Dépannage des erreurs de non-conformité des licences Smart Firewall sécurisées
Table des matières
Introduction
Ce document décrit les licences Smart Cisco les plus courantes pour des raisons de non-conformité avec les modèles Cisco FMC et FTD.
Informations générales
Cisco Smart Licensing offre une gestion centralisée des licences pour de nombreux produits. Cisco Secure Firewall simplifie la gestion des licences sur des déploiements de capteurs potentiellement volumineux et peut être utilisé pour des modèles d'appareils, de cloud virtuel et de cloud public. Ce document fournit un guide de dépannage pour les problèmes de non-conformité avec les modèles de logiciels et d'appliances Smart License for Cisco Firewall Management Center (FMC) et Cisco Firewall Threat Defense (FTD).
Lorsque FMC signale que la licence Smart n'est pas conforme, il indique que FMC ne trouve pas la licence appropriée dans le compte Smart. Lorsque cela se produit, une alerte d'intégrité s'affiche. Cela pourrait être dû à plusieurs raisons exposées dans le présent document.
Comment identifier le type de licence à l'origine de l'état de non-conformité.
Utilisation de l’interface graphique utilisateur (GUI) de FMC.
Accédez à Health Alert à partir de l'icône de notification FMC et cliquez sur Health.
Utilisation du portail des comptes Smart
Accédez à Smart License Status dans System >> Licenses >> Smart Licenses. Les informations relatives au compte virtuel auquel le FMC est enregistré sont disponibles ici.
Dans la section Licences Smart, les licences spécifiques non conformes sont indiquées ici. Dans cet exemple, l'état « Non conforme » est indiqué pour une licence de fonction Cisco Secure Firewall 1120 « Malware Defense ». Notez toutes les fonctionnalités/produits répertoriés comme étant « non conformes » en rouge. La coche verte « In-Compliance » indique que le type de licence spécifique est disponible et que FMC peut l'acquérir à partir du compte Smart.
Pour vérifier la disponibilité de ces licences, vous pouvez vous connecter au portail des comptes Smart et accéder à Compte Smart >> Inventaire >> [Nom du compte virtuel]. Filtrez le nom de la licence si nécessaire.
Notez ces états possibles :
Disponible = nombre d'achats
En cours d'utilisation = nombre de périphériques avec cette fonctionnalité activée
Solde = Compensation entre l'achat et l'utilisation.
Chaque fois que le solde devient négatif, le FMC affiche l'état de non-conformité pour cette fonction/ce produit.
Une alerte est également disponible à l'adresse Compte Smart >> Alertes. Si nécessaire, filtrez le compte virtuel dans la « Source ».
Utilisation de l’interface de ligne de commande (CLI) FMC
Étape 1. Connectez-vous à FMC CLI.
Étape 2. Accédez au shell Linux avec cette commande
expert
Étape 3. Émettez la commande suivante .
less /var/log/sam.log
Accédez à la dernière entrée du fichier en faisant défiler la page vers le bas pour vérifier l'état le plus récent.
Si une licence est acquise de façon adéquate, la licence apparaît comme AUTORISÉE.
Si une licence n'est pas disponible, le type de licence spécifique s'affiche comme NON CONFORME.
Dépannage
Voici quelques-uns des scénarios les plus courants et comment les résoudre.
Scénario 1 : il n'y a pas suffisamment de licences pour une fonctionnalité spécifique des plates-formes physiques FTD.
Il existe différents types de licence. Ils peuvent être classés comme spécifiques au matériel et aux fonctionnalités. Les licences peuvent être identifiées en fonction du modèle affiché dans le nom de la licence, suivi de la fonction pour laquelle elle fournit une licence.
-Base (Pre 7.x) ou Essentials (Post 7.x)
- Protection contre les programmes malveillants
-IPS
-URL
Porteuse
-Secure Client Premier
-Secure Client Advantage
- VPN client sécurisé uniquement
Si vous pensez que les licences ont été achetées et ne sont pas disponibles dans votre compte Smart, vérifiez les informations de votre commande et vérifiez le compte de licence Smart fourni lors de la commande.
