Probleemoplossing voor out-of-compliance fouten bij Secure Firewall slimme licentiëring
Inhoud
Inleiding
Dit document beschrijft de meest gebruikelijke redenen voor Cisco Smart Licensing vanuit compliance met de Cisco FMC- en FTD-modellen.
Achtergrondinformatie
Cisco Smart Licensing biedt gecentraliseerd beheer van licenties voor veel producten. De Cisco Secure Firewall vereenvoudigt het beheer van licenties voor mogelijk grote implementaties van sensoren en kan worden gebruikt voor applicaties, virtuele cloudmodellen en openbare cloudmodellen. Dit document biedt een handleiding voor het oplossen van problemen bij out-of-compliance met Smart License voor Cisco Firewall Management Center (FMC) en Cisco Firewall Threat Defence (FTD)-software en -apparaatmodellen.
Wanneer het VCC meldt dat de slimme vergunning niet aan de voorschriften voldoet, geeft het aan dat het VCC de juiste vergunning niet in de slimme rekening kan vinden. Wanneer dat gebeurt, wordt een gezondheidswaarschuwing weergegeven. Dit kan te wijten zijn aan verschillende redenen die in dit document worden uiteengezet.
Hoe het type licentie te identificeren dat de Out of Compliance-status veroorzaakt.
Gebruik van de grafische gebruikersinterface (GUI) van het VCC.
Navigeer naar de gezondheidswaarschuwing vanaf het pictogram voor VCC-melding en klik op Gezondheid.
Het Smart Account-portal gebruiken
Ga naar Smart License Status bij System >> Licenties > Smart Licences. De virtuele accountgegevens van het VCC die zijn geregistreerd, zijn hier te vinden.
In het gedeelte Slimme licenties worden de specifieke licenties die niet aan de eisen voldoen, hier aangegeven. In dit voorbeeld wordt de status "Out of Compliance" vermeld voor een Cisco Secure Firewall 1120-functielicentie "Malware Defense. Neem nota van alle eigenschappen/producten die als "Uit Naleving"in Rood worden vermeld. Het groene "In-Compliance"-selectieteken geeft aan dat het specifieke licentietype beschikbaar is en dat het VCC het kan verkrijgen van de Smart Account.
Om de beschikbaarheid van deze licenties te verifiëren, kunt u zich aanmelden bij het Smart Account Portal en navigeren naar Smart Account > Inventory > [Virtual Account Name]. Filter indien nodig de licentienaam.
Let op deze mogelijke statussen:
Beschikbaar voor gebruik = aantal aangeschaften
In gebruik = Aantal apparaten met deze functie ingeschakeld
Saldo = Verrekening tussen aangekocht en gebruikt.
Wanneer de balans negatief wordt, toont het VCC de status van niet-naleving voor die functie/dat product.
Een waarschuwing kan ook worden gevonden bij Smart Account > Alerts. Filter indien nodig de virtuele account in de "bron".
De FMC Command Line Interface (CLI) gebruiken
Stap 1. Log in bij FMC CLI.
Stap 2. Toegang tot de Linux-shell met deze opdracht
expert
Stap 3. Voer de volgende opdracht uit.
less /var/log/sam.log
Navigeer naar de laatste vermelding in het bestand door naar beneden te bladeren om de laatste status te controleren.
Als een Licentie op de juiste wijze is verworven, verschijnt de Licentie als GEAUTORISEERD.
Als een licentie niet beschikbaar is, wordt het specifieke licentietype aangeduid als OUT OF CONFORMITY.
Problemen oplossen
Dit zijn enkele van de meest voorkomende scenario's en hoe u elk problemen kunt oplossen.
Scenario 1 - Er zijn niet genoeg licenties voor een specifiek kenmerk van FTD Physical-platforms.
Er zijn verschillende licentietypen. Deze kunnen geclassificeerd worden als hardware- en functiespecifiek. De licenties kunnen worden geïdentificeerd op basis van het model dat wordt weergegeven in de licentienaam gevolgd door de functie waarvoor het een licentie levert.
