أستكشاف أخطاء الترخيص الذكي ASA وإصلاحها على أجهزة FXOS FirePOWER
المحتويات
المقدمة
يصف هذا المستند ميزة الترخيص الذكي لأجهزة الأمان المعدلة (ASA) على نظام التشغيل القابل للتكيف (FXOS) Firepower.
معلومات أساسية
يستخدم الترخيص الذكي على FXOS عندما يكون هناك ASA مثبت على الهيكل. بالنسبة للدفاع عن تهديد FirePOWER (المعروف إختصارا باسم FTD) ومركز إدارة FirePOWER (FMC)، راجع الترخيص الذكي FMC وتسجيل الترخيص الذكي في FTD واستكشاف الأخطاء وإصلاحها.
يغطي هذا المستند بشكل رئيسي السيناريوهات التي يتمتع فيها هيكل FXOS بإمكانية الوصول المباشر إلى الإنترنت. إذا لم يتمكن هيكل FXOS من الوصول إلى الإنترنت، فأنت بحاجة إلى التفكير إما في خادم تابع أو في حجز ترخيص دائم (PLR). تحقق من دليل تكوين FXOS للحصول على مزيد من التفاصيل حول الإدارة دون اتصال.
بنية الترخيص الذكي
نظرة عامة عالية المستوى على مكونات الهيكل:
- تقوم كل من وحدات الإدخال/الإخراج الإدارية (MIO) والوحدات النمطية الفردية بأدوار في الترخيص الذكي
- لا تتطلب عمليات الحظر البحري نفسها أي تراخيص لتشغيلها
- يجب ترخيص تطبيق (تطبيقات) SA على كل وحدة نمطية
مشرف FXOS هو MIO. تحتوي قاعدة معلومات الإدارة (MIO) على ثلاثة مكونات رئيسية:
- عميل ذكي
- مدير الترخيص
- AppAG
الهندسة المعمارية الشاملة
تسمية
| مدة |
الوصف |
| سلطة تراخيص Cisco |
خلفية ترخيص Cisco للترخيص الذكي. الاحتفاظ بجميع المعلومات المتعلقة بترخيص المنتج. ويتضمن ذلك الاستحقاقات ومعلومات الجهاز. |
| حساب الترخيص Smart |
حساب به جميع مستحقات الجهاز. |
| معرف الرمز المميز |
يتم إستخدام معرف لتمييز حساب الترخيص الذكي عند تسجيل الجهاز. |
| إستحقاق |
ما يعادل الترخيص. يرادف ميزة فردية أو طبقة ميزات كاملة. |
| مفتاح تنشيط المنتج (PAK) |
آلية الترخيص القديمة. مرتبط بجهاز واحد. |
حالات الوكيل الذكي
| الحالة |
الوصف |
| غير مكون |
لم يتم تمكين الترخيص الذكي. |
| غير محدد |
تم تمكين الترخيص الذكي ولكن لم يتصل "العميل الذكي" بعد ب Cisco للتسجيل. |
| مسجل |
اتصل الوكيل بسلطة ترخيص Cisco وسجل. |
| مُفوض |
عندما يستلم العميل حالة عدم توافق إستجابة لطلب تفويض إستحقاق. |
| عدم التوافق (OOC) |
عندما يستلم العميل حالة OC إستجابة لطلب تفويض الاستحقاق. |
| انتهت صلاحية التفويض |
إذا لم يتصل الوكيل ب Cisco لمدة 90 يوما. |
إستحقاقات ASA
هذه هي إستحقاقات ASA المدعومة:
- الطبقة القياسية
- سياق متعدد
- التشفير القوي (3DES)
- موفر الخدمة/التنقل (GTP)
التكوين
اتبع التعليمات الواردة في هذه المستندات:
قبل أي تكوين طبقة ميزات:
asa(config-smart-lic)# show license all
Smart licensing enabled: Yes
Compliance status: In compliance
Overall licensed status: Invalid (0)
No entitlements in use
Serial Number: FCH12345ABC
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 10
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
***************************************************************************
* WARNING *
* *
* THIS DEVICE IS NOT LICENSED WITH A VALID FEATURE TIER ENTITLEMENT *
* *
***************************************************************************
تكوين الطبقة القياسية:
asa(config)# license smart
INFO: License(s) corresponding to an entitlement will be activated only after an entitlement request has been authorized.
asa(config-smart-lic)# feature tier standard
asa(config-smart-lic)# show license all
Smart licensing enabled: Yes
Compliance status: In compliance
Overall licensed status: Authorized (3)
Entitlement(s):
Feature tier:
Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_STANDARD,1.0_7d7f5ee2-1398-4b0e-aced-b3f7fb1cacfc
Version: 1.0
Enforcement mode: Authorized
Handle: 1
Requested time: Tue, 04 Aug 2020 07:58:13 UTC
Requested count: 1
Request status: Complete
Serial Number: FCH12345ABC
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 10
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Clustetext
تجاوز الأعطال (الإتاحة العالية)
كما هو موثق في دليل تكوين ASA، يجب تسجيل كل وحدة FirePOWER مع سلطة الترخيص أو خادم قمر صناعي. تحقق من واجهة سطر الأوامر (CLI) الخاصة ب ASA:
asa# show failover | include host
This host: Primary - Active
Other host: Secondary - Standby Ready
asa# show license all
Smart licensing enabled: Yes
Compliance status: In compliance
Overall licensed status: Authorized (3)
Entitlement(s):
Feature tier:
Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_STANDARD,1.0_7d7f5ee2-1398-4b0e-aced-b3f7fb1cacfc
Version: 1.0
Enforcement mode: Authorized
Handle: 1
Requested time: Tue, 04 Aug 2020 07:58:13 UTC
Requested count: 1
Request status: Complete
Serial Number: FCH12345ABC
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 10
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 20
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
الوحدة الاحتياطية:
asa# show failover | i host
This host: Secondary - Standby Ready
Other host: Primary - Active
asa# show license all
Smart licensing enabled: Yes
Compliance status: In compliance
Overall licensed status: Not applicable in standby state
No entitlements in use
Serial Number: FCH12455DEF
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Disabled
Security Contexts : 10
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 20
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
دراسة حالة: ترخيص ASA HA على FP2100
- في 2100، يتصل ASA مع بوابة الترخيص الذكي (السحابة) من Cisco من خلال واجهات ASA، وليس إدارة FXOS
- ستحتاج إلى تسجيل كل من ASAs إلى مدخل الترخيص الذكي (السحابة) من Cisco
في هذه الحالة، يتم إستخدام مصادقة HTTP المحلية على واجهة خارجية:
ciscoasa(config)# show run http
http server enable
http 0.0.0.0 0.0.0.0 outside
ciscoasa(config)# show run aaa
aaa authentication http console LOCAL
ciscoasa(config)# show run username
username cisco password ***** pbkdf2
لا يمكنك الاتصال ب ASA عبر ASDM إلا إذا كان هناك ترخيص 3DES/AES ممكن. بالنسبة إلى ASA الذي لم يتم تسجيله بالفعل، يكون هذا ممكنا فقط على واجهة management-only. وفقا لدليل التكوين: يتوفر تشفير قوي (3DES/AES) لاتصالات الإدارة قبل الاتصال بجهة الترخيص أو خادم القمر الصناعي حتى يمكنك تشغيل ASDM. لاحظ أن وصول ASDM متوفر فقط على الواجهات الإدارية فقط مع التشفير الافتراضي. لا يتم السماح بحركة المرور من خلال المربع حتى تقوم بالاتصال والحصول على ترخيص التشفير القوي. في حالة مختلفة، تحصل على:
ciscoasa(config)# debug ssl 255
debug ssl enabled at level 255.
error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher
للتغلب على ASA لديه إدارة-فقط تم تكوينها على الواجهة التي تواجه الإنترنت وبالتالي يكون اتصال ASDM ممكنا:
interface Ethernet1/2
management-only
nameif outside
security-level 100
ip address 192.168.123.111 255.255.255.0 standby 192.168.123.112
تكوين الترخيص الذكي على ASA الأساسي:
انتقل إلى Monitoring > Properties > Smart License للتحقق من حالة التسجيل:
التحقق من واجهة سطر الأوامر (CLI) الأساسية ASA:
ciscoasa/pri/act# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: Cisco Systems, Inc.
