FMC- und FTD Smart License-Registrierung und allgemeine Probleme zur Fehlerbehebung verwenden
Inhalt
Einleitung
Dieses Dokument beschreibt die Konfiguration der Smart License-Registrierung von Firepower Management Center auf Firepower Threat Defense-verwalteten Geräten.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
FMC-, FTD- und Smart License-Registrierung.
Die Smart License-Registrierung erfolgt im FirePOWER Management Center (FMC). Das FMC kommuniziert über das Internet mit dem Cisco Smart Software Manager (CSSM) Portal. Im CSSM verwaltet der Firewall-Administrator den Smart Account und die zugehörigen Lizenzen. Das FMC kann Lizenzen für verwaltete Firepower Threat Defense (FTD)-Geräte frei zuweisen und löschen. Mit anderen Worten: Das FMC verwaltet Lizenzen für FTD-Geräte zentral.
Für die Verwendung bestimmter Funktionen von FTD-Geräten ist eine zusätzliche Lizenz erforderlich. Die Smart License-Typen, die Kunden einem FTD-Gerät zuweisen können, sind in FTD-Lizenztypen und -beschränkungen dokumentiert.
Die Base-Lizenz ist im FTD-Gerät enthalten. Diese Lizenz wird automatisch in Ihrem Smart Account registriert, wenn das FMC bei CSSM registriert ist.
Die laufzeitbasierten Lizenzen: Threat, Malware und URL-Filterung sind optional. Um lizenzbezogene Funktionen nutzen zu können, muss dem FTD-Gerät eine Lizenz zugewiesen werden.
Um eine FirePOWER Management Center Virtual (FMCv) für die FTD-Verwaltung zu verwenden, ist für die FMCv-Gerätelizenz ebenfalls eine FirePOWER MCv-Gerätelizenz in CSSM erforderlich.
Die FMCv-Lizenz ist in der Software enthalten und unbefristet.
Darüber hinaus enthält dieses Dokument Szenarien, die bei der Behebung von häufigen Registrierungsfehlern für Lizenzen helfen.
Weitere Informationen zu den Lizenzen finden Sie unter Cisco FirePOWER System Feature Licenses und Frequently Asked Questions (FAQ) zu FirePOWER Licensing.
FMC Smart-Lizenzregistrierung
Voraussetzungen
1. Für die Smart License-Registrierung muss das FMC auf das Internet zugreifen. Da das Zertifikat zwischen dem FMC und der Smart License Cloud mit HTTPS ausgetauscht wird, stellen Sie sicher, dass sich kein Gerät im Pfad befindet, das die Kommunikation beeinflussen/verändern kann. (Firewall, Proxy, SSL-Verschlüsselungsgerät usw.).
2. Greifen Sie auf den CSSM zu, und geben Sie eine Token-ID aus Inventory > General > New Token (Inventar > Allgemein > Neue Token-Schaltfläche) aus, wie in diesem Bild dargestellt.
Wenn Sie eine starke Verschlüsselung verwenden möchten, aktivieren Sie die Option Exportgesteuerte Nutzung zulassen für die mit diesem Token registrierten Produkte. Wenn diese Option aktiviert ist, wird im Kontrollkästchen ein Häkchen angezeigt.
3. Wählen Sie Token erstellen.
FMC Smart-Lizenzregistrierung
Navigieren Sie zu System > Licenses > Smart Licenses (System > Lizenzen > Smart Licenses) auf dem FMC, und wählen Sie die Schaltfläche Register (Registrieren) aus, wie in diesem Bild dargestellt.
Geben Sie die Token-ID in das Fenster für die Smart Licensing-Produktregistrierung ein, und wählen Sie Apply Changes (Änderungen anwenden) aus, wie in diesem Bild dargestellt.
Wenn die Smart License-Registrierung erfolgreich war, wird im Status der Produktregistrierung "Registriert" angezeigt, wie in dieser Abbildung dargestellt.
Um dem FTD-Gerät eine zeitlich begrenzte Lizenz zuzuweisen, wählen Sie Lizenzen bearbeiten. Wählen Sie dann ein verwaltetes Gerät aus, und fügen Sie es dem Abschnitt Geräte mit Lizenz hinzu. Wählen Sie anschließend die Schaltfläche Apply (Anwenden), wie in diesem Bild dargestellt.
