Fehlerbehebung bei nicht konformen Fehlern bei Secure Firewall Smart Licensing
Inhalt
Einleitung
In diesem Dokument werden aus Gründen der Kompatibilität mit den FMC- und FTD-Modellen die häufigsten Cisco Smart Licensing-Fälle beschrieben.
Hintergrundinformationen
Cisco Smart Licensing ermöglicht die zentralisierte Verwaltung von Lizenzen für viele Produkte. Die Cisco Secure Firewall vereinfacht die Verwaltung von Lizenzen für potenziell große Sensorbereitstellungen und kann für Appliance-, virtuelle und Public Cloud-Modelle verwendet werden. Dieses Dokument bietet einen Leitfaden zur Fehlerbehebung bei nicht konformen Problemen mit Smart License für Software- und Appliance-Modelle von Cisco Firewall Management Center (FMC) und Cisco Firewall Threat Defense (FTD).
Wenn FMC meldet, dass die Smart License nicht konform ist, weist dies darauf hin, dass FMC die entsprechende Lizenz nicht im Smart Account finden kann. In diesem Fall wird eine Warnmeldung angezeigt. Dies könnte auf mehrere in diesem Dokument dargelegte Gründe zurückzuführen sein.
Ermitteln des Lizenztyps, der den Status "Nicht konform" verursacht.
Verwenden der grafischen Benutzeroberfläche (GUI) des FMC
Navigieren Sie vom FMC-Benachrichtigungssymbol zu Health Alert, und klicken Sie auf Health.
Verwenden des Smart Account Portals
Navigieren Sie zu Smart License Status unter System > Licenses > Smart Licenses (System > Lizenzen > Smart Lizenzen). Die Virtual Account-Informationen, für die das FMC registriert ist, finden Sie hier.
Im Abschnitt "Smart Licenses" (Smart-Lizenzen) werden die spezifischen, nicht konformen Lizenzen hier angegeben. In diesem Beispiel wird der Status "Out of Compliance" (Nicht konform) für die Funktionslizenz "Malware Defense" der Cisco Secure Firewall 1120 angezeigt. Notieren Sie alle Funktionen/Produkte, die in Rot als "Nicht konform" aufgeführt sind. Das grüne Häkchen "In-Compliance" zeigt an, dass der jeweilige Lizenztyp verfügbar ist und FMC in der Lage ist, ihn vom Smart Account zu beziehen.
Um die Verfügbarkeit dieser Lizenzen zu überprüfen, können Sie sich beim Smart Account Portal anmelden und zu Smart Account >> Inventory >> [Virtual Account Name] navigieren. Filtern Sie ggf. den Lizenznamen.
Beachten Sie diese möglichen Status:
Verfügbar = gekaufte Anzahl
Verwendet = Anzahl der Geräte mit aktivierter Funktion
Saldo = Verrechnung zwischen gekauftem und verwendetem Produkt.
Wenn der Saldo negativ wird, zeigt das FÜZ den Status "Nicht konform" für diese Funktion/dieses Produkt an.
Eine Warnmeldung finden Sie außerdem unter Smart Account >> Alerts. Filtern Sie ggf. das virtuelle Konto in der "Quelle".
Verwenden der FMC-Befehlszeilenschnittstelle (CLI)
Schritt 1: Melden Sie sich bei FMC CLI an.
Schritt 2: Greifen Sie mit diesem Befehl auf die Linux-Shell zu.
expert
Schritt 3: Geben Sie diesen Befehl ein.
less /var/log/sam.log
Navigieren Sie zum letzten Eintrag in der Datei, indem Sie nach unten scrollen, um den aktuellen Status zu überprüfen.
Wenn eine Lizenz angemessen erworben wurde, wird sie als AUTHORIZED (AUTORISIERT) angezeigt.
Wenn eine Lizenz nicht verfügbar ist, wird der betreffende Lizenztyp als OUT OF COMPLIANCE (NICHT KONFORM) angezeigt.
Fehlerbehebung
Dies sind einige der häufigsten Szenarien, bei denen jeweils eine Fehlerbehebung durchgeführt wird.
Szenario 1 - Es sind nicht genügend Lizenzen für eine bestimmte Funktion von physischen FTD-Plattformen vorhanden.
Es gibt verschiedene Lizenztypen. Diese lassen sich als hardware- und funktionsspezifisch klassifizieren. Die Lizenzen können anhand des Modells identifiziert werden, das im Lizenznamen angezeigt wird, gefolgt von der Funktion, für die eine Lizenz bereitgestellt wird.
