解决由于默认传输类型更改导致的ASA智能许可问题

简介

本文档介绍ASA智能许可中引入的更改，因为默认传输方法已从Callhome更改为智能传输。

先决条件

要求

Cisco 建议您了解以下主题：

• 自适应安全设备CLI
• 思科智能许可

使用的组件

本文档中的信息基于： 

• 思科自适应安全设备9.20(4)10

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

功能信息

在最新的ASA版本中，默认许可传输方法已更改为智能传输。主要区别是设备现在连接到https://smartreceiver.cisco.com以续订其许可授权。在以前使用Callhome方法的版本中，设备连接到https://tools.cisco.com。

此迁移不需要任何配置更改；但是，上游设备必须允许到https://smartreceiver.cisco.com的流量。

传输模式是从下面提到的ASA版本引入的：

• 9.20.4
• 9.22.1
• 9.23.1
• 9.24.1

要验证设备是否使用Call Home或智能传输，请使用show license status命令。

确认

智能传输：

ASA# show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Smart <----
  URL: https://smartreceiver.cisco.com/licservice/license <----
  Proxy:
    Not Supported
  VRF:
    Not Supported

Callhome:

ASA# show license status 

Smart Licensing is ENABLED

Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Callhome <----

默认情况下，在使用智能传输的ASA版本上，如果使用smartreceiver.cisco.com解决可达性问题需要时间，且出现服务中断，则可将其恢复为Callhome。但请注意，Callhome将来将被弃用，因此请确保恢复连接后立即恢复配置以再次使用智能传输。

到Callhome的智能传输

命令行:

ASA# configure terminal
ASA(config)#
ASA(config-smart-lic)# transport type ?

smart-lic-mode mode commands/options:
  callhome  Use Smart Call Home as license message transport
  smart     Use Smart Transport as license message transport
ASA(config-smart-lic)# transport type callhome

ASDM:

Configuration > Device Management > Licensing > Smart Licensing

Callhome到Smart Transport

命令行:

ASA# configure terminal
ASA(config)#
ASA(config-smart-lic)# transport type ?

smart-lic-mode mode commands/options:
  callhome  Use Smart Call Home as license message transport
  smart     Use Smart Transport as license message transport
ASA(config-smart-lic)# transport type smart

ASDM:

Configuration > Device Management > Licensing > Smart Licensing

代理支持

如果您的环境需要代理连接到https://smartreceiver.cisco.com，请通过添加传输代理[代理]端口[端口]在智能许可配置下配置代理。

示例：

ASA#configure terminal
ASA(config)#license smart
ASA(config-smart-lic)#transport proxy cisco-lab-proxy.cisco.com port 80 <----

从ASDM，Configuration > Device Management > Smart Licensing

检查代理设置时，请注意“Cisco bug ID CSCwr56980”。

兼容性 

Callhome在将Smart Transport配置为默认模式的版本上仍然可用。要启用Callhome选项，传输类型必须在许可配置中设置为Callhome:

ASA# show run license 
license smart
[..]
 transport type callhome <----

常见问题

很少出现观察到不同行为的常见情况，其中有些行为在升级后会对生产产生影响，升级到同时向智能传输更新许可模式的版本。  

场景 A

条件：ASA无法到达智能颁发机构​。

​

状态：ASA已获授权，无运营影响(小于90天​)。

Registration:
  Status: REGISTERED
  Smart Account: Cisco Systems, TAC
  Virtual Account: EU TAC
  Export-Controlled Functionality: ALLOWED
  Initial Registration: SUCCEEDED on Jan 12 2026 13:09:43 UTC
  Last Renewal Attempt: None
  Next Renewal Attempt: Jul 11 2026 13:09:43 UTC
  Registration Expires: Jan 12 2027 13:04:42 UTC

License Authorization:
  Status: AUTHORIZED on Jan 12 2026 13:11:25 UTC
  Last Communication Attempt: FAILED on Jan 12 2026 13:11:25 UTC <----
  Failure reason: Communication message send error <----
  Next Communication Attempt: Jan 12 2026 13:11:55 UTC
  Communication Deadline: Apr 12 2026 13:04:55 UTC

解决步骤： 

1. 确认设备上配置的智能许可传输方法是Smart或Callhome。
2. 通过验证设备可以解析并到达相应的服务器，确保DNS解析正常工作：smartreceiver.cisco.com(适用于智能传输)或tools.cisco.com(适用于Callhome传输)。
3. 恢复连接后，通过运行以下命令更新许可证授权：许可证智能续约身份验证。

