Solución de problemas de errores de incumplimiento de las licencias inteligentes de firewall seguro
Contenido
Introducción
Este documento describe los motivos más comunes de Cisco Smart Licensing por incumplimiento de los modelos Cisco FMC y FTD.
Antecedentes
Cisco Smart Licensing ofrece una gestión centralizada de las licencias de muchos productos. Cisco Secure Firewall simplifica la gestión de licencias en implementaciones de sensores potencialmente grandes y puede utilizarse para modelos de nube pública, virtual y de appliances. Este documento proporciona una guía de solución de problemas de incumplimiento con la licencia inteligente para los modelos de dispositivos y software Cisco Firewall Threat Defence (FTD) y Cisco Firewall Management Center (FMC).
Cuando FMC informa de que la licencia inteligente no cumple los requisitos, indica que FMC no puede encontrar la licencia adecuada en la cuenta inteligente. Cuando esto sucede, se muestra una alerta de estado. Podría deberse a varias razones expuestas en este documento.
Cómo identificar el tipo de licencia que causa el estado de Incumplimiento.
Uso de la interfaz gráfica de usuario (GUI) de FMC.
Navegue hasta Health Alert desde el icono de notificación de FMC y haga clic en Health.
Uso del portal de cuentas inteligentes
Vaya a Estado de licencia inteligente en Sistema > Licencias > Licencias inteligentes. La información de la cuenta virtual para la que está registrado el FMC se puede encontrar aquí.
En la sección Smart Licenses (Licencias inteligentes), se indican las licencias específicas que no cumplen los requisitos aquí. En este ejemplo, se muestra el estado "Incumplimiento" de una licencia de la función "Defensa frente a malware" de Cisco Secure Firewall 1120. Anote todas las funciones/productos que aparecen como "Incumplimiento" en rojo. La marca de verificación verde "En cumplimiento" indica que el tipo de licencia específico está disponible y FMC puede adquirirlo desde la cuenta inteligente.
Para verificar la disponibilidad de estas licencias, puede iniciar sesión en el portal de Smart Account y navegar hasta Smart Account > Inventario >> [Nombre de cuenta virtual]. Filtre el nombre de la licencia si es necesario.
Tenga en cuenta estos posibles estados:
Disponible para utilizar = Recuento de compras
En uso = Recuento de dispositivos con esta función activada
Saldo = Compensación entre compra y uso.
Cuando el balance es negativo, el FMC muestra el estado de Incumplimiento para esa función/producto.
Además, se puede encontrar una alerta en Smart Account > Alertas. Filtre la cuenta virtual en el "Origen" si es necesario.
Uso de la interfaz de línea de comandos (CLI) de FMC
Paso 1. Inicie sesión en FMC CLI.
Paso 2. Acceda al shell de Linux con este comando
expert
Paso 3. Ejecutar este comando.
less /var/log/sam.log
Desplácese hasta la última entrada del archivo para comprobar el último estado.
Si una Licencia se adquiere adecuadamente, la licencia aparece como AUTORIZADA.
Si una licencia no está disponible, el tipo de licencia específico aparece como FUERA DE CONFORMIDAD.
Troubleshoot
Estos son algunos de los escenarios más comunes y cómo resolver problemas de cada uno.
Situación 1: no hay suficientes licencias para una función específica de las plataformas físicas de FTD.
Hay diferentes tipos de licencia. Se pueden clasificar como específicos de hardware y funciones. Las licencias se pueden identificar en función del modelo que se muestra en el nombre de la licencia seguido de la función para la que se proporciona la licencia.
-Base (anterior a 7.x) o Essentials (posterior a 7.x)
-Defensa frente a malware
-IPS
-URL
-Portadora
-Secure Client Premier
-Ventaja de cliente seguro
-Sólo VPN de cliente seguro
Si sospecha que las licencias se adquirieron y no están disponibles en su cuenta Smart Account, verifique la información del pedido y compruebe la cuenta de Smart License que se proporcionó cuando se realizó el pedido.
