此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档介绍在安全网络设备(SWA)中配置智能许可证并对其进行故障排除的步骤。
Cisco 建议您了解以下主题:
Cisco 建议您:
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
智能许可能够:
要使用智能许可注册SWA,设备的所有者必须拥有智能帐户。
思科提供的资源链接,包括与智能许可相关的视频、指南和说明:
思科智能软件管理器卫星是思科智能许可的一个组件。
CSSM Satellite与CSSM配合使用,可管理产品许可证,提供正在使用的思科许可证的近实时可视性和报告。
出于安全原因,如果您不想使用驻留在Cisco.com上的智能软件管理器来管理客户群,您可以选择在本地安装智能软件管理器卫星。
有关智能软件管理器卫星的详细信息,请访问以下链接:思科智能软件管理器 — 思科。
许可证类型:
许可证授权状态:设备内给定许可证的状态。
特定功能的状态将显示为以下值之一:
注意:Perpetual键表示此功能没有到期期限。Dormant密钥表示功能本身具有必须接受的最终用户许可协议(EULA),或者必须配置并启用该功能。完成后,该功能将变为“活动”,到期计时器开始。
您可以通过图形用户界面(GUI)和命令行界面(CLI)将SWA连接到智能许可证。
警告:在ESA/SMA/SWA上启用智能许可证功能是永久性的,不允许选择将设备恢复为传统许可证模式。
在CLI for Classic License中使用了4个命令。因此,在智能许可证授权版本(15.1及更高版本)中,这些命令将被删除。
删除的CLI命令列表:
在GUI for Classic License中,System Administration选项卡中提到两个页面。因此,在智能许可证授权构建中,页面将被删除。
删除的GUI页面列表:
SWA中的重置配置用于执行出厂重置,此时将擦除整个配置并使SWA恢复至其出厂状态。
使用智能许可证授权构建时,也会保留相同的行为。
Reload是一个CLI隐藏命令,可清除配置数据并删除功能密钥。如果SWA注册到传统许可证并执行重新加载,请再次加载许可证。
如果SWA配置了智能许可证,则在重新加载后,智能许可证将取消注册并禁用,同时在当前的SWA行为中重置出厂设置。
在SWA授权构建版本中,智能许可证从不恢复到disable状态,因此reload命令会清除所有配置。
智能许可证处于registered状态,因此,再次请求所有许可证。
通过TCP端口443与smartreceiver.cisco.com进行网络或代理通信。
要从SWA测试连接,请执行以下步骤:
步骤1.登录到CLI。
步骤2.键入telnet,然后按Enter。
步骤3.选择您希望SWA连接到智能许可证服务器的接口。
步骤4.键入smartreceiver.cisco.com,然后按Enter。
步骤5.在port部分,键入443并按Enter键。
注意:如果已配置智能软件管理器卫星,请在步骤4中添加与该服务器关联的统一资源定位器(URL)或互联网协议(IP)地址。
以下是成功连接的示例:
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 4
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
Connected to smartreceiver.cisco.com.
Escape character is '^]'.
以下是连接失败时的示例:
SWA_CLI> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 2
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
telnet: connect to address 10.112.59.81: Operation timed out
Trying 2a04:e4c7:fffe::f...