Bestätigung auf Seite von Smart Software Manager (SSM)
Der Erfolg der FMC Smart License-Registrierung kann aus Inventory > Event Log in CSSM bestätigt werden, wie in diesem Bild gezeigt.
Der Registrierungsstatus des FMC kann unter Inventar > Produktinstanzen bestätigt werden. Überprüfen Sie das Ereignisprotokoll auf der Registerkarte Ereignisprotokoll. Die Smart License-Registrierung und der Nutzungsstatus können auf der Registerkarte Inventory > Licenses (Inventar > Lizenzen) überprüft werden. Vergewissern Sie sich, dass die erworbene laufzeitbasierte Lizenz korrekt verwendet wird, und es gibt keine Warnmeldungen, die auf unzureichende Lizenzen hinweisen.
Aufhebung der Registrierung von FMC Smart-Lizenzen
Registrierung des FMC vom Cisco SSM aufheben
Um die Lizenz aus irgendeinem Grund freizugeben oder ein anderes Token zu verwenden, navigieren Sie zu System > Licenses > Smart Licenses, und wählen Sie die Schaltfläche "De-Register" (Registrierung aufheben), wie in diesem Bild dargestellt.
Registrierung von SSM-Seite entfernen
Greifen Sie auf den Smart Software Manager (Cisco Smart Software Manager) zu, und wählen Sie unter Inventar > Produktinstanzen die Option Entfernen auf dem Ziel-FMC aus. Wählen Sie dann Produktinstanz entfernen, um das FMC zu entfernen und die zugewiesenen Lizenzen freizugeben, wie in diesem Bild dargestellt.
RMA
Wenn das FMC zurückgegeben wird, heben Sie die Registrierung des FMC vom Cisco Smart Software Manager (CSSM) auf. Gehen Sie dazu wie im Abschnitt FMC Smart License De-Registration > Remove Registration from SSM Side beschrieben vor, und registrieren Sie das FMC erneut beim CSSM. Gehen Sie dazu wie im Abschnitt FMC Smart License Registration beschrieben vor.
Fehlerbehebung
Überprüfung der Zeitsynchronisierung
Greifen Sie auf die FMC-CLI (z. B. SSH) zu, und stellen Sie sicher, dass die Uhrzeit korrekt und mit einem vertrauenswürdigen NTP-Server synchronisiert ist. Da das Zertifikat für die Smart License-Authentifizierung verwendet wird, ist es wichtig, dass das FMC über die richtigen Zeitinformationen verfügt:
admin@FMC:~$ date
Thu Jun 14 09:18:47 UTC 2020
admin@FMC:~$
admin@FMC:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*10.0.0.2 171.68.xx.xx 2 u 387 1024 377 0.977 0.469 0.916
127.127.1.1 .SFCL. 13 l - 64 0 0.000 0.000 0.000
Überprüfen Sie in der FMC-Benutzeroberfläche die NTP-Serverwerte unter System > Configuration > Time Synchronization (System > Konfiguration > Zeitsynchronisierung).
Namensauflösung aktivieren und Erreichbarkeit von tools.cisco.com prüfen (smartreceiver.cisco.com von FMC 7.3+)
Stellen Sie sicher, dass das FMC einen FQDN auflösen kann und ab FMC 7.3 über die Cisco Bug-ID CSCwj95397 unter tools.cisco.com (smartreceiver.cisco.com) erreichbar ist.
> expert admin@FMC2000-2:~$ sudo su Password: root@FMC2000-2:/Volume/home/admin# ping tools.cisco.com PING tools.cisco.com (173.37.145.8) 56(84) bytes of data. 64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=1 ttl=237 time=163 ms 64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=2 ttl=237 time=163 ms
Überprüfen Sie in der FMC-Benutzeroberfläche die IP-Adresse für die Verwaltung und die IP des DNS-Servers unter System > Configuration > Management Interfaces (System > Konfiguration > Verwaltungsschnittstellen).
