Solucionar erros de falta de conformidade do Smart Licensing do firewall seguro
Contents
Introdução
Este documento descreve os motivos mais comuns de Cisco Smart Licensing fora de conformidade com os modelos Cisco FMC e FTD.
Informações de Apoio
O Cisco Smart Licensing oferece gerenciamento centralizado de licenças para muitos produtos. O Cisco Secure Firewall simplifica o gerenciamento de licenças em implantações potencialmente grandes de sensores e pode ser usado para modelos de dispositivo, virtual e nuvem pública. Este documento fornece um guia de solução de problemas para problemas fora de conformidade com a Licença inteligente para o Cisco Firewall Management Center (FMC) e os modelos de software e dispositivos do Cisco Firewall Threat Defense (FTD).
Quando o FMC informa que a Smart License não está em conformidade, ele indica que o FMC não pode encontrar a licença apropriada na Smart Account. Quando isso acontece, um Alerta de Integridade é exibido. Pode ser devido a vários motivos descritos neste documento.
Como identificar o tipo de licença que está causando o status de Fora de conformidade.
Usando a interface gráfica do usuário (GUI) do FMC.
Navegue até Health Alert no ícone de notificação do FMC e clique em Health.
Uso do portal Smart Account
Navegue até Status da Smart License em Sistema > Licenças >> Smart Licenses. As informações da Virtual Account na qual o FMC está registrado podem ser encontradas aqui.
Na seção Smart Licenses, as licenças específicas fora de conformidade são indicadas aqui. Neste exemplo, um status "Fora de conformidade" é listado para uma licença de recurso do Cisco Secure Firewall 1120 "Defesa contra malware. Anote todos os recursos/produtos listados como "Fora de conformidade" em vermelho. A marca de seleção verde "Em conformidade" indica que o tipo de licença específico está disponível e que o FMC pode adquiri-lo na Smart Account.
Para verificar a disponibilidade dessas licenças, você pode fazer login no portal Smart Account e navegar para Smart Account >> Inventário >> [Nome da Virtual Account]. Filtre o nome da licença, se necessário.
Observe estes possíveis status:
Disponível para Uso = Contagem comprada
Em uso = Contagem de dispositivos com este recurso habilitado
Saldo = Compensação entre comprado e usando.
Sempre que o saldo for negativo, o FMC mostrará o status Fora de conformidade desse recurso/produto.
Além disso, um alerta pode ser encontrado em Smart Account >> Alertas. Filtre a Virtual Account na "Origem", se necessário.
Utilização da interface de linha de comando (CLI) do FMC
Etapa 1. Faça login no FMC CLI.
Etapa 2. Acesse o shell do Linux com este comando
expert
Etapa 3. Emita este comando.
less /var/log/sam.log
Navegue até a entrada mais recente no arquivo rolando para baixo para verificar o status mais recente.
Se uma Licença for adquirida adequadamente, a licença será exibida como AUTORIZADA.
Se uma Licença não estiver disponível, o tipo de licença específico será mostrado como FORA DE CONFORMIDADE.
Troubleshooting
Estes são alguns dos cenários mais comuns e como solucionar problemas em cada um deles.
Cenário 1 - Não há licenças suficientes para um recurso específico das plataformas físicas de FTD.
Há diferentes tipos de licença. Eles podem ser classificados como específicos de hardware e recursos. As licenças podem ser identificadas com base no modelo exibido no nome da licença seguido pelo recurso para o qual ela está fornecendo uma licença.
-Base (pré-7.x) ou Essentials (pós-7.x)
-Defesa contra malware
-IPS
-URL
- Transportadora
-Cliente Premier seguro
-Vantagem de cliente seguro
- Somente VPN de cliente seguro
Se você suspeitar que as licenças foram adquiridas e não estão disponíveis em sua Conta inteligente, verifique as informações do seu Pedido e verifique a Conta da Licença inteligente que foi fornecida quando o pedido foi feito.
Se uma Conta inteligente atribuída for fornecida quando o pedido de compra for feito, as licenças serão transferidas para a "Conta inteligente atribuída".
Se a Conta inteligente atribuída não for fornecida e o pedido for feito por meio de um parceiro, as licenças serão transferidas para a Conta de reserva do parceiro. Entre em contato com sua empresa parceira da Cisco com a ordem de compra, se for esse o caso, e eles podem ajudar na transferência dessas licenças para sua Conta inteligente.
Cenário 2 - Licenças disponíveis em uma Virtual Account diferente
Por padrão, há apenas uma Virtual Account chamada DEFAULT em cada Smart Account. O administrador de Smart Account pode criar várias Virtual Accounts para facilitar a administração e outras finalidades.
Se as licenças necessárias fizerem parte de uma Virtual Account diferente, elas poderão ser transferidas para a Virtual Account apropriada usando essas etapas.
Etapa 1. Navegue até Conta inteligente >> Inventário.
Etapa 2. Filtre a Virtual Account correta. Filtre a Licença, se necessário.
