المقدمة
يصف هذا المستند تكوين تسجيل الترخيص الذكي لمركز إدارة FirePOWER على الأجهزة المدارة للدفاع ضد تهديد FirePOWER.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
وحدة التحكم في إدارة الهيكل (FMC) وميزة FTD وتسجيل الترخيص الذكي.
يتم إجراء تسجيل الترخيص الذكي على مركز إدارة FirePOWER (FMC). تتصل وحدة التحكم في إدارة الإطارات (FMC) ببوابة مدير البرامج الذكية (CSSM) من Cisco عبر الإنترنت. في CSSM، يدير مسؤول جدار الحماية الحساب الذكي وتراخيصه. يمكن لوحدة التحكم في إدارة اللوحة الأساسية (FMC) تعيين التراخيص وحذفها بحرية لأجهزة الدفاع عن تهديد "الحماية من تهديد الطاقة النارية" (FTD) المدارة. بمعنى آخر، تعمل وحدة التحكم في إدارة الإطارات (FMC) على إدارة تراخيص أجهزة FTD مركزيا.
يلزم ترخيص إضافي لاستخدام ميزات معينة لأجهزة FTD. يتم توثيق أنواع التراخيص الذكية التي يمكن للعملاء تعيينها لجهاز FTD في أنواع تراخيص FTD وقيودها.
يتم تضمين الترخيص الأساسي في جهاز FTD. يتم تسجيل هذا الترخيص تلقائيا في "الحساب الذكي" عند تسجيل FMC في CSSM.
التراخيص المستندة إلى المصطلحات: يعد التهديد والبرامج الضارة وتصفية عناوين URL إختيارية. لاستخدام الميزات المتعلقة بالترخيص، يجب تعيين ترخيص لجهاز FTD.
لاستخدام Firepower Management Center Virtual (FMCv) لإدارة FTD، يلزم أيضا ترخيص جهاز FirePOWER MCv في CSSM ل FMCv.
يتم تضمين ترخيص FMCv في البرنامج، وهو دائم.
بالإضافة إلى ذلك، يتم توفير السيناريوهات في هذا المستند للمساعدة في أستكشاف أخطاء تسجيل الترخيص الشائعة التي يمكن أن تحدث وإصلاحها.
للحصول على مزيد من التفاصيل حول التراخيص، راجع تراخيص ميزة نظام FirePOWER من Cisco والأسئلة المتداولة (الأسئلة المتداولة) حول ترخيص FirePOWER.
تسجيل الترخيص الذكي ل FMC
المتطلبات الأساسية
1. لتسجيل الترخيص الذكي، يجب على FMC الوصول إلى الإنترنت. نظرا لأنه يتم تبادل الشهادة بين FMC وسحابة الترخيص الذكي باستخدام HTTPS، تأكد من عدم وجود جهاز في المسار يمكن أن يؤثر/يعدل الاتصال. (على سبيل المثال، جدار الحماية والوكيل وجهاز فك تشفير SSL وما إلى ذلك).
2. قم بالوصول إلى CSSM وأصدر معرف الرمز المميز من المخزون > عام > زر الرمز المميز الجديد، كما هو موضح في هذه الصورة.
لاستخدام تشفير قوي، قم بتمكين وظيفة "السماح بالتحكم في التصدير" على المنتجات المسجلة باستخدام خيار الرمز المميز هذا. عند تمكين هذا الخيار، تظهر علامة إختيار في خانة الاختيار.
3. حدد إنشاء رمز مميز.
تسجيل الترخيص الذكي ل FMC
انتقل إلى النظام>التراخيص > التراخيص الذكية على FMC، وحدد زر التسجيل، كما هو موضح في هذه الصورة.
أدخل معرف الرمز المميز في نافذة تسجيل منتجات الترخيص الذكي وحدد تطبيق التغييرات، كما هو موضح في هذه الصورة.
إذا نجح تسجيل الترخيص الذكي، تظهر حالة تسجيل المنتج مسجلة، كما هو موضح في هذه الصورة.
لتعيين ترخيص قائم على المصطلحات لجهاز FTD، حدد تحرير التراخيص. ثم حدد جهازا مدار وأضفه إلى قسم الأجهزة التي تحتوي على ترخيص. أخيرا، حدد الزر تطبيق كما هو موضح في هذه الصورة.
التأكيد في جانب مدير البرامج الذكية (SSM)
يمكن تأكيد نجاح تسجيل الترخيص الذكي ل FMC من المخزون > سجل الأحداث في CSSM، كما هو موضح في هذه الصورة.
يمكن تأكيد حالة تسجيل FMC من المخزون > مثيلات المنتج. تحقق من سجل الأحداث من علامة التبويب سجل الأحداث. يمكن التحقق من تسجيل الترخيص الذكي وحالة الاستخدام من المخزون > علامة التبويب التراخيص. تحقق من إستخدام الترخيص المستند إلى المصطلحات الذي تم شراؤه بشكل صحيح ومن عدم وجود تنبيهات تشير إلى عدم كفاية التراخيص.