bind: Invalid argument
注意:要退出telnet,如果ctrl+c不起作用,请按住Control,然后按],然后键入q,然后按enter。
步骤1.登录到GUI并导航到System Administration。
第2步:选择智能软件许可。
步骤3.选择启用智能软件许可
步骤4.请仔细阅读说明并选择OK。
警告:在设备上启用智能许可证功能后,不能从智能许可证回滚到经典许可证。
步骤5.提交更改。
步骤6.暂停,然后刷新“智能许可”页面。
第7步:选择智能许可证注册(Smart License Registration),然后点击确认(Confirm)
步骤8.(可选)如果您的网络中有智能软件管理器卫星,请在传输设置中添加服务器的URL或IP地址。
步骤 9 如果您有单独的路由表,但无法访问https://smartreceiver.cisco.com/ from管理接口,请选择Data from Test Interface部分。
默认情况下,管理路由表处于选中状态。
第10步:选择Register导航至注册页面。
步骤11.登录到智能软件管理器门户(思科软件中心)或智能软件管理器卫星。
第12步:导航到Inventory选项卡,如果尚未使用令牌,则生成新的令牌,或者点击蓝色箭头查看令牌。
第13步(可选)要创建注册令牌,选择新建令牌,并填写所需字段。
第14步:将令牌从智能许可证门户粘贴到您的SWA,然后选择注册。
步骤 15 (可选)如果设备已注册,则选中此复选框后,您可以重新注册设备。
步骤16.几分钟后,您可以检查注册状态。
您可以从GUI、CLI或智能许可证门户验证集成
步骤1.登录到GUI并导航到System Administration。
第2步:选择智能软件许可。
步骤3.检查以下项目:
第4步:从系统管理菜单中,选择许可证。
步骤5.检查所需许可证是否符合要求。
使用以下步骤从CLI验证智能许可证状态:
步骤1.登录到CLI
步骤2.键入license_smart,按Enter键
步骤3.选择状态
步骤4.检查以下项目:
Smart Licensing is : Enabled
License Reservation is: Disabled
Evaluation Period: Not In Use
Evaluation Period Remaining: 89 days 22 hours 40 minutes
Registration Status: Registered ( 04 Sep 2023 20:38 ) Registration Expires on: ( 03 Sep 2024 21:03 )
Smart Account: XXXXXXXXXXXX18.cisco.com
Virtual Account: XXXXXXXXX
Last Registration Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
License Authorization Status: Authorized ( 04 Sep 2023 20:38 ) Authorization Expires on: ( 03 Dec 2023 20:03 )
Last Authorization Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
Product Instance Name: wsa125to15.amojarra.calo
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)
Device Led Conversion Status: Started
第 5 步: 从license_smart向导中选择SUMMARY。
[]> SUMMARY
Feature Name License Authorization Status
----------------------------------------------------------------------------------------------------
Secure Web Appliance Cisco Web Usage Controls In Compliance
Secure Web Appliance Anti-Virus Webroot In Compliance
Secure Web Appliance L4 Traffic Monitor In Compliance
Secure Web Appliance Cisco AnyConnect SM for AnyConnect In Compliance
Secure Web Appliance Secure Endpoint Reputation In Compliance
Secure Web Appliance Anti-Virus Sophos In Compliance
Secure Web Appliance Web Reputation Filters In Compliance
Secure Web Appliance Secure Endpoint In Compliance
Secure Web Appliance Anti-Virus McAfee Not requested
Secure Web Appliance Web Proxy and DVS Engine In Compliance
Secure Web Appliance HTTPs Decryption In Compliance
步骤6.检查所需许可证是否符合要求。
步骤1.登录到智能软件许可门户:思科软件中心
步骤2.选择到“资产”选项卡。
步骤3.选择Product Instances。
步骤4.检验设备是否已列出并点击设备名称。
第 5 步: 在General选项卡中观察功能键和设备状态
要从CLI查看您的VLAN,请使用smartaccountinfo命令。此外,您还可以查看一些其他信息,如虚拟帐户域或ID和产品实例。
> smartaccountinfo
Smart Account details
---------------------
Product Instance ID : 609XXXXXXXX-fXXXXXXXXX55
Smart Account Domain : XXXXXXXXXXXXXXXXXXX18.cisco.com
Smart Account ID : 111111
Smart Account Name : XXXXXXXXXXXXXXXXXXX18.cisco.com
VLN : VLNWSA1111111
Virtual Account Domain : WSA_XXXXX
Virtual Account ID : 111111
与智能许可证相关的所有日志都收集在Smartlicense日志中。此日志默认为启用。
使用以下步骤配置智能许可证日志:
步骤1.登录到GUI。
第2步:从System Administration菜单选择Log Subscriptions。
步骤3.向下滚动并查找Smartlicense日志。
步骤4.单击日志名称以编辑配置。
提示:如果要将日志推送到日志收集器服务器,建议创建新的日志订阅并转发这些日志,以便在SWA上本地拥有日志副本
以下是常见错误以及解决问题的步骤。
以下是成功结果的smart_license日志示例:
Mon Sep 4 20:39:32 2023 Info: The product is registered successfully with Smart Software Manager.
