Secure Firewall Smart Licensing 규정 위반 오류 트러블슈팅

소개

이 문서에서는 Cisco FMC 및 FTD 모델의 규정 준수 이유 중 가장 일반적인 Cisco Smart Licensing에 대해 설명합니다.

배경 정보

Cisco Smart Licensing은 여러 제품에 대해 중앙 집중식 라이센스 관리를 제공합니다. Cisco Secure Firewall은 잠재적으로 규모가 큰 센서 구축 전반에 걸쳐 라이센스 관리를 간소화하며, 어플라이언스, 가상 및 퍼블릭 클라우드 모델에 사용할 수 있습니다. 이 문서에서는 Cisco FMC(Firewall Management Center) 및 Cisco FTD(Firewall Threat Defense) 소프트웨어/어플라이언스 모델에 대한 Smart License의 규정 준수 위반 문제에 대한 트러블슈팅 가이드를 제공합니다.

FMC에서 Smart License가 규정을 준수하지 않는다고 보고할 경우, FMC가 Smart Account에서 적절한 라이센스를 찾을 수 없음을 나타냅니다. 이 경우 상태 알림이 표시됩니다. 이 문서에 설명된 몇 가지 이유 때문일 수 있습니다.

Out of Compliance 상태를 유발하는 라이센스 유형을 식별하는 방법.

FMC 그래픽 사용자 인터페이스(GUI) 사용.

FMC Notification Icon에서 Health Alert로 이동하고 Health를 클릭합니다.

Smart Account 포털 사용

System(시스템) >> Licenses(라이센스) >> Smart Licenses(스마트 라이센스)에서 Smart License Status(스마트 라이센스 상태)로 이동합니다. FMC가 등록된 Virtual Account(가상 어카운트) 정보는 여기에서 확인할 수 있습니다.

Smart Licenses 섹션에 규정을 준수하지 않는 특정 라이센스가 여기에 표시됩니다. 이 예에서는 Cisco Secure Firewall 1120 기능 라이센스 "Malware Defense"에 대해 "Out of Compliance" 상태가 나열됩니다. 빨간색으로 "Out of Compliance(규정 준수 위반)"로 표시된 모든 기능/제품을 확인하십시오. 녹색 "In-Compliance" 확인 표시는 특정 라이센스 유형을 사용할 수 있으며 FMC가 Smart Account에서 이를 획득할 수 있음을 나타냅니다.

이러한 라이센스의 가용성을 확인하려면 Smart Account Portal에 로그인하여 Smart Account >> Inventory >> [Virtual Account Name]으로 이동할 수 있습니다. 필요한 경우 라이센스 이름을 필터링합니다.

가능한 상태는 다음과 같습니다.

사용 가능 = 구매 수

사용 중 = 이 기능이 활성화된 장치 수

잔액 = 구매와 사용 간의 차감

잔액이 음수가 될 때마다 FMC는 해당 기능/제품에 대한 규정 준수 위반 상태를 표시합니다.

또한 Smart Account >> Alerts에서 알림을 확인할 수 있습니다. 필요한 경우 "Source(소스)"에서 Virtual Account를 필터링합니다.

FMC CLI(Command Line Interface) 사용

1단계. FMC CLI에 로그인합니다.

2단계. 이 명령을 사용하여 Linux 셸에 액세스합니다

expert

3단계. 이 명령을 실행합니다.

 less /var/log/sam.log

최신 상태를 확인하려면 아래로 스크롤하여 파일의 최신 항목으로 이동합니다.

라이센스를 적절히 획득하면 라이센스가 AUTHORIZED(인증됨)로 표시됩니다.

라이센스를 사용할 수 없는 경우 특정 라이센스 유형은 OUT OF COMPLIANCE로 표시됩니다.

문제 해결

다음은 가장 일반적인 몇 가지 시나리오와 각각의 문제를 해결하는 방법입니다.

시나리오 1 - FTD 물리적 플랫폼의 특정 기능을 위한 라이센스가 충분하지 않습니다.