Etapa 3. Quando a licença correta for identificada, clique no menu suspenso Actions e selecione Transfer.
Etapa 4. Selecione a Virtual Account de destino que precisa das licenças e forneça um número de licenças para transferir.
Etapa 5. Clique em Show Preview para validar e, em seguida, clique em Transfer.
Quando todas as licenças estiverem disponíveis na Virtual Account em que o FMC está registrado, clique no botão Re-Authorize no FMC para limpar o status de Fora de conformidade.
Cenário 3 - Falta licença de dispositivo MCv do Firepower
Para modelos de gerenciamento virtual, duas plataformas diferentes são normalmente misturadas.
A licença do dispositivo FMCv é exibida como Firepower MCv Device License e a licença do dispositivo FMCv300 é a licença do dispositivo Firepower MCv300.
Para gerenciar firewalls, o FMC também precisa de uma licença de dispositivo.
Clicar no tipo de licença ajuda a identificar os FMCs que estão consumindo essas licenças. Neste exemplo, o FMCv-a está consumindo cinco licenças, o que corresponde à página Smart License do FMC.
Cenário 4 - O FTD é uma plataforma virtual que executa a versão anterior à 7.0
As licenças básicas são solicitadas automaticamente e não são hierarquizadas. Consulte as Tabelas 60 e 61 no Guia de pedidos de segurança de rede da Cisco para unidades de manutenção de estoque (SKUs) FTDv pré-7.x.
Estes são os Nomes de Licença FTDv Pré-7.x na Smart Account.
Defesa contra ameaças Proteção virtual contra malware
Filtragem de URLs virtuais do Threat Defense
Licença de dispositivo Firepower MCv
Recursos básicos do Firepower Threat Defense
Defesa contra ameaças Proteção contra ameaças virtuais
Licença Cisco AnyConnect Plus
Licença Cisco AnyConnect Apex
Licença somente Cisco AnyConnect VPN
Neste exemplo, as Licenças de malware e ameaças estão fora de conformidade porque a Virtual Account não tem licenças suficientes.
Para obter a compatibilidade com a licença, o usuário deve garantir que a Smart Licensing Virtual Account tenha licenças suficientes disponíveis. Consulte o Guia de pedidos do Cisco Network Security para SKUs FTDv anteriores à versão 7.x.
Cenário 5 - O FTD é uma plataforma virtual que executa a versão 7.0 ou posterior
As licenças básicas são baseadas em assinatura e mapeadas para camadas. As contas virtuais devem ter direitos de licença básica para FTDvs e filtragem de ameaças, malware e URL.
Quando um FTDv é atualizado para a versão 7.0 ou posterior, o dispositivo é automaticamente movido para um FTDv - Variable tier e consome direitos não diferenciados. Neste exemplo, um FTD é atualizado de 6.6.7 para 7.2.5 e o status da Smart License mostra Autorizado e Em conformidade.
Ele continua a consumir direitos não hierárquicos.
Se um usuário selecionar uma camada de desempenho (ou assumir como padrão uma camada de desempenho atribuída automaticamente) para a qual ele não tem direitos, o status Fora de conformidade será exibido.
Neste exemplo, o usuário seleciona a camada de desempenho FTDv50 sem licenças de base de malware e ameaças na Virtual Account registrada.
A Virtual Account deve exibir mais licenças/direitos para a camada de desempenho solicitada.
Para estar em conformidade, o usuário deve selecionar os direitos da camada de desempenho em sua conta do Virtual Smart Licensing. Se um nível de desempenho incorreto for escolhido, o usuário poderá ir para a página no FMC ou no FDM e ajustar o nível de desempenho ao que ele tem em sua Virtual Account.
Se a conta do Virtual Smart Licensing não tiver as licenças/direitos solicitados para a camada de desempenho selecionados, consulte o Cenário 1 como a próxima etapa.
Para editar a camada de desempenho, navegue até FMC Gear Icon > Smart Licenses > Edit Performance Tier e escolha a camada de desempenho correta.
Esta tabela serve de referência rápida para o Nível de desempenho e suas especificações, licenças e limites associados.
