أستكشاف أخطاء عدم التوافق مع ميزة "الترخيص الذكي عبر جدار الحماية الآمن" وإصلاحها
المحتويات
المقدمة
يصف هذا المستند أكثر نماذج Cisco Smart License شيوعا لأسباب التوافق مع Cisco FMC و FTD.
معلومات أساسية
يوفر الترخيص الذكي من Cisco إدارة مركزية لتراخيص العديد من المنتجات. يعمل جدار الحماية الآمن من Cisco على تبسيط إدارة التراخيص عبر عمليات النشر الكبيرة المحتملة لأجهزة الاستشعار، ويمكن إستخدامه لطرز الأجهزة والافتراضية والشبكات العامة. يقدم هذا المستند دليل أستكشاف الأخطاء وإصلاحها لمشكلات عدم التوافق مع الترخيص الذكي لمركز إدارة جدار الحماية (FMC) من Cisco وبرامج وأجهزة الدفاع ضد تهديد جدار الحماية (FTD) من Cisco.
عندما تبلغ FMC أن الترخيص الذكي غير متوافق، فإنها تشير إلى أن FMC لا يمكنها العثور على الترخيص المناسب في "حساب ذكي". وعندما يحدث ذلك، يتم عرض تنبيه صحي. وقد يرجع ذلك إلى عدة أسباب وردت في هذه الوثيقة.
كيفية تحديد نوع الترخيص الذي يتسبب في حالة عدم التوافق.
إستخدام واجهة المستخدم الرسومية (GUI) لوحدة التحكم FMC.
انتقل إلى تنبيه الحماية من رمز إعلام FMC وانقر فوق حماية.
إستخدام مدخل الحساب الذكي
انتقل إلى حالة الترخيص الذكي في النظام >> التراخيص >> التراخيص الذكية. يمكن العثور على معلومات الحساب الظاهري التي تم تسجيل FMC لها هنا.
في قسم التراخيص الذكية، يتم الإشارة إلى التراخيص المحددة غير المتوافقة هنا. في هذا المثال، يتم سرد حالة "عدم التوافق" لترخيص ميزة Cisco Secure Firewall 1120 "الدفاع عن البرامج الضارة". لاحظ كافة الميزات/المنتجات المدرجة في قائمة "عدم التوافق" باللون الأحمر. تشير علامة الاختيار "In-Compliance" الخضراء إلى أن نوع الترخيص المحدد متوفر، وتستطيع FMC الحصول عليه من "حساب ذكي".
للتحقق من توفر هذه التراخيص، يمكنك تسجيل الدخول إلى مدخل الحساب الذكي والانتقال إلى الحساب الذكي >> المخزون >> [اسم الحساب الظاهري]. تصفية اسم الترخيص إذا لزم الأمر.
لاحظ هذه الحالات المحتملة:
متوفر للاستخدام = عدد المشترين
قيد الاستخدام = عدد الأجهزة التي تم تمكين هذه الميزة بها
الرصيد = التعويض بين الشراء والاستخدام.
كلما أصبح الرصيد سالبا، تظهر FMC حالة عدم التوافق لهذه الميزة/المنتج.
كما يمكن العثور على تنبيه في Smart Account (الحساب الذكي) > > Alerts. تصفية الحساب الظاهري في "المصدر" إذا لزم الأمر.
إستخدام واجهة سطر أوامر FMC (CLI)
الخطوة 1. سجل الدخول إلى واجهة سطر الأوامر (CLI) لوحدة التحكم FMC.
الخطوة 2. قم بالوصول إلى صدفة لينوكس باستخدام هذا الأمر
expert
الخطوة 3. قم بإصدار هذا الأمر.
less /var/log/sam.log
انتقل إلى أحدث إدخال في الملف عن طريق التمرير لأسفل للتحقق من أحدث حالة.
في حالة الحصول على ترخيص بشكل كاف، يظهر الترخيص على أنه مرخص.