라이센스 유형은 서로 다릅니다. 하드웨어 및 기능별로 분류할 수 있습니다. 라이센스는 라이센스 이름에 표시된 모델 및 라이센스를 제공하는 기능에 따라 식별할 수 있습니다.

-Base(7.x 이전) 또는 Essentials(7.x 이후)

- 악성코드 방어

-IPS

-URL

-캐리어

-보안 클라이언트 프리미어

- 안전한 클라이언트 이점

- 보안 클라이언트 VPN만 해당

라이센스를 구매했으나 Smart Account에서 사용할 수 없는 것으로 의심되는 경우 주문 정보를 확인하고 주문 시 제공된 Smart License 어카운트를 확인합니다.

구매 발주를 할 때 할당된 Smart Account가 제공된 경우, 라이센스는 "할당된 Smart Account"로 이전됩니다.

할당된 Smart Account가 제공되지 않고 파트너를 통해 주문한 경우, Partner Holding Account로 라이센스가 이전됩니다. Cisco 파트너사에 구매 발주서를 보내면 해당 파트너가 Smart Account로 라이센스를 이전하는 데 도움을 줄 수 있습니다.

시나리오 2 - 라이센스는 다른 Virtual Account에서 사용 가능

기본적으로 모든 Smart Account에는 DEFAULT라는 가상 어카운트가 하나만 있습니다. Smart Account 관리자는 관리 용이성 및 기타 목적을 위해 여러 가상 어카운트를 생성할 수 있습니다.

필요한 라이센스가 다른 가상 어카운트의 일부인 경우, 다음 단계를 사용하여 해당 가상 어카운트로 이전할 수 있습니다.

1단계. Smart Account >> Inventory로 이동합니다.

2단계. 올바른 가상 어카운트를 필터링합니다. 필요한 경우 라이센스를 필터링합니다.

3단계. 올바른 라이센스가 확인되면 Actions(작업) 드롭다운을 클릭하고 Transfer(이전)를 선택합니다.

4단계. 라이센스가 필요한 대상 Virtual Account를 선택하고 전송할 여러 라이센스를 제공합니다.

5단계. Show Preview(미리 보기 표시)를 클릭하여 유효성을 확인한 다음 Transfer(이전)를 클릭합니다.

FMC가 등록된 가상 어카운트에서 모든 라이센스를 사용할 수 있게 되면 FMC의 Re-Authorize(재인증) 버튼을 클릭하여 Out of Compliance(컴플라이언스 위반) 상태를 지웁니다.

시나리오 3 - Firepower MCv 디바이스 라이센스 누락

가상 관리 모델의 경우 일반적으로 두 가지 플랫폼이 혼합됩니다.

FMCv 디바이스 라이센스는 Firepower MCv 디바이스 라이센스로 표시되며 FMCv300 디바이스 라이센스는 Firepower MCv300 디바이스 라이센스입니다.

방화벽을 관리하려면 FMC에 디바이스 라이센스도 필요합니다.

라이센스 유형을 클릭하면 해당 라이센스를 사용 중인 FMC를 식별하는 데 도움이 됩니다. 이 예에서 FMCv-a는 5개의 라이센스를 사용하며, 이는 FMC Smart License 페이지와 일치합니다.

시나리오 4 - FTD는 7.0 이전 버전을 실행하는 가상 플랫폼입니다.

Base 라이센스는 자동으로 요청되며 계층화되지 않습니다. 7.x 이전 FTDv SKU(Stock Keeping Unit)에 대한 내용은 Cisco Network Security 주문 가이드의 표 60 및 61을 참조하십시오.

다음은 Smart Account의 Pre 7.x FTDv 라이센스 이름입니다.

위협 방어 가상 악성코드 차단
Threat Defense 가상 URL 필터링
Firepower MCv 디바이스 라이센스
Firepower Threat Defense 기본 기능
위협 방어 가상 위협 보호
Cisco AnyConnect Plus 라이센스
Cisco AnyConnect Apex 라이센스
Cisco AnyConnect VPN 전용 라이센스

이 예에서는 가상 어카운트에 충분한 라이센스가 없어 악성코드 및 위협 라이센스가 규정을 준수하지 않습니다.

