由於預設傳輸型別的更改,對ASA智慧許可問題進行故障排除

下載選項

  • PDF     (1.1 MB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2026 年 5 月 21 日
文件 ID:225967

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹當預設傳輸方法從Callhome更改為Smart Transport時,在ASA智慧許可中引入的更改。

必要條件

需求

思科建議您瞭解以下主題:

  • 自適應安全裝置CLI
  • 思科智慧授權

採用元件

本檔案中的資訊是根據: 

  • 思科調適型安全裝置9.20(4)10

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

功能資訊

在最新的ASA版本中,預設許可傳輸方法已更改為Smart Transport。主要區別是裝置現在連線到https://smartreceiver.cisco.com以續訂其許可授權。在以前使用Callhome方法的版本中,裝置連線到https://tools.cisco.com

此遷移不需要任何配置更改;但是,上游裝置上必須允許到https://smartreceiver.cisco.com的流量。

傳輸模式是從所提到的ASA版本引入的:

  • 9.20.4
  • 9.22.1
  • 9.23.1
  • 9.24.1

要驗證裝置是否使用Call Home或Smart Transport,請使用show license status命令。

驗證

智慧傳輸:

ASA# show license status
Smart Licensing is ENABLED
Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Smart <----
  URL: https://smartreceiver.cisco.com/licservice/license <----
  Proxy:
    Not Supported
  VRF:
    Not Supported

Callhome:

ASA# show license status 

Smart Licensing is ENABLED

Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Callhome <----

預設情況下,在使用智慧傳輸的ASA版本上,如果smartreceiver.cisco.com解決可達性問題需要時間,並且存在服務中斷,則可以將其恢復為Callhome。但是請注意,Callhome將來將被棄用,因此請確保在連線恢復後立即恢復配置以再次使用智慧傳輸。

到Callhome的智慧傳輸

命令列:

ASA# configure terminal
ASA(config)#
ASA(config-smart-lic)# transport type ?

smart-lic-mode mode commands/options:
  callhome  Use Smart Call Home as license message transport
  smart     Use Smart Transport as license message transport
ASA(config-smart-lic)# transport type callhome

ASDM:

配置>裝置管理>許可>智慧許可

daakhtar_1-1779201756620

Callhome到Smart Transport

命令列:

ASA# configure terminal
ASA(config)#
ASA(config-smart-lic)# transport type ?

smart-lic-mode mode commands/options:
  callhome  Use Smart Call Home as license message transport
  smart     Use Smart Transport as license message transport
ASA(config-smart-lic)# transport type smart

ASDM:

配置>裝置管理>許可>智慧許可

daakhtar_0-1779201327604

代理支援

如果您的環境需要代理連線到https://smartreceiver.cisco.com,請通過新增transport proxy [proxy]埠[port]在智慧許可配置下配置代理。

範例:

ASA#configure terminal
ASA(config)#license smart
ASA(config-smart-lic)#transport proxy cisco-lab-proxy.cisco.com port 80 <----

在ASDM中,配置>裝置管理>智慧許可

daakhtar_0-1779260005190

檢查代理設定時,請注意「Cisco bug ID CSCwr56980」。

相容性 

Callhome在將Smart Transport配置為預設模式的版本中仍然可用。要啟用Callhome選項,必須在許可配置中將傳輸型別設定為Callhome:

ASA# show run license 
license smart
[..]
 transport type callhome <----

常見問題

很少出現觀察到不同行為的常見情況,其中有些行為最終會對升級後的生產產生影響,升級到同時向智慧傳輸更新了許可模式的版本。  

案例A

條件:ASA無法到達智慧頒發機構​。

狀態:ASA已獲授權,無運營影響(不到90天​)。

Registration:
  Status: REGISTERED
  Smart Account: Cisco Systems, TAC
  Virtual Account: EU TAC
  Export-Controlled Functionality: ALLOWED
  Initial Registration: SUCCEEDED on Jan 12 2026 13:09:43 UTC
  Last Renewal Attempt: None
  Next Renewal Attempt: Jul 11 2026 13:09:43 UTC
  Registration Expires: Jan 12 2027 13:04:42 UTC

License Authorization:
  Status: AUTHORIZED on Jan 12 2026 13:11:25 UTC
  Last Communication Attempt: FAILED on Jan 12 2026 13:11:25 UTC <----
  Failure reason: Communication message send error <----
  Next Communication Attempt: Jan 12 2026 13:11:55 UTC
  Communication Deadline: Apr 12 2026 13:04:55 UTC

解決步驟: 

  1. 確認裝置上配置的智慧許可傳輸方法是Smart或Callhome。
  2. 通過驗證裝置是否可以解析並訪問相應的伺服器,確保DNS解析正常工作:smartreceiver.cisco.com(適用於智慧傳輸)或tools.cisco.com(適用於Callhome傳輸)。
  3. 恢復連線後,通過運行以下命令更新許可證授權:許可證智慧續約身份驗證