- Base (vor 7.x) oder Essentials (nach 7.x)
- Schutz vor Malware
-IPS
-URL
Carrier
- Secure Client Premier
- Vorteil durch sicheren Client
- Nur Secure Client VPN
Wenn Sie vermuten, dass die Lizenzen erworben wurden und in Ihrem Smart Account nicht verfügbar sind, überprüfen Sie Ihre Bestellinformationen, und überprüfen Sie das Smart License-Konto, das bei Aufgabe der Bestellung angegeben wurde.
Wenn bei der Bestellung ein Assigned Smart Account angegeben wird, werden die Lizenzen an den "Assigned Smart Account" übertragen.
Wenn das Assigned Smart Account nicht bereitgestellt wird und die Bestellung über einen Partner aufgegeben wird, werden die Lizenzen auf das Partner Holding Account übertragen. Wenden Sie sich bei der Bestellung an Ihren Cisco Partner, wenn dies der Fall ist. Dieser kann Ihnen helfen, diese Lizenzen auf Ihr Smart Account zu übertragen.
Szenario 2 - Lizenzen sind in einem anderen Virtual Account verfügbar
Standardmäßig enthält jeder Smart Account nur ein virtuelles Konto mit dem Namen DEFAULT. Der Smart Account-Administrator kann zur Vereinfachung der Administration und für andere Zwecke mehrere virtuelle Konten erstellen.
Wenn die erforderlichen Lizenzen Teil eines anderen virtuellen Kontos sind, können sie mit diesen Schritten auf das entsprechende virtuelle Konto übertragen werden.
Schritt 1: Navigieren Sie zu Smart Account >> Inventory.
Schritt 2: Filtern Sie das richtige virtuelle Konto. Filtern Sie ggf. die Lizenz.
Schritt 3: Wenn Sie die richtige Lizenz identifiziert haben, klicken Sie auf das Dropdown-Menü Aktionen, und wählen Sie Transfer (Weiterleiten).
Schritt 4: Wählen Sie das virtuelle Zielkonto aus, für das die Lizenzen erforderlich sind, und geben Sie eine Reihe von Lizenzen für die Übertragung an.
Schritt 5: Klicken Sie auf Vorschau anzeigen, um zu validieren, und klicken Sie dann auf Transfer.
Sobald alle Lizenzen im Virtual Account verfügbar sind, für den das FMC registriert ist, klicken Sie auf die Schaltfläche Re-Authorize (Neu autorisieren) auf dem FMC, um den Status Out of Compliance (Nicht konform) zu löschen.
Szenario 3 - FirePOWER MCv-Gerätelizenz fehlt
Bei virtuellen Managementmodellen werden in der Regel zwei unterschiedliche Plattformen verwendet.
Die FMCv-Gerätelizenz wird als Firepower MCv-Gerätelizenz und die FMCv300-Gerätelizenz als Firepower MCv300-Gerätelizenz angezeigt.
Zur Verwaltung von Firewalls benötigt FMC außerdem eine Gerätelizenz.
Wenn Sie auf den Lizenztyp klicken, können Sie leichter erkennen, welche FMCs diese Lizenzen nutzen. In diesem Beispiel benötigt FMCv-a fünf Lizenzen, was der Seite für die FMC Smart License entspricht.
Szenario 4 - FTD ist eine virtuelle Plattform mit einer früheren Version als 7.0.
Base-Lizenzen werden automatisch angefordert und sind nicht gestaffelt. Informationen zu Bestandserhaltungseinheiten (SKUs) vor 7.x FTDv finden Sie in den Tabellen 60 und 61 im Cisco Network Security Bestellleitfaden.
Dies sind die Lizenznamen vor 7.x FTDv im Smart Account.
Schutz vor virtueller Malware und Bedrohungen
Virtuelle URL-Filterung zum Schutz vor Bedrohungen
FirePOWER MCv Gerätelizenz
FirePOWER Threat Defense - Basisfunktionen
Schutz vor Bedrohungen Virtueller Schutz vor Bedrohungen
Cisco AnyConnect Plus-Lizenz
Cisco AnyConnect Apex-Lizenz
Cisco AnyConnect VPN Only-Lizenz
In diesem Beispiel sind die Lizenzen für Malware und Bedrohungen nicht konform, da das virtuelle Konto nicht über ausreichende Lizenzen verfügt.
Damit die Lizenz kompatibel ist, muss der Benutzer sicherstellen, dass das virtuelle Smart Licensing-Konto über genügend Lizenzen verfügt. Bestellanleitung für FTDv-SKUs vor 7.x finden Sie in der Cisco Network Security-Dokumentation.