如果返回Registration Failed,请使用以下步骤从CLI检查smart_license日志:
步骤1.登录到CLI。
步骤2.键入grep,然后按Enter。
第3步:查找与smartlicense日志关联的号码并键入该号码,然后按Enter键。
步骤4.按Enter,直到您看到日志。
如果看到“通信发送错误”,请检查SWA和端口TCP 443上的智能许可证服务器之间的连接。
Mon Sep 4 19:57:09 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.
提示:如果您配置了智能软件管理器卫星,请检查与已配置端口号的连接。
要检查连通性,请按照本文“通信要求”一节中提供的步骤操作。
此外,在显示警报中,您可以看到相同的错误消息:
04 Sep 2023 20:19:29 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.
如果令牌已过期或达到其最大定义的已用值,则返回警告日志令牌无效。
您可以通过displayalerts命令或smartlicense日志验证错误。
以下是CLI中displayalerts的错误示例:
04 Sep 2023 20:26:55 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid
下面是来自CLI的smartlese日志行的示例:
Mon Sep 4 20:26:55 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid
要验证登录智能许可证门户的令牌有效性,请导航到资产,检查到期状态和使用次数。
如果由于通信发送错误而导致“更新授权失败”,这可能是由于造成的。连接问题,请确保选择正确的路由表,并测试SWA与smartreceiver.cisco.com TCP端口443或您的智能软件管理器卫星服务器之间的连接
要检查连通性,请按照本文“通信要求”一节中提供的步骤操作。
您可以使用displayalerts命令或smartlicense日志验证错误
以下是CLI中displayalerts的错误示例:
04 Sep 2023 22:23:43 +0200 Failed to renew authorization of the product with Smart Software Manager due to Communication send error..
下面是来自CLI的smartlese日志行的示例:
Mon Sep 4 22:22:58 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Communication send error..
如果更新授权的原因是证书已撤销,请检查设备是否已从智能许可证门户删除。
检查本文的“在智能许可证门户中验证设备状态”部分。
使用displayalerts命令或smartlicense日志验证错误
以下是CLI中displayalerts的错误示例:
04 Sep 2023 22:39:10 +0200 Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (111111111) since it is REVOKED..
下面是来自CLI的smartlese日志行的示例:
Mon Sep 4 22:39:10 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (1111111) since it is REVOKED..
要解决此问题,请重新注册设备。
对于物理设备,没有VLN;虚拟许可证编号主要用于虚拟设备。
如果您使用的是虚拟SWA,并且CLI中smartaccountinfo的输出中没有VLN,请尝试使用loadlicense命令在CLI中再次加载XML许可证文件。
警告:在安装新的许可证文件和密钥之前,loadlicense命令会从系统中删除所有现有的功能密钥(包括评估密钥)和许可证文件。
如果您收到此错误消息,则这是由SWA的已知Cisco Bug ID "CSCwe36665"或ESA的Cisco Bug ID "CSCvo22855"造成的。请联系TAC实施解决方案。
"Smart license agent service is unavailable. Please visit this page after some time. If you continue to see the same message, please contact Cisco Sales representative."
如果智能许可证授权失败并出现错误:
Tue Apr 22 09:46:27 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Failed to verify signature..
[第一次测试]此错误可能是由于已知的Cisco Bug ID CSCvx04164 .
此Bug的条件是Smart Licensing门户上的虚拟帐户名称包含非英文字符,此问题的解决方法是:
重命名虚拟帐户并删除非英文字符:
步骤1.转到software.cisco.com。
第2步:导航到管理>管理智能帐户>虚拟帐户。
步骤3.点击有问题的虚拟帐户。
步骤4.定义新名称并删除非英文字符。
注意:用户必须具有管理权限才能重命名虚拟帐户。
[第二次测试]如果虚拟帐户名称正确,请确保设备列在智能许可证门户资产清单中。
使用本文“在智能许可证门户中验证设备状态”一节中提供的步骤。
[第三次测试]如果设备列在智能许可证门户资产清单中,请尝试从CLI重新启动SWA智能许可证服务:
步骤1.登录到CLI。
步骤2.运行 诊断命令
步骤3.选择SERVICES
步骤4.选择SMART_LICENSE
步骤5.选择重新启动
SWA_CLI> diagnostic
Choose the operation you want to perform:
- NET - Network Diagnostic Utility.