Si un compte Smart attribué est fourni lors du passage du bon de commande, les licences sont transférées vers le « compte Smart attribué ».
Si le compte Smart attribué n'est pas fourni et que la commande est passée par l'intermédiaire d'un partenaire, les licences sont transférées vers le compte provisoire du partenaire. Si c'est le cas, contactez votre société partenaire Cisco avec le bon de commande et elle pourra vous aider à transférer ces licences sur votre compte Smart.
Scénario 2 - Les licences sont disponibles dans un autre compte virtuel
Par défaut, il n'y a qu'un seul compte virtuel nommé DEFAULT dans chaque compte Smart. L'administrateur de compte Smart peut créer plusieurs comptes virtuels pour faciliter l'administration et à d'autres fins.
Si les licences nécessaires font partie d'un compte virtuel différent, elles peuvent être transférées vers le compte virtuel approprié à l'aide de ces étapes.
Étape 1. Accédez à Compte Smart >> Inventaire.
Étape 2. Filtrez le compte virtuel approprié. Filtrez la licence si nécessaire.
Étape 3. Une fois la licence correcte identifiée, cliquez sur le menu déroulant Actions et sélectionnez Transfer.
Étape 4. Sélectionnez le compte virtuel de destination qui a besoin des licences et fournissez un certain nombre de licences à transférer.
Étape 5. Cliquez sur Show Preview pour valider, puis cliquez sur Transfer.
Une fois que toutes les licences sont disponibles dans le compte virtuel auquel le FMC est enregistré, cliquez sur le bouton Re-Authorize sur le FMC pour effacer l'état de non-conformité.
Scénario 3 - Licence de périphérique FirePOWER MCv manquante
Pour les modèles de gestion virtuelle, deux plates-formes différentes sont généralement combinées.
La licence du périphérique FMCv apparaît sous la forme de licence du périphérique Firepower MCv et la licence du périphérique FMCv300 est la licence du périphérique Firepower MCv300.
Pour gérer les pare-feu, FMC a également besoin d'une licence de périphérique.
Cliquez sur le type de licence pour identifier les FMC qui utilisent ces licences. Dans cet exemple, FMCv-a utilise cinq licences, ce qui correspond à la page FMC Smart License.
Scénario 4 - FTD est une plate-forme virtuelle exécutant une version antérieure à 7.0
Les licences de base sont automatiquement demandées et ne sont pas échelonnées. Reportez-vous aux Tableaux 60 et 61 du Guide de commande de sécurité réseau Cisco pour les références des unités de stockage (SKU) FTDv antérieures à 7.x.
Il s'agit des noms de licence FTDv antérieurs à 7.x dans le compte Smart.
Protection contre les programmes malveillants virtuels
Protection contre les menaces Filtrage des URL virtuelles
Licence de périphérique Firepower MCv
Fonctionnalités de base de Firepower Threat Defense
Défense contre les menaces Protection contre les menaces virtuelles
Licence Cisco AnyConnect Plus
Licence Cisco AnyConnect Apex
Licence VPN Cisco AnyConnect uniquement
Dans cet exemple, les licences Malware et Threat ne sont pas conformes car le compte virtuel ne dispose pas de suffisamment de licences.
Pour que la licence soit conforme, l'utilisateur doit s'assurer que le compte virtuel Smart Licensing dispose de suffisamment de licences disponibles. Reportez-vous au Guide de commande de sécurité réseau Cisco pour les références FTDv antérieures à 7.x.
Scénario 5 - FTD est une plate-forme virtuelle exécutant la version 7.0 ou ultérieure
Les licences de base sont basées sur un abonnement et mappées sur des niveaux. Les comptes virtuels doivent disposer de licences de base pour les FTDvs et le filtrage des menaces, des programmes malveillants et des URL.
