Problemen oplossen met fouten bij het verlenen van licenties voor beveiligde firewalls die niet aan de vereisten voldoen
Inhoud
Inleiding
In dit document worden de meest voorkomende Cisco Smart Licensing beschreven uit nalevingsoverwegingen met de Cisco FMC- en FTD-modellen.
Achtergrondinformatie
Cisco Smart Licensing biedt gecentraliseerd beheer van licenties voor veel producten. De Cisco Secure Firewall vereenvoudigt het beheer van licenties voor potentieel grote implementaties van sensoren en kan worden gebruikt voor apparaten, virtuele en openbare cloudmodellen. Dit document bevat een handleiding voor het oplossen van problemen met de Smart License for Cisco Firewall Management Center (FMC) en Cisco Firewall Threat Defence (FTD)-software en -toestelmodellen die niet aan de vereisten voldoen.
Wanneer FMC meldt dat de Smart License niet voldoet, geeft dit aan dat FMC de juiste licentie niet kan vinden in de Smart Account. Wanneer dat gebeurt, wordt een gezondheidswaarschuwing weergegeven. Dit kan verschillende redenen hebben die in dit document worden genoemd.
Hoe het type licentie te identificeren dat de status van niet-naleving veroorzaakt.
De FMC Graphic User Interface (GUI) gebruiken.
Navigeer naar Gezondheidswaarschuwing vanuit het FMC-meldingspictogram en klik op Gezondheid.
Het Smart Account Portal gebruiken
Navigeer naar Smart License Status op Systeem >> Licenties >> Smart Licenties. De virtuele accountgegevens van de FMC zijn hier te vinden.
In de sectie Smart Licenses worden de specifieke licenties die niet aan de vereisten voldoen, hier aangegeven. In dit voorbeeld wordt de status 'Niet-naleving' vermeld voor een licentie voor een Cisco Secure Firewall 1120-functie 'Malware Defense'. Noteer alle functies/producten die worden vermeld als "Uit overeenstemming" in rood. Het groene vinkje "In-Compliance" geeft aan dat het specifieke licentietype beschikbaar is en dat FMC het kan verkrijgen van de Smart Account.
Om de beschikbaarheid van deze licenties te verifiëren, kunt u zich aanmelden bij het Smart Account Portal en navigeren naar Smart Account >> Inventory >> [Virtual Account Name]. Filter de licentienaam indien nodig.
Let op deze mogelijke statussen:
Beschikbaar voor gebruik = aantal objecten gekocht
In gebruik = Aantal apparaten waarvoor deze functie is ingeschakeld
Balans = offset tussen gekocht en gebruikt.
Wanneer de balans negatief wordt, toont de FMC de status van de niet-naleving voor die functie/dat product.
U kunt ook een waarschuwing vinden op Smart Account >> Alerts. Filter de virtuele account in de "Bron" indien nodig.
De FMC Command Line Interface (CLI) gebruiken
Stap 1. Log in bij FMC CLI.
Stap 2. Open de Linux-shell met deze opdracht
expert
Stap 3. Voer de volgende opdracht uit.
less /var/log/sam.log
Navigeer naar de laatste vermelding in het bestand door naar beneden te scrollen om de laatste status te controleren.
Als een licentie voldoende is verkregen, wordt de licentie weergegeven als GEAUTORISEERD.
Als een licentie niet beschikbaar is, wordt het specifieke licentietype weergegeven als OUT OF COMPLIANCE.
Problemen oplossen
Dit zijn enkele van de meest voorkomende scenario's en hoe elk probleem op te lossen.
Scenario 1 - Er zijn niet genoeg licenties voor een specifiek kenmerk van FTD Physical-platforms.
Er zijn verschillende licentietypen. Deze kunnen worden geclassificeerd als hardware- en functiespecifiek. De licenties kunnen worden geïdentificeerd op basis van het model dat wordt weergegeven in de licentienaam gevolgd door de functie waarvoor het een licentie verstrekt.