案例B

條件:ASA在90天以上無法到達智慧頒發機構。

狀態:在許可證授權到期後,需要特殊許可證的功能會受到限制。最值得注意的是,ASAv AnyConnect會話限製為兩個,吞吐量被限製為100 kbps。

Registration:
  Status: REGISTERED
  Smart Account: Cisco Systems, TAC
  Virtual Account: EU TAC
  Export-Controlled Functionality: ALLOWED
  Initial Registration: SUCCEEDED on Dec 15 2022 02:52:47 UTC
  Last Renewal Attempt: FAILED on Dec 29 2025 07:20:08 UTC
  Failure reason: Communication message send error
  Next Renewal Attempt: Dec 29 2025 07:20:38 UTC
  Registration Expires: Jun 02 2026 03:15:26 UTC

License Authorization:
  Status: AUTH EXPIRED on Dec 29 2025 06:37:55 UTC
  Last Communication Attempt: FAILED on Dec 29 2025 06:37:55 UTC <----
  Failure reason: Communication message send error <----
  Next Communication Attempt: Dec 29 2025 07:37:55 UTC
  Communication Deadline: DEADLINE EXCEEDED <----

Licensed features for this platform:
Maximum VLANs                     : 1024           
Inside Hosts                      : Unlimited      
Failover                          : Active/Active  
Encryption-DES                    : Enabled        
Encryption-3DES-AES               : Enabled        
Security Contexts                 : 2              
Carrier                           : Disabled       
AnyConnect Premium Peers          : 2 <<<<<<             
AnyConnect Essentials             : Disabled       
Other VPN Peers                   : 10000          
Total VPN Peers                   : 10000          
AnyConnect for Mobile             : Disabled       
AnyConnect for Cisco VPN Phone    : Disabled       
Advanced Endpoint Assessment      : Disabled       
Shared License                    : Disabled       
Total TLS Proxy Sessions          : 2              
Botnet Traffic Filter             : Enabled        
Cluster                           : Enabled

解決步驟: 

  1. 確認裝置上配置的智慧許可傳輸方法是Smart Transport或Callhome。
  2. 通過驗證裝置是否可以解析並訪問相應的伺服器,確保DNS解析正常工作:smartreceiver.cisco.com(適用於智慧傳輸)或tools.cisco.com(適用於Callhome傳輸)。
  3. 恢復連線後,通過運行以下命令更新許可證授權:許可證智慧續約身份驗證

案例C

條件:在一年多的時間,ASA無法訪問智慧許可授權後,ASA已重新啟動。

狀態:如果裝置在與許可證頒發機構的連線失敗一年後重新啟動,則預設設定為評估模式,該模式將禁用匯出控制功能(強加密)。這可能導致VPN中斷、故障轉移大腦分割方案或SSH中斷。 

Status: REGISTERING - REGISTRATION IN PROGRESS​
Export-Controlled Functionality: NOT ALLOWED​
Initial Registration: FAILED on Dec 16 2025 12:59:29 UTC​
Failure reason: Communication message send error​
Next Registration Attempt: Dec 16 2025 14:00:10 UTC​

License Authorization: ​
Status: EVAL MODE

解決步驟:

  1. 確認裝置上配置的智慧許可傳輸方法是Smart Transport或Callhome Transport。
  2. 通過驗證裝置是否可以解析並訪問相應的伺服器,確保DNS解析正常工作:smartreceiver.cisco.com(適用於智慧傳輸)或tools.cisco.com(適用於Callhome傳輸)。
  3. 恢復連線後,通過執行以下命令註冊裝置:license smart register idtoken [TOKEN]
  4. 「請勿儲存配置」,因為裝置是在沒有加密相關配置的情況下引導的。即使在「license smart」子模式下將「transport type callhome」配置為使用call-home,成功註冊後仍可以重新載入裝置而不儲存配置,以確保恢復原始加密配置。
  5. 使用所需的加密配置引導裝置後,請通過恢復與許可證頒發機構的連線或臨時在「license smart」子模式下配置「transport type callhome」來解決許可問題,直到允許連線到smartreceiver.cisco.com為止。

疑難排解

  • 請確保可以訪問smartreceiver.cisco.com,並且已正確配置DNS以解析此FQDN。
  • 可以根據問題使用HTTP和許可調試。
    • debug http 255
    • debug license agent all
    • debug許可證255
  • 有兩個已知軟體錯誤可以導致連線問題。驗證可基於以下條件進行:


'思科錯誤ID CSCwp10957':如果Cisco ASA軟體版本低於9.20(4)14、9.22(2)14或9.23(1)22,則存在敏感度。
'思科錯誤ID CSCws62173':如果ASA在軟體版本低於9.20(4)22、9.22.3或9.24(1)9的Secure Firewall 2100(FP2100)系列平台上運行,則存在敏感度。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
21-May-2026
初始版本
TAC Authored

由思科工程師貢獻

  • 托馬什·克米茨
    安全TAC
  • 賽義德·穆罕默德·達尼亞爾·阿赫塔爾
    安全TAC

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品