Risoluzione dei problemi di non conformità relativi alle licenze Smart Firewall sicure
Sommario
Introduzione
Questo documento descrive i motivi di non conformità più comuni di Cisco Smart Licensing con i modelli Cisco FMC e FTD.
Premesse
Cisco Smart Licensing offre la gestione centralizzata delle licenze per molti prodotti. Cisco Secure Firewall semplifica la gestione delle licenze in installazioni di sensori di grandi dimensioni e può essere utilizzato per modelli di appliance, cloud virtuali e cloud pubblici. In questo documento viene fornita una guida alla risoluzione dei problemi di non conformità con le licenze Smart per i software e i modelli di appliance Cisco Firewall Management Center (FMC) e Cisco Firewall Threat Defense (FTD).
Quando FMC segnala che la licenza Smart non è conforme, indica che FMC non è in grado di trovare la licenza appropriata nello Smart Account. In tal caso, viene visualizzato un avviso di stato. Ciò potrebbe essere dovuto a diversi motivi descritti nel presente documento.
Come identificare il tipo di licenza che causa lo stato Non conforme.
Utilizzo dell'interfaccia grafica utente (GUI) di FMC.
Passare a Avviso di stato dall'icona di notifica del CCP e fare clic su Stato.
Utilizzo del portale per gli Smart Account
Selezionare Smart License Status (Stato licenza avanzata) in System (Sistema) > Licenze >> Smart Licenses (Licenze intelligenti). Le informazioni sull'account virtuale in cui il CCP è registrato sono disponibili qui.
Nella sezione Smart Licenses, vengono indicate le licenze specifiche non conformi. Nell'esempio, viene mostrato lo stato "Non conforme" per una licenza sulle funzionalità di Cisco Secure Firewall 1120 "Malware Defense. Prendere nota di tutte le caratteristiche/prodotti elencati come "non conformi" in rosso. Il segno di spunta verde "In-Compliance" indica che il tipo di licenza specifico è disponibile e FMC è in grado di acquisirlo dallo Smart Account.
Per verificare la disponibilità di queste licenze, è possibile accedere al portale degli Smart Account e selezionare Smart Account >> Inventario >> [Nome account virtuale]. Filtrare il nome della licenza, se necessario.
Tenere presente i seguenti stati possibili:
Disponibile per l'uso = Conteggio acquistato
In uso = Numero di dispositivi con questa funzione abilitata
Saldo = Offset tra acquistato e in uso.
Ogni volta che il saldo diventa negativo, il CCP visualizza lo stato di non conformità per la funzionalità o il prodotto.
Inoltre, è possibile trovare un avviso in Smart Account >> Alert. Se necessario, filtrare l'account virtuale in "Origine".
Utilizzo dell'interfaccia della riga di comando (CLI) di FMC
Passaggio 1. Accedere alla CLI di FMC.
Passaggio 2. Accedere alla shell Linux con questo comando
expert
Passaggio 3. Eseguire questo comando.
less /var/log/sam.log
Passare all'ultima voce del file scorrendo verso il basso per controllare lo stato più recente.
Se la licenza è stata acquistata in modo adeguato, viene visualizzato il messaggio AUTORIZZATO.
Se una licenza non è disponibile, il tipo di licenza specifico viene visualizzato come NON CONFORME.
Risoluzione dei problemi
Di seguito sono riportati alcuni degli scenari più comuni e viene descritto come risolvere i problemi relativi a ciascuno di essi.
Scenario 1 - Licenze insufficienti per una funzionalità specifica delle piattaforme fisiche FTD.
Esistono diversi tipi di licenza. Questi componenti possono essere classificati come hardware e specifici per ogni funzione. Le licenze possono essere identificate in base al modello visualizzato nel nome della licenza seguito dalla funzionalità per cui viene fornita una licenza.