-Base (Pre 7.x) of Essentials (Post 7.x)
Malware-verdediging
-IPS
-URL
luchtvervoerder
-Secure Client Premier
-Secure Client Advantage
Alleen Secure Client VPN
Als u vermoedt dat de licenties zijn gekocht en niet beschikbaar zijn in uw Smart Account, verifieert u uw bestelgegevens en controleert u de Smart License-account die is verstrekt toen de bestelling werd geplaatst.
Als een toegewezen Smart Account wordt verstrekt wanneer de inkooporder wordt geplaatst, worden de licenties overgedragen naar de "toegewezen Smart Account".
Als de toegewezen Smart Account niet wordt verstrekt en de bestelling via een partner wordt geplaatst, worden de licenties overgedragen aan de Partner Holding Account. Neem contact op met uw Cisco Partner-bedrijf met de kooporder als dit het geval is en zij kunnen helpen bij het overdragen van deze licenties naar uw Smart Account.
Scenario 2 - Licenties zijn beschikbaar in een ander virtueel account
Standaard is er slechts één virtuele account met de naam DEFAULT in elk Smart Account. Slimme accountbeheerder kan meerdere virtuele accounts maken voor beheergemak en andere doeleinden.
Als de benodigde licenties deel uitmaken van een ander virtueel account, kunnen deze via deze stappen worden overgedragen naar het juiste virtuele account.
Stap 1. Navigeer naar Smart Account >> Inventory.
Stap 2. Filter het juiste virtuele account. Filter de licentie indien nodig.
Stap 3. Zodra de juiste licentie is geïdentificeerd, klikt u op de vervolgkeuzelijst Acties en selecteert u Overdracht.
Stap 4. Selecteer de virtuele doelaccount die de licenties nodig heeft en geef een aantal licenties op om over te dragen.
Stap 5. Klik op Voorbeeld weergeven om te valideren en klik vervolgens op Overdracht.
Zodra alle licenties beschikbaar zijn in de virtuele account waarvoor het VCC is geregistreerd, klikt u op de knop Opnieuw autoriseren op het VCC om de status van niet-naleving te wissen.
Scenario 3 - Ontbrekende Firepower MCv-apparaatlicentie
Voor virtuele beheermodellen worden twee verschillende platforms vaak door elkaar gehaald.
De FMCv Device-licentie wordt weergegeven als de Firepower MCv Device-licentie en de FMCv300 Device-licentie is de Firepower MCv300 Device-licentie.
Voor het beheer van firewalls heeft FMC ook een apparaatlicentie nodig.
Als u op het licentietype klikt, kunt u zien welke FMC's deze licenties gebruiken. In dit voorbeeld gebruikt FMCv-a vijf licenties, die overeenkomen met de FMC Smart License-pagina.
Scenario 4 - FTD is een virtueel platform met Pre 7.0-versie
Basislicenties worden automatisch aangevraagd en zijn niet gelaagd. Raadpleeg de tabellen 60 en 61 in de Cisco Network Security Ordering Guide voor pre 7.x FTDv Stock Keeping Units (SKU's).
Dit zijn de Pre 7.x FTDv-licentienamen in het Smart-account.
Virtuele malwarebeveiliging voor bedreigingsbeveiliging
Virtuele URL-filtering van Threat Defense
Firepower MCv-apparaatlicentie
Functies van Firepower Threat Defense Base
Virtuele bedreigingsbeveiliging voor bedreigingsbeveiliging
Cisco AnyConnect Plus-licentie
Cisco AnyConnect Apex-licentie
Licentie voor alleen Cisco AnyConnect VPN
In dit voorbeeld worden de licenties voor malware en bedreigingen niet nageleefd omdat de virtuele account niet over voldoende licenties beschikt.
Om de licentie-compliant te krijgen, moet de gebruiker ervoor zorgen dat de virtuele Smart Licensing-account voldoende licenties beschikbaar heeft. Raadpleeg de Cisco Network Security Ordering Guide voor pre-7.x FTDv SKU's.