في حالة عدم توفر ترخيص، يظهر نوع الترخيص المحدد على أنه غير متوافق.
استكشاف الأخطاء وإصلاحها
هذه بعض السيناريوهات الأكثر شيوعا وكيفية أستكشاف أخطاء كل منها وإصلاحها.
السيناريو 1 - لا توجد تراخيص كافية لميزة معينة من الأنظمة الأساسية المادية الخاصة ببرنامج الإرسال فائق السرعة (FTD).
هناك أنواع ترخيص مختلفة. ويمكن تصنيف هذه الأجهزة على أنها أجهزة ومزايا خاصة. يمكن تحديد التراخيص استنادا إلى النموذج المعروض في اسم الترخيص متبوعا بالميزة التي توفر ترخيصا لها.
-base (pre 7.x) أو essentials (post 7.x)
-الدفاع عن البرامج الضارة
-IPS
-URL
-الناقل
-موقع Secure Client Premier
-ميزة العميل الآمن
-شبكة VPN الخاصة بالعميل الآمن فقط
إذا كنت تشك في أن التراخيص قد تم شراؤها وغير متوفرة في "الحساب الذكي" الخاص بك، فتحقق من معلومات طلب الشراء الخاص بك وتحقق من حساب "الترخيص الذكي" الذي تم توفيره عند تقديم الطلب.
في حالة توفير حساب ذكي معين عند تقديم أمر الشراء، يتم تحويل التراخيص إلى "الحساب الذكي المعين".
في حالة عدم توفير "الحساب الذكي المعين" وإصدار الأمر من خلال أحد الشركاء، يتم تحويل التراخيص إلى "حساب إحتجاز الشركاء". اتصل بشركة Cisco الشريكة لديك مع أمر الشراء إذا كان هذا هو الحال ويمكن أن تساعد في نقل هذه التراخيص إلى حسابك الذكي.
السيناريو 2 - تتوفر التراخيص في حساب افتراضي مختلف
وبشكل افتراضي، هناك حساب ظاهري واحد فقط يسمى "افتراضي" في كل حساب ذكي. يمكن لمسؤول الحساب الذكي إنشاء حسابات افتراضية متعددة لتسهيل الإدارة وأغراض أخرى.
إذا كانت التراخيص اللازمة جزءا من حساب افتراضي مختلف، يمكن نقل هذه التراخيص إلى الحساب الظاهري المناسب باستخدام هذه الخطوات.
الخطوة 1. انتقل إلى الحساب الذكي >> المخزون.
الخطوة 2. تصفية الحساب الظاهري الصحيح. تصفية الترخيص إذا لزم الأمر.
الخطوة 3. بمجرد تحديد الترخيص الصحيح، انقر فوق القائمة المنسدلة الإجراءات وحدد Transfer.
الخطوة 4. حدد الحساب الظاهري للوجهة الذي يحتاج إلى التراخيص وتقديم عدد من التراخيص لنقلها.
الخطوة 5. انقر فوق إظهار المعاينة للتحقق من الصحة ثم انقر فوق نقل.
بمجرد توفر جميع التراخيص في الحساب الظاهري الذي تم تسجيل FMC عليه، انقر على زر إعادة التفويض في FMC لمسح حالة عدم التوافق.
السيناريو 3 - ترخيص جهاز FirePOWER MCv مفقود
بالنسبة لنماذج الإدارة الافتراضية، يتم عادة خلط نظامين مختلفين.
يظهر ترخيص جهاز FMCv كترخيص جهاز Firepower MCv وترخيص جهاز FMCv300 هو ترخيص جهاز Firepower MCv300.
لإدارة جدران الحماية، تحتاج وحدة التحكم في إدارة الإطارات (FMC) إلى ترخيص جهاز أيضا.
يساعدك النقر فوق نوع الترخيص على تحديد التراخيص التي تستهلكها شركات FMC. في هذا المثال، تستهلك FMCv-A خمسة تراخيص، تطابق صفحة الترخيص الذكي ل FMC.