Virtual Account: NGFW
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Nov 25 2020 16:43:59 UTC
Last Renewal Attempt: None
Next Renewal Attempt: May 24 2021 16:43:58 UTC
Registration Expires: Nov 25 2021 16:39:12 UTC
License Authorization:
Status: AUTHORIZED on Nov 25 2020 16:47:42 UTC
Last Communication Attempt: SUCCEEDED on Nov 25 2020 16:47:42 UTC
Next Communication Attempt: Dec 25 2020 16:47:41 UTC
Communication Deadline: Feb 23 2021 16:42:46 UTC
Utility:
Status: DISABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
License Usage
==============
Firepower 2100 ASA Standard (FIREPOWER_2100_ASA_STANDARD):
Description: Firepower 2100 ASA Standard
Count: 1
Version: 1.0
Status: AUTHORIZED
Product Information
===================
UDI: PID:FPR-2140,SN:JAD12345ABC
Agent Version
=============
Smart Agent for Licensing: 4.3.6_rel/38
ciscoasa/pri/act# show run license
license smart
feature tier standard
ciscoasa/pri/act# show license features
Serial Number: JAD12345ABC
Export Compliant: YES
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 2
Carrier : Disabled
AnyConnect Premium Peers : 10000
AnyConnect Essentials : Disabled
Other VPN Peers : 10000
Total VPN Peers : 10000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 10000
Cluster : Disabled
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 4
Carrier : Disabled
AnyConnect Premium Peers : 10000
AnyConnect Essentials : Disabled
Other VPN Peers : 10000
Total VPN Peers : 10000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 10000
Cluster : Disabled
الاتصال عبر ASDM ب ASA في وضع الاستعداد (لا يكون ذلك ممكنا إلا إذا تم تكوين ASA باستخدام IP في وضع الاستعداد). يتم عرض ASA الاحتياطي على أنه UNREGISTERED وهذا متوقع نظرا لأنه لم يتم تسجيله بعد في مدخل الترخيص الذكي:
يوضح ASA CLI (واجهة سطر الأوامر) في وضع الاستعداد:
ciscoasa/sec/stby# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED
Export-Controlled Functionality: Not Allowed
License Authorization:
Status: No Licenses in Use
Utility:
Status: DISABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
License Usage
==============
No licenses in use
Product Information
===================
UDI: PID:FPR-2140,SN:JAD123456A
Agent Version
=============
Smart Agent for Licensing: 4.3.6_rel/38
ciscoasa/sec/stby# show run license
license smart
feature tier standard
ميزات الترخيص التي تم تمكينها على ASA في وضع الاستعداد:
ciscoasa/sec/stby# show license features
Serial Number: JAD123456A
Export Compliant: NO
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Disabled
Security Contexts : 2
Carrier : Disabled
AnyConnect Premium Peers : 10000
AnyConnect Essentials : Disabled
Other VPN Peers : 10000
Total VPN Peers : 10000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 10000
Cluster : Disabled
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 4
Carrier : Disabled
AnyConnect Premium Peers : 10000
AnyConnect Essentials : Disabled
Other VPN Peers : 10000
Total VPN Peers : 10000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 10000
Cluster : Disabled
تسجيل ASA الاحتياطي:
النتيجة على ASA في وضع الاستعداد هي أنه REGISTERED:
التحقق من واجهة سطر الأوامر (CLI) على ASA في وضع الاستعداد:
ciscoasa/sec/stby# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: Cisco Systems, Inc.
Virtual Account: NGFW
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Nov 25 2020 17:06:51 UTC
Last Renewal Attempt: None
Next Renewal Attempt: May 24 2021 17:06:51 UTC
Registration Expires: Nov 25 2021 17:01:47 UTC
License Authorization:
Status: AUTHORIZED on Nov 25 2020 17:07:28 UTC
Last Communication Attempt: SUCCEEDED on Nov 25 2020 17:07:28 UTC
Next Communication Attempt: Dec 25 2020 17:07:28 UTC
Communication Deadline: Feb 23 2021 17:02:15 UTC
Utility:
Status: DISABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
License Usage
==============
No licenses in use
Product Information
===================
UDI: PID:FPR-2140,SN:JAD123456AX
Agent Version
=============
Smart Agent for Licensing: 4.3.6_rel/38
ciscoasa/sec/stby# show license feature
Serial Number: JAD123456A
Export Compliant: YES
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 2
Carrier : Disabled
AnyConnect Premium Peers : 10000
AnyConnect Essentials : Disabled
Other VPN Peers : 10000
Total VPN Peers : 10000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 10000
Cluster : Disabled
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 4
Carrier : Disabled
AnyConnect Premium Peers : 10000
AnyConnect Essentials : Disabled
Other VPN Peers : 10000
Total VPN Peers : 10000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 10000
Cluster : Disabled
مجموعة ASA
إذا كانت الأجهزة غير متوافقة مع الترخيص، فلن يتم تكوين نظام المجموعة:
Cluster unit unit-1-1 transitioned from DISABLED to CONTROL
New cluster member unit-2-1 rejected due to encryption license mismatch
إعداد نظام مجموعة ناجح:
asa(config)# cluster group GROUP1
asa(cfg-cluster)# enable
Removed all entitlements except per-unit entitlement configuration before joining cluster as data unit.
Detected Cluster Control Node.
Beginning configuration replication from Control Node.
.
Cryptochecksum (changed): ede485ad d7fb9644 2847deaf ba16830b
End configuration replication from Control Node.