-Base (Pre 7.x) of Essentials (Post 7.x)
Malware Defense
-IPS
-URL
-Carrier
- Secure Client Premier-software
- Secure-clientvoordeel
-Secure-client voor VPN
Als u vermoedt dat de licenties zijn aangeschaft en niet beschikbaar zijn in uw Smart-account, controleert u uw bestelgegevens en controleert u de Smart License-account die was geleverd toen de bestelling werd geplaatst.
Als een Toegewezen Smart Account wordt geleverd wanneer de kooporder wordt geplaatst, worden de licenties overgedragen naar de Toegewezen Smart Account.
Als de Toegewezen Slimme Rekening niet wordt verstrekt en de orde door een partner wordt geplaatst, worden de vergunningen overgedragen aan de Rekening van het Bedrijf van de Partner. Neem contact op met uw Cisco Partner-bedrijf met de kooporder als dit het geval is en ze kunnen u helpen bij het overdragen van deze licenties naar uw Smart Account.
Scenario 2 - Licenties zijn beschikbaar in een andere virtuele account
Standaard is er maar één virtuele account met de naam DEFAULT in elke Smart Account. Smart Account Administrator kan meerdere virtuele accounts maken voor beheergemak en andere doeleinden.
Als de benodigde licenties deel uitmaken van een andere virtuele account, kunnen deze via deze stappen worden overgedragen naar de juiste virtuele account.
Stap 1. Ga naar Smart Account > Inventory.
Stap 2. Filter de juiste virtuele account. Filter de licentie indien nodig.
Stap 3. Zodra de juiste licentie is geïdentificeerd, klikt u op de vervolgkeuzelijst Acties en selecteert u Overdracht.
Stap 4. Selecteer de virtuele doelaccount die de licenties nodig heeft en zorg dat u een aantal licenties kunt overdragen.
Stap 5. Klik op Voorbeeld tonen om te valideren en klik vervolgens op Overdracht.
Zodra alle licenties beschikbaar zijn in de virtuele account waarop het VCC is geregistreerd, klikt u op de knop Herautoriseren op het VCC om de status van niet-naleving te wissen.
Scenario 3 - Licentie voor ontbrekende FirePOWER MCv-apparaat
Voor virtuele beheermodellen worden meestal twee verschillende platforms door elkaar gebruikt.
De FMCv Apparaatlicentie verschijnt als de Firepower MCv Apparaatlicentie en de FMCv300 Apparaatlicentie is de Firepower MCv300 Apparaatlicentie.
Om firewalls te beheren heeft FMC ook een apparaatlicentie nodig.
Als u op het licentietype klikt, kunt u vaststellen welke VCC's deze licenties gebruiken. In dit voorbeeld verbruikt FMCv-a vijf licenties, die overeenkomen met de FMC Smart License-pagina.
Scenario 4 - FTD is een virtueel platform waarop Pre 7.0 wordt uitgevoerd
Basislicenties worden automatisch aangevraagd en zijn niet gelaagd. Raadpleeg de tabellen 60 en 61 in de Cisco Network Security Ordering Guide voor pre 7.x FTDv Stock Keeping Units (SKU’s).
Dit zijn de Pre 7.x FTDv Licentienamen in de Smart Account.
Threat Defence Virtual Malware Protection
Virtuele URL-filtering voor Threat Defense
Firepower MCv apparaatlicentie
Firepower Threat Defense - basisfuncties
Threat Defense virtuele bedreigingsbescherming
Licentie voor Cisco AnyConnect Plus
Licentie voor Cisco AnyConnect Apex
Licentie voor Cisco AnyConnect VPN
In dit voorbeeld zijn de Malware- en Threat-licenties niet conform omdat de Virtual Account niet over voldoende licenties beschikt.
Om te zorgen dat de licentie compatibel is, moet de gebruiker ervoor zorgen dat de virtuele account voor Smart Licensing over voldoende licenties beschikt. Raadpleeg de Cisco Network Security Ordering Guide voor pre-7.x FTDv SKU’s.