السيناريو 4 - يعد FTD بمثابة نظام أساسي افتراضي يشغل إصدار ما قبل 7.0
يتم طلب التراخيص الأساسية تلقائيا ولا يتم ترتيبها في طبقات. ارجع إلى الجدولين 60 و 61 في دليل طلب أمان الشبكة من Cisco لوحدات الاحتفاظ بالمخزون (SKU) قبل 7.x FTDv.
هذه هي أسماء تراخيص ما قبل 7.x FTDv في الحساب الذكي.
الحماية ضد البرامج الضارة الافتراضية للحماية ضد التهديدات
تصفية URL الظاهري للدفاع عن التهديد
ترخيص جهاز Firepower MCv
ميزات قاعدة الدفاع عن التهديد الخاص ب Firepower
الحماية الافتراضية للتهديد الدفاعي
ترخيص AnyConnect Plus من Cisco
ترخيص واجهة AnyConnect من Cisco
ترخيص AnyConnect VPN فقط من Cisco
في هذا المثال، أصبحت تراخيص البرامج الضارة والتهديدات غير متوافقة نظرا لعدم وجود تراخيص كافية للحساب الظاهري.
للحصول على ترخيص متوافق، يجب على المستخدم التأكد من توفر تراخيص كافية للحساب الظاهري للترخيص الذكي. ارجع إلى دليل أمر أمان الشبكة من Cisco لنقاط الوصول إلى ما قبل 7.x FTDv SKU.
السيناريو 5 - يعد برنامج الإرسال فائق السرعة (FTD) بمثابة نظام أساسي افتراضي يشغل الإصدار 7.0 أو إصدار أحدث
تعتمد التراخيص الأساسية على الاشتراك ويتم تعيينها إلى طبقات. يجب أن تشتمل الحسابات الظاهرية على إستحقاقات الترخيص الأساسي ل FTDs و Threat و Malware و URL Filtering.
عند ترقية FTDv إلى الإصدار 7.0 أو إصدار أحدث، يتم نقل الجهاز تلقائيا إلى FTDv - طبقة متغيرة ويستهلك إستحقاقات غير ذات طبقات. في هذا المثال، تتم ترقية FTD من 6.6.7 إلى 7.2.5، وتظهر حالة الترخيص الذكي "معتمد" ومتوافق.
ولا يزال يستهلك إستحقاقات غير ذات طبقات.
إذا قام المستخدم بتحديد (أو إعداد افتراضي إلى طبقة أداء معينة تلقائيا) ليس لديه إستحقاقات لها، فإنه يتم عرض حالة عدم التوافق.
في هذا المثال، يحدد المستخدم طبقة الأداء FTDv50 بدون تراخيص للبرامج الضارة والتهديدات الأساسية في الحساب الظاهري المسجل.
يجب أن يعرض الحساب الظاهري المزيد من التراخيص/الاستحقاقات لطبقة الأداء المطلوبة.
للالتزام، يجب على المستخدم تحديد إستحقاقات طبقة الأداء في حساب الترخيص الذكي الظاهري الخاص به. في حالة إختيار طبقة أداء خاطئة، يمكن للمستخدم الانتقال إلى الصفحة الموجودة على FMC أو FDM وضبط طبقة الأداء على ما لديه في حسابه الظاهري.
إذا لم يكن لدى حساب الترخيص الذكي الظاهري التراخيص/الاستحقاقات المطلوبة طبقة الأداء التي تم إختيارها، فراجع السيناريو 1 على أنه الخطوة التالية.
لتحرير طبقة الأداء، انتقل إلى أيقونة معدات FMC > التراخيص الذكية > تحرير طبقة الأداء واختر طبقة الأداء الصحيحة.
يستخدم هذا الجدول كمرجع سريع ل "طبقة الأداء" ومواصفاتها وتراخيصها وحدودها المقترنة.
