排除安全Web设备中的智能许可证故障
目录
简介
本文档介绍在安全网络设备(SWA)中配置智能许可证并对其进行故障排除的步骤。
先决条件
要求
Cisco 建议您了解以下主题:
- 智能许可证的工作原理。
- 安全网络设备(SWA)管理。
Cisco 建议您:
- 已安装物理或虚拟安全网络设备(SWA)。
- 对SWA的管理权限。
- 访问智能许可证门户。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
思科智能许可证
智能许可提供以下功能:
- 从中心位置管理您的所有产品许可证
- 使用一种方法应用和管理许可证,规范化物理和虚拟邮件安全设备(ESA)/安全管理设备(SMA)/SWA之间的流程
- 将许可证轻松应用于ESA/SMA/SWA
- 接收与许可证到期相关的警报
- 硬件型号ESA/SMA/SWA开箱即用,所有服务的评估期均为90天
要使用智能许可注册SWA,设备的所有者必须拥有智能帐户。
- 每个域分配一个智能帐户。
- 智能帐户的管理员可以创建允许资源隔离的子级虚拟帐户。
- 虚拟帐户可用于根据您的需求限制对不同思科产品许可证的访问。
- 访问思科智能软件管理器(CSSM)以管理许可证和下载令牌。
思科提供的资源链接,包括与智能许可相关的视频、指南和说明:
智能软件管理器卫星
思科智能软件管理器卫星是思科智能许可的一个组件。
CSSM Satellite与CSSM配合使用,可管理产品许可证,提供正在使用的思科许可证的近实时可视性和报告。
出于安全原因,如果您不想使用驻留在Cisco.com上的智能软件管理器来管理客户群,您可以选择在本地安装智能软件管理器卫星。
有关智能软件管理器卫星的详细信息,请访问此链接:思科智能软件管理器-思科。
与智能许可证相关的定义
许可证类型:
- 传统许可证(CL)是指用于硬件和虚拟许可证的传统方法。
- 智能许可证(SL)
许可证授权状态:设备内给定许可证的状态。
- ESA/SWA/SMA 不在智能许可证页面显示实际到期日期。
- 位置:GUI > System Administration > Licenses。
- 位置:CLI > license_smart > SUMMARY。
特定功能的状态会出现,并显示以下值之一:
- 评估:
- SL服务已在新的(硬件) ESA/SMA上启用,无需令牌注册
- 已在安装了当前CL的设备上启用SL服务
- 评估已过期:90天评估智能许可证已过期,设备已过渡至额外的30天宽限期
- 合规性:设备已注册令牌且当前功能使用有效许可证
- 不符合要求(宽限期)可在以下两种情况下观察到:
- 30天临时功能许可证一键式申请正在使用中
- 设备上的许可证已过期,已启动30天宽限期
- 不合规(过期):完全过期且相关服务停止运行
注意:永久密钥表示该功能没有到期期限。休眠密钥表示功能本身具有必须接受的最终用户许可协议(EULA),或者必须配置和启用功能。完成后,该功能将变为活动状态,到期计时器开始。
在安全Web设备中配置智能许可证
您可以通过图形用户界面(GUI)和命令行界面(CLI)将SWA连接到智能许可证。
开始使用前
注意:在ESA/SMA/SWA上启用智能许可证功能是永久性的,不允许选择将设备恢复为传统许可证模式。
- 购买的所有硬件型号SWA包括90天评估许可证,适用于所有功能。
- 使用当前传统许可证(CL)迁移至智能许可证的所有硬件型号均可获得90天的评估许可证。
- 所有虚拟SWA型号都需要基本虚拟许可证(VLN),它是一个XML文件,通过命令行界面(CLI) loadlicense命令加载到设备,以链接到升级/更新服务器。
- 所有虚拟SWA型号创建时都不包括90天的许可证,并且需要由传统许可证VLN(有时称为XML)文件注册。
- 使用当前传统许可证(CL)迁移的所有虚拟SWA模式包括90天评估许可证。
- 目前,SWA在所有版本版本版本中都具有智能许可证作为可选功能。
- 启用智能许可证后,该设备上就不再使用传统许可证。
- 启用智能许可证后,无法保留传统许可证。
- 在SWA版本15.0和更新版本版本中,可以选择直接启用智能许可证,而无需启用传统许可证。在这里,需要购买许可证并对其进行配置,以使用具有智能许可证的SWA。
- 从15.0版本开始,有30天的宽限期来全新安装和注册智能许可证,而不激活任何传统许可证。
- 在15.1版本的最新版本中,必须提供智能许可证才能使SWA正常运行。此外,最新版本中还将删除所有与经典许可证相关的功能。
- 如果在基本版本中未启用智能许可证,则在下载时限制升级到SWA的智能许可证强制版本。
CLI和GUI显示中的更改
在Classic License的CLI中使用了四个命令。因此,在智能许可证授权版本(15.1和更高版本)中,这些命令会被删除。
删除的CLI命令列表:
- loadlicense
- showlicense
- 功能密钥
- featurekeyconfig
在“Classic License”的GUI中,System Administration选项卡中提及两个页面。因此,在智能许可证授权构建中,页面将被删除。
删除的GUI页面列表:
- 功能密钥设置
- 功能密钥
重置并重新加载
Reset Configuration in SWA is perform factory reset(在SWA中重置配置)时,系统会清除整个配置,使SWA恢复出厂状态。
使用智能许可证授权构建时,也会保留相同的行为。
Reload是一个CLI隐藏命令,用于清除配置数据并删除功能密钥。如果SWA注册到经典许可证并执行重新加载,请再次加载许可证。