Lorsqu'un FTDv est mis à niveau vers la version 7.0 ou ultérieure, le périphérique est automatiquement déplacé vers un niveau FTDv - Variable et consomme des droits non hiérarchisés. Dans cet exemple, un FTD est mis à niveau de 6.6.7 à 7.2.5 et l'état de la licence Smart indique Autorisé et En conformité.
Il continue de consommer des droits non hiérarchisés.
Si un utilisateur sélectionne un niveau de performances (ou un niveau de performances attribué automatiquement par défaut) pour lequel il n'a pas d'autorisations, l'état Non conforme s'affiche.
Dans cet exemple, l'utilisateur sélectionne Performance Tier FTDv50 sans licence Malware de base et Threat dans le compte virtuel enregistré.
Le compte virtuel doit afficher davantage de licences/droits pour le niveau de performances demandé.
Pour s'y conformer, l'utilisateur doit sélectionner les droits du niveau de performances dans son compte Virtual Smart Licensing. Si un niveau de performances incorrect est choisi, l'utilisateur peut accéder à la page sur FMC ou FDM et ajuster le niveau de performances à ce qu'il a dans son compte virtuel.
Si le compte Virtual Smart Licensing ne dispose pas des licences/droits requis pour le niveau de performances sélectionné, reportez-vous au Scénario 1 comme étape suivante.
Pour modifier le niveau de performances, accédez à l'icône FMC Gear > Smart Licenses > Edit Performance Tier et sélectionnez le niveau de performances approprié.
Ce tableau permet de consulter rapidement le niveau de performances et les spécifications, licences et limites associées.
Tableau-1
| Niveau de performances |
Spécifications des périphériques (coeur/mémoire vive) |
Limite De Débit |
Limite de session VPN RA |
Noms de licence |
PID de licence |
Licence VPN RA et PID |
| FTDv5, 100 Mbit/s |
4 coeurs/8 Go |
100 Mbit/s |
50 |
FTDv Base 100 Mbit/s |
FTD-V-5S-BSE-K9 |
Licence Cisco AnyConnect Apex Licence Cisco AnyConnect Plus Licence VPN Cisco AnyConnect uniquement Pour le PID de licence VPN RA, veuillez consulter le Guide de commande du client sécurisé Cisco. |
| Malware FTDv 100 Mbit/s |
FTD-V-5S-TMC |
|||||
| Filtrage des URL FTDv 100 Mbits/s |
||||||
| FTDv Threat Protection 100 Mbit/s |
||||||
| Licence opérateur FTDv Firepower |
WAGON-VTT |
|||||
| FTDv10, 1 Gbit/s |
4 coeurs/8 Go |
1 Gbit/s |
250 |
FTDv Base 1 Gbit/s |
FTD-V-10S-BSE-K9 |
|
| Malware FTDv 1 Gbit/s |
FTD-V-10S-TMC |
|||||
| Filtrage des URL FTDv 1 Gbit/s |
||||||
| Protection contre les menaces FTDv 1 Gbit/s |
||||||
| Licence opérateur FTDv Firepower |
WAGON-VTT |
|||||
| FTDv20, 3 Gbit/s |
4 coeurs/8 Go |
3 Gbit/s |
250 |
FTDv Base 3 Gbit/s |
FTD-V-20S-BSE-K9 |
|
| Malware FTDv 3 Gbit/s |
FTD-V-20S-TMC |
|||||
| Filtrage des URL FTDv 3 Gbit/s |
||||||
| Protection contre les menaces FTDv 3 Gbit/s |
||||||
| Licence opérateur FTDv Firepower |
WAGON-VTT |
|||||
| FTDv30, 5 Gbit/s |
8 coeurs/16 Go |
5 Gbit/s |
250 |
FTDv Base 5 Gbit/s |
FTD-V-30S-BSE-K9 |
|
| Malware FTDv 5 Gbit/s |
FTD-V-30S-TMC |
|||||
| Filtrage des URL FTDv 5 Gbit/s |
||||||
| Protection contre les menaces FTDv 5 Gbit/s |
||||||
| Licence opérateur FTDv Firepower |
WAGON-VTT |
|||||
| FTDv50, 10 Gbit/s |
12 coeurs/24 Go |