عقدة التحكم في نظام المجموعة:
asa# show cluster info | i state
This is "unit-1-1" in state CONTROL_NODE
Unit "unit-2-1" in state DATA_NODE
asa# show license all
Smart licensing enabled: Yes
Compliance status: In compliance
Overall licensed status: Authorized (3)
Entitlement(s):
Feature tier:
Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_STANDARD,1.0_7d7f5ee2-1398-4b0e-aced-b3f7fb1cacfc
Version: 1.0
Enforcement mode: Authorized
Handle: 2
Requested time: Mon, 10 Aug 2020 08:12:38 UTC
Requested count: 1
Request status: Complete
Serial Number: FCH12345ABC
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 10
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 20
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
وحدة بيانات نظام المجموعة:
asa# show cluster info | i state
This is "unit-2-1" in state DATA_NODE
Unit "unit-1-1" in state CONTROL_NODE
asa# show license all
Smart licensing enabled: Yes
Compliance status: In compliance
Overall licensed status: Authorized (3)
Entitlement(s):
Strong encryption:
Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_ENCRYPTION,1.0_052986db-c5ad-40da-97b1-ee0438d3b2c9
Version: 1.0
Enforcement mode: Authorized
Handle: 3
Requested time: Mon, 10 Aug 2020 07:29:45 UTC
Requested count: 1
Request status: Complete
Serial Number: FCH12345A6B
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 10
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 20
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
التحقق والتصحيح
الهيكل (MIO) ملخص أوامر التحقق من الصحة:
FPR4125# show license all
FPR4125# show license techsupport
FPR4125# scope monitoring
FPR4125 /monitoring # scope callhome
FPR4125 /monitoring/callhome # show expand
FPR4125# scope system
FPR4125 /system # scope services
FPR4125 /system/services # show dns
FPR4125 /system/services # show ntp-server
FPR4125# scope security
FPR4125 /security # show trustpoint
FPR4125# show clock
FPR4125# show timezone
FPR4125# show license usage
التحقق من التكوين:
FPR4125-1# scope system
FPR4125-1 /system # scope services
FPR4125-1 /system/services # show configuration
ملخص أوامر التحقق من ASA:
asa# show run license
asa# show license all
asa# show license entitlement
asa# show license features
asa# show tech-support license
asa# debug license 255
هيكل (MIO) نموذج لمخرجات أوامر التحقق
FPR4125-1# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: REGISTERED
Smart Account: TAC Cisco Systems, Inc.
Virtual Account: EU TAC
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Dec 10 2018 23:30:02 UTC
Last Renewal Attempt: SUCCEEDED on Mar 12 2020 23:16:11 UTC
Next Renewal Attempt: Sep 08 2020 23:16:10 UTC
Registration Expires: Mar 12 2021 23:11:09 UTC
License Authorization:
Status: AUTHORIZED on Aug 04 2020 07:58:46 UTC
Last Communication Attempt: SUCCEEDED on Aug 04 2020 07:58:46 UTC
Next Communication Attempt: Sep 03 2020 07:58:45 UTC
Communication Deadline: Nov 02 2020 07:53:44 UTC
License Conversion:
Automatic Conversion Enabled: True
Status: Not started
Export Authorization Key:
Features Authorized:
<none>
Utility:
Status: DISABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
License Usage
==============
Firepower 4100 ASA Standard (FIREPOWER_4100_ASA_STANDARD):
Description: Firepower 4100 ASA Standard
Count: 1
Version: 1.0
Status: AUTHORIZED
Export status: NOT RESTRICTED
Product Information
===================
UDI: PID:FPR-4125-SUP,SN:JAD12345678
Agent Version
=============
Smart Agent for Licensing: 4.6.9_rel/104
Reservation Info
================
License reservation: DISABLED
FPR4125-1# scope monitoring
FPR4125-1 /monitoring # scope callhome
FPR4125-1 /monitoring/callhome # show expand
Callhome:
Admin State: Off
Throttling State: On
Contact Information:
Customer Contact Email:
From Email:
Reply To Email:
Phone Contact e.g., +1-011-408-555-1212:
Street Address:
Contract Id:
Customer Id:
Site Id:
Switch Priority: Debugging
Enable/Disable HTTP/HTTPS Proxy: Off
HTTP/HTTPS Proxy Server Address:
HTTP/HTTPS Proxy Server Port: 80
SMTP Server Address:
SMTP Server Port: 25
Anonymous Reporting:
Admin State
-----------
Off
Callhome periodic system inventory:
Send periodically: Off
Interval days: 30
Hour of day to send: 0
Minute of hour: 0
Time last sent: Never
Next scheduled: Never
Destination Profile:
Name: full_txt
Level: Warning
Alert Groups: All,Cisco Tac,Diagnostic,Environmental
Max Size: 5000000
Format: Full Txt
Reporting: Smart Call Home Data
Name: short_txt
Level: Warning
Alert Groups: All,Cisco Tac,Diagnostic,Environmental
Max Size: 5000000
Format: Short Txt
Reporting: Smart Call Home Data
Name: SLProfile
Level: Normal
Alert Groups: Smart License
Max Size: 5000000
Format: Xml
Reporting: Smart License Data
Destination:
Name Transport Protocol Email or HTTP/HTTPS URL Address
---------- ------------------ -------------------------------
SLDest Https https://tools.cisco.com/its/service/oddce/services/DDCEService
FPR4125-1# scope system
FPR4125-1 /system # scope services
FPR4125-1 /system/services # show dns
Domain Name Servers:
IP Address: 172.16.200.100
FPR4125-1 /system/services # show ntp-server
NTP server hostname:
Name Time Sync Status
---------------------------------------------------------------- ----------------
10.62.148.75 Unreachable Or Invalid Ntp Server
172.18.108.14 Time Synchronized
172.18.108.15 Candidate
FPR4125-1# scope security
FPR4125-1 /security # show trustpoint
Trustpoint Name: CHdefault
Trustpoint certificate chain: -----BEGIN CERTIFICATE-----
MIIFtzCCA5+gAwIBAgICBQkwDQYJKoZIhvcNAQEFBQAwRTELMAkGA1UEBhMCQk0x
…
8eOx79+Rj1QqCyXBJhnEUhAFZdWCEOrCMc0u
-----END CERTIFICATE-----
Cert Status: Valid
Trustpoint Name: CiscoLicRoot
Trustpoint certificate chain: -----BEGIN CERTIFICATE-----
MIIDITCCAgmgAwIBAgIBATANBgkqhkiG9w0BAQsFADAyMQ4wDAYDVQQKEwVDaXNj
…
QYYWqUCT4ElNEKt1J+hvc5MuNbWIYv2uAnUVb3GbsvDWl99/KA==
-----END CERTIFICATE-----
Cert Status: Valid
Trustpoint Name: CSCO2099SUDI
Trustpoint certificate chain: -----BEGIN CERTIFICATE-----
MIIDITCCAgmgAwIBAgIJAZozWHjOFsHBMA0GCSqGSIb3DQEBCwUAMC0xDjAMBgNV
…
PKkmBlNQ9hQcNM3CSzVvEAK0CCEo/NJ/xzZ6WX1/f8Df1eXbFg==
-----END CERTIFICATE-----
Cert Status: Valid
Trustpoint Name: CSCOBA2099SUDI
Trustpoint certificate chain: -----BEGIN CERTIFICATE-----
MIIDQTCCAimgAwIBAgIJAaZa8V7plOvhMA0GCSqGSIb3DQEBCwUAMD0xDjAMBgNV
…
b/JPEAZkbji0RQTWLyfR82LWFLo0
-----END CERTIFICATE-----
Cert Status: Valid
FPR4125-1# show clock
Tue Aug 4 09:55:50 UTC 2020
FPR4125-1# show timezone
Timezone:
FPR4125-1# scope system
FPR4125-1 /system # scope services
FPR4125-1 /system/services # show configuration
scope services
create ssh-server host-key rsa
delete ssh-server host-key ecdsa
disable ntp-authentication
disable telnet-server
enable https
enable ssh-server
enter dns 192.0.2.100
enter ip-block 0.0.0.0 0 https
exit
enter ip-block 0.0.0.0 0 ssh
exit
enter ntp-server 10.62.148.75
set ntp-sha1-key-id 0
! set ntp-sha1-key-string
exit
enter ntp-server 172.18.108.14
set ntp-sha1-key-id 0
! set ntp-sha1-key-string
exit
enter ntp-server 172.18.108.15
set ntp-sha1-key-id 0
! set ntp-sha1-key-string
exit
scope shell-session-limits
set per-user 32
set total 32
exit
scope telemetry
disable
exit
scope web-session-limits
set per-user 32
set total 256
exit
set domain-name ""
set https auth-type cred-auth
set https cipher-suite "ALL:!DHE-PSK-AES256-CBC-SHA:!EDH-RSA-DES-CBC3-SHA:!