Scenario 5 - FTD is een virtueel platform met 7.0-versie of hoger
Basislicenties zijn gebaseerd op abonnementen en toegewezen aan lagen. Virtuele accounts moeten beschikken over Base-licentierechten voor FTD's en Threat, Malware en URL-filtering.
Wanneer een FTDv wordt opgewaardeerd naar versie 7.0 of hoger, wordt het apparaat automatisch verplaatst naar een FTDv - Variabele laag en verbruikt niet-gelaagde rechten. In dit voorbeeld wordt een FTD opgewaardeerd van 6.6.7 naar 7.2.5 en de status Smart License geeft Geautoriseerd en In-Compliance weer.
Het blijft rechten zonder rechten consumeren.
Als een gebruiker een (of standaard aan een automatisch toegewezen) prestatieniveau selecteert waarvoor hij geen rechten heeft, wordt de status Niet-naleving weergegeven.
In dit voorbeeld selecteert de gebruiker Performance Tier FTDv50 zonder basislicenties voor malware en bedreigingen in de geregistreerde virtuele account.
De virtuele account moet meer licenties/rechten voor de aangevraagde prestatielaag weergeven.
Om hieraan te voldoen, moet de gebruiker de rechten op het prestatieniveau selecteren in zijn Virtual Smart Licensing-account. Als een verkeerde prestatielaag is gekozen, kan de gebruiker naar de pagina op FMC of FDM gaan en de prestatielaag aanpassen aan wat ze in hun virtuele account hebben.
Als de Virtual Smart Licensing-account niet de gevraagde licenties/rechten voor het geselecteerde prestatieniveau heeft, raadpleegt u Scenario 1 als de volgende stap.
Als u het prestatieniveau wilt bewerken, gaat u naar het FMC-tandwielpictogram > Slimme licenties > Prestatieniveau bewerken en kiest u het juiste prestatieniveau.
Deze tabel is bedoeld voor een snelle referentie van de prestatieniveaus en de bijbehorende specificaties, licenties en limieten.
Tabel-1
|
prestatieniveau |
Apparaatspecificaties (kern/RAM) |
snelheidslimiet |
RA VPN-sessielimiet |
Licentienamen |
Licentie-PID's |
RA VPN-licentie en PID's |
|
FTDv5, 100 Mbps |
4 kernen/8 GB |
100 Mbps |
50 |
FTDv Base 100 Mbps |
FTD-V-5S-BSE-K9 |
Cisco AnyConnect Apex-licentie Cisco AnyConnect Plus-licentie Licentie voor alleen Cisco AnyConnect VPN Voor RA VPN-licentie-PID raadpleegt u de Cisco Secure Client-bestelgids. |
|
FTDv Malware 100 Mbps |
FTD-V-5S-TMC |
|||||
|
FTDv URL-filtering 100 Mbps |
||||||
|
FTDv Threat Protection 100 Mbps |
||||||
|
Firepower FTDv Carrier-licentie |
FTDV-AUTO |
|||||
|
FTDv10, 1 Gbps |
4 kernen/8 GB |
1 Gbps |
250 |
FTDv Base 1 Gbps |
FTD-V-10S-BSE-K9 |
|
|
FTDv Malware 1 Gbps |
FTD-V-10S-TMC |
|||||
|
FTDv URL-filtering 1 Gbps |
||||||
|
FTDv Threat Protection 1 Gbps |
||||||
|
Firepower FTDv Carrier-licentie |
FTDV-AUTO |
|||||
|
FTDv20, 3 Gbps |
4 kernen/8 GB |
3 Gbps |
250 |
FTDv Base 3 Gbps |
FTD-V-20S-BSE-K9 |
|
|
FTDv Malware 3 Gbps |
FTD-V-20S-TMC |
|||||
|
FTDv URL-filtering 3 Gbps |
||||||
|
FTDv Threat Protection 3 Gbps |
||||||
|
Firepower FTDv Carrier-licentie |
FTDV-AUTO |
|||||
|
FTDv30, 5 Gbps |
8 kernen/16 GB |
5 Gbps |
250 |
FTDv Base 5 Gbps |
FTD-V-30S-BSE-K9 |
|
|
FTDv-malware 5 Gbps |
FTD-V-30S-TMC |
|||||
|
FTDv URL-filtering 5 Gbps |
||||||
|