Si se proporciona una cuenta inteligente asignada cuando se realiza el pedido de compra, las licencias se transfieren a la "cuenta inteligente asignada".
Si no se proporciona la cuenta inteligente asignada y el pedido se realiza a través de un partner, las licencias se transfieren a la cuenta de haberes del partner. Si este es el caso, póngase en contacto con su empresa partner de Cisco para comunicarle el pedido de compra, que podrá ayudarle a transferir estas licencias a su cuenta Smart Account.
Situación 2: las licencias están disponibles en una cuenta virtual diferente
De forma predeterminada, solo hay una cuenta virtual denominada DEFAULT en cada cuenta inteligente. Smart Account Administrator puede crear varias cuentas virtuales para facilitar la administración y otros fines.
Si las licencias necesarias forman parte de una cuenta virtual diferente, se pueden transferir a la cuenta virtual adecuada siguiendo estos pasos.
Paso 1. Vaya a Smart Account > Inventario.
Paso 2. Filtre la cuenta virtual correcta. Filtre la licencia si es necesario.
Paso 3. Una vez identificada la licencia correcta, haga clic en el menú desplegable Actions y seleccione Transfer.
Paso 4. Seleccione la cuenta virtual de destino que necesita las licencias y proporcione un número de licencias para transferir.
Paso 5. Haga clic en Show Preview para validar y luego haga clic en Transfer.
Una vez que todas las licencias estén disponibles en la cuenta virtual en la que está registrado el FMC, haga clic en el botón Re-Authorize en el FMC para borrar el estado Out of Compliance.
Situación 3: falta la licencia del dispositivo Firepower MCv
En el caso de los modelos de gestión virtual, suelen mezclarse dos plataformas diferentes.
La licencia de dispositivo FMCv aparece como licencia de dispositivo Firepower MCv y la licencia de dispositivo FMCv300 es la licencia de dispositivo Firepower MCv300.
Para administrar firewalls, FMC también necesita una licencia de dispositivo.
Al hacer clic en el tipo de licencia, ayuda a identificar los CSP que están consumiendo dichas licencias. En este ejemplo, FMCv-a consume cinco licencias, lo que coincide con la página FMC Smart License.
Situación 4: FTD es una plataforma virtual que ejecuta la versión anterior a la 7.0
Las licencias básicas se solicitan automáticamente y no se distribuyen por niveles. Consulte las tablas 60 y 61 de la Guía de pedidos de Cisco Network Security para obtener información sobre las unidades de almacenamiento en stock (SKU) anteriores a 7.x FTDv.
Estos son los nombres de licencias anteriores a la versión 7.x de FTDv de Smart Account.
Protección frente a malware virtual de Threat Defence
Filtrado de URL virtual de Threat Defence
Licencia de dispositivo de Firepower MCv
Funciones de base de Firepower Threat Defence
Defensa frente a amenazas Protección frente a amenazas virtuales
Licencia de Cisco AnyConnect Plus
Licencia de Cisco AnyConnect Apex
Licencia exclusiva de Cisco AnyConnect VPN
En este ejemplo, las licencias de malware y amenazas no cumplen los requisitos debido a que la cuenta virtual no tiene suficientes licencias.
Para que la licencia sea compatible, el usuario debe asegurarse de que la cuenta virtual de Smart Licensing tiene suficientes licencias disponibles. Consulte la Guía de pedidos de Cisco Network Security para las SKU FTDv anteriores a 7.x.
Situación 5: FTD es una plataforma virtual que ejecuta la versión 7.0 o posterior
Las licencias básicas se basan en suscripciones y se asignan a niveles. Las cuentas virtuales deben tener derechos de licencia básicos para FTDvs y filtrado de amenazas, malware y URL.