如果SWA配置了智能许可证,则在重新加载后,智能许可证将取消注册并禁用,同时,在当前SWA行为中出厂重置。
在SWA授权构建版本中,智能许可证决不会恢复为disable状态,因此reload命令会清除所有配置。
智能许可证处于已注册状态,因此,再次请求所有许可证。
通信要求
到smartreceiver.cisco.com(在TCP端口443上)的网络或代理通信。
要从SWA测试连接,请使用以下步骤:
步骤1:登录到CLI。
第二步:键入telnet并按Enter。
第三步:选择您希望SWA连接到智能许可证服务器的接口。
第4步:键入smartreceiver.cisco.com并按Enter键。
第五步:在port部分,键入443并按enter。
注意:如果您已配置智能软件管理器卫星,请在步骤4中添加与该服务器关联的统一资源定位器(URL)或互联网协议(IP)地址。
以下是成功连接的示例:
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 4
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
Connected to smartreceiver.cisco.com.
Escape character is '^]'.以下是连接失败时的示例:
SWA_CLI> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 2
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
telnet: connect to address 10.112.59.81: Operation timed out
Trying 2a04:e4c7:fffe::f...
bind: Invalid argument注意:要退出telnet,如果ctrl+c不起作用,请按住Control,然后按],然后键入q并按enter。
从GUI配置智能许可证
步骤1: 登录到GUI,然后导航到系统管理。
第二步: 选择智能软件许可(Smart Software Licensing)。
图像-选择智能软件许可
第三步: 选择Enable Smart Software Licensing
图像-选择启用智能软件许可
第四步: 请仔细阅读说明,然后选择“确定”。
图像-仔细阅读说明
注意:在设备上启用智能许可证功能后,无法从智能许可证回滚到经典许可证。
第五步: 确认更改。
第六步:暂停,然后刷新智能许可页面。
步骤 7. 选择智能许可证注册(Smart License Registration),然后点击确认(Confirm)
图像-选择智能许可证注册
第8步(可选)如果您的网络中有智能软件管理器卫星,请在传输设置中添加服务器的URL或IP地址。
第9步:如果您有单独的路由表,但无法通过管理接口访问https://smartreceiver.cisco.com,请从测试接口部分选择数据。
默认情况下,会选择管理路由表。
图像-选择路由表
步骤 10 选择注册以导航到注册页。
步骤 11 登录智能软件管理器门户(思科软件中心)或智能软件管理器卫星。
步骤 12 导航到资产选项卡,如果尚未令牌,则生成新的令牌,或者点击蓝色箭头查看令牌。
图像-导航到资产
第13步(可选)要创建注册令牌,选择新建令牌,并填写所需字段。
步骤 14 将令牌从智能许可证门户粘贴到您的SWA并选择注册。
图像-粘贴注册令牌
第15步(可选)如果设备已注册,则选中该复选框后可以重新注册设备。
步骤 16 几分钟之后,您可以检查注册状态。
映像-已注册设备
验证集成
您可以从GUI、CLI或智能许可证门户验证集成
从GUI验证智能许可证状态
步骤1: 登录到GUI,然后导航到系统管理。
第二步: 选择智能软件许可(Smart Software Licensing)。
第三步:检查以下项目:
- 注册状态
- 许可证授权状态
- 上次注册续订尝试状态
- 上次授权续订尝试状态
映像-在GUI中验证智能许可证
第四步: 从System Administration菜单中选择Licenses。
第五步:检查所需许可证是否合规。
映像-许可证状态
从CLI验证智能许可证状态
使用以下步骤从CLI验证智能许可证状态:
步骤1:登录到CLI
第二步:键入license_smart按Enter
第三步:选择STATUS
第四步:检查以下项目:
- 注册状态
- 许可证授权状态
- 上次注册续订尝试状态
- 上次授权续订尝试状态
Smart Licensing is : Enabled
License Reservation is: Disabled
Evaluation Period: Not In Use
Evaluation Period Remaining: 89 days 22 hours 40 minutes
Registration Status: Registered ( 04 Sep 2023 20:38 ) Registration Expires on: ( 03 Sep 2024 21:03 )
Smart Account: XXXXXXXXXXXX18.cisco.com
Virtual Account: XXXXXXXXX
Last Registration Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