Überprüfen des HTTPS-Zugriffs (TCP 443) von FMC zu tools.cisco.com (smartreceiver.cisco.com von FMC 7.3+)
Verwenden Sie den Telnet- oder Curl-Befehl, um sicherzustellen, dass das FMC HTTPS-Zugriff auf tools.cisco.com hat (smartreceiver.cisco.com von FMC 7.3+). Wenn die TCP 443-Kommunikation unterbrochen ist, stellen Sie sicher, dass sie nicht durch eine Firewall blockiert wird und sich kein SSL-Verschlüsselungsgerät im Pfad befindet.
root@FMC2000-2:/Volume/home/admin# telnet tools.cisco.com 443 Trying 72.163.4.38... Connected to tools.cisco.com. Escape character is '^]'. ^CConnection closed by foreign host. <--- Press Ctrl+C
Rolltest:
root@FMC2000-2:/Volume/home/admin# curl -vvk https://tools.cisco.com
* Trying 72.163.4.38...
* TCP_NODELAY set
* Connected to tools.cisco.com (72.163.4.38) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=CA; L=San Jose; O=Cisco Systems, Inc.; CN=tools.cisco.com
* start date: Sep 17 04:00:58 2018 GMT
* expire date: Sep 17 04:10:00 2020 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify ok.
> GET / HTTP/1.1
> Host: tools.cisco.com
> User-Agent: curl/7.62.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Wed, 17 Jun 2020 10:28:31 GMT
< Last-Modified: Thu, 20 Dec 2012 23:46:09 GMT
< ETag: "39b01e46-151-4d15155dd459d"
< Accept-Ranges: bytes
< Content-Length: 337
< Access-Control-Allow-Credentials: true
< Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
< Access-Control-Allow-Headers: Content-type, fromPartyID, inputFormat, outputFormat, Authorization, Content-Length, Accept, Origin
< Content-Type: text/html
< Set-Cookie: CP_GUTC=10.163.4.54.1592389711389899; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Set-Cookie: CP_GUTC=10.163.44.92.1592389711391532; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Cache-Control: max-age=0
< Expires: Wed, 17 Jun 2020 10:28:31 GMT
<
<html>
<head>
<script language="JavaScript">
var input = document.URL.indexOf('intellishield');
if(input != -1) {
window.location="https://intellishield.cisco.com/security/alertmanager/";
}
else {
window.location="http://www.cisco.com";
};
</script>
</head>
<body>
<a href="http://www.cisco.com">www.cisco.com</a>
</body>
</html>
* Connection #0 to host tools.cisco.com left intact
root@FMC2000-2:/Volume/home/admin#
DNS-Überprüfung
Überprüfen Sie, ob die Auflösung nach tools.cisco.com (smartreceiver.cisco.com von FMC 7.3+) erfolgreich war:
root@FMC2000-2:/Volume/home/admin# nslookup tools.cisco.com Server: 192.0.2.100 Address: 192.0.2.100#53 Non-authoritative answer: Name: tools.cisco.com Address: 72.163.4.38
Proxy-Verifizierung
Wenn apProxy verwendet wird, überprüfen Sie die Werte sowohl auf dem FMC als auch auf dem Proxy-Server. Überprüfen Sie auf dem FMC, ob das FMC die richtige IP und den richtigen Port für den Proxyserver verwendet.
root@FMC2000-2:/Volume/home/admin# cat /etc/sf/smart_callhome.conf KEEP_SYNC_ACTIVE:1 PROXY_DST_URL:https://tools.cisco.com/its/service/oddce/services/DDCEService PROXY_SRV:192.0.xx.xx PROXY_PORT:80
In der FMC-UI können die Proxywerte unter System > Configuration > Management Interfaces (System > Konfiguration > Verwaltungsschnittstellen) bestätigt werden.
Wenn die FMC-seitigen Werte korrekt sind, überprüfen Sie die Proxy-Server-seitigen Werte (z. B. wenn der Proxy-Server den Zugriff vom FMC und auf tools.cisco.com zulässt). Datenverkehr und Zertifikataustausch über den Proxy zulassen. Das FMC verwendet ein Zertifikat für die Smart License (Registrierung).
Abgelaufene Token-ID
Vergewissern Sie sich, dass die ausgestellte Token-ID nicht abgelaufen ist. Wenn sie abgelaufen ist, bitten Sie den Smart Software Manager-Administrator, ein neues Token auszustellen und die Smart-Lizenz mit der neuen Token-ID erneut zu registrieren.