EDH-DSS-DES-CBC3-SHA:!DES-CBC3-SHA:!ADH:!3DES:!EXPORT40:!EXPORT56:!LOW:!MEDIUM:!NULL:!RC4:!MD5:!IDEA:+HIGH:+EXP"
set https cipher-suite-mode high-strength
set https crl-mode strict
set https keyring default
set https port 443
set ssh-server host-key ecdsa secp256r1
set ssh-server host-key rsa 2048
set ssh-server kex-algorithm diffie-hellman-group14-sha1
set ssh-server mac-algorithm hmac-sha1 hmac-sha2-256 hmac-sha2-512
set ssh-server encrypt-algorithm aes128-cbc aes128-ctr aes192-cbc aes192-ctr aes256-cbc aes256-ctr chacha20-poly1305_openssh_com
set ssh-server rekey-limit volume none time none
set ssh-client kex-algorithm diffie-hellman-group14-sha1
set ssh-client mac-algorithm hmac-sha1 hmac-sha2-256 hmac-sha2-512
set ssh-client encrypt-algorithm aes128-ctr aes192-ctr aes256-ctr
set ssh-client rekey-limit volume none time none
set ssh-client stricthostkeycheck disable
set timezone ""
exit
FPR4125-1# show license usage
License Authorization:
Status: AUTHORIZED on Aug 04 2020 07:58:46 UTC
Firepower 4100 ASA Standard (FIREPOWER_4100_ASA_STANDARD):
Description: Firepower 4100 ASA Standard
Count: 1
Version: 1.0
Status: AUTHORIZED
Export status: NOT RESTRICTED
عينة مخرجات ASA لأوامر التحقق
asa# show run license
license smart
feature tier standard
asa# show license all
Smart licensing enabled: Yes
Compliance status: In compliance
Overall licensed status: Authorized (3)
Entitlement(s):
Feature tier:
Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_STANDARD,1.0_7d7f5ee2-1398-4b0e-aced-b3f7fb1cacfc
Version: 1.0
Enforcement mode: Authorized
Handle: 1
Requested time: Tue, 04 Aug 2020 07:58:13 UTC
Requested count: 1
Request status: Complete
Serial Number: FCH12345ABC
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 10
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
asa# show license entitlement
Entitlement(s):
Feature tier:
Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_STANDARD,1.0_7d7f5ee2-1398-4b0e-aced-b3f7fb1cacfc
Version: 1.0
Enforcement mode: Authorized
Handle: 1
Requested time: Tue, 04 Aug 2020 07:58:13 UTC
Requested count: 1
Request status: Complete
asa# show license features
Serial Number: FCH12345ABC
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 10
Carrier : Disabled
AnyConnect Premium Peers : 20000
AnyConnect Essentials : Disabled
Other VPN Peers : 20000
Total VPN Peers : 20000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Total TLS Proxy Sessions : 15000
Cluster : Enabled
asa# show tech-support license
Smart licensing enabled: Yes
Compliance status: In compliance
Overall licensed status: Authorized (3)
Entitlement(s):
Feature tier:
Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_STANDARD,1.0_7d7f5ee2-1398-4b0e-aced-b3f7fb1cacfc
Version: 1.0
Enforcement mode: Authorized
Handle: 1
Requested time: Tue, 04 Aug 2020 07:58:13 UTC
Requested count: 1
Request status: Complete
تسجيل ناجح
المخرج من واجهة مستخدم مدير الهيكل (UI):
Smart Licensing is ENABLED
Utility:
Status: DISABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
Registration:
Status: REGISTERED
Smart Account: TAC Cisco Systems, Inc.
Virtual Account: EU TAC
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Dec 10 2018 23:30:02 UTC
Last Renewal Attempt: SUCCEEDED on Mar 12 2020 23:16:11 UTC
Next Renewal Attempt: Sep 08 2020 23:16:10 UTC
Registration Expires: Mar 12 2021 23:11:09 UTC
License Authorization:
Status: AUTHORIZED on Jul 05 2020 17:49:15 UTC
Last Communication Attempt: SUCCEEDED on Jul 05 2020 17:49:15 UTC
Next Communication Attempt: Aug 04 2020 17:49:14 UTC
Communication Deadline: Oct 03 2020 17:44:13 UTC
License Conversion:
Automatic Conversion Enabled: True
Status: Not started
Export Authorization Key:
Features Authorized:
<none>
Cisco Success Network: DISABLED
تخويل منتهي الصلاحية
الخرج من واجهة مستخدم مدير الهيكل:
Smart Licensing is ENABLED
Utility:
Status: DISABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
Registration:
Status: REGISTERED
Smart Account: Cisco SVS temp - request access through licensing@cisco.com
Virtual Account: Sample Account
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Nov 22 2019 08:17:30 UTC
Last Renewal Attempt: FAILED on Aug 04 2020 07:32:08 UTC
Failure reason: Agent received a failure status in a response message. Please check the Agent log file for the detailed message.