-Base (pre 7.x) o Essentials (post 7.x)
-Difesa da malware
-IPS
URL
-Portante
- Secure Client Premier
- Vantaggio Secure Client
-Solo VPN client sicura
Se si sospetta che le licenze siano state acquistate e non siano disponibili nello Smart Account, verificare le informazioni sull'ordine e controllare l'account Smart License fornito al momento dell'ordine.
Se al momento dell'ordine di acquisto viene fornito uno Smart Account assegnato, le licenze vengono trasferite nello "Smart Account assegnato".
Se lo Smart Account assegnato non viene fornito e l'ordine viene inoltrato tramite un partner, le licenze vengono trasferite al conto di deposito del partner. In questo caso, contattare la società partner Cisco con l'ordine di acquisto. In questo caso, i partner Cisco possono contribuire a trasferire le licenze allo Smart Account.
Scenario 2 - Le licenze sono disponibili con un account virtuale diverso
Per impostazione predefinita, in ogni Smart Account è presente un solo account virtuale denominato DEFAULT. Gli amministratori di Smart Account possono creare più account virtuali per semplificare l'amministrazione e altri scopi.
Se le licenze necessarie fanno parte di un account virtuale diverso, è possibile trasferirle all'account virtuale corretto eseguendo la procedura seguente.
Passaggio 1. Passare a Smart Account >> Magazzino.
Passaggio 2. Filtrare l'account virtuale corretto. Filtrare la licenza, se necessario.
Passaggio 3. Una volta identificata la licenza corretta, fare clic sul menu a discesa Azioni e selezionare Trasferisci.
Passaggio 4. Selezionare l'account virtuale di destinazione che richiede le licenze e fornire un numero di licenze da trasferire.
Passaggio 5. Fare clic su Show Preview per convalidare, quindi fare clic su Transfer.
Una volta che tutte le licenze sono disponibili nell'account virtuale a cui è registrato il CCP, fare clic sul pulsante Riautorizza del CCP per cancellare lo stato di non conformità.
Scenario 3 - Licenza per dispositivo Firepower MCv mancante
Per i modelli di gestione virtuale, in genere vengono combinate due diverse piattaforme.
La licenza del dispositivo FMCv viene visualizzata come licenza del dispositivo Firepower MCv300 e la licenza del dispositivo FMCv300 è la licenza del dispositivo Firepower MCv300.
Per gestire i firewall, è inoltre necessaria una licenza per dispositivo.
Facendo clic sul tipo di licenza è possibile identificare i CCP che utilizzano le licenze. In questo esempio, FMCv-a utilizza cinque licenze, che corrispondono alla pagina FMC Smart License.
Scenario 4 - FTD è una piattaforma virtuale che esegue una versione precedente alla 7.0
Le licenze di base vengono richieste automaticamente e non sono suddivise in livelli. Per gli SKU (Stock Keeping Units) precedenti alla 7.x, consultare le tabelle 60 e 61 nella Cisco Network Security Ordering Guide.
Si tratta dei nomi delle licenze FTDv precedenti alla versione 7.x nello Smart Account.
Protezione da malware virtuale di Threat Defense
Filtro URL virtuale di Threat Defense
Licenza per dispositivo Firepower MCv
Funzioni di base di Firepower Threat Defense
Threat Defense Virtual Threat Protection
Licenza Cisco AnyConnect Plus
Cisco AnyConnect Apex License
Licenza Cisco AnyConnect VPN Only
Nell'esempio, le licenze Malware e Threat non sono conformi perché l'account virtuale non dispone di licenze sufficienti.
Per ottenere la conformità della licenza, l'utente deve verificare che l'account virtuale di Smart Licensing disponga di un numero sufficiente di licenze. Per gli SKU FTDv precedenti alla versione 7.x, consultare la Cisco Network Security Ordering Guide.