License Authorization Status: Authorized ( 04 Sep 2023 20:38 ) Authorization Expires on: ( 03 Dec 2023 20:03 )
Last Authorization Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
Product Instance Name: wsa125to15.amojarra.calo
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)
Device Led Conversion Status: Started
第5步:从license_smart向导中选择SUMMARY。
[]> SUMMARY
Feature Name License Authorization Status
----------------------------------------------------------------------------------------------------
Secure Web Appliance Cisco Web Usage Controls In Compliance
Secure Web Appliance Anti-Virus Webroot In Compliance
Secure Web Appliance L4 Traffic Monitor In Compliance
Secure Web Appliance Cisco AnyConnect SM for AnyConnect In Compliance
Secure Web Appliance Secure Endpoint Reputation In Compliance
Secure Web Appliance Anti-Virus Sophos In Compliance
Secure Web Appliance Web Reputation Filters In Compliance
Secure Web Appliance Secure Endpoint In Compliance
Secure Web Appliance Anti-Virus McAfee Not requested
Secure Web Appliance Web Proxy and DVS Engine In Compliance
Secure Web Appliance HTTPs Decryption In Compliance
第六步:检查所需许可证是否合规。
在智能许可证门户中验证设备状态
步骤1:登录智能软件许可门户:思科软件中心
第二步:选择Inventory选项卡。
第三步:选择Product Instances。
第四步: 验证您的设备是否已列出,并点击设备名称。
映像-验证智能许可证门户中的设备状态
步骤5.观察General选项卡中的功能密钥和设备状态
映像-验证智能许可证门户中的功能密钥
从CLI查找VLAN
要从CLI查看您的VLAN,请使用smartaccountinfo命令。此外,还可以查看一些其他信息,如虚拟帐户域或ID和产品实例。
> smartaccountinfo
Smart Account details
---------------------
Product Instance ID : 609XXXXXXXX-fXXXXXXXXX55
Smart Account Domain : XXXXXXXXXXXXXXXXXXX18.cisco.com
Smart Account ID : 111111
Smart Account Name : XXXXXXXXXXXXXXXXXXX18.cisco.com
VLN : VLNWSA1111111
Virtual Account Domain : WSA_XXXXX
Virtual Account ID : 111111日志记录
与智能许可证相关的所有日志都收集在智能许可证日志中。此日志默认为启用。
使用以下步骤配置智能许可证日志:
步骤1:登录到GUI。
第二步:从System Administration菜单中选择Log Subscriptions。
第三步: 向下滚动并找到Smartlicense日志。
第四步:点击日志名称以编辑配置。
提示:如果要将日志推送到日志收集器服务器,建议创建新的日志订阅并转发这些日志,以便在SWA上本地拥有日志副本
智能许可证故障排除
以下是常见错误以及解决问题的步骤。
Susssespfull connection
以下是成功结果的smart_license日志的示例:
Mon Sep 4 20:39:32 2023 Info: The product is registered successfully with Smart Software Manager.Registration failed
映像-注册失败
如果返回Registration Failed,请按照以下步骤从CLI检查smart_license日志:
步骤1:登录到CLI。
第二步:键入grep并按Enter。
第三步:查找与smartlicense日志关联的号码并键入号码,然后按Enter。
第四步:按Enter直到您看到日志。
通信发送错误
如果看到“通信发送错误”,请检查SWA和端口TCP 443上的智能许可证服务器之间的连接。
Mon Sep 4 19:57:09 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error. 提示:如果您配置了智能软件管理器卫星,请检查与已配置端口号的连接。
