排除Secure Firewall Smart Licensing Out-of-Compliance錯誤
簡介
本檔案介紹最常見的思科智慧許可不符合思科FMC和FTD型號合規性的原因。
背景資訊
Cisco Smart Licensing可對多種產品的許可證進行集中管理。思科安全防火牆可簡化潛在大型感測器部署中的許可證管理,並且可用於裝置、虛擬和公共雲模型。本檔案為思科防火牆管理中心(FMC)和思科防火牆威脅防禦(FTD)軟體和裝置型號的智慧許可證提供不合規問題的疑難排解指南。
當FMC報告智慧許可證不符合要求時,表明FMC無法在智慧帳戶中找到適當的許可證。發生這種情況時,將顯示運行狀況警報。這可能是因為本檔案所概述的若干原因。
如何識別導致「不合規」狀態的許可證型別。
使用FMC圖形使用者介面(GUI)。
從FMC通知圖示導航至健康警報,然後點選健康狀況。
使用智慧帳戶門戶
導航至智慧許可證狀態,位於系統>>許可證>>智慧許可證。 在此處可找到FMC註冊到的虛擬帳戶資訊。
在「智慧許可證」部分中,此處指明了不符合標準的特定許可證。在此示例中,思科安全防火牆1120功能許可證「惡意軟體防禦」列出了「不合規」狀態。注意紅色中列為「Out of Compliance」(不合規)的所有功能/產品。綠色的「合規性」複選標籤表示特定許可證型別可用,FMC可以從智慧帳戶獲取該型別。
要驗證這些許可證的可用性,您可以登入智慧帳戶門戶並導航到智慧帳戶>>清單>> [虛擬帳戶名稱]。如果需要,請過濾許可證名稱。
請注意以下可能狀態:
可用數量=購買數量
使用中=啟用此功能裝置的計數
餘額=採購與使用之間的抵銷。
當餘額為負時,FMC將顯示該功能/產品的「不合規」狀態。
此外,還可以在Smart Account >> Alerts中找到警報。如果需要,在「源」中過濾虛擬帳戶。
使用FMC命令列介面(CLI)
步驟 1.登入到FMC CLI。
步驟 2.使用此命令訪問Linux shell
expert
步驟 3.發出以下命令。
less /var/log/sam.log
向下滾動以檢查最新狀態,導航到檔案的最新條目。
如果許可證已充分獲得,則許可證將顯示為「已授權」。
如果許可證不可用,則特定許可證型別顯示為OUT OF COMPLIANCE。
疑難排解
以下是一些最常見的情況以及如何進行疑難排解。
案例1 - FTD實體平台的特定功能沒有足夠的許可證。
有不同的許可證型別。這些可分類為硬體和特定功能。可以根據許可證名稱中顯示的模型以及許可證提供的功能,識別許可證。
— 基本(7.x之前的版本)或基本版(7.x之後的版本)
— 惡意軟體防禦
-IPS
-URL
— 載波
— 安全客戶端Premier
— 安全客戶端優勢
— 僅安全客戶端VPN
如果您懷疑許可證是購買的,並且在您的智慧帳戶中不可用,請驗證您的訂單資訊,並檢查下單時提供的智慧許可證帳戶。
如果在下採購訂單時提供了分配的智慧帳戶,則許可證將轉移到「分配的智慧帳戶」。
如果未提供分配的智慧帳戶,並且訂單是通過合作夥伴下單的,則許可證將轉移到合作夥伴暫持帳戶。如果是這種情況,請與您的思科合作夥伴公司聯絡並持有採購訂單,他們可幫助將這些許可證轉移到您的智慧帳戶。
場景2 — 許可證在其他虛擬帳戶中可用
預設情況下,每個智慧帳戶中只有一個名為DEFAULT的虛擬帳戶。智慧帳戶管理員可以建立多個虛擬帳戶,以便於管理和其他用途。
如果所需的許可證屬於不同的虛擬帳戶,可以使用以下步驟將這些許可證轉移到正確的虛擬帳戶。
步驟 1.導航到智慧帳戶>>庫存。
步驟 2.篩選正確的虛擬帳戶。 如果需要,請過濾許可證。
步驟 3. 確定正確的許可證後,按一下Actions下拉選單並選擇Transfer。
步驟 4.選擇需要許可證的目標虛擬帳戶,並提供要傳輸的大量許可證。
步驟 5.按一下Show Preview進行驗證,然後按一下Transfer。
在FMC註冊到的虛擬帳戶中的所有許可證都可用後,點選FMC上的Re-Authorize按鈕以清除「不合規」狀態。
場景3 — 缺少Firepower MCv裝置許可證