10 Gbit/s |
750 |
FTDv Base 10 Gbit/s |
FTD-V-50S-BSE-K9 |
|
| Malware FTDv 10 Gbit/s |
FTD-V-50S-TMC |
|||||
| Filtrage des URL FTDv 10 Gbit/s |
||||||
| Protection contre les menaces FTDv 10 Gbit/s |
||||||
| Licence opérateur FTDv Firepower |
||||||
| FTDv100, 16 Gbit/s |
16 coeurs/32 Go |
16 Gbit/s |
10,000 |
FTDv Base 16 Gbit/s |
FTD-V-100S-BSE-K9 |
|
| Malware FTDv 16 Gbit/s |
FTD-V-100S-TMC |
|||||
| Filtrage des URL FTDv 16 Gbit/s |
||||||
| Protection contre les menaces FTDv 16 Gbit/s |
||||||
| Licence opérateur FTDv Firepower |
WAGON-VTT |
|||||
| Variable FTDv |
Basé sur les capacités des périphériques |
Basé sur les capacités des périphériques |
Fonctionnalités de base de Firepower Threat Defense |
|||
| Protection contre les programmes malveillants virtuels |
||||||
| Protection contre les menaces Filtrage des URL virtuelles |
||||||
| Défense contre les menaces Protection contre les menaces virtuelles |
||||||
| Licence opérateur FTDv Firepower |
WAGON-VTT |
Pour plus de détails sur les références de licence FTDv Performance Tier, reportez-vous au Tableau 59. Abonnement de base hiérarchisé Cisco Secure Firewall Threat Defense Virtual Performance et références d'abonnement relatives aux menaces, aux programmes malveillants et au filtrage des URL
Scénario 6 - La licence ne se trouve pas dans le compte Smart ou le compte virtuel approprié
L'instance de produit peut être transférée vers le compte virtuel approprié.
Étape 1. Accédez à software.cisco.com à l'aide de votre navigateur
Étape 2. Naviguez jusqu'à Gérer les licences
Étape 3. Sélectionnez le compte Smart approprié dans la liste déroulante en haut à droite et accédez à Inventaire > [Nom du compte virtuel] > Instances de produit > Actions et cliquez sur Transférer > Transférer l'instance de produit.
Étape 4. Une fois la boîte de dialogue ouverte, choisissez le compte virtuel approprié pour déplacer l'instance de produit FMC ou FTD.
Scénario 7 - Le FMC ne se trouve pas dans le compte Smart ou le compte virtuel approprié
Si le FMC ou le FTD n'est pas enregistré avec le compte Smart correct, annulez l'enregistrement du FMC à partir de Smart Software Manager en cliquant sur l'icône de désenregistrement de la page FMC Smart Licensing.
Ensuite, générez le jeton à partir du compte Smart et du compte virtuel appropriés et enregistrez le FMC auprès du gestionnaire de logiciels Smart.
Scénario 8 - Suppression d'une instance de produit du compte Smart pour la gestion intégrée
Cela ne s'applique pas aux périphériques gérés par FMC, car FMC n'acquiert que les licences des périphériques qu'il gère.
Il peut y avoir des scénarios où les licences sont surconsommées lorsqu'un périphérique est recréé en image sans désinscrire la licence du compte Smart.
Étape 1. Accédez au compte Smart Product Instances pour identifier l'instance à l'aide du nom d'hôte
Étape 2. Cliquez sur Actions > Supprimer.
Étape 3. Cliquez sur le bouton Supprimer l'instance de produit.
Si aucun des scénarios répertoriés ne vous aide, vous pouvez contacter le centre d'assistance technique Cisco.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
15-Jan-2024 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)