Next Renewal Attempt: Aug 04 2020 08:33:48 UTC
Registration Expires: Nov 21 2020 08:12:20 UTC
License Authorization:
Status: AUTH EXPIRED on Aug 04 2020 07:10:16 UTC
Last Communication Attempt: FAILED on Aug 04 2020 07:10:16 UTC
Failure reason: Data and signature do not match
Next Communication Attempt: Aug 04 2020 08:10:14 UTC
Communication Deadline: DEADLINE EXCEEDED
License Conversion:
Automatic Conversion Enabled: True
Status: Not started
Export Authorization Key:
Features Authorized:
<none>
Last Configuration Error
=========================
Command : register idtoken ZDA2MjFlODktYjllMS00NjQwLTk0MmUtYmVkYWU2NzIyZjYwLTE1ODIxODY2%0AMzEwODV8K2RWVTNURGFIK0tDYUhOSjg3bjFsdytwbU1SUi81N20rQTVPN2lT%0AdEtvYz0%3D%0A
Error : Smart Agent already registered
Cisco Success Network: DISABLED
نموذج للمخرجات من واجهة سطر الأوامر للهيكل
غير مسجل
firepower# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED
License Authorization:
Status: No Licenses in Use
License Usage
==============
No licenses in use
Product Information
===================
UDI: PID:F9K-C9300-SUP-K9,SN:JAD12345678
Agent Version
=============
Smart Agent for Licensing: 1.2.2_throttle/6
التسجيل قيد التقدم
firepower# scope license
firepower /license # register idtoken
firepower /license # show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED - REGISTRATION PENDING
Initial Registration: First Attempt Pending
License Authorization:
Status: No Licenses in Use
License Usage
==============
No licenses in use
Product Information
===================
UDI: PID:F9K-C9300-SUP-K9,SN:JAD12345678
Agent Version
=============
Smart Agent for Licensing: 1.2.2_throttle/6
خطأ في التسجيل
firepower /license # show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED - REGISTRATION FAILED
Initial Registration: FAILED on Aug 04 04:46:47 2020 UTC
Failure reason: HTTP transport failed
License Authorization:
Status: No Licenses in Use
License Usage
==============
No licenses in use
Product Information
===================
UDI: PID:F9K-C9300-SUP-K9,SN:JAD12345678
Agent Version
=============
Smart Agent for Licensing: 1.2.2_throttle/6
فترة التقييم
firepower# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: REGISTERING - REGISTRATION IN PROGRESS
Initial Registration: FAILED on Aug 04 04:46:47 2020 UTC
Next Registration Attempt: Aug 04 05:06:16 2020 UTC
License Authorization:
Status: EVALUATION MODE
Evaluation Period Remaining: 89 days, 14 hours, 26 minutes, 20 seconds
License Usage
==============
(ASA-SSP-STD):
Description:
Count: 1
Version: 1.0
Status: EVALUATION MODE
Product Information
===================
UDI: PID:F9K-C9300-SUP-K9,SN:JAD12345678
Agent Version
=============
Smart Agent for Licensing: 1.2.2_throttle/6
مشكلات الترخيص الشائعة على هيكل FXOS (MIO)
خطأ في التسجيل: رمز مميز غير صالح
FPR4125-1# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED - REGISTRATION FAILED
Export-Controlled Functionality: NOT ALLOWED
Initial Registration: FAILED on Aug 07 2020 06:39:24 UTC
Failure reason: {"token":["The token 'ODNmNTExMTAtY2YzOS00Mzc1LWEzNWMtYmNiMm
UyNzM4ZmFjLTE1OTkxMTkz%0ANDk0NjR8NkJJdWZpQzRDbmtPR0xBWlVpUzZqMjlySnl5QUczT2M0YVI
vcmxm%0ATGczND0%3D%0B' is not valid."]}
الخطوات الموصى بها
- تحقق مما إذا كان عنوان URL الخاص بالاتصال بالمنزل يشير إلى CSSM.
- قم بتسجيل الدخول إلى CSSM وتحقق مما إذا كان الرمز المميز قد تم إنشاؤه من هناك أو إذا انتهت صلاحية الرمز المميز.
خطأ في التسجيل: المنتج مسجل بالفعل
FPR4125-1# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED - REGISTRATION FAILED
Export-Controlled Functionality: Not Allowed
Initial Registration: FAILED on Aug 07 01:30:00 2020 UTC
Failure reason: {"sudi":["The product 'firepower.com.cisco.
FPR9300,1.0_ed6dadbe-c965-4aeb-ab58-62e34033b453' and sudi {\"suvi\"=>nil,
\"uuid\"=>nil, \"host_identifier\"=>nil, \"udi_pid\"=>\"FPR9K-SUP\",
\"udi_serial_number\"=>\"JAD1234567S\", \"udi_vid\"=>nil, \"mac_address\"=>nil}
have already been registered."]}
الخطوات الموصى بها
- تسجيل الدخول إلى CSSM.
- تحقق من
Product Instancesعلامة التبويب في كافة الحسابات الظاهرية. - حدد موقع مثيل التسجيل القديم بواسطة SN وقم بإزالته.
- قد يرجع السبب في هذا الأمر إلى الأمرين التاليين:
- فشل التجديد التلقائي عند عدم إعداد الوقت/التاريخ بشكل صحيح، على سبيل المثال، لم يتم تكوين خادم NTP.
- ترتيب العمليات غير صحيح عند التبديل بين قمر صناعي وخادم إنتاج، على سبيل المثال، قم بتغيير عنوان URL أولا ثم قم بإصدار "إلغاء التسجيل"
خطأ في التسجيل: إزاحة التاريخ خارج الحد
FPR4125-1# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED - REGISTRATION FAILED
Export-Controlled Functionality: Not Allowed
Initial Registration: FAILED on Aug 07 01:30:00 2020 UTC
Failure reason: {"timestamp":["The device date '1453329321505' is offset beyond the allowed tolerance limit."]}
الخطوة الموصى بها
تحقق من تكوين الوقت/التاريخ لضمان تكوين خادم NTP.
خطأ في التسجيل: فشل في حل المضيف
FPR4125-1# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: REGISTERING - REGISTRATION IN PROGRESS
Export-Controlled Functionality: NOT ALLOWED
Initial Registration: FAILED on Aug 07 2020 06:58:46 UTC
Failure reason: Failed to resolve host
Next Registration Attempt: Aug 07 2020 07:16:42 UTC
Registration Error: Failed to resolve host
الخطوات الموصى بها
- تحقق مما إذا كان عنوان URL ل SLDest الخاص بجهة الاتصال صحيحا (
scope monitoring > scope callhome > show expand) - تحقق مما إذا كان تكوين خادم MIO DNS صحيحا، على سبيل المثال، من CLI:
FPR4125-1# scope system
FPR4125-1 /system # scope services
FPR4125-1 /system/services # show dns
Domain Name Servers:
IP Address: 172.31.200.100
3. حاول إختبار الاتصال من خلال واجهة سطر الأوامر (CLI) الخاصة بالهيكل tools.cisco.com و شوفو إذا بيقرر:
FPR4125-1# connect local-mgmt
FPR4125-1(local-mgmt)# ping tools.cisco.com
4. حاول إختبار الاتصال من CLI الهيكل خادم DNS:
FPR4125-1# connect local-mgmt
FPR4125-1(local-mgmt)# ping 172.31.200.100
PING 172.31.200.100 (172.31.200.100) from 10.62.148.225 eth0: 56(84) bytes of data.
^C
--- 172.31.200.100 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3001ms
5. قم بتمكين الالتقاط على واجهة إدارة الهيكل (MIO) (وهذا ينطبق فقط على FP41xx/FP93xx) وتحقق من اتصال DNS وأنت تقوم بتشغيل إختبار إختبار اتصال إلى tools.cisco.com:
FPR4125-1# connect fxos
FPR4125-1(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 53" limit-captured-frames 0 limit-frame-size 10000
Capturing on 'eth0'
1 2020-08-07 08:10:45.252955552 10.62.148.225 → 172.31.200.100 DNS 75 Standard query 0x26b4 A tools.cisco.com
2 2020-08-07 08:10:47.255015331 10.62.148.225 → 172.31.200.100 DNS 75 Standard query 0x26b4 A tools.cisco.com
3 2020-08-07 08:10:49.257160749 10.62.148.225 → 172.31.200.100 DNS 75 Standard query 0x5019 A tools.cisco.com
4 2020-08-07 08:10:51.259222753 10.62.148.225 → 172.31.200.100 DNS 75 Standard query 0x5019 A tools.cisco.com
خطأ في التسجيل: فشل في مصادقة الخادم
FPR4125-1# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED - REGISTRATION FAILED
Export-Controlled Functionality: Not Allowed
Initial Registration: FAILED on Aug 07 2020 06:58:46 UTC
Failure reason: Failed to authenticate server
الخطوات الموصى بها
1. التحقق مما إذا كانت الشهادة الصحيحة الخاصة ب MIO TrustPoint DEFAULT، على سبيل المثال:
FPR4125-1# scope security
FPR4125-1 /security # show trustpoint
Trustpoint Name: CHdefault
Trustpoint certificate chain: -----BEGIN CERTIFICATE-----
MIIFtzCCA5+gAwIBAgICBQkwDQYJKoZIhvcNAQEFBQAwRTELMAkGA1UEBhMCQk0x
...