الجدول - 1
| طبقة الأداء |
مواصفات الجهاز (Core/RAM) |
حد المعدل |
حد جلسات RA VPN |
أسماء التراخيص |
معرفات الترخيص |
ترخيص RA VPN ومعرفات المنتج |
| FTDv5، بسرعة 100 ميجابت في الثانية |
4 مراكز رئيسية/8 جيجابايت |
100 ميجابت في الثانية |
50 |
FTDv Base 100 ميجابت في الثانية |
FTD-V-5S-BSE-K9 |
ترخيص واجهة AnyConnect من Cisco ترخيص AnyConnect Plus من Cisco ترخيص AnyConnect VPN فقط من Cisco للحصول على معرف ترخيص RA VPN، يرجى —راجع دليل طلب العميل الآمن من Cisco. |
| برنامج FTDv ضار 100 ميجابت في الثانية |
FTD-V-5S-TMC |
|||||
| تصفية URL ل FTDv بسرعة 100 ميجابت في الثانية |
||||||
| حماية تهديد FTDv 100 ميجابت في الثانية |
||||||
| ترخيص حامل Firepower FTDv |
FTDV-CAR |
|||||
| FTDv10، بسرعة 1 جيجابت في الثانية |
4 مراكز رئيسية/8 جيجابايت |
1 جيجابت في الثانية |
250 |
FTDv Base 1 جيجابت في الثانية |
FTD-V-10S-BSE-K9 |
|
| برنامج FTDv ضار بسرعة 1 جيجابت في الثانية |
FTD-V-10S-TMC |
|||||
| تصفية URL الخاص ب FTDv 1 Gbps |
||||||
| حماية تهديد بروتوكول FTDv بسرعة 1 جيجابت في الثانية |
||||||
| ترخيص حامل Firepower FTDv |
FTDV-CAR |
|||||
| FTDv20، بسرعة 3 جيجابت في الثانية |
4 مراكز رئيسية/8 جيجابايت |
3 جيجابت في الثانية |
250 |
FTDv Base 3 جيجابت في الثانية |
FTD-V-20S-BSE-K9 |
|
| برنامج FTDv ضار بسرعة 3 جيجابت في الثانية |
FTD-V-20S-TMC |
|||||
| تصفية URL ل FTDv 3 Gbps |
||||||
| حماية تهديدات بروتوكول FTDv بسرعة 3 جيجابت في الثانية |
||||||
| ترخيص حامل Firepower FTDv |
FTDV-CAR |
|||||
| FTDv30، بسرعة 5 جيجابت في الثانية |
8 معالجات Core/16 جيجابايت |
5 جيجابت في الثانية |
250 |
FTDv Base 5 جيجابت في الثانية |
FTD-V-30S-BSE-K9 |
|
| برنامج FTDv ضار بسرعة 5 جيجابت في الثانية |
FTD-V-30S-TMC |
|||||
| تصفية URL الخاص ب FTDv 5 Gbps |
||||||
| حماية تهديد بروتوكول FTDv بسرعة 5 جيجابت في الثانية |
||||||
| ترخيص حامل Firepower FTDv |
FTDV-CAR |
|||||
| FTDv50، بسرعة 10 جيجابت في الثانية |
12 مركزا/24 جيجابايت |
10 جيجابت في الثانية |
750 |
FTDv Base بسرعة 10 جيجابت في الثانية |
FTD-V-50S-BSE-K9 |
|
| برنامج FTDv ضار بسرعة 10 جيجابت في الثانية |
FTD-V-50S-TMC |
|||||
| تصفية URL الخاص ب FTDv 10 جيجابت في الثانية |
||||||
| حماية تهديد بروتوكول FTDv بسرعة 10 جيجابت في الثانية |
||||||
| ترخيص حامل Firepower FTDv |
||||||
| FTDv100، بسرعة 16 جيجابت في الثانية |
16 مركزا/سعة 32 جيجابايت |
16 جيجابت في الثانية |
10,000 |
FTDv Base 16 جيجابت في الثانية |
FTD-V-100S-BSE-K9 |
|