FTDv Threat Protection 5 Gbps |
||||||
|
Firepower FTDv Carrier-licentie |
FTDV-AUTO |
|||||
|
FTDv50, 10 Gbps |
12 kernen/24 GB |
10 Gbps |
750 |
FTDv Base 10 Gbps |
FTD-V-50S-BSE-K9 |
|
|
FTDv-malware 10 Gbps |
FTD-V-50S-TMC |
|||||
|
FTDv URL-filtering 10 Gbps |
||||||
|
FTDv Threat Protection 10 Gbps |
||||||
|
Firepower FTDv Carrier-licentie |
||||||
|
FTDv100, 16 Gbps |
16 kernen/32 GB |
16 Gbps |
10,000 |
FTDv Base 16 Gbps |
FTD-V-100S-BSE-K9 |
|
|
FTDv-malware 16 Gbps |
FTD-V-100S-TMC |
|||||
|
FTDv URL-filtering 16 Gbps |
||||||
|
FTDv Threat Protection 16 Gbps |
||||||
|
Firepower FTDv Carrier-licentie |
FTDV-AUTO |
|||||
|
FTDv-variabele |
Gebaseerd op apparaatmogelijkheden |
Gebaseerd op apparaatmogelijkheden |
Functies van Firepower Threat Defense Base |
|||
|
Virtuele malwarebeveiliging voor bedreigingsbeveiliging |
||||||
|
Virtuele URL-filtering van Threat Defense |
||||||
|
Virtuele bedreigingsbeveiliging voor bedreigingsbeveiliging |
||||||
|
Firepower FTDv Carrier-licentie |
FTDV-AUTO |
Zie tabel 59 voor meer informatie over de SKU's van de FTDv Performance Tier-licentie. Cisco Secure Firewall Threat Defense Virtual Performance Tiered Base-abonnement en SKU's voor abonnementen voor bedreigingen, malware en URL-filtering
Scenario 6 - De licentie bevindt zich niet in de juiste Smart Account of Virtual Account
De productinstantie kan worden overgedragen naar de juiste virtuele account.
Stap 1. Ga naar software.cisco.com met uw browser
Stap 2. Navigeren om licenties te beheren
Stap 3. Selecteer de juiste Smart Account in de vervolgkeuzelijst rechtsboven en navigeer naar Inventory > [Virtual Account Name] > Product Instances > Actions en klik op Transfer > Transfer product Instance.
Stap 4. Wanneer het dialoogvenster wordt geopend, kiest u de juiste virtuele account om de FMC- of FTD-productinstantie te verplaatsen.
Scenario 7 - De FMC bevindt zich niet in de juiste Smart Account of Virtual Account
Als de FMC of FTD niet is geregistreerd bij de juiste Smart Account, registreert u de FMC bij Smart Software Manager door op het pictogram De-registreer te klikken op de FMC Smart Licensing-pagina.
Vervolgens genereert u de token van de juiste Smart Account en Virtual account en registreert u de FMC bij de Smart Software Manager.
Scenario 8 - Een productinstantie verwijderen uit de Smart Account voor On-Box Management
Dit geldt niet voor apparaten die door het VCC worden beheerd, aangezien het VCC alleen de licenties verwerft voor de apparaten die het beheert.
Er kunnen scenario's zijn waarbij de licenties te veel worden gebruikt wanneer een apparaat opnieuw wordt afgebeeld zonder de licentie van het Smart-account te verwijderen.
Stap 1. Navigeer naar de Smart Account Product Instances om de instantie te identificeren met behulp van de hostnaam
Stap 2. Klik op Acties > Verwijderen.
Stap 3. Klik op de knop Product Instance verwijderen.
Als geen van de vermelde scenario's helpt, kunt u contact opnemen met het Cisco Technical Support Center.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
15-Jan-2024
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)