Cuando un FTDv se actualiza a la versión 7.0 o posterior, el dispositivo se mueve automáticamente a un nivel FTDv - Variable y consume derechos no por niveles. En este ejemplo, un FTD se actualiza de 6.6.7 a 7.2.5, y el estado de Smart License muestra Authorized and In-Compliance.
Continúa consumiendo derechos no escalonados.
Si un usuario selecciona un nivel de rendimiento (o, de forma predeterminada, un nivel de rendimiento asignado automáticamente) para el que no tiene derechos, se muestra el estado Fuera de conformidad.
En este ejemplo, el usuario selecciona el nivel de rendimiento FTDv50 sin licencias básicas de malware y amenazas en la cuenta virtual registrada.
La cuenta virtual debe mostrar más licencias/derechos para el nivel de rendimiento solicitado.
Para cumplir con este requisito, el usuario debe seleccionar los derechos de nivel de rendimiento en su cuenta de Virtual Smart Licensing. Si se elige un nivel de rendimiento incorrecto, el usuario puede ir a la página de FMC o FDM y ajustar el nivel de rendimiento a lo que tiene en su cuenta virtual.
Si la cuenta de Virtual Smart Licensing no tiene las licencias/derechos solicitados para el nivel de rendimiento seleccionado, consulte el escenario 1 como siguiente paso.
Para editar el nivel de rendimiento, navegue hasta el icono de engranaje de FMC > Licencias inteligentes > Editar nivel de rendimiento y elija el nivel de rendimiento correcto.
Esta tabla sirve de referencia rápida del nivel de rendimiento y sus especificaciones, licencias y límites asociados.
Tabla -1
| Nivel de rendimiento |
Especificaciones del dispositivo (núcleo/RAM) |
Límite de velocidad |
Límite de sesiones de VPN de RA |
Nombres de licencias |
PID de licencias |
Licencia VPN de RA y PID |
| FTDv5, 100 Mbps |
4 núcleos/8 GB |
100 Mbps |
50 |
FTDv Base 100 Mbps |
FTD-V-5S-BSE-K9 |
Licencia de Cisco AnyConnect Apex Licencia de Cisco AnyConnect Plus Licencia exclusiva de Cisco AnyConnect VPN Para la PID de licencia de VPN de RA, consulte la Guía de pedidos de Cisco Secure Client. |
| Malware FTDv de 100 Mbps |
FTD-V-5S-TMC |
|||||
| Filtrado de URL FTDv 100 Mbps |
||||||
| Protección frente a amenazas FTDv 100 Mbps |
||||||
| Licencia de operador de Firepower FTDv |
FTDV-CAR |
|||||
| FTDv10, 1 Gbps |
4 núcleos/8 GB |
1 Gbps |
250 |
FTDv Base de 1 Gbps |
FTD-V-10S-BSE-K9 |
|
| Malware FTDv de 1 Gbps |
FTD-V-10S-TMC |
|||||
| Filtrado de URL FTDv de 1 Gbps |
||||||
| Protección frente a amenazas FTDv de 1 Gbps |
||||||
| Licencia de operador de Firepower FTDv |
FTDV-CAR |
|||||
| FTDv20 de 3 Gbps |
4 núcleos/8 GB |
3 Gbps |
250 |
FTDv Base de 3 Gbps |
FTD-V-20S-BSE-K9 |
|
| Malware FTDv de 3 Gbps |
FTD-V-20S-TMC |
|||||
| Filtrado de URL FTDv de 3 Gbps |
||||||
| Protección frente a amenazas FTDv de 3 Gbps |
||||||
| Licencia de operador de Firepower FTDv |
FTDV-CAR |
|||||
| FTDv30 de 5 Gbps |
8 núcleos/16 GB |
5 Gbps |
250 |
FTDv Base de 5 Gbps |
FTD-V-30S-BSE-K9 |
|
| Malware FTDv de 5 Gbps |
FTD-V-30S-TMC |
|||||
| Filtrado de URL de FTDv 5 Gbps |
||||||
| Protección frente a amenazas FTDv 5 Gbps |
||||||
| Licencia de operador de Firepower FTDv |
FTDV-CAR |
|||||
| FTDv50, 10 Gbps |
12 núcleos/24 GB |
10 Gbps |
750 |