Ändern des FMC-Gateways
Es kann Fälle geben, in denen die Smart License-Authentifizierung aufgrund der Auswirkungen eines Relay-Proxys oder eines SSL-Verschlüsselungsgeräts nicht ordnungsgemäß durchgeführt werden kann. Ändern Sie nach Möglichkeit die Route für den FMC-Internetzugang, um diese Geräte zu vermeiden, und wiederholen Sie die Smart License-Registrierung.
Überprüfen Sie die Systemereignisse auf FMC.
Navigieren Sie auf dem FMC zu System > Health > Events (System > Zustand > Ereignisse), und überprüfen Sie den Status des Smart License Monitor-Moduls auf Fehler. Wenn die Verbindung beispielsweise aufgrund eines abgelaufenen Zertifikats fehlschlägt, wird ein Fehler generiert, z. B. "id certificated abgelaufen" (abgelaufene ID), wie in diesem Bild dargestellt.
Überprüfen Sie das Ereignisprotokoll auf SSM-Seite.
Wenn das FMC eine Verbindung zum CSSM herstellen kann, überprüfen Sie das Ereignisprotokoll der Verbindung unter Inventory > Event Log (Bestand > Ereignisprotokoll). Überprüfen Sie, ob solche Ereignis- oder Fehlerprotokolle im CSSM vorhanden sind. Wenn es kein Problem mit den Werten/dem Betrieb des FMC-Standorts gibt und es kein Ereignisprotokoll auf der CSSM-Seite gibt, besteht die Möglichkeit, dass es ein Problem mit der Route zwischen dem FMC und dem CSSM gibt.
Häufige Probleme
Zusammenfassung der Registrierungs- und Autorisierungsstatus:
| Status der Produktregistrierung |
Autorisierungsstatus der Nutzung |
Kommentare |
| UNREGISTERED (Nicht registriert) |
— |
Das FMC befindet sich weder im Registrierungs- noch im Evaluierungsmodus. Dies ist der ursprüngliche Status nach der FMC-Installation oder nach Ablauf der 90-tägigen Testlizenz. |
| Registriert |
Autorisiert |
Das FMC ist beim Cisco Smart Software Manager (CSSM) registriert, und es gibt FTD-Geräte, die mit einem gültigen Abonnement registriert sind. |
| Registriert |
Autorisierung abgelaufen |
Das FMC kommunizierte mehr als 90 Tage lang nicht mit dem Cisco Lizenz-Backend. |
| Registriert |
UNREGISTERED (Nicht registriert) |
Das FMC ist beim Cisco Smart Software Manager (CSSM) registriert, es sind jedoch keine FTD-Geräte am FMC registriert. |
| Registriert |
Out-of-Compliance |
Das FMC ist beim Cisco Smart Software Manager (CSSM) registriert, aber es gibt FTD-Geräte, die mit ungültigen Abonnements registriert sind. Ein FTD-Gerät (FP4112) verwendet beispielsweise ein THREAT-Abonnement, aber mit dem Cisco Smart Software Manager (CSSM) sind für FP4112 keine THREAT-Abonnements verfügbar. |
| Evaluierung (90 Tage) |
– |
Der Evaluierungszeitraum wird genutzt, es sind jedoch keine FTD-Geräte am FMC registriert. |
Anwenderbericht 1. Ungültiges Token
Symptom: Die Registrierung beim CSSM schlägt schnell fehl (~10 s), da das Token ungültig ist, wie in diesem Bild gezeigt.
Auflösung: Verwenden Sie ein gültiges Token.
Anwenderbericht 2. Ungültiger DNS
Symptom: Die Registrierung beim CSSM ist nach einer Weile (~25 s) fehlgeschlagen, wie in diesem Bild gezeigt.
Überprüfen Sie die Datei /var/log/process_stdout.log. Das DNS-Problem tritt auf:
root@FMC2000-2:/Volume/home/admin# cat /var/log/process_stdout.log 2020-06-25 09:05:21 sla[24043]: *Thu Jun 25 09:05:10.989 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494],
failed to perform, err code 6, err string "Couldn't resolve host name"
Auflösung: Fehler bei der Auflösung des CSSM-Hostnamens. Die Lösung besteht darin, DNS zu konfigurieren (falls nicht konfiguriert) oder die DNS-Probleme zu beheben.
Anwenderbericht 3. Ungültige Zeitwerte
Symptom: Die Registrierung beim CSSM ist nach einer Weile (~25 s) fehlgeschlagen, wie in diesem Bild gezeigt.