Scenario 5 - FTD è una piattaforma virtuale che esegue la versione 7.0 o successive
Le licenze di base sono basate su sottoscrizione e mappate ai livelli. Gli account virtuali devono disporre dei diritti della licenza Base per FTDvs e Threat, Malware e Filtro URL.
Quando un FTDv viene aggiornato alla versione 7.0 o successive, il dispositivo viene automaticamente spostato a un livello FTDv - Variabile e utilizza diritti non a livelli. Nell'esempio, un FTD viene aggiornato dalla versione 6.6.7 alla 7.2.5 e lo stato della Smart License mostra Authorized e In-Compliance.
Continua a consumare diritti non su più livelli.
Se un utente seleziona un livello delle prestazioni (o utilizza come valore predefinito un livello assegnato automaticamente) per il quale non dispone di diritti, viene visualizzato lo stato Non conforme.
In questo esempio, l'utente seleziona Performance Tier FTDv50 senza licenze Base Malware and Threat nell'account virtuale registrato.
Nell'account virtuale devono essere visualizzate più licenze/diritti per il livello di prestazioni richiesto.
Per ottenere la conformità, l'utente deve selezionare i diritti del livello di prestazioni nel proprio account Virtual Smart Licensing. Se viene scelto un livello di prestazioni errato, l'utente può accedere alla pagina di FMC o FDM e regolare il livello di prestazioni in base a quello presente nel proprio account virtuale.
Se l'account Virtual Smart Licensing non dispone delle licenze o dei diritti richiesti per il livello di prestazioni selezionato, fare riferimento allo scenario 1 come passo successivo.
Per modificare il livello delle prestazioni, selezionare l'icona dell'ingranaggio FMC > Smart Licenses > Edit Performance Tier e scegliere il livello di prestazioni corretto.
Questa tabella è utilizzata come riferimento rapido per il livello di prestazioni e le relative specifiche, licenze e limiti associati.
Tabella 1
| Livello prestazioni |
Specifiche del dispositivo (core/RAM) |
Limite di velocità |
Limite di sessione VPN RA |
Nomi licenze |
PID licenza |
Licenza VPN e PID per RA |
| FTDv5, 100 Mbps |
4 core/8 GB |
100 Mbps |
50 |
FTDv Base 100 Mbps |
FTD-V-5S-BSE-K9 |
Cisco AnyConnect Apex License Licenza Cisco AnyConnect Plus Licenza Cisco AnyConnect VPN Only Per il PID della licenza VPN per RA, consultare la Guida agli ordini di Cisco Secure Client. |
| Malware FTDv 100 Mbps |
FTD-V-5S-TMC |
|||||
| Filtro URL FTDv 100 Mbps |
||||||
| FTDv Threat Protection 100 Mbps |
||||||
| Licenza vettore FTDv Firepower |
FTDV-CAR |
|||||
| FTDv10, 1 Gb/s |
4 core/8 GB |
1 Gb/s |
250 |
FTDv Base 1 Gbps |
FTD-V-10S-BASE-K9 |
|
| FTDv Malware 1 Gbps |
FTD-V-10S-TMC |
|||||
| Filtro URL FTDv a 1 Gbps |
||||||
| FTDv Threat Protection 1 Gbps |
||||||
| Licenza vettore FTDv Firepower |
FTDV-CAR |
|||||
| FTDv20, 3 Gb/s |
4 core/8 GB |
3 Gb/s |
250 |
FTDv Base 3 Gbps |
FTD-V-20S-BSE-K9 |
|
| FTDv Malware 3 Gbps |
FTD-V-20S-TMC |
|||||
| Filtro URL FTDv a 3 Gb/s |
||||||
| FTDv Threat Protection 3 Gbps |
||||||
| Licenza vettore FTDv Firepower |
FTDV-CAR |
|||||
| FTDv30, 5 Gb/s |
8 core/16 GB |
5 Gb/s |
250 |
FTDv Base 5 Gbps |
FTD-V-30S-BSE-K9 |
|
| FTDv Malware 5 Gbps |