8eOx79+Rj1QqCyXBJhnEUhAFZdWCEOrCMc0u
-----END CERTIFICATE-----
Cert Status: Valid
2. تحقق مما إذا تم تعيين خادم NTP والمنطقة الزمنية بشكل صحيح. يحتاج التحقق من الشهادة إلى نفس الوقت بين الخادم والعميل. ولإنجاز ذلك، أستخدم بروتوكول وقت الشبكة (NTP) لمزامنة الوقت. على سبيل المثال، التحقق من واجهة مستخدم FXOS:
التحقق من واجهة سطر الأوامر (CLI)
FPR4125-1# scope system
FPR4125-1 /system # scope services
FPR4125-1 /system/services # show ntp-server
NTP server hostname:
Name Time Sync Status
------------------------------------------------------ ----------------
10.62.148.75 Unreachable Or Invalid Ntp Server
172.18.108.14 Time Synchronized
172.18.108.15 Candidate
قم بتمكين التقاط اتصال TCP (HTTPS) والتحقق منه بين MIO و tools.cisco.com. هنا لديك بعض الخيارات:
- يمكنك إغلاق جلسة عمل HTTPS إلى واجهة مستخدم FXOS ثم تعيين عامل تصفية التقاط على CLI ل HTTPS، على سبيل المثال:
FPR4100(fxos)# ethanalyzer local interface mgmt capture-filter "tcp port 443" limit-captured-frames 50
Capturing on eth0
2017-01-12 13:09:44.296256 10.62.148.37 -> 72.163.4.38 TCP 43278 > https [SYN] Seq=0 Len=0 MSS=1460 TSV=206433871 TSER=0 WS=9
2017-01-12 13:09:44.452405 72.163.4.38 -> 10.62.148.37 TCP https > 43278 [SYN,ACK] Seq=0 Ack=1 Win=32768 Len=0 MSS=1380 TSV=2933962056 TSER=206433871
2017-01-12 13:09:44.452451 10.62.148.37 -> 72.163.4.38 TCP 43278 > https [ACK] Seq=1 Ack=1 Win=5840 Len=0 TSV=206433887 TSER=2933962056
2017-01-12 13:09:44.453219 10.62.148.37 -> 72.163.4.38 SSL Client Hello
2017-01-12 13:09:44.609171 72.163.4.38 -> 10.62.148.37 TCP https > 43278 [ACK] Seq=1 Ack=518 Win=32251 Len=0 TSV=2933962263 TSER=206433887
2017-01-12 13:09:44.609573 72.163.4.38 -> 10.62.148.37 SSL Continuation Data
2017-01-12 13:09:44.609595 10.62.148.37 -> 72.163.4.38 TCP 43278 > https [ACK] Seq=518 Ack=1369 Win=8208 Len=0 TSV=206433902 TSER=2933962264
2017-01-12 13:09:44.609599 72.163.4.38 -> 10.62.148.37 SSL Continuation Data
2017-01-12 13:09:44.609610 10.62.148.37 -> 72.163.4.38 TCP 43278 > https [ACK] Seq=518 Ack=2737 Win=10944 Len=0 TSV=206433902 TSER=2933962264
- وبالإضافة إلى ذلك، إذا كنت تريد إبقاء واجهة مستخدم FXOS مفتوحة، يمكنك تحديد في التقاط عناوين IP للوجهة (72.163.4.38 و 173.37.145.8 هي
tools.cisco.comالخوادم في وقت كتابة هذا المقال). كما يوصى بشدة بحفظ الالتقاط بتنسيق PCAP والتحقق منه في Wireshark. هذا مثال على تسجيل ناجح:
FPR4125-1(fxos)# ethanalyzer local interface mgmt capture-filter "tcp port 443 and (host 72.163.4.38 or host 173.37.145.8)" limit-captured-frames 0 limit-frame-size 10000 write workspace:///SSL.pcap
Capturing on 'eth0'
1 2020-08-07 08:39:02.515693672 10.62.148.225 → 173.37.145.8 TCP 74 59818 → 443 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=800212367 TSecr=0 WS=512
2 2020-08-07 08:39:02.684723361 173.37.145.8 → 10.62.148.225 TCP 60 443 → 59818 [SYN, ACK] Seq=0 Ack=1 Win=8190 Len=0 MSS=1330
3 2020-08-07 08:39:02.684825625 10.62.148.225 → 173.37.145.8 TCP 54 59818 → 443 [ACK] Seq=1 Ack=1 Win=29200 Len=0
4 2020-08-07 08:39:02.685182942 10.62.148.225 → 173.37.145.8 TLSv1 571 Client Hello
…
11 2020-08-07 08:39:02.854525349 10.62.148.225 → 173.37.145.8 TCP 54 59818 → 443 [ACK] Seq=518 Ack=3991 Win=37240 Len=0
- لتصدير ملف PCAP إلى خادم FTP بعيد:
FPR4125-1# connect local-mgmt
FPR4125-1(local-mgmt)# dir
1 56936 Aug 07 08:39:35 2020 SSL.pcap
1 29 May 06 17:48:02 2020 blade_debug_plugin
1 19 May 06 17:48:02 2020 bladelog
1 16 Dec 07 17:24:43 2018 cores
2 4096 Dec 07 17:28:46 2018 debug_plugin/
1 31 Dec 07 17:24:43 2018 diagnostics
2 4096 Dec 07 17:22:28 2018 lost+found/
1 25 Dec 07 17:24:31 2018 packet-capture
2 4096 Sep 24 07:05:40 2019 techsupport/
Usage for workspace://
3999125504 bytes total
284364800 bytes used
3509907456 bytes free
FPR4125-1(local-mgmt)# copy workspace:///SSL.pcap ftp://ftp_user@10.62.148.41/SSL.pcap
Password:
FPR4125-1(local-mgmt)#
خطأ في التسجيل: فشل نقل HTTP
FPR4125-1# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED - REGISTRATION FAILED
Export-Controlled Functionality: Not Allowed
Initial Registration: FAILED on Aug 07 2020 06:58:46 UTC
Failure reason: HTTP transport failed
الخطوات الموصى بها
- تحقق مما إذا كان عنوان URL الخاص بالاتصال بالمنزل صحيحا أم لا. يمكنك التحقق من هذا من واجهة مستخدم FXOS أو واجهة سطر الأوامر (
scope monitoring > show callhome detail expand). - قم بتمكين التقاط اتصال TCP (HTTPS) والتحقق منه بين MIO و
tools.cisco.comكما هو موضح في قسم "فشل مصادقة الخادم" في هذا المستند.
خطأ في التسجيل: تعذر الاتصال بالمضيف
FPR4125-1# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED - REGISTRATION FAILED
Export-Controlled Functionality: Not Allowed
Initial Registration: FAILED on Aug 07 2020 06:58:46 UTC
Failure reason: Couldn't connect to host
الخطوات الموصى بها
- إذا تم تمكين تكوين وكيل، فتحقق من تكوين عنوان URL للوكيل والمنفذ بشكل صحيح.