Scenario 5 - FTD is een virtueel platform waarop 7.0 of hoger wordt uitgevoerd
Basislicenties zijn op abonnementen gebaseerd en worden aan tiers toegewezen. Virtuele accounts moeten basislicentierechten hebben voor FTDs en Threat, Malware en URL-filtering.
Wanneer een FTDv wordt geüpgraded naar Versie 7.0 of hoger, wordt het apparaat automatisch verplaatst naar een FTDv - Variable tier en gebruikt niet-gelaagde rechten. In dit voorbeeld wordt een FTD geüpgraded van 6.6.7 naar 7.2.5 en de status van de Smart License toont Authorised and In-Compliance.
Het blijft niet-gedifferentieerde rechten verbruiken.
Als een gebruiker een (of de standaardwaarden van een automatisch toegewezen) prestatieniveau selecteert waarvoor hij geen rechten heeft, wordt de status Out of Compliance weergegeven.
In dit voorbeeld selecteert de gebruiker Performance Tier FTDv50 zonder Base Malware- en Threat-licenties in de geregistreerde Virtual-account.
De virtuele account moet meer licenties/rechten voor de gevraagde prestatielaag weergeven.
Om hieraan te voldoen, moet de gebruiker de rechten voor de prestatielaag selecteren in zijn Virtual Smart Licensing-account. Als er een foutieve prestatielaag wordt gekozen, kan de gebruiker naar de pagina op FMC of FDM gaan en de prestatielaag aanpassen aan wat ze in hun virtuele account hebben.
Als de Virtual Smart Licensing-account niet beschikt over de gevraagde licenties/rechten voor de prestatielaag, raadpleeg dan scenario 1 als volgende stap.
Om de prestatielaag te bewerken, navigeer je naar het FMC Gear Icon > Smart Licenses > Edit Performance Tier en kies je de juiste Performance Tier.
Deze tabel is bedoeld voor snelle verwijzing naar Prestatieniveau en de bijbehorende specificaties, licenties en limieten.
Tabel 1
| Prestatieniveau |
Apparaatspecificaties (Core/RAM) |
Snelheidslimiet |
RA VPN-sessielimiet |
Licentienamen |
Licentie-PID’s |
RA VPN-licentie en PID’s |
| FTDv5, 100 Mbps |
4 kern/8 GB |
100 Mbps |
50 |
FTDv basis 100 Mbps |
FTD-V-5S-BSE-K9 |
Licentie voor Cisco AnyConnect Apex Licentie voor Cisco AnyConnect Plus Licentie voor Cisco AnyConnect VPN Raadpleeg voor RA VPN License PID de Cisco Secure Client Ordering Guide. |
| FTDv Malware 100 Mbps |
FTD-V-5S-TMC |
|||||
| FTDv URL-filtering 100 Mbps |
||||||
| FTDv bedreigingsbescherming 100 Mbps |
||||||
| Licentie voor Firepower FTDv Carrier |
FTDV-CAR |
|||||
| FTDv 10, 1 Gbps |
4 kern/8 GB |
1 Gbps |
250 |
FTDv basis 1 Gbps |
FTD-V-10S-BSE-K9 |
|
| FTDv Malware 1 Gbps |
FTD-V-10S-TMC |
|||||
| FTDv URL-filtering 1 Gbps |
||||||
| FTDv bescherming tegen bedreigingen, 1 Gbps |
||||||
| Licentie voor Firepower FTDv Carrier |
FTDV-CAR |
|||||
| FTDv 20, 3 Gbps |
4 kern/8 GB |
3 Gbps |
250 |
FTDv basis 3 Gbps |
FTD-V-20S-BSE-K9 |
|
| FTDv Malware 3 Gbps |
FTD-V-20S-TMC |
|||||
| FTDv URL-filtering, 3 Gbps |
||||||
| FTDv bescherming tegen bedreigingen, 3 Gbps |
||||||
| Licentie voor Firepower FTDv Carrier |
FTDV-CAR |
|||||
| FTDv 30, 5 Gbps |
8 kernen/16 GB |
5 Gbps |
250 |
FTDv basis 5 Gbps |
FTD-V-30S-BSE-K9 |
|
| FTDv Malware 5 Gbps |
FTD-V-30S-TMC |
|||||
| FTDv URL-filtering 5 Gbps |
||||||