要检查连通性,请使用本文的“通信要求”一节中提供的步骤。
另外,在显示警报中,您可以看到相同的错误消息:
04 Sep 2023 20:19:29 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.令牌无效
如果令牌已过期或达到其最大定义的已用值,将返回警告日志“令牌无效”。
您可以通过displayalerts命令或smartlicense日志验证错误。
以下是CLI中displayalerts的错误示例:
04 Sep 2023 20:26:55 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid以下是来自CLI的smartlcese日志的日志行示例:
Mon Sep 4 20:26:55 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid要验证登录智能许可证门户的令牌有效性,请导航到资产,检查过期状态和使用次数。
图像- Expier令牌
未能续订授权
通信发送错误
如果由于通信发送错误而导致更新授权失败,则这可能是由于。连接问题导致的。请确保选择正确的路由表并测试SWA和smartreceiver.cisco.com TCP端口443或您的智能软件管理器卫星服务器之间的连接
要检查连通性,请使用本文的“通信要求”一节中提供的步骤。
您可以使用displayalerts命令或通过smartlicense日志验证错误
以下是CLI中displayalerts的错误示例:
04 Sep 2023 22:23:43 +0200 Failed to renew authorization of the product with Smart Software Manager due to Communication send error..以下是来自CLI的smartlcese日志的日志行示例:
Mon Sep 4 22:22:58 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Communication send error..证书已吊销
如果更新授权的原因是证书被吊销,请检查设备是否已从智能许可证门户删除。
检查本文的“验证智能许可证门户中的设备状态”部分。
使用displayalerts命令或smartlicense日志验证错误
以下是CLI中displayalerts的错误示例:
04 Sep 2023 22:39:10 +0200 Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (111111111) since it is REVOKED..以下是来自CLI的smartlcese日志的日志行示例:
Mon Sep 4 22:39:10 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (1111111) since it is REVOKED..要解决此问题,请重新注册设备。
设备中没有VLAN
对于物理设备,没有VLAN;虚拟许可证号主要用于虚拟设备。
如果您使用的是虚拟SWA,并且CLI的smartaccountinfo的输出中没有VLN,请尝试在CLI中使用loadlicense命令再次加载XML许可证文件。
注意:在安装新的许可证文件和密钥之前,loadlicense命令会从系统中删除所有现有功能密钥(包括评估密钥)和许可证文件。
智能许可证代理服务不可用
如果您收到此错误消息,则此错误消息是由已知Cisco Bug ID 引起的。
"Smart license agent service is unavailable. Please visit this page after some time. If you continue to see the same message, please contact Cisco Sales representative."无法验证签名
如果智能许可证授权失败,并出现以下错误:
Tue Apr 22 09:46:27 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Failed to verify signature..[第一次测试]此错误可能是由已知的思科漏洞ID CSCvx04164引起的
。
此Bug的条件是智能许可门户上的虚拟帐户名称包含非英语字符,此问题的解决方法是:
重命名虚拟帐户并删除非英文字符:
步骤1:访问software.cisco.com。
第二步:导航到管理>管理智能帐户>虚拟帐户。
第三步:点击有问题的虚拟帐户。
第四步:定义新名称并删除非英文字符。
注意:用户必须具有管理权限才能重命名虚拟帐户。
[第二次测试]如果虚拟帐户名称正确,请确保设备列在智能许可证门户资产中。
使用本文“验证智能许可证门户中的设备状态”部分提供的步骤。
[第三个测试]如果设备列在智能许可证门户资产清单中,请尝试从CLI重新启动SWA智能许可证服务:
步骤1:登录到CLI。
第二步:运行diagnostic命令
第三步:选择服务
第四步:选择SMART_LICENSE
第五步:选择重新启动
SWA_CLI> diagnostic
Choose the operation you want to perform:
- NET - Network Diagnostic Utility.