- PROXY - Proxy Debugging Utility.
- REPORTING - Reporting Utilities.
- SERVICES - Service Utilities.
[]> SERVICES
Choose one of the following services:
- AMP - Secure Endpoint
- AVC - AVC
- ADC - ADC
- DCA - DCA
- WBRS - WBRS
- EXTFEED - ExtFeed
- L4TM - L4TM
- ANTIVIRUS - Anti-Virus xiServices
- AUTHENTICATION - Authentication Services
- MANAGEMENT - Appliance Management Services
- REPORTING - Reporting Associated services
- MISCSERVICES - Miscellaneous Service
- OCSP - OSCP
- UPDATER - UPDATER
- SICAP - SICAP
- SNMP - SNMP
- SNTP - SNTP
- VMSERVICE - VM Services
- WEBUI - Web GUI
- SMART_LICENSE - Smart Licensing Agent
- WCCP - WCCP
[]> SMART_LICENSE
Choose the operation you want to perform:
- RESTART - Restart the service
- STATUS - View status of the service
[]> RESTART
smart_agent is restarting.
[Forth test]在智能许可证管理器门户中生成新令牌并重新注册设备。
将设备(在升级前启用了智能许可证)升级到版本14.1或14.0后,在ESA或SMA上可以看到这些错误。
注意:x195或x395设备上出现此错误。
以下是设备生成的邮件示例
08 Apr 2023 10:19:36 -0500 Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
在smart_license日志中,您可以看到:
Mon Apr 8 09:02:36 2021 Warning: Smart License: Failed to change the hostname to esa.local for the product.
此错误是由于ESA的已知Cisco Bug ID CSCvz74874和SMA的Cisco Bug ID CSCvx68947引起的。您需要联系Cisco支持部门解决此问题。
此错误主要与虚拟设备相关,这些虚拟设备所配置的资源多于预期。
以下是日志示例:
Thu Jun 23 16:16:07 2022 Critical: Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
any attempts to swap ports using the defined command will fail.
要解决此问题,请检查CLI中version命令的输出,确保CPU数量和分配的内存设置为expected。
如果受支持的设备有更多内核,请更正分配。
如果已从智能许可证管理器门户中删除设备,则较旧版本会返回此错误,
Thu Nov 15 13:50:20 2022 Warning: Failed to renew authorization of the product with Smart Software Manager due to Invalid response from licensing cloud..
要解决此问题,请重新注册设备。
此外,请检查Cisco Bug ID CSCvr09743
如果您从设备收到此错误且无法获取更新,请参阅现场通知:FN - 72502,了解更多信息。
21 Aug 2023 14:03:04 +0200 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent
传统VLAN证书文件包括由Talos Keymaster创建的用于访问更新和升级的证书。旧版密钥主机证书颁发机构(CA)已于2023年1月13日到期。
2021年12月15日前签发的证书的有效期超过12个月的VLN证书文件必须在2023年1月13日之前更新并应用。
要解决此问题,请联系思科许可证支持并请求新的VLN文件。
如果您看到一些日志,表明您的某项功能已移至“不合规”,请检查:
以下是示例日志:
Mon Sep 4 20:41:09 2023 Warning: Secure Web Appliance HTTPs Decryption license has been moved to Out of Compliance successfully.
Mon Sep 4 20:41:10 2023 Warning: The Secure Web Appliance HTTPs Decryption is in Out of Compliance (OOC) state. You have 29 days remaining in your grace period.
如果出现“Critical error as "Smart Agent is in Authorization Expired state"(严重错误,智能代理处于授权过期状态),请查看下一行,查找导致此状态的原因。
以下是错误示例:
Fri Aug 18 15:51:11 2023 Critical: Web Security Appliance Cisco Web Usage Controls feature will stop working as Smart Agent is in Authorization Expired state. This can happen if there is no communication between the appliance and the Cisco Smart Software Manager (CSSM) for more than 90 days.
请检查连接并确保设备已在智能许可证门户中注册。
思科安全网络设备AsyncOS 14.5用户指南 — GD(通用部署) — 连接、安装和配置[思科安全网络设备] — 思科
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
08-Sep-2023 |
初始版本 |