라이센스를 준수하려면 사용자는 Smart Licensing 가상 어카운트에 사용 가능한 라이센스가 충분한지 확인해야 합니다. 7.x 이전 FTDv SKU는 Cisco 네트워크 보안 주문 설명서를 참조하십시오.

시나리오 5 - FTD는 7.0 버전 이상을 실행하는 가상 플랫폼입니다.

기본 라이센스는 서브스크립션 기반이며 계층에 매핑됩니다. 가상 어카운트에는 FTDv 및 위협, 악성코드, URL 필터링에 대한 Base 라이센스 자격이 있어야 합니다.

FTDv를 버전 7.0 이상으로 업그레이드하면 디바이스가 자동으로 FTDv - Variable Tier로 이동하며 비-계층 엔타이틀먼트를 사용합니다. 이 예에서는 FTD가 6.6.7에서 7.2.5로 업그레이드되고 Smart License 상태가 Authorized(승인됨) 및 In-Compliance(규정 준수 중)로 표시됩니다.

또한 계층화되지 않은 엔타이틀먼트를 계속 사용합니다.

사용자가 엔타이틀먼트가 없는 성과 계층을 선택하거나 자동으로 할당된 성과 계층으로 기본값을 설정하면 상태가 규정 준수를 위반하는 것으로 표시됩니다.

이 예에서는 사용자가 등록된 Virtual Account에 Base Malware 및 Threat 라이센스가 없는 Performance Tier FTDv50을 선택합니다.

Virtual Account는 요청된 성능 계층에 대한 추가 라이센스/자격을 표시해야 합니다.

이를 준수하려면 사용자는 Virtual Smart Licensing 어카운트에서 Performance Tier 자격을 선택해야 합니다. 잘못된 성능 계층을 선택한 경우 사용자는 FMC 또는 FDM의 페이지로 이동하여 성능 계층을 Virtual Account에 있는 수준으로 조정할 수 있습니다.

Virtual Smart Licensing 어카운트에 성능 계층에 대해 요청된 라이센스/엔타이틀먼트를 선택하지 않은 경우 다음 단계로 시나리오 1을 참조하십시오.

성능 계층을 수정하려면 FMC 기어 아이콘 > Smart Licenses > Edit Performance Tier(성능 계층 수정)로 이동하여 올바른 성능 계층을 선택합니다.

이 표는 성능 계층과 관련 사양, 라이센스 및 제한을 간략하게 참조하기 위한 것입니다.

표 1

성능 계층	장치 사양(코어/RAM)	속도 제한	RA VPN 세션 제한	라이센스 이름	라이센스 PID	RA VPN 라이센스 및 PID
FTDv5, 100Mbps	4코어/8GB	100Mbps	50	FTDv 기본 100Mbps	FTD-V-5S-BSE-K9	Cisco AnyConnect Apex 라이센스 Cisco AnyConnect Plus 라이센스 Cisco AnyConnect VPN 전용 라이센스 RA VPN 라이센스 PID는 Cisco Secure Client 주문 가이드를 참조하십시오.
				FTDv 악성코드 100Mbps	FTD-V-5S-TMC
				FTDv URL 필터링 100Mbps
				FTDv Threat Protection 100Mbps
				Firepower FTDv 캐리어 라이센스	FTDV 자동차
FTDv10, 1Gbps	4코어/8GB	1Gbps	250	FTDv 기본 1Gbps	FTD-V-10S-BSE-K9
				FTDv 악성코드 1Gbps	FTD-V-10S-TMC
				FTDv URL 필터링 1Gbps
				FTDv Threat Protection 1Gbps
				Firepower FTDv 캐리어 라이센스	FTDV 자동차
FTDv20, 3Gbps	4코어/8GB	3Gbps	250	FTDv 기본 3Gbps	FTD-V-20S-BSE-K9
				FTDv 악성코드 3Gbps	FTD-V-20S-TMC
				FTDv URL 필터링 3Gbps
				FTDv Threat Protection 3Gbps
				Firepower FTDv 캐리어 라이센스	FTDV 자동차
FTDv30, 5Gbps	8코어/16GB	5Gbps	250	FTDv 기본 5Gbps	FTD-V-30S-BSE-K9
				FTDv 악성코드 5Gbps	FTD-V-30S-TMC
				FTDv URL 필터링 5Gbps
				FTDv Threat Protection 5Gbps
				Firepower FTDv 캐리어 라이센스	FTDV 자동차
FTDv50, 10Gbps	12코어/24GB	10Gbps	750	FTDv 기본 10Gbps	FTD-V-50S-BSE-K9
				FTDv 악성코드 10Gbps	FTD-V-50S-TMC
				FTDv URL 필터링 10Gbps
				FTDv Threat Protection 10Gbps
				Firepower FTDv 캐리어 라이센스
FTDv100, 16Gbps	16코어/32GB	16Gbps	10,000	FTDv 기본 16Gbps	FTD-V-100S-BSE-K9
				FTDv 악성코드 16Gbps	FTD-V-100S-TMC
				FTDv URL 필터링 16Gbps
				FTDv Threat Protection 16Gbps
				Firepower FTDv 캐리어 라이센스	FTDV 자동차
FTDv 변수		디바이스 기능 기반	디바이스 기능 기반	Firepower Threat Defense 기본 기능
				위협 방어 가상 악성코드 차단
				Threat Defense 가상 URL 필터링
				위협 방어 가상 위협 보호
				Firepower FTDv 캐리어 라이센스	FTDV 자동차