Szenario 5 - FTD ist eine virtuelle Plattform mit Version 7.0 oder höher
Base-Lizenzen sind abonnementbasiert und Ebenen zugeordnet. Virtuelle Konten müssen über Basislizenzberechtigungen für FTDs und Bedrohungs-, Malware- und URL-Filterung verfügen.
Wenn ein FTDv auf Version 7.0 oder höher aktualisiert wird, wird das Gerät automatisch auf eine FTDv - Variable Tier verschoben und nutzt nicht gestaffelte Ansprüche. In diesem Beispiel wird ein FTD von 6.6.7 auf 7.2.5 aktualisiert, und der Smart License-Status zeigt Autorisiert und In-Compliance an.
Es nutzt weiterhin nicht gestaffelte Ansprüche.
Wenn ein Benutzer eine (oder standardmäßig eine automatisch zugewiesene) Leistungsstufe auswählt, für die er keine Berechtigungen hat, wird der Status "Nicht konform" angezeigt.
In diesem Beispiel wählt der Benutzer Performance Tier FTDv50 ohne Base-Malware- und Threat-Lizenzen im registrierten virtuellen Konto aus.
Das virtuelle Konto muss mehr Lizenzen/Berechtigungen für die angeforderte Leistungsstufe anzeigen.
Um diese zu erfüllen, muss der Benutzer die Leistungs-Tier-Ansprüche in seinem Virtual Smart Licensing-Konto auswählen. Wenn eine falsche Leistungsstufe ausgewählt wird, kann der Benutzer die Seite auf FMC oder FDM aufrufen und die Leistungsstufe an das virtuelle Konto anpassen.
Wenn das Virtual Smart Licensing-Konto nicht über die erforderlichen Lizenzen/Berechtigungen für die ausgewählte Leistungsstufe verfügt, sehen Sie sich Szenario 1 als nächsten Schritt an.
Um die Leistungsstufe zu bearbeiten, navigieren Sie zu FMC Gear Icon > Smart Licenses > Edit Performance Tier (Leistungsstufe bearbeiten) und wählen Sie die richtige Leistungsstufe aus.
Diese Tabelle enthält eine Kurzreferenz zur Leistungsstufe und den zugehörigen Spezifikationen, Lizenzen und Beschränkungen.
Tabelle -1
| Leistungsstufe |
Gerätespezifikationen (Core/RAM) |
Übertragungsratenlimit |
RA VPN-Sitzungslimit |
Lizenznamen |
Lizenz-PIDs |
RA VPN-Lizenz und PIDs |
| FTDv5, 100 Mbit/s |
4 Kerne/8 GB |
100 Mbit/s |
50 |
FTDv Base: 100 Mbit/s |
FTD-V-5S-BSE-K9 |
Cisco AnyConnect Apex-Lizenz Cisco AnyConnect Plus-Lizenz Cisco AnyConnect VPN Only-Lizenz PID für RA VPN-Lizenz: siehe Cisco Secure Client - Bestellanleitung. |
| FTDv Malware 100 Mbit/s |
FTD-V-5S-TMC |
|||||
| FTDv URL-Filterung 100 Mbit/s |
||||||
| FTDv Schutz vor Bedrohungen, 100 Mbit/s |
||||||
| FirePOWER FTDv Carrier-Lizenz |
FTDV-CAR |
|||||
| FTDv10, 1 Gbit/s |
4 Kerne/8 GB |
1 Gbps |
250 |
FTDv Base: 1 Gbit/s |
FTD-V-10S-BSE-K9 |
|
| FTDv-Malware 1 Gbit/s |
FTD-V-10S-TMC |
|||||
| FTDv URL-Filterung 1 Gbit/s |
||||||
| FTDv Threat Protection 1 Gbit/s |
||||||
| FirePOWER FTDv Carrier-Lizenz |
FTDV-CAR |
|||||
| FTDv20, 3 Gbit/s |
4 Kerne/8 GB |
3 Gbps |
250 |
FTDv Base: 3 Gbit/s |
FTD-V-20S-BSE-K9 |
|
| FTDv Malware 3 Gbit/s |
FTD-V-20S-TMC |
|||||
| FTDv URL-Filterung 3 Gbit/s |
||||||
| FTDv Threat Protection 3 Gbit/s |
||||||
| FirePOWER FTDv Carrier-Lizenz |
FTDV-CAR |
|||||
| FTDv30, 5 Gbit/s |
8 Kerne/16 GB |
5 Gbps |
250 |
FTDv Base: 5 Gbit/s |
FTD-V-30S-BSE-K9 |
|
| FTDv-Malware 5 Gbit/s |
FTD-V-30S-TMC |
|||||
| FTDv URL-Filterung 5 Gbit/s |
||||||
| FTDv: Schutz vor Bedrohungen 5 Gbit/s |
||||||