| برنامج FTDv ضار بسرعة 16 جيجابت في الثانية |
FTD-V-100S-TMC |
|||||
| تصفية عنوان URL الخاص ب FTDv بسرعة 16 جيجابت في الثانية |
||||||
| الحماية ضد تهديدات بروتوكول FTDv بسرعة 16 جيجابت في الثانية |
||||||
| ترخيص حامل Firepower FTDv |
FTDV-CAR |
|||||
| متغير FTDv |
استنادا إلى إمكانيات الجهاز |
استنادا إلى إمكانيات الجهاز |
ميزات قاعدة الدفاع عن التهديد الخاص ب Firepower |
|||
| الحماية ضد البرامج الضارة الافتراضية للحماية ضد التهديدات |
||||||
| تصفية URL الظاهري للدفاع عن التهديد |
||||||
| الحماية الافتراضية للتهديد الدفاعي |
||||||
| ترخيص حامل Firepower FTDv |
FTDV-CAR |
لمزيد من التفاصيل حول وحدات الاحتفاظ بالمخزون (SKUs) الخاصة بترخيص طبقة أداء FTDv، ارجع إلى الجدول 59. الاشتراك في نظام معلومات الأداء الظاهري لبروتوكول Cisco Secure Firewall Threat و التهديد والبرامج الضارة و URL Filtering Subscription SKUs
السيناريو 6 - الترخيص ليس في الحساب الذكي أو الحساب الظاهري المناسب
يمكن نقل مثيل المنتج إلى الحساب الظاهري الصحيح.
الخطوة 1. انتقل إلى software.cisco.com باستخدام المستعرض الخاص بك
الخطوة 2. الانتقال إلى إدارة التراخيص
الخطوة 3. حدد "الحساب الذكي" المناسب في القائمة المنسدلة العليا الموجودة على اليمين ثم انتقل إلى المخزون > [اسم الحساب الظاهري] > مثيلات المنتج > الإجراءات وانقر فوق نقل > نقل مثيل المنتج.
الخطوة 4. بمجرد فتح مربع الحوار، أختر الحساب الظاهري الصحيح لنقل مثيل منتج FMC أو FTD.
السيناريو 7 - لا تتوفر وحدة التحكم في إدارة اللوحة الأساسية (FMC) في الحساب الذكي أو الحساب الظاهري المناسب
إذا لم يكن FMC أو FTD مسجلين باستخدام "الحساب الذكي" الصحيح، فقم بإلغاء تسجيل FMC من "مدير البرامج الذكية" بالنقر فوق رمز إلغاء التسجيل من صفحة الترخيص الذكي ل FMC.
بعد ذلك، قم بإنشاء الرمز المميز من الحساب الذكي الصحيح والحساب الظاهري وتسجيل FMC باستخدام مدير البرامج الذكية.
السيناريو 8 - إزالة مثيل منتج من "الحساب الذكي" للإدارة في المربع
ولا ينطبق هذا على الأجهزة التي تتم إدارتها بواسطة FMC، حيث أن FMC لا تحصل إلا على تراخيص الأجهزة التي تديرها.
قد تكون هناك سيناريوهات يتم فيها إستهلاك التراخيص بشكل زائد عند إعادة تصوير جهاز ما دون إلغاء تسجيل الترخيص من حساب Smart.
الخطوة 1. انتقل إلى مثيلات منتج الحساب الذكي لتعريف المثيل باستخدام اسم المضيف
الخطوة 2. انقر فوق عمليات >> إزالة.
الخطوة 3. انقر فوق الزر إزالة مثيل المنتج.
إذا لم يساعد أي من السيناريوهات المدرجة، فيمكنك الاتصال بمركز الدعم الفني ل Cisco.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
15-Jan-2024 |
الإصدار الأولي |
التعليقات