Überprüfen Sie die Datei /var/log/process_stdout.log. Es treten folgende Zertifikatsprobleme auf:
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_request_init[59], request "POST", url "https://tools.cisco.com/its/service/oddce/services/DDCEService" 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[299], https related setting 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[302], set ca info 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_head_init[110], init msg header 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494],
failed to perform, err code 60, err string "SSL peer certificate or SSH remote key was not OK" 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_http_unlock[330], unlock http mutex. 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_send_http[365], send http msg, result 30 2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue[514],
cert issue checking, ret 60, url https://tools.cisco.com/its/service/oddce/services/DDCEService
Überprüfen Sie den FMC-Zeitwert:
root@FMC2000-2:/Volume/home/admin# date Fri Jun 25 09:27:22 UTC 2021
Fallstudie 4. Kein Abonnement
Wenn für eine bestimmte Funktion kein Lizenzabonnement vorhanden ist, ist die FMC-Bereitstellung nicht möglich:
Lösung: Es ist erforderlich, das erforderliche Abonnement zu erwerben und auf das Gerät anzuwenden.
Anwenderbericht 5. Out-of-Compliance (OOC)
Wenn keine Berechtigung für FTD-Abonnements besteht, wird die FMC Smart License in den Status "Out-of-compliance" (OOC) versetzt:
Überprüfen Sie im CSSM die Warnmeldungen auf Fehler:
Fallstudie 6. Keine starke Verschlüsselung
Wenn nur die Basislizenz verwendet wird, ist die DES-Verschlüsselung (Data Encryption Standard) in der FTD LINA-Engine aktiviert. In diesem Fall schlagen Bereitstellungen wie L2L Virtual Private Network (VPN) mit stärkeren Algorithmen fehl:
Auflösung: Registrieren Sie das FMC beim CSSM, und aktivieren Sie das Strong Encryption-Attribut.
Zusätzliche Hinweise
Benachrichtigung über Smart-Lizenzstatus festlegen
E-Mail-Benachrichtigung von SSM
SSM-seitig ermöglicht SSM E-Mail-Benachrichtigung den Empfang von zusammenfassenden E-Mails für verschiedene Ereignisse. Beispielsweise Benachrichtigung bei Lizenzmangel oder bei Lizenzen, die bald ablaufen. Es können Benachrichtigungen über eine Produktinstanzverbindung oder einen Fehler bei der Aktualisierung empfangen werden.
Diese Funktion ist sehr nützlich, um Funktionseinschränkungen aufgrund des Lizenzablaufs zu erkennen und zu verhindern.
Statusbenachrichtigungen vom FMC abrufen
Auf der FMC-Seite ist es möglich, eine Warnmeldung des Zustandsmonitors zu konfigurieren und eine Warnmeldung zu einem Zustandsereignis zu erhalten. Der Modul Smart License Monitor ist verfügbar, um den Smart License-Status zu überprüfen. Die Monitorwarnung unterstützt Syslog-, E-Mail- und SNMP-Traps.
Dies ist ein Konfigurationsbeispiel zum Abrufen einer Syslog-Meldung, wenn ein Smart License-Überwachungsereignis auftritt:
Dies ist ein Beispiel für eine Statusmeldung:
Die vom FMC generierte Syslog-Meldung lautet:
Mar 13 18:47:10 xx.xx.xx.xx Mar 13 09:47:10 FMC : HMNOTIFY: Smart License Monitor (Sensor FMC): Severity: critical: Smart License usage is out of compliance
Weitere Informationen zu den Systemmonitor-Warnmeldungen finden Sie unter Systemüberwachung.
Mehrere FMCs auf demselben Smart Account
Wenn mehrere FMCs für dasselbe Smart Account verwendet werden, muss jeder FMC-Hostname eindeutig sein. Wenn mehrere FMCs in CSSM verwaltet werden, muss der Hostname jedes FMC eindeutig sein, um jedes FMC zu unterscheiden. Dies ist nützlich für die Wartung der FMC Smart License, die in Betrieb ist.
FMC muss Internetverbindung aufrechterhalten
Nach der Registrierung überprüft das FMC die Smart License Cloud und den Lizenzstatus alle 30 Tage. Wenn das FMC 90 Tage lang nicht kommunizieren kann, wird die lizenzierte Funktion beibehalten. Sie behält jedoch den Status Autorisierung abgelaufen bei. Selbst in diesem Zustand versucht das FMC kontinuierlich, eine Verbindung zur Smart License Cloud herzustellen.