對於虛擬管理模型,通常混合使用兩種不同的平台。
FMCv裝置許可證顯示為Firepower MCv裝置許可證,而FMCv300裝置許可證顯示為Firepower MCv300裝置許可證。
要管理防火牆,FMC還需要裝置許可證。
點選許可證型別有助於確定哪些的FMC正在使用這些許可證。在本示例中,FMCv-a使用五個許可證,這些許可證與FMC智慧許可證頁面相匹配。
案例4 - FTD是執行7.0版之前的虛擬平台
基本許可證將自動請求,並且不會分層。有關7.x前FTDv庫存單位(SKU)的資訊,請參閱思科網路安全訂購指南中的表60和表61。
這些是智慧帳戶中的7.x之前FTDv許可證名稱。
威脅防禦虛擬惡意軟體防護
威脅防禦虛擬URL過濾
Firepower MCv裝置許可證
Firepower威脅防禦基礎功能
威脅防禦虛擬威脅防護
Cisco AnyConnect Plus許可證
Cisco AnyConnect Apex許可證
Cisco AnyConnect VPN專用許可證
在此示例中,由於虛擬帳戶沒有足夠的許可證,惡意軟體和威脅許可證不符合合規性。
要獲得符合許可證的要求,使用者必須確保智慧許可虛擬帳戶具有足夠的可用許可證。有關7.x之前的FTDv SKU,請參閱思科網路安全訂購指南。
案例5 - FTD是執行7.0版或更新版本的虛擬平台
基本許可證基於訂用,並對映到層。虛擬帳戶必須具有FTDvs和威脅、惡意軟體和URL過濾的基本許可證授權。
當FTDv升級到7.0版或更高版本時,裝置會自動移動到FTDv — 變數層,並使用非分層授權。在本範例中,FTD從6.6.7升級為7.2.5,而智慧授權狀態顯示已授權和合規。
它繼續使用非分層授權。
如果使用者選擇(或預設為自動分配的)沒有權利的績效層,則顯示Out of Compliance狀態。
在此示例中,使用者選擇在註冊的虛擬帳戶中沒有基本惡意軟體和威脅許可證的效能層FTDv50。
虛擬帳戶必須為請求的效能層顯示更多許可證/授權。
為了符合要求,使用者必須在其虛擬智慧許可帳戶中選擇效能層授權。如果選擇了錯誤的效能層,使用者可以轉到FMC或FDM上的頁面,並將效能層調整為其虛擬帳戶中的內容。
如果虛擬智慧許可帳戶沒有為效能層選擇請求的許可證/授權,請參考場景1作為下一步。
要編輯效能層,請導航到FMC Gear Icon > Smart Licenses > Edit Performance Tier,然後選擇正確的效能層。
此表用於快速參考效能層及其相關規格、許可證和限制。
表1
| 效能層 |
裝置規格(核心/RAM) |
速率限制 |
RA VPN會話限制 |
許可證名稱 |
許可證PID |
RA VPN許可證和PID |
| FTDv5,100Mbps |
4核/8 GB |
100Mbps |
50 |
FTDv Base 100 Mbps |
FTD-V-5S-BSE-K9 |
Cisco AnyConnect Apex許可證 Cisco AnyConnect Plus許可證 Cisco AnyConnect VPN專用許可證 有關RA VPN許可證PID的資訊,請參閱思科安全客戶端訂購指南。 |
| FTDv惡意軟體100 Mbps |
FTD-V-5S-TMC |
|||||
| FTDv URL過濾100 Mbps |
||||||
| FTDv威脅防護100 Mbps |
||||||
| Firepower FTDv運營商許可證 |
FTDV-CAR |
|||||
| FTDv10,1Gbps |
4核/8 GB |
1Gbps |
250 |
FTDv Base 1 Gbps |
FTD-V-10S-BSE-K9 |
|
| FTDv惡意軟體1 Gbps |
FTD-V-10S-TMC |
|||||
| FTDv URL過濾1 Gbps |
||||||
| FTDv威脅防護1 Gbps |
||||||
| Firepower FTDv運營商許可證 |
FTDV-CAR |
|||||
| FTDv20,3Gbps |
4核/8 GB |