FTD-V-30S-TMC |
|||||
| Filtro URL FTDv a 5 Gb/s |
||||||
| FTDv Threat Protection 5 Gbps |
||||||
| Licenza vettore FTDv Firepower |
FTDV-CAR |
|||||
| FTDv50, 10 Gbps |
12 core/24 GB |
10 Gb/s |
750 |
FTDv Base 10 Gbps |
FTD-V-50S-BASE-K9 |
|
| Malware FTDv 10 Gbps |
FTD-V-50S-TMC |
|||||
| Filtro URL FTDv 10 Gbps |
||||||
| FTDv Threat Protection 10 Gbps |
||||||
| Licenza vettore FTDv Firepower |
||||||
| FTDv100, 16 Gbps |
16 core/32 GB |
16 Gb/s |
10,000 |
FTDv Base 16 Gbps |
FTD-V-100S-BASE-K9 |
|
| Malware FTDv 16 Gbps |
FTD-V-100S-TMC |
|||||
| Filtro URL FTDv 16 Gbps |
||||||
| FTDv Threat Protection 16 Gbps |
||||||
| Licenza vettore FTDv Firepower |
FTDV-CAR |
|||||
| Variabile FTDv |
In base alle funzionalità del dispositivo |
In base alle funzionalità del dispositivo |
Funzioni di base di Firepower Threat Defense |
|||
| Protezione da malware virtuale di Threat Defense |
||||||
| Filtro URL virtuale di Threat Defense |
||||||
| Threat Defense Virtual Threat Protection |
||||||
| Licenza vettore FTDv Firepower |
FTDV-CAR |
Per ulteriori dettagli sugli SKU delle licenze FTDv Performance Tier, fare riferimento alla tabella 59. Cisco Secure Firewall Threat Defense Prestazioni virtuali su più livelli Abbonamento base e SKU di minacce, malware e filtro URL
Scenario 6 - La licenza non è inclusa nello Smart Account o nell'account virtuale corretto
L'istanza del prodotto può essere trasferita all'account virtuale corretto.
Passaggio 1. Visitare il sito software.cisco.com utilizzando il browser
Passaggio 2. Passa a Gestisci licenze
Passaggio 3. Selezionare lo Smart Account appropriato nell'elenco a discesa in alto a destra e passare a Inventario > [Nome account virtuale] > Istanze prodotto > Azioni e fare clic su Trasferisci > Trasferisci istanza prodotto.
Passaggio 4. Una volta aperta la finestra di dialogo, scegliere l'account virtuale corretto per spostare l'istanza del prodotto FMC o FTD.
Scenario 7 - Il CCP non si trova nello Smart Account o nell'account virtuale corretto
Se il CCP o il FTD non sono registrati con lo Smart Account corretto, annullare la registrazione del CCP da Smart Software Manager facendo clic sull'icona Annulla registrazione nella pagina Smart Licensing del CCP.
Generare quindi il token dallo Smart Account e dall'account virtuale corretti e registrare la console Gestione software Smart.
Scenario 8 - Rimozione di un'istanza del prodotto dallo Smart Account per la gestione integrata
Ciò non si applica ai dispositivi gestiti da FMC, in quanto quest'ultimo acquisisce le licenze solo per i dispositivi che gestisce.
In alcuni casi, il consumo delle licenze è eccessivo quando si effettua la re-imaging di un dispositivo senza annullare la registrazione della licenza nello Smart Account.
Passaggio 1. Passare alle istanze del prodotto dello Smart Account per identificare l'istanza utilizzando il nome host
Passaggio 2. Fare clic su Azioni > Rimuovi.
Passaggio 3. Fare clic sul pulsante Rimuovi istanza prodotto.
Se nessuno degli scenari elencati è utile, è possibile contattare il Technical Support Center di Cisco.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
15-Jan-2024 |
Versione iniziale |
Feedback