Bereitstellung mehrerer FMCv
Wenn das FirePOWER-System in einer virtuellen Umgebung verwendet wird, wird Clone (warm oder kalt) nicht offiziell unterstützt. Jedes virtuelle FirePOWER Management Center (FMCv) ist einzigartig, da es Authentifizierungsinformationen enthält. Um mehrere FMCv bereitzustellen, muss die FMCv aus der OVF-Datei (Open Virtualization Format) erstellt werden. Weitere Informationen zu dieser Einschränkung finden Sie im Cisco FirePOWER Management Center Virtual for VMware Deployment Quick Start Guide.
Häufig gestellte Fragen (FAQ)
Wie viele Gerätelizenzen sind in FTD HA erforderlich?
Wenn zwei FTDs für Hochverfügbarkeit verwendet werden, ist für jedes Gerät eine Lizenz erforderlich. Wenn das Intrusive Protection System (IPS) und die Advanced Malware Protection (AMP)-Funktion für das FTD HA-Paar verwendet werden, sind beispielsweise zwei Lizenzen für Bedrohungen und Malware erforderlich.
Warum werden von FTD keine AnyConnect-Lizenzen verwendet?
Stellen Sie nach der FMC-Registrierung beim Smart Account sicher, dass die AnyConnect-Lizenz aktiviert ist. Um die Lizenz zu aktivieren, navigieren Sie zuFMC > Geräte, wählen Sie Ihr Gerät und dann Lizenz. Wählen Sie das Bleistiftsymbol aus, wählen Sie die Lizenz aus, die im Smart Account hinterlegt ist, und wählen Sie Speichern.
Warum wird nur eine AnyConnect-Lizenz im Smart Account "In Gebrauch" verwendet, wenn 100 Benutzer verbunden sind?
Dies ist ein erwartetes Verhalten, da Smart Account die Anzahl der Geräte verfolgt, auf denen diese Lizenz aktiviert ist, ohne dass aktive Benutzer verbunden sind.
Warum liegt der Fehler Device does not have the AnyConnect License nach der Konfiguration und Bereitstellung eines Remote Access VPN durch das FMC vor?
Stellen Sie sicher, dass das FMC bei der Smart License Cloud registriert ist. Das erwartete Verhalten ist, dass die Konfiguration des Remote-Zugriffs nicht bereitgestellt werden kann, wenn das FMC nicht registriert ist oder sich im Testmodus befindet. Wenn das FMC registriert ist, stellen Sie sicher, dass die AnyConnect-Lizenz in Ihrem Smart Account vorhanden und dem Gerät zugewiesen ist.
Um eine Lizenz zuzuweisen, navigieren zuFMC Geräte, wählen Sie Ihr Gerät, Lizenz (Bleistiftsymbol). Wählen Sie die Lizenz im Smart Account aus, und wählen Sie Speichern.
Warum tritt der Fehler auf, Remote Access VPN with SSL cannot be deployed when Export-Controlled Features (Strong-crypto) are disabled wenn eine Remote Access-VPN-Konfiguration bereitgestellt wird?
Für das auf dem FTD bereitgestellte Remote Access-VPN muss eine Strong Encryption-Lizenz aktiviert sein. DEStellen Sie sicher, dass auf dem FMC eine Strong Encryption-Lizenz aktiviert ist. Um den Status der Strong Encryption-Lizenz zu überprüfen, navigieren an die FMC-System > Lizenzen > Smart Licensing, und prüfen Sie, ob die exportgesteuerten Features aktiviert sind.
Wie aktiviere ich eine Strong Encryption-Lizenz, wenn ich sie deaktiviert Export-Controlled Features habe?
Diese Funktion wird automatisch aktiviert, wenn für das Token, das bei der Registrierung des FMC in der Smart Account Cloud verwendet wird, die Option Ausfuhrkontrollierte Funktionen für die mit diesem Token registrierten Produkte zulassen aktiviert ist. Wenn diese Option für das Token nicht aktiviert ist, heben Sie die Registrierung des FMC auf, und registrieren Sie es erneut, wenn diese Option aktiviert ist.