3Gbps |
250 |
FTDv Base 3 Gbps |
FTD-V-20S-BSE-K9 |
|
| FTDv惡意軟體3 Gbps |
FTD-V-20S-TMC |
|||||
| FTDv URL過濾3 Gbps |
||||||
| FTDv威脅防護3 Gbps |
||||||
| Firepower FTDv運營商許可證 |
FTDV-CAR |
|||||
| FTDv30,5Gbps |
8核/16 GB |
5Gbps |
250 |
FTDv Base 5 Gbps |
FTD-V-30S-BSE-K9 |
|
| FTDv惡意軟體5 Gbps |
FTD-V-30S-TMC |
|||||
| FTDv URL過濾5 Gbps |
||||||
| FTDv威脅防護5 Gbps |
||||||
| Firepower FTDv運營商許可證 |
FTDV-CAR |
|||||
| FTDv50,10Gbps |
12核/24 GB |
10Gbps |
750 |
FTDv Base 10 Gbps |
FTD-V-50S-BSE-K9 |
|
| FTDv惡意軟體10 Gbps |
FTD-V-50S-TMC |
|||||
| FTDv URL篩選10 Gbps |
||||||
| FTDv威脅防護10 Gbps |
||||||
| Firepower FTDv運營商許可證 |
||||||
| FTDv100,16Gbps |
16核/32 GB |
16Gbps |
10,000 |
FTDv Base 16 Gbps |
FTD-V-100S-BSE-K9 |
|
| FTDv惡意軟體16 Gbps |
FTD-V-100S-TMC |
|||||
| FTDv URL過濾16 Gbps |
||||||
| FTDv威脅防護16 Gbps |
||||||
| Firepower FTDv運營商許可證 |
FTDV-CAR |
|||||
| FTDv變數 |
基於裝置功能 |
基於裝置功能 |
Firepower威脅防禦基礎功能 |
|||
| 威脅防禦虛擬惡意軟體防護 |
||||||
| 威脅防禦虛擬URL過濾 |
||||||
| 威脅防禦虛擬威脅防護 |
||||||
| Firepower FTDv運營商許可證 |
FTDV-CAR |
有關FTDv效能層許可證SKU的詳細資訊,請參閱表59。思科安全防火牆威脅防禦虛擬效能分層基本訂閱和威脅、惡意軟體和URL過濾訂閱SKU
場景6 — 許可證不在正確的智慧帳戶或虛擬帳戶中
可以將產品例項轉移到正確的虛擬帳戶。
步驟 1.使用瀏覽器前往software.cisco.com
步驟 2.導航到管理許可證
步驟 3.選擇右上角下拉選單中的適當智慧帳戶,然後導航到Inventory > [Virtual Account Name] > Product Instances > Actions,然後點選Transfer > Transfer product Instance。
步驟 4.開啟該對話方塊後,選擇正確的虛擬帳戶以移動FMC或FTD產品例項。
案例7 - FMC不在正確的智慧帳戶或虛擬帳戶中
如果FMC或FTD未使用正確的智慧帳戶註冊,請從FMC智慧許可頁面按一下「註銷」圖示,從智慧軟體管理器註銷FMC。
接下來,從正確的智慧帳戶和虛擬帳戶生成令牌,並在智慧軟體管理器中註冊FMC。
場景8 — 從智慧帳戶中刪除產品例項以進行開箱管理
這並不適用於FMC管理的裝置,因為FMC僅獲取其管理的裝置的許可證。
如果裝置在重新映像時未從智慧帳戶中註銷許可證,則可能會出現許可證過度使用的情況。
步驟 1.導航到智慧帳戶產品例項,以使用主機名標識該例項
步驟 2.按一下Actions >> Remove。
步驟 3.按一下「刪除產品例項」按鈕。
如果列出的方案均無幫助,您可以聯絡思科技術支援中心。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
15-Jan-2024 |
初始版本 |
意見