Tabela -1
| Nível de desempenho |
Especificações do dispositivo (núcleo/RAM) |
Limite de taxa |
Limite de Sessão VPN RA |
Nomes de licença |
PIDs de licença |
Licença de VPN RA e PIDs |
| FTDv5, 100 Mbps |
4 núcleos/8 GB |
100 Mbps |
50 |
FTDv Base 100 Mbps |
FTD-V-5S-BSE-K9 |
Licença Cisco AnyConnect Apex Licença Cisco AnyConnect Plus Licença somente Cisco AnyConnect VPN Para PID de licença de VPN RA, consulte o Guia de pedidos do Cisco Secure Client. |
| Malware FTDv de 100 Mbps |
FTD-V-5S-TMC |
|||||
| Filtragem de URL FTDv a 100 Mbps |
||||||
| Proteção contra ameaças FTDv de 100 Mbps |
||||||
| Licença de operadora FTDv Firepower |
FTDV-CAR |
|||||
| FTDv10, 1 Gbps |
4 núcleos/8 GB |
1 Gbps |
250 |
FTDv Base 1 Gbps |
FTD-V-10S-BSE-K9 |
|
| Malware FTDv de 1 Gbps |
FTD-V-10S-TMC |
|||||
| Filtragem de URL FTDv de 1 Gbps |
||||||
| Proteção contra ameaças FTDv de 1 Gbps |
||||||
| Licença de operadora FTDv Firepower |
FTDV-CAR |
|||||
| FTDv20, 3 Gbps |
4 núcleos/8 GB |
3 Gbps |
250 |
FTDv Base 3 Gbps |
FTD-V-20S-BSE-K9 |
|
| Malware FTDv de 3 Gbps |
FTD-V-20S-TMC |
|||||
| Filtragem de URL FTDv de 3 Gbps |
||||||
| Proteção contra ameaças FTDv de 3 Gbps |
||||||
| Licença de operadora FTDv Firepower |
FTDV-CAR |
|||||
| FTDv30, 5 Gbps |
8 núcleos/16 GB |
5 Gbps |
250 |
FTDv Base 5 Gbps |
FTD-V-30S-BSE-K9 |
|
| Malware FTDv de 5 Gbps |
FTD-V-30S-TMC |
|||||
| Filtragem de URL FTDv de 5 Gbps |
||||||
| Proteção contra ameaças FTDv de 5 Gbps |
||||||
| Licença de operadora FTDv Firepower |
FTDV-CAR |
|||||
| FTDv50, 10 Gbps |
12 núcleos/24 GB |
10 Gbps |
750 |
FTDv Base 10 Gbps |
FTD-V-50S-BSE-K9 |
|
| Malware FTDv de 10 Gbps |
FTD-V-50S-TMC |
|||||
| Filtragem de URL FTDv de 10 Gbps |
||||||
| Proteção contra ameaças FTDv de 10 Gbps |
||||||
| Licença de operadora FTDv Firepower |
||||||
| FTDv100, 16 Gbps |
16 núcleos/32 GB |
16 Gbps |
10,000 |
FTDv Base 16 Gbps |
FTD-V-100S-BSE-K9 |
|
| Malware FTDv de 16 Gbps |
FTD-V-100S-TMC |
|||||
| Filtragem de URL FTDv de 16 Gbps |
||||||
| Proteção contra ameaças FTDv de 16 Gbps |
||||||
| Licença de operadora FTDv Firepower |
FTDV-CAR |
|||||
| Variável de FTDv |
Baseado nos recursos do dispositivo |
Baseado nos recursos do dispositivo |
Recursos básicos do Firepower Threat Defense |
|||
| Defesa contra ameaças Proteção virtual contra malware |
||||||
| Filtragem de URLs virtuais do Threat Defense |
||||||
| Defesa contra ameaças Proteção contra ameaças virtuais |
||||||
| Licença de operadora FTDv Firepower |
FTDV-CAR |
Para obter mais detalhes sobre as SKUs de licença de FTDv Performance Tier, consulte a Tabela 59. Cisco Secure Firewall Threat Defense Desempenho virtual Assinatura básica em camadas e SKUs de assinatura de filtragem de URL, malware e ameaças
Cenário 6 - A licença não está na Smart Account ou Virtual Account apropriada
A instância do produto pode ser transferida para a Virtual Account correta.
Etapa 1. Acesse software.cisco.com usando seu navegador
Etapa 2. Navegue até Gerenciar licenças
Etapa 3. Selecione a Smart Account apropriada no menu suspenso superior direito e navegue para Inventory > [Virtual Account Name] > Product Instances > Actions e clique em Transfer > Transfer product Instance.
Etapa 4. Quando a caixa de diálogo for aberta, escolha a Virtual Account correta para mover a instância do produto FMC ou FTD.
Cenário 7 - O FMC não está na Smart Account ou Virtual Account apropriada
Se o FMC ou o FTD não estiver registrado com a Conta inteligente correta, cancele o registro do FMC no Smart Software Manager clicando no ícone Cancelar registro na página Smart Licensing do FMC.
Em seguida, gere o token da Smart Account e da Virtual Account corretas e registre o FMC no Smart Software Manager.
Cenário 8 - Remoção de uma instância de produto da Smart Account para gerenciamento integrado
Tal não se aplica aos dispositivos geridos pelo CVP, uma vez que o CVP apenas adquire as licenças para os dispositivos que gere.
Pode haver situações em que as licenças estejam sendo consumidas em excesso quando uma imagem do dispositivo é recriada sem o cancelamento do registro da licença na Smart Account.
Etapa 1. Navegue até a Smart Account Product Instances para identificar a instância usando o nome do host
Etapa 2. Clique em Ações >> Remover.
Etapa 3. Clique no botão Remover instância de produto.
Se nenhum dos cenários listados ajudar, você pode entrar em contato com o Cisco Technical Support Center.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
15-Jan-2024 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)