关于智能软件许可
本部分介绍智能软件许可的工作原理。
注 |
本节仅适用于 Firepower 4100/9300 机箱上的 ASA 逻辑设备。有关如何为 Firepower 威胁防御逻辑设备进行许可方面的详细信息,请参阅《Firepower 管理中心配置指南》。 |
适用于 ASA 的智能软件许可
对于 Firepower 4100/9300 机箱上的 ASA 应用,智能软件许可配置分为两部分,分别在 Firepower 4100/9300 机箱管理引擎和应用中进行。
-
Firepower 4100/9300 机箱- 所有智能软件许可基础设施均在管理引擎中配置,包括用于与许可证颁发机构进行通信的参数。Firepower 4100/9300 机箱本身无需任何许可证即可运行。
注
机箱间群集需要您在群集的每个机箱上启用相同的智能许可方法。
-
ASA 应用 - 配置应用中的所有许可证授权。
智能软件管理器和账户
在为设备购买一个或多个许可证时,可在思科智能软件管理器中对其进行管理:
https://software.cisco.com/#module/SmartLicensing
通过智能软件管理器,您可以为组织创建一个主账户。
注 |
如果您还没有账户,请单击此链接以设置新账户。通过智能软件管理器,您可以为组织创建一个主账户。 |
默认情况下,许可证分配给主账户下的默认虚拟账户。作为账户管理员,您可以选择创建其他虚拟账户;例如,您可以为区域、部门或子公司创建账户。通过多个虚拟账户,您可以更轻松地管理大量许可证和设备。
离线管理
如果您的设备无法访问互联网且无法注册到许可证颁发机构,可以配置离线许可。
永久许可证预留
如果您的设备出于安全原因而无法访问互联网,您可以选择为每个 ASA 请求永久许可证。永久许可证不需要定期访问许可证颁发机构。与 PAK 许可证一样,您将为 ASA 购买一个许可证并安装许可证密钥。与 PAK 许可证不同的是,您将通过智能软件管理器获取和管理许可证。您可以在定期智能许可模式与永久许可证预留模式之间轻松切换。
您可以获取启用所有功能的许可证:具有最多安全环境的标准层级许可证和运营商许可证。许可证在 Firepower 4100/9300 机箱上管理,但您还需要请求 ASA 配置授权,以便 ASA 允许使用它们。
卫星服务器
如果您的设备出于安全原因无法访问互联网,您可以选择以虚拟机 (VM) 形式安装本地智能软件管理器卫星服务器。该卫星提供智能软件管理器功能的子集,并允许您为所有本地设备提供必要的许可服务。只有卫星需要定期连接到主许可证颁发机构以同步您的许可证使用。您可以按时间表执行同步,也可以手动同步。
一旦下载并部署该卫星应用之后,即可在不使用互联网将数据发送到思科 SSM 的情况下执行以下功能:
-
激活或注册许可证
-
查看公司的许可证
-
在公司实体之间传输许可证
有关详细信息,请参阅智能账户管理器卫星上的智能软件管理器卫星安装和配置指南。
按虚拟账户管理的许可证和设备
仅当虚拟账户可以使用分配给该账户的许可证时,才能按虚拟账户对许可证和设备进行管理。如果您需要其他许可证,则可以从另一个虚拟账户传输未使用的许可证。您还可以在虚拟账户之间迁移设备。
仅 Firepower 4100/9300 机箱会注册为设备,而机箱中的 ASA 应用会请求自己的许可证。例如,对于配有 3 个安全模块的 Firepower 9300 机箱,机箱计为一个设备,但模块使用 3 个单独的许可证。
评估许可证
Firepower 4100/9300 机箱支持两种类型的评估许可证:
-
机箱级评估模式 - 在 Firepower 4100/9300 机箱向许可证颁发机构注册之前,会在评估模式下运行 90 天(总使用量)。ASA 在此模式下无法请求特定授权,只能启用默认授权。当此期限结束时,Firepower 4100/9300 机箱会变为不合规。
-
基于授权的评估模式 - 在 Firepower 4100/9300 机箱向许可证颁发机构注册之后,您可以获取基于时间的评估许可证,并可将这些许可证分配给 ASA。在 ASA 中,可照常请求授权。当该基于时间的许可证到期时,您需要续订基于时间的许可证或获取永久许可证。
注
您无法获得针对强密码 (3DES/AES) 的评估许可证;仅永久许可证支持此授权。
智能软件管理器通信
本部分介绍您的设备如何与智能软件管理器通信。
设备注册和令牌
对于每个虚拟账户,您可以创建注册令牌。默认情况下,此令牌有效期为 30 天。当部署每个机箱或注册现有机箱时,请输入此令牌 ID 以及授权级别。如果现有令牌已过期,则可以创建新的令牌。
在完成部署后或在现有机箱上手动配置这些参数后启动时,该机箱会向思科许可证颁发机构进行注册。当机箱向令牌注册时,许可证颁发机构会颁发一张 ID 证书,用于机箱与许可证颁发机构之间的通信。此证书有效期为 1 年,但需要每 6 个月续签一次。
与许可证颁发机构的定期通信
设备每 30 天与许可证颁发机构进行通信。如果您在智能软件管理器中进行更改,则可以刷新设备上的授权,以使更改立即生效。或者,也可以等待设备按计划通信。
您可以随意配置 HTTP 代理。
Firepower 4100/9300 机箱 必须可以直接访问互联网,或者至少可每 90 天通过 HTTP 代理访问互联网。常规许可证通信每 30 天进行一次,但如果设备具有宽限期,则会最多运行 90 天,而不会进行自动通报。在宽限期后,您必须联系许可证颁发机构,否则您将无法对需要特殊许可证的功能进行配置更改,但操作则不受影响。
不合规状态
设备在以下情况下可能会处于不合规状态:
-
过度使用 - 当设备使用不可用的许可证时。
-
许可证到期 - 当基于时间的许可证到期时。
-
通信不畅 - 当设备无法访问许可证颁发机构以重新获得授权时。
要验证您的账户是否处于或接近不合规状态,必须将 Firepower 4100/9300 机箱当前正在使用的授权与智能账户中的授权进行比较。
在不合规状态下,无法更改需要特殊许可证的功能配置,但操作不受影响。例如,基于标准许可证限制的现有环境可以继续运行,您可以修改它们的配置,但无法添加新环境。
Smart Call Home 基础设施
默认情况下,Smart Call Home 配置文件位于指定许可证颁发机构 URL 的 FXOS 配置中。不能移除此配置文件。请注意,许可证配置文件的唯一可配置选项是许可证颁发机构的目的地址 URL。除非获得 Cisco TAC 的指示,否则不应更改许可证颁发机构 URL。