Voor de Remote Access VPN die op de FTD wordt geïmplementeerd, is een Strong Encryption-licentie vereist. Zorg ervoor dat een Strong Encryption-licentie is ingeschakeld op de FMC. Om de status van de Strong Encryption-licentie te controleren, navigeert u naar het FMC-systeem > Licenties > Slimme licentiesControleer en controleer of de functies voor exportbeheer zijn ingeschakeld.
Hoe kan ik een sterke coderingslicentie inschakelen als Export-Controlled Features deze is uitgeschakeld?
Deze functionaliteit wordt automatisch ingeschakeld als de token die wordt gebruikt tijdens de registratie van de FMC naar de Smart Account Cloud de optie Exportgecontroleerde functionaliteit toestaan heeft op de producten die zijn geregistreerd met deze token ingeschakeld. Als deze optie niet is ingeschakeld in de token, moet u de FMC uitschrijven en opnieuw registreren met deze optie ingeschakeld.
Wat kan worden gedaan als de optie 'Exportgecontroleerde functionaliteit toestaan op de producten die met dit token zijn geregistreerd' niet beschikbaar is wanneer het token wordt gegenereerd?
Neem contact op met uw Cisco-accountteam.
Waarom wordt de fout 'Strong crypto (dat wil zeggen, encryptie-algoritme groter dan DES) voor VPN-topologie s2s niet ondersteund' ontvangen?
Deze fout wordt weergegeven wanneer de FMC de evaluatiemodus gebruikt of de Smart License-account geen recht heeft op een Strong Encryption-licentie. Controleer of het VCC is geregistreerd bij de vergunningverlenende autoriteit en sta exportgecontroleerde functionaliteit toe voor de producten die zijn geregistreerd met deze token is ingeschakeld. Als de Smart Account geen Strong Encryption-licentie mag gebruiken, is het niet toegestaan om een VPN Site-to-Site-configuratie te gebruiken met coderingen die sterker zijn dan DES.
Waarom wordt een status "buiten naleving" op het VCC ontvangen?
Het apparaat kan niet meer aan de vereisten voldoen wanneer een van de beheerde apparaten gebruikmaakt van niet-beschikbare licenties.
Hoe kan de status 'Out of Compliance' worden gecorrigeerd?
Volg de stappen die worden beschreven in de configuratiehandleiding van Firepower:
1. Bekijk het gedeelte Slimme licenties onderaan de pagina om te bepalen welke licenties nodig zijn.
2. Koop de vereiste licenties via uw gebruikelijke kanalen.
3. Controleer in Cisco Smart Software Manager (https://software.cisco.com/#SmartLicensing-Inventory) of de licenties in uw virtuele account worden weergegeven.
4. Selecteer in de FMC Systeem > Licenties > Slimme licenties.
5. Selecteer Opnieuw autoriseren.
De volledige procedure is te vinden in Licensing the Firepower System.
Wat zijn de Firepower Threat Defense Base functies?
De Base-licentie maakt het mogelijk:
- Configuratie van FTD-apparaten naar switch en route (waaronder DHCP Relay en NAT).
- Configuratie van FTD-apparaten in een hoge beschikbaarheidsmodus (HA).
- Configuratie van beveiligingsmodules als een cluster in een Firepower 9300-chassis (cluster binnen het chassis).
- Configuratie van Firepower-apparaten uit de 9300- of Firepower 4100-reeks (FTD) als een cluster (cluster tussen chassis).
- Configuratie van gebruikers- en toepassingscontrole en toevoeging van gebruikers- en toepassingsvoorwaarden aan toegangscontroleregels.
Hoe kan de Firepower Threat Defense Base Features License worden verkregen?
Een Base-licentie wordt automatisch meegeleverd bij elke aankoop van een Firepower Threat Defense of Firepower Threat Defense Virtual-apparaat. Het wordt automatisch toegevoegd aan uw Smart Account wanneer FTD zich registreert bij de FMC.
Welke IP-adressen moeten worden toegestaan in het pad tussen de FMC en de Smart License Cloud?
De FMC gebruikt het IP-adres op poort 443 om te communiceren met de Smart License Cloud.
Dat IP-adres (https://tools.cisco.com) wordt opgelost naar deze IP-adressen:
- 72.163.4.38
- 173.37.145.8
Voor FMC-versies hoger dan 7.3 maakt het verbinding met https://smartreceiver.cisco.com dat naar deze IP-adressen oplost:
- 146 112,59 81
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
5.0 |
14-Aug-2024
|
hercertificering |
4.0 |
07-May-2024
|
Bijgewerkt met smartreceiver.cisco.com voor FMC 7.3+ versies |
3.0 |
13-Sep-2022
|
Hercertificering. |
2.0 |
20-Jul-2022
|
Dit document opnieuw gecertificeerd en CCW-analyse en wijzigingen uitgevoerd om de Cisco.com PVS te verbeteren. |
1.0 |
20-Jul-2020
|
Eerste vrijgave |
Feedback