| FirePOWER FTDv Carrier-Lizenz |
FTDV-CAR |
|||||
| FTDv50, 10 Gbit/s |
12 Kerne/24 GB |
10 Gbit/s |
750 |
FTDv Base: 10 Gbit/s |
FTD-V-50S-BSE-K9 |
|
| FTDv-Malware 10 Gbit/s |
FTD-V-50S-TMC |
|||||
| FTDv URL-Filterung 10 Gbit/s |
||||||
| FTDv: Schutz vor Bedrohungen, 10 Gbit/s |
||||||
| FirePOWER FTDv Carrier-Lizenz |
||||||
| FTDv100, 16 Gbit/s |
16 Kerne/32 GB |
16 Gbit/s |
10,000 |
FTDv Base: 16 Gbit/s |
FTD-V-100S-BSE-K9 |
|
| FTDv-Malware 16 Gbit/s |
FTD-V-100S-TMC |
|||||
| FTDv URL-Filterung 16 Gbit/s |
||||||
| FTDv: Schutz vor Bedrohungen 16 Gbit/s |
||||||
| FirePOWER FTDv Carrier-Lizenz |
FTDV-CAR |
|||||
| FTDv-Variable |
Basierend auf Gerätefunktionen |
Basierend auf Gerätefunktionen |
FirePOWER Threat Defense - Basisfunktionen |
|||
| Schutz vor virtueller Malware und Bedrohungen |
||||||
| Virtuelle URL-Filterung zum Schutz vor Bedrohungen |
||||||
| Schutz vor Bedrohungen Virtueller Schutz vor Bedrohungen |
||||||
| FirePOWER FTDv Carrier-Lizenz |
FTDV-CAR |
Weitere Einzelheiten zu FTDv Performance Tier-Lizenz-SKUs finden Sie in Tabelle 59. Cisco Secure Firewall Threat Defense Virtual Performance Tiered Base-Abonnement und Abonnement-SKUs für Bedrohungen, Malware und URL-Filterung
Szenario 6 - Die Lizenz befindet sich nicht im richtigen Smart Account oder Virtual Account
Die Produktinstanz kann auf das richtige virtuelle Konto übertragen werden.
Schritt 1: Rufen Sie software.cisco.com über Ihren Browser auf.
Schritt 2: Navigieren Sie zu Lizenzen verwalten
Schritt 3: Wählen Sie in der Dropdown-Liste oben rechts den entsprechenden Smart Account aus, und navigieren Sie zu Inventory > [Virtual Account Name] > Product Instances > Actions, und klicken Sie auf Transfer > Transfer product Instance.
Schritt 4: Sobald das Dialogfeld geöffnet wird, wählen Sie das richtige virtuelle Konto aus, um die FMC- oder FTD-Produktinstanz zu verschieben.
Szenario 7 - Das FMC befindet sich nicht im richtigen Smart Account oder Virtual Account
Wenn das FMC oder FTD nicht mit dem richtigen Smart Account registriert ist, heben Sie die Registrierung des FMC vom Smart Software Manager auf, indem Sie auf der Seite für FMC Smart Licensing auf das Symbol zum Aufheben der Registrierung klicken.
Generieren Sie dann den Token aus dem richtigen Smart Account und Virtual Account und registrieren Sie das FMC beim Smart Software Manager.
Szenario 8 - Entfernen einer Produktinstanz aus dem Smart Account für die interne Verwaltung
Dies gilt nicht für Geräte, die von FMC verwaltet werden, da das FMC nur Lizenzen für die von ihm verwalteten Geräte erwirbt.
Es kann Szenarien geben, in denen die Lizenzen beim erneuten Imaging eines Geräts überbeansprucht werden, ohne dass die Lizenz vom Smart Account abgemeldet wird.
Schritt 1: Navigieren Sie zu den Smart Account-Produktinstanzen, um die Instanz mit dem Hostnamen zu identifizieren.
Schritt 2: Klicken Sie auf Aktionen > Entfernen.
Schritt 3: Klicken Sie auf die Schaltfläche Produktinstanz entfernen.
Wenn keines der aufgeführten Szenarien hilfreich ist, können Sie sich an das Cisco Technical Support Center wenden.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
15-Jan-2024 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)