- قم بتمكين التقاط اتصال TCP (HTTPS) والتحقق منه بين MIO و
tools.cisco.comكما هو موضح في قسم "فشل مصادقة الخادم" في هذا المستند.
خطأ تسجيل: يقوم خادم HTTP بإرجاع رمز الخطأ >= 400
FPR4125-1# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED - REGISTRATION FAILED
Export-Controlled Functionality: Not Allowed
Initial Registration: FAILED on Aug 07 2020 06:58:46 UTC
Failure reason: HTTP server returns error code >= 400. Contact proxy server admin if proxy configuration is enabled
الخطوات الموصى بها
- في حالة تمكين تكوين وكيل، اتصل بمسؤول الخادم الوكيل حول إعدادات الوكيل.
- قم بتمكين التقاط اتصال TCP (HTTPS) والتحقق منه بين MIO و
tools.cisco.comكما هو موضح في قسم "فشل مصادقة الخادم" في هذا المستند. حاول التسجيل مرة أخرى ('force' option) من واجهة سطر الأوامر (CLI) ل FXOS:
FPR4125-1 /license # register idtoken ODNmNTExMTAtY2YzOS00Mzc1LWEzNWMtYmNiMmUyNzM4ZmFjLTE1OTkxMTkz%0ANDk0NjR8NkJJdWZpQzRDbmtPR0xBWlVpUzZqMjlySnl5QUczT2M0YVIvcmxm%0ATGczND0%3D%0A force
خطأ في التسجيل: فشل تحليل رسالة إستجابة الطرف الخلفي
FPR4125-1# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED - REGISTRATION FAILED
Export-Controlled Functionality: Not Allowed
Initial Registration: FAILED on Aug 07 2020 06:58:46 UTC
Failure reason: Parsing backend response message failed
الخطوات الموصى بها
1. محاولات إعادة المحاولة التلقائية لاحقا. أستخدم "تجديد" لإعادة المحاولة فورا.
FPR4125-1# scope license
FPR4125-1 /license # scope licdebug
FPR4125-1 /license/licdebug # renew
2. تحقق مما إذا كان عنوان URL الخاص بجهة الاتصال الرئيسية صحيحا.
مشاكل الترخيص على ASA - سلسلة 1xxx/21xx
خطأ في التسجيل: خطأ في إرسال رسالة الاتصال
ciscoasa# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
Registration:
Status: REGISTERING - REGISTRATION IN PROGRESS
Export-Controlled Functionality: NOT ALLOWED
Initial Registration: FAILED on Aug 07 2020 11:29:42 UTC
Failure reason: Communication message send error
Next Registration Attempt: Aug 07 2020 11:46:13 UTC
الخطوات الموصى بها
1. تحقق من إعدادات DNS
ciscoasa# show run dns
2. حاول إختبار الاتصال tools.cisco.com. في هذه الحالة، يتم إستخدام واجهة الإدارة:
ciscoasa# ping management tools.cisco.com
^
ERROR: % Invalid Hostname
3. تحقق من جدول التوجيه:
ciscoasa# show route management-only
تأكد من تمكين الترخيص، على سبيل المثال:
ciscoasa# show run license
license smart
feature tier standard
feature strong-encryption
4. تمكين التقاط الواجهة التي تتجه نحو tools.cisco.com (إذا قمت بأخذ الالتقاط بدون أي عوامل تصفية IP تأكد من عدم وجود ASDM مفتوح عندما تقوم بالالتقاط لتجنب ضجيج الالتقاط غير الضروري).
ciscoasa# capture CAP interface management match tcp any any eq 443
5. قم بتمكين المستوى 7 (debug) من Syslog مؤقتا وفحص رسائل ASA Syslog أثناء عملية التسجيل:
ciscoasa(config)# logging buffer-size 10000000
ciscoasa(config)# logging buffered 7
ciscoasa(config)# logging enable
ciscoasa# show logging
%ASA-7-717025: Validating certificate chain containing 3 certificate(s).
%ASA-7-717029: Identified client certificate within certificate chain. serial number: 3000683B0F7504F7B244B3EA7FC00927E960D735, subject name: CN=tools.cisco.com,O=Cisco Systems\, Inc.,L=San Jose,ST=CA,C=US.
%ASA-7-717030: Found a suitable trustpoint _SmartCallHome_ServerCA to validate certificate.
%ASA-6-717028: Certificate chain was successfully validated with warning, revocation status was not checked.
%ASA-6-717022: Certificate was successfully validated. serial number: 3000683B0F7504F7B244B3EA7FC00927E960D735, subject name: CN=tools.cisco.com,O=Cisco Systems\, Inc.,L=San Jose,ST=CA,C=US.
%ASA-6-725002: Device completed SSL handshake with server management:10.62.148.184/22258 to 173.37.145.8/443 for TLSv1.2 session
حاول التسجيل مرة أخرى:
ciscoasa # license smart register idtoken
force
الاحتياجات الخاصة للاستحقاقات الإضافية
- يلزم الحصول على إستحقاق طبقة ميزات صالح قبل تكوين أي إستحقاق وظيفة إضافية
- يجب إصدار جميع الاستحقاقات الإضافية قبل إصدار إستحقاق طبقة الميزات
حالة الاستحقاق أثناء عملية إعادة التشغيل
- يتم حفظ حالات الاستحقاق في الذاكرة المؤقتة
- أثناء وقت التمهيد، تتم قراءة هذه المعلومات من ذاكرة Flash (الذاكرة المؤقتة) ويتم تعيين التراخيص استنادا إلى وضع الإنفاذ المحفوظ
- يتم تطبيق تكوين بدء التشغيل استنادا إلى معلومات الاستحقاق هذه المخزنة مؤقتا
- يتم طلب الاستحقاقات مرة أخرى بعد كل إعادة تشغيل
أستخدم دعم TAC من Cisco
الطراز FP41xx/FP9300
إذا فشلت جميع العناصر المذكورة في هذا المستند، فعليك تجميع هذه المخرجات من واجهة سطر الأوامر الخاصة بالهيكل والاتصال ب Cisco TAC:
الناتج 1:
FPR4125-1# show license techsupport
الناتج 2:
FPR4125-1# scope monitoring
FPR4125-1 /monitoring # scope callhome
FPR4125-1 /monitoring/callhome # show detail expand
الناتج 3:
حزمة دعم هيكل FXOS
FPR4125-1# connect local-mgmt
FPR4125-1(local-mgmt)# show tech-support chassis 1 detail
الناتج 4 (موصى به بشدة):
التقاط الإيثاناليزر من واجهة سطر الأوامر (CLI) للهيكل
FP1xxx/FP21xx
الناتج 1:
ciscoasa# show tech-support license
الناتج 2:
ciscoasa# connect fxos admin
firepower-2140# connect local-mgmt
firepower-2140(local-mgmt)# show tech-support fprm detail
الأسئلة المتكررة (FAQs)
في الطراز FP21xx أين تقع علامة التبويب "الترخيص" في واجهة المستخدم الرسومية (GUI) الخاصة بالهيكل (FCM)؟
اعتبارا من 9. 13.x، يدعم FP21xx وضعي ASA:
- جهاز
- النظام الأساسي
في وضع الجهاز، لا توجد واجهة مستخدم للهيكل. في وضع النظام الأساسي، هناك واجهة مستخدم للهيكل، ولكن تم تكوين الترخيص من واجهة سطر الأوامر (CLI) الخاصة ب ASA أو ASDM.