Was kann getan werden, wenn die Option "Exportgesteuerte Funktionalität für die mit diesem Token registrierten Produkte zulassen" beim Generieren des Tokens nicht verfügbar ist?
Wenden Sie sich an Ihr Cisco Account Team.
Warum wird die Fehlermeldung "Strong crypto (d. h., der Verschlüsselungsalgorithmus ist größer als DES) für die VPN-Topologie s2s wird nicht unterstützt" empfangen?
Dieser Fehler wird angezeigt, wenn das FMC den Evaluierungsmodus verwendet oder das Smart License-Konto nicht über eine Strong Encryption-Lizenz verfügt. VÜberprüfen Sie, ob das FMC bei der Lizenzbehörde registriert ist, und lassen Sie die exportgesteuerte Funktion für die mit diesem Token registrierten Produkte zu. Wenn der Smart Account keine Strong Encryption-Lizenz verwenden darf, ist die Bereitstellung einer Site-to-Site-VPN-Konfiguration mit Verschlüsselungen, die über DES verfügen, nicht zulässig.
Warum wird der Status "Nicht konform" im FMC empfangen?
Das Gerät kann die Compliance verlieren, wenn eines der verwalteten Geräte nicht verfügbare Lizenzen verwendet.
Wie kann der Status "Nicht konform" korrigiert werden?
Befolgen Sie die Schritte im FirePOWER Konfigurationsleitfaden:
1. Im Abschnitt "Smart Licenses" am unteren Seitenrand können Sie sehen, welche Lizenzen benötigt werden.
2. Erwerben Sie die erforderlichen Lizenzen über Ihre üblichen Kanäle.
3. Im Cisco Smart Software Manager (https://software.cisco.com/#SmartLicensing-Inventory), überprüfen Sie, ob die Lizenzen in Ihrem Virtual Account angezeigt werden.
4. Wählen Sie im FMC System > Licenses > Smart Licenses aus.
5. Wählen Sie Erneut autorisieren.
Das vollständige Verfahren finden Sie unter Lizenzierung des FirePOWER-Systems.
Was sind die Funktionen der Firepower Threat Defense Base?
Die Base-Lizenz ermöglicht:
- Konfiguration von FTD-Geräten für das Switching und Routing (einschließlich DHCP Relay und NAT).
- Konfiguration von FTD-Geräten in einem Hochverfügbarkeitsmodus (HA).
- Konfiguration von Sicherheitsmodulen als Cluster innerhalb eines Firepower 9300-Chassis (Intra-Chassis-Cluster).
- Konfiguration von Firepower 9300- oder Firepower 4100-Geräten (FTD) als Cluster (Interchassis-Cluster).
- Konfiguration der Benutzer- und Anwendungskontrolle und Hinzufügen von Benutzer- und Anwendungsbedingungen zu Zugriffskontrollregeln.
Wie kann die Firepower Threat Defense Base Feature-Lizenz bezogen werden?
Beim Kauf eines virtuellen Firepower Threat Defense- oder Firepower Threat Defense-Geräts wird automatisch eine Base-Lizenz erworben. Sie wird automatisch Ihrem Smart Account hinzugefügt, wenn FTD sich beim FMC registriert.
Welche IP-Adressen müssen im Pfad zwischen dem FMC und der Smart License Cloud zulässig sein?
Das FMC verwendet die IP-Adresse Port 443 zur Kommunikation mit der Smart License Cloud.
Diese IP-Adresse (https://tools.cisco.com)in folgende IP-Adressen aufgelöst:
- 72.163.4.38
- 173.37.145.8
Bei FMC-Versionen über 7.3 wird eine Verbindung zu https://smartreceiver.cisco.com hergestellt, die zu den folgenden IP-Adressen aufgelöst wird:
- 146.112.59.81
Zugehörige Informationen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
5.0 |
14-Aug-2024 |
Rezertifizierung |
4.0 |
07-May-2024 |
Aktualisiert mit smartreceiver.cisco.com für FMC 7.3+ Versionen |
3.0 |
13-Sep-2022 |
Rezertifizierung. |
2.0 |
20-Jul-2022 |
Dieses Dokument wurde erneut zertifiziert. CCW-Analysen und -Änderungen wurden durchgeführt, um das Cisco.com PVS zu verbessern. |
1.0 |
20-Jul-2020 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)