FTDv Performance Tier 라이센스 SKU에 대한 자세한 내용은 표 59를 참조하십시오. Cisco Secure Firewall Threat Defense 가상 성능 계층형 기본 서브스크립션 및 위협, 악성코드 및 URL 필터링 서브스크립션 SKU

시나리오 6 - 라이센스가 올바른 Smart Account 또는 Virtual Account에 있지 않습니다.

제품 인스턴스를 올바른 가상 어카운트로 이전할 수 있습니다.

1단계. 브라우저를 사용하여 software.cisco.com으로 이동합니다.

2단계. Manage Licenses(라이센스 관리)로 이동합니다.

3단계. 오른쪽 상단 드롭다운에서 적절한 Smart Account를 선택하고 Inventory(인벤토리) > [Virtual Account Name] > Product Instances(제품 인스턴스) > Actions(작업)로 이동한 다음 Transfer(이전) > Transfer product Instance(제품 인스턴스 이전)를 클릭합니다. 

4단계. 대화 상자가 열리면 FMC 또는 FTD 제품 인스턴스를 이동할 올바른 가상 어카운트를 선택합니다.

시나리오 7 - FMC가 적절한 Smart Account 또는 Virtual Account에 없음

FMC 또는 FTD가 올바른 Smart Account에 등록되지 않은 경우, FMC Smart Licensing 페이지에서 De-register(등록 취소) 아이콘을 클릭하여 Smart Software Manager에서 FMC를 등록 취소합니다.

그런 다음 올바른 Smart Account 및 Virtual Account에서 토큰을 생성하고 Smart Software Manager에 FMC를 등록합니다.

시나리오 8 - 온박스(On-Box) 관리를 위해 Smart Account에서 제품 인스턴스 제거

FMC는 자신이 관리하는 디바이스에 대한 라이센스만 취득하므로 FMC에서 관리하는 디바이스에는 적용되지 않습니다.

Smart Account에서 라이센스를 등록 취소하지 않고 디바이스를 다시 이미징할 때 라이센스가 과다 소비되는 시나리오가 있을 수 있습니다.

1단계. Smart account Product Instances(Smart Account 제품 인스턴스)로 이동하여 호스트 이름을 사용하여 인스턴스를 식별합니다

2단계. Actions(작업) >> Remove(제거)를 클릭합니다. 

3단계. Remove Product Instance(제품 인스턴스 제거) 버튼을 클릭합니다. 

나열된 시나리오 중 도움이 되는 시나리오가 없으면 Cisco Technical Support Center에 문의할 수 있습니다.