ومن ناحية أخرى، على منصات FPR4100/9300، يجب تكوين الترخيص في FCM عبر واجهة المستخدم الرسومية (GUI) أو واجهة سطر الأوامر (CLI) الخاصة ب FXOS ويجب طلب مستحقات ASA من واجهة سطر الأوامر (CLI) الخاصة ب ASA أو ASDM.
المراجع:
- إدارة التراخيص ل ASA
- الأجهزة المنطقية ل Firepower 4100/9300
- التراخيص: ترخيص البرامج الذكية (ASAv، ASA on FirePOWER)
- نشر وضع النظام الأساسي ASA مع ASDM و FirePOWER Chassis Manager
كيف يمكنك تمكين ترخيص تشفير قوي؟
يتم تمكين هذه الوظيفة تلقائيا إذا كان للرمز المميز المستخدم في تسجيل FCM خيار السماح بوظائف التحكم في التصدير على المنتجات المسجلة مع تمكين هذا الرمز المميز.
كيف يمكنك تمكين ترخيص تشفير قوي إذا تم تعطيل الميزات التي يتم التحكم فيها عن طريق التصدير على مستوى FCM وما يتصل بذلك من تشفير-3DES-AES على مستوى ASA؟
إذا لم يتم تمكين هذا الخيار على الرمز المميز، فقم بإلغاء تسجيل FCM وقم بتسجيله مرة أخرى باستخدام رمز مميز تم تمكين هذا الخيار به.
ماذا يمكنك أن تفعل إذا لم يتوفر خيار السماح بوظائف التحكم في التصدير للمنتجات المسجلة مع هذا الرمز المميز عند إنشاء الرمز المميز؟
اتصل بفريق حساب Cisco.
هل هو إلزامي لتكوين ميزة التشفير القوي على مستوى ASA؟
يكون خيار ميزة التشفير القوي إلزاميا فقط إذا تم دمج FCM مع خادم قمر صناعي pre-2.3.0. هذا سيناريو واحد فقط عندما يجب تكوين هذه الميزة.
ما هي بروتوكولات IP التي يجب السماح بها في المسار بين إدارة قاعدة معلومات الإدارة (FCM) وسحابة الترخيص الذكي؟
يستخدم FXOS العنوان https://tools.cisco.com/ (المنفذ 443) للاتصال بسحابة الترخيص. تم حل العنوان https://tools.cisco.com/ إلى عناوين IP التالية:
- 72.163.4.38
- 173.37.145.8
لماذا تحصل على خطأ عدم التوافق؟
يمكن أن يصبح الجهاز خارج نطاق التوافق في هذه الحالات:
- الاستخدام الزائد (يستخدم الجهاز تراخيص غير متوفرة)
- انتهاء صلاحية الترخيص - انتهت صلاحية الترخيص المستند إلى الوقت
- نقص الاتصال - يتعذر على الجهاز الوصول إلى سلطة الترخيص لإعادة الترخيص
للتحقق مما إذا كان حسابك في حالة عدم توافق أو الاقتراب منها، يجب مقارنة الاستحقاقات المستخدمة حاليا من قبل هيكل FirePOWER مع تلك الموجودة في حسابك الذكي.
في حالة عدم التوافق، يمكنك إجراء تغييرات التكوين على الميزات التي تتطلب تراخيص خاصة، ولكن لا تتأثر العملية بأية طريقة أخرى. على سبيل المثال، يستمر تشغيل سياقات حد الترخيص القياسي الموجودة بالفعل، ويمكنك تعديل التكوين الخاص بها، ولكن لا يمكنك إضافة سياق جديد.
لماذا لا تزال تعاني من خطأ في عدم التوافق بعد إضافة التراخيص؟
وبشكل افتراضي، يتواصل الجهاز مع "سلطة الترخيص" كل 30 يوما للتحقق من الاستحقاقات. إذا كنت ترغب في تشغيله يدويا، يجب عليك اتباع الخطوات التالية:
بالنسبة للأنظمة الأساسية FPR1000/2100، يجب القيام بذلك عبر ASDM أو عبر CLI (واجهة سطر الأوامر):
ASA# license smart renew auth
بالنسبة لمنصات FPR4100/9300، يجب القيام بذلك عبر واجهة سطر الأوامر (CLI) لنظام FXOS:
FP4100# scope system
FP4100 /system # scope license
FP4100 /license # scope licdebug
FP4100 /license/licdebug # renew
لماذا لا يوجد ترخيص قيد الاستخدام على مستوى ASA؟
تأكد من تكوين إستحقاق ASA على مستوى ASA، على سبيل المثال:
ASA(config)# license smart
ASA(config-smart-lic)# feature tier standard
لماذا لا تزال التراخيص غير مستخدمة حتى بعد تكوين إستحقاق ASA؟
تكون هذه الحالة متوقعة إذا قمت بنشر زوج ASA Active/Standby لتجاوز الأعطال وتتحقق من إستخدام الترخيص على الجهاز الاحتياطي.
وفقا لدليل التكوين، يتم نسخ التكوين نسخا متماثلا إلى الوحدة الاحتياطية، ولكن الوحدة الاحتياطية لا تستخدم التكوين، وتظل في حالة التخزين المؤقت. تطلب الوحدة النشطة فقط التراخيص من الخادم. ويتم تجميع التراخيص في ترخيص واحد لتجاوز الفشل تتم مشاركته بواسطة زوج تجاوز الفشل، كما يتم تخزين هذا الترخيص المجمع مؤقتا على الوحدة الاحتياطية التي سيتم إستخدامها إذا أصبحت الوحدة النشطة في المستقبل. للرجوع إليه: تراخيص نظام مجموعة ASA أو تجاوز الأعطال.
ما الذي يمكنك فعله إذا لم يكن لدى FCM حق الوصول إلى الإنترنت؟
كبديل، يمكنك نشر مدير البرنامج الذكي من Cisco على PREM (المعروف سابقا باسم القمر الصناعي لمدير البرنامج الذكي من Cisco). هذا مكون في الترخيص الذكي من Cisco الذي يعمل بالاقتران مع مدير البرنامج الذكي من Cisco. وهو يوفر إمكانية رؤية في الوقت الفعلي تقريبا، كما يوفر إمكانات التقارير لتراخيص Cisco التي تشتريها وتستهلكها. كما يمنح المؤسسات الحساسة للأمان طريقة للوصول إلى مجموعة فرعية من وظائف Cisco SSM دون إستخدام اتصال إنترنت مباشر لإدارة قاعدة التثبيت الخاصة بها.
أين يمكنك العثور على مزيد من المعلومات حول مدير البرامج الذكية من Cisco على الكمبيوتر المحمول؟
يمكنك العثور على هذه المعلومات في دليل تكوين FXOS:
- تكوين خادم قمر صناعي للترخيص الذكي لهيكل Firepower 4100/9300
- تكوين تسجيل مدير هيكل FirePOWER إلى مدير برامج Smart على الإعداد
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
31-Oct-2022 |
إختصار العنوان. |
1.0 |
13-Sep-2021 |
الإصدار الأولي |
التعليقات