- PROXY - Proxy Debugging Utility.
- REPORTING - Reporting Utilities.
- SERVICES - Service Utilities.
[]> SERVICES
Choose one of the following services:
- AMP - Secure Endpoint
- AVC - AVC
- ADC - ADC
- DCA - DCA
- WBRS - WBRS
- EXTFEED - ExtFeed
- L4TM - L4TM
- ANTIVIRUS - Anti-Virus xiServices
- AUTHENTICATION - Authentication Services
- MANAGEMENT - Appliance Management Services
- REPORTING - Reporting Associated services
- MISCSERVICES - Miscellaneous Service
- OCSP - OSCP
- UPDATER - UPDATER
- SICAP - SICAP
- SNMP - SNMP
- SNTP - SNTP
- VMSERVICE - VM Services
- WEBUI - Web GUI
- SMART_LICENSE - Smart Licensing Agent
- WCCP - WCCP
[]> SMART_LICENSE
Choose the operation you want to perform:
- RESTART - Restart the service
- STATUS - View status of the service
[]> RESTART
smart_agent is restarting.[Forth test] 在智能许可证管理器门户中生成新令牌并重新注册设备。
Smart_agent停滞在禁用状态
这些错误可在将设备(在升级前启用了智能许可证)升级到版本14.1或14.0后在ESA或SMA上看到。
注意:在x195或x395设备上看到此错误。
以下是设备生成的邮件示例
08 Apr 2023 10:19:36 -0500 Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.在smart_license日志中,您可以看到:
Mon Apr 8 09:02:36 2021 Warning: Smart License: Failed to change the hostname to esa.local for the product.此错误是由于ESA的已知思科漏洞ID CSCvz74874和适用于SMA的思科漏洞ID CSCvx68947引起的。您需要联系思科支持解决此问题。
智能代理服务初始化失败
此错误主要与虚拟设备有关,这些虚拟设备配置的资源多于预期。
以下是日志示例:
Thu Jun 23 16:16:07 2022 Critical: Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
any attempts to swap ports using the defined command will fail.要解决此问题,请检查CLI中version命令的输出,并确保CPU的数量和分配的内存设置为expected。
如果支持的设备有更多内核,请更正分配。
来自许可云的无效响应
如果设备已从智能许可证管理器门户中删除,则旧版本会返回此错误,
Thu Nov 15 13:50:20 2022 Warning: Failed to renew authorization of the product with Smart Software Manager due to Invalid response from licensing cloud..要解决此问题,请重新注册设备。
未发送有效的SSL证书
如果从设备收到此错误且无法获取更新,请参阅Field Notice: FN - 72502以获取详细信息。
21 Aug 2023 14:03:04 +0200 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent传统VLN证书文件包括由Talos密钥管理程序创建的用于访问更新和升级的证书。旧版密钥管理员证书颁发机构(CA)已于2023年1月13日到期。
2021年12月15日前发放的证书的有效期超过12个月的VLN证书文件,必须在2023年1月13日之前更新并应用。
要解决此问题,请联系思科许可证支持并请求新的VLN文件。
功能已移至不合规
如果您看到一些日志,表明您的某项或某些功能已移至不合规,请检查:
- 您拥有有效的许可证
- 设备可以连接到智能许可证服务器(请参阅本文的“通信要求”部分)
- 检查智能许可证日志,进一步了解此问题。
- 如需帮助,请与思科支持联系
以下是日志示例:
Mon Sep 4 20:41:09 2023 Warning: Secure Web Appliance HTTPs Decryption license has been moved to Out of Compliance successfully.
Mon Sep 4 20:41:10 2023 Warning: The Secure Web Appliance HTTPs Decryption is in Out of Compliance (OOC) state. You have 29 days remaining in your grace period.智能代理处于授权过期状态
如果收到“严重”错误,表示“智能代理处于授权过期状态”,请检查后续行以查找导致此状态的原因。
以下是错误示例:
Fri Aug 18 15:51:11 2023 Critical: Web Security Appliance Cisco Web Usage Controls feature will stop working as Smart Agent is in Authorization Expired state. This can happen if there is no communication between the appliance and the Cisco Smart Software Manager (CSSM) for more than 90 days.请检查连接并确保您的设备已在智能许可证门户中注册。
参考
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
08-Sep-2023 |
初始版本 |
反馈