FTDv Base de 10 Gbps |
FTD-V-50S-BSE-K9 |
|
| Malware FTDv de 10 Gbps |
FTD-V-50S-TMC |
|||||
| Filtrado de URL FTDv de 10 Gbps |
||||||
| Protección frente a amenazas FTDv de 10 Gbps |
||||||
| Licencia de operador de Firepower FTDv |
||||||
| FTDv100 de 16 Gbps |
16 núcleos/32 GB |
16 Gbps |
10,000 |
FTDv Base de 16 Gbps |
FTD-V-100S-BSE-K9 |
|
| Malware FTDv de 16 Gbps |
FTD-V-100S-TMC |
|||||
| Filtrado de URL FTDv de 16 Gbps |
||||||
| Protección frente a amenazas FTDv de 16 Gbps |
||||||
| Licencia de operador de Firepower FTDv |
FTDV-CAR |
|||||
| Variable de FTDv |
Basado en las capacidades del dispositivo |
Basado en las capacidades del dispositivo |
Funciones de base de Firepower Threat Defence |
|||
| Protección frente a malware virtual de Threat Defence |
||||||
| Filtrado de URL virtual de Threat Defence |
||||||
| Defensa frente a amenazas Protección frente a amenazas virtuales |
||||||
| Licencia de operador de Firepower FTDv |
FTDV-CAR |
Para obtener más información sobre las SKU de licencias de nivel de rendimiento de FTDv, consulte la tabla 59. SKU de suscripción básica de rendimiento virtual de Cisco Secure Firewall Threat Defence y suscripción de filtrado de amenazas, malware y URL
Situación 6: la licencia no se encuentra en la cuenta inteligente o la cuenta virtual adecuadas
La instancia del producto se puede transferir a la cuenta virtual correcta.
Paso 1. Vaya a software.cisco.com utilizando su navegador
Paso 2. Vaya a Administrar licencias
Paso 3. Seleccione la cuenta inteligente adecuada en el menú desplegable superior derecho y navegue hasta Inventario > [Nombre de cuenta virtual] > Instancias de producto > Acciones y haga clic en Transferir > Transferir instancia de producto.
Paso 4. Cuando se abra el cuadro de diálogo, seleccione la cuenta virtual correcta para mover la instancia del producto FMC o FTD.
Situación 7: el FMC no se encuentra en la cuenta inteligente o la cuenta virtual adecuadas
Si el FMC o FTD no está registrado con la cuenta inteligente correcta, cancele el registro del FMC en Smart Software Manager haciendo clic en el icono Anular registro de la página de FMC Smart Licensing.
A continuación, genere el token de la cuenta inteligente y la cuenta virtual correctas y registre el FMC con Smart Software Manager.
Situación 8: eliminación de una instancia de producto de la cuenta inteligente para la administración integrada
Esto no se aplica a los dispositivos gestionados por FMC, ya que este solo adquiere las licencias para los dispositivos que gestiona.
Puede haber situaciones en las que las licencias se consuman en exceso cuando se vuelve a crear una imagen de un dispositivo sin anular el registro de la licencia de la cuenta Smart.
Paso 1. Navegue hasta Instancias de productos de Smart account para identificar la instancia mediante el nombre de host
Paso 2. Haga clic en Acciones > Quitar.
Paso 3. Haga clic en el botón Remove Product Instance (Eliminar instancia del producto).
Si ninguna de las situaciones enumeradas le resulta útil, puede ponerse en contacto con el Centro de soporte técnico de Cisco.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
15-Jan-2024 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)