| FTDv bescherming tegen bedreigingen, 5 Gbps |
||||||
| Licentie voor Firepower FTDv Carrier |
FTDV-CAR |
|||||
| FTDv 50, 10 Gbps |
12 kern/24 GB |
10 Gbps |
750 |
FTDv basis 10 Gbps |
FTD-V-50S-BSE-K9 |
|
| FTDv Malware 10 Gbps |
FTD-V-50S-TMC |
|||||
| FTDv URL-filtering 10 Gbps |
||||||
| FTDv bescherming tegen bedreigingen, 10 Gbps |
||||||
| Licentie voor Firepower FTDv Carrier |
||||||
| FTDv 100, 16 Gbps |
16 kern/32 GB |
16 Gbps |
10,000 |
FTDv basis 16 Gbps |
FTD-V-10S-BSE-K9. |
|
| FTDv Malware 16 Gbps |
FTD-V-100S-TMC |
|||||
| FTDv URL-filtering 16 Gbps |
||||||
| FTDv bescherming tegen bedreigingen, 16 Gbps |
||||||
| Licentie voor Firepower FTDv Carrier |
FTDV-CAR |
|||||
| FTDv Variabele |
Gebaseerd op apparaatmogelijkheden |
Gebaseerd op apparaatmogelijkheden |
Firepower Threat Defense - basisfuncties |
|||
| Threat Defence Virtual Malware Protection |
||||||
| Virtuele URL-filtering voor Threat Defense |
||||||
| Threat Defense virtuele bedreigingsbescherming |
||||||
| Licentie voor Firepower FTDv Carrier |
FTDV-CAR |
Zie tabel 59 voor meer informatie over SKU's van FTDv Performance Tier. Cisco Secure Firewall Threat Defence Virtual Performance gelaagde basisabonnement en -bedreigingen, malware en URL-filtering van abonnementen (SKU’s)
Scenario 6 - De licentie staat niet in de juiste slimme account of virtuele account
De productinstantie kan worden overgebracht naar de juiste virtuele account.
Stap 1. Ga naar software.cisco.com met behulp van uw browser
Stap 2. Navigeren om licenties te beheren
Stap 3. Selecteer de juiste Smart Account rechtsboven in de vervolgkeuzelijst en navigeer naar Inventaris > [Virtual Account Name] > Product Instanties > Handelingen en klik op Transfer > Product Instance overzetten.
Stap 4. Zodra het dialoogvenster is geopend, kiest u de juiste virtuele account om de FMC- of FTD-productinstantie te verplaatsen.
Scenario 7 - Het VCC staat niet in de juiste Smart Account of Virtual Account
Als het FMC of FTD niet bij de juiste Smart Account is geregistreerd, verwijdert u het FMC van Smart Software Manager door op het pictogram De-register te klikken op de FMC Smart Licensing-pagina.
Genereert vervolgens het token vanuit het juiste Smart Account en Virtual account en registreert het FMC bij Smart Software Manager.
Scenario 8 - Een productinstantie verwijderen uit de Smart Account voor On-Box Management
Dit geldt niet voor apparatuur die door het VCC wordt beheerd, aangezien het VCC alleen de vergunningen voor de door het VCC beheerde apparatuur verwerft.
Er kunnen scenario's zijn waarbij de licenties worden overgeconsumeerd wanneer een apparaat opnieuw wordt afgebeeld zonder dat de licentie van de Smart-account wordt verwijderd.
Stap 1. Navigeer naar de Smart account Product Instents om de instantie te identificeren met behulp van de hostnaam
Stap 2. Klik op Acties > Verwijderen.
Stap 3. Klik op de knop Product-instantie verwijderen.
Als geen van de vermelde scenario's helpt, kunt u contact opnemen met het Cisco Technical Support Center.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
15-Jan-2024 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)