场景 B

条件:ASA无法访问智能授权超过90天。

​

状态：在许可证授权到期后，需要特殊许可证的功能会受到限制。最值得注意的是，ASAv AnyConnect会话限制为两个，吞吐量被限制为100 kbps。

Registration:
  Status: REGISTERED
  Smart Account: Cisco Systems, TAC
  Virtual Account: EU TAC
  Export-Controlled Functionality: ALLOWED
  Initial Registration: SUCCEEDED on Dec 15 2022 02:52:47 UTC
  Last Renewal Attempt: FAILED on Dec 29 2025 07:20:08 UTC
  Failure reason: Communication message send error
  Next Renewal Attempt: Dec 29 2025 07:20:38 UTC
  Registration Expires: Jun 02 2026 03:15:26 UTC

License Authorization:
  Status: AUTH EXPIRED on Dec 29 2025 06:37:55 UTC
  Last Communication Attempt: FAILED on Dec 29 2025 06:37:55 UTC <----
  Failure reason: Communication message send error <----
  Next Communication Attempt: Dec 29 2025 07:37:55 UTC
  Communication Deadline: DEADLINE EXCEEDED <----

Licensed features for this platform:
Maximum VLANs                     : 1024           
Inside Hosts                      : Unlimited      
Failover                          : Active/Active  
Encryption-DES                    : Enabled        
Encryption-3DES-AES               : Enabled        
Security Contexts                 : 2              
Carrier                           : Disabled       
AnyConnect Premium Peers          : 2 <<<<<<             
AnyConnect Essentials             : Disabled       
Other VPN Peers                   : 10000          
Total VPN Peers                   : 10000          
AnyConnect for Mobile             : Disabled       
AnyConnect for Cisco VPN Phone    : Disabled       
Advanced Endpoint Assessment      : Disabled       
Shared License                    : Disabled       
Total TLS Proxy Sessions          : 2              
Botnet Traffic Filter             : Enabled        
Cluster                           : Enabled 

解决步骤： 

1. 确认设备上配置的智能许可传输方法是Smart Transport或Callhome。
2. 通过验证设备可以解析并到达相应的服务器，确保DNS解析正常工作：smartreceiver.cisco.com(适用于智能传输)或tools.cisco.com(适用于Callhome传输)。
3. 恢复连接后，通过运行以下命令更新许可证授权：许可证智能续约身份验证。

场景 C

条件:ASA在未能访问智能许可授权超过一年后重新启动。

状态：如果设备在与许可证颁发机构的连接失败一年后重启，则它默认为“评估”模式，这会禁用导出控制功能（强加密）。它可能导致VPN中断、故障转移大脑拆分方案或SSH中断。 

Status: REGISTERING - REGISTRATION IN PROGRESS​
Export-Controlled Functionality: NOT ALLOWED​
Initial Registration: FAILED on Dec 16 2025 12:59:29 UTC​
Failure reason: Communication message send error​
Next Registration Attempt: Dec 16 2025 14:00:10 UTC​

License Authorization: ​
Status: EVAL MODE

解决步骤：

1. 确认设备上配置的智能许可传输方法为智能传输或Callhome传输。
2. 通过验证设备可以解析并到达相应的服务器，确保DNS解析正常工作：smartreceiver.cisco.com(适用于智能传输)或tools.cisco.com(适用于Callhome传输)。
3. 恢复连接后，请执行以下命令注册设备：license smart register idtoken [TOKEN]。
4. “请勿保存配置”，因为设备是在没有加密相关配置的情况下启动的。即使在“license smart”子模式下配置了“transport type callhome”以使用call-home，在成功注册后仍可以重新加载设备而不保存配置，以确保恢复原始加密配置。
5. 设备使用所需的加密配置引导后，请通过恢复与许可证颁发机构的连接或临时在“license smart”子模式下配置“transport type callhome”来解决许可问题，直到允许连接到smartreceiver.cisco.com。

​

故障排除

• 请确保可以访问smartreceiver.cisco.com，并且已正确配置DNS以解析此FQDN。
• 可以根据问题利用HTTP和许可调试。
  • debug http 255
  • debug license agent all
  • debug license 255
• 有两个已知的软件错误可能导致连接问题。验证可基于以下内容进行：

'Cisco Bug ID CSCwp10957':如果Cisco ASA软件版本低于9.20(4)14、9.22(2)14或9.23(1)22，则存在敏感度。
'Cisco Bug ID CSCws62173':如果ASA在软件版本低于9.20(4)22、9.22.3或9.24(1)9的安全防火墙2100(FP2100)系列平台上运行，则存在敏感度。

相关信息

• 思科安全防火墙ASA常规操作CLI配置指南，9.20 

修订历史记录

版本	发布日期	备注
1.0	21-May-2026	初始版本