إلغاء تسجيل الترخيص الذكي ل FMC
إلغاء تسجيل FMC من Cisco SSM
لتحرير الترخيص لسبب ما أو إستخدام رمز مميز مختلف، انتقل إلى النظام > التراخيص > التراخيص الذكية وحدد زر إلغاء التسجيل، كما هو موضح في هذه الصورة.
إزالة التسجيل من جانب SSM
قم بالوصول إلى مدير البرامج الذكية (Cisco Smart Software Manager) ومن المخزون > مثيلات المنتج، حدد Remove في وحدة التحكم في الإطارات (FMC) الهدف. ثم حدد إزالة مثيل المنتج لإزالة FMC وإصدار التراخيص المخصصة، كما هو موضح في هذه الصورة.
RMA
إذا تم إرجاع وحدة التحكم في إدارة اللوحة الأساسية (FMC)، فقم بإلغاء تسجيل وحدة التحكم في إدارة اللوحة الأساسية (FMC) من Cisco Smart Software Manager (CSSM) باستخدام الخطوات الواردة في القسم FMC Smart License De-Register (إلغاء تسجيل الترخيص الذكي) > إزالة التسجيل من جانب SSM ثم إعادة تسجيل وحدة التحكم في إدارة اللوحة الأساسية (FMC) باستخدام CSSM باستخدام الخطوات الواردة في القسم FMC Smart License Register (تسجيل الترخيص الذكي).
استكشاف الأخطاء وإصلاحها
التحقق من مزامنة الوقت
قم بالوصول إلى واجهة سطر الأوامر (CLI) الخاصة بوحدة التحكم في الإدارة الأساسية (FMC) (على سبيل المثال، SSH) وتأكد من صحة الوقت ومن مزامنته مع خادم NTP موثوق به. نظرا لأن الشهادة تستخدم لمصادقة الترخيص الذكي، فمن المهم أن تحتوي FMC على معلومات الوقت الصحيحة:
admin@FMC:~$ date
Thu Jun 14 09:18:47 UTC 2020
admin@FMC:~$
admin@FMC:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*10.0.0.2 171.68.xx.xx 2 u 387 1024 377 0.977 0.469 0.916
127.127.1.1 .SFCL. 13 l - 64 0 0.000 0.000 0.000
من واجهة مستخدم FMC، تحقق من قيم خادم NTP من النظام > التكوين > مزامنة الوقت.
قم بتمكين تحليل الاسم والتحقق من إمكانية الوصول إلى tools.cisco.com (smartreceiver.cisco.com من FMC 7.3+)
تأكد من أنه يمكن لوحدة التحكم في الوصول (FMC) حل شبكة FQDN ولها إمكانية الوصول إلى tools.cisco.com (smartreceiver.cisco.com من FMC 7.3 فصاعدا وفقا لمعرف تصحيح الأخطاء من Cisco CSCwj95397
> expert
admin@FMC2000-2:~$ sudo su
Password:
root@FMC2000-2:/Volume/home/admin# ping tools.cisco.com
PING tools.cisco.com (173.37.145.8) 56(84) bytes of data.
64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=1 ttl=237 time=163 ms
64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=2 ttl=237 time=163 ms
من واجهة مستخدم FMC، تحقق من إدارة IP وخادم DNS من النظام > تكوين > واجهات الإدارة.
تحقق من وصول HTTPS (TCP 443) من FMC إلى tools.cisco.com (smartreceiver.cisco.com من FMC 7.3+)
أستخدم الأمر telnet أو curl لضمان أن FMC لديه وصول HTTPS إلى tools.cisco.com (smartreceiver.cisco.com من FMC 7.3+). إذا تم قطع اتصال TCP 443، فتحقق من عدم حظره بواسطة جدار حماية ومن عدم وجود جهاز فك تشفير SSL في المسار.
root@FMC2000-2:/Volume/home/admin# telnet tools.cisco.com 443
Trying 72.163.4.38...
Connected to tools.cisco.com.
Escape character is '^]'.
^CConnection closed by foreign host. <--- Press Ctrl+C
إختبار الالتفاف:
root@FMC2000-2:/Volume/home/admin# curl -vvk https://tools.cisco.com
* Trying 72.163.4.38...
* TCP_NODELAY set
* Connected to tools.cisco.com (72.163.4.38) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=CA; L=San Jose; O=Cisco Systems, Inc.; CN=tools.cisco.com
* start date: Sep 17 04:00:58 2018 GMT
* expire date: Sep 17 04:10:00 2020 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID SSL ICA G2
* SSL certificate verify ok.
> GET / HTTP/1.1
> Host: tools.cisco.com
> User-Agent: curl/7.62.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Wed, 17 Jun 2020 10:28:31 GMT
< Last-Modified: Thu, 20 Dec 2012 23:46:09 GMT
< ETag: "39b01e46-151-4d15155dd459d"
< Accept-Ranges: bytes
< Content-Length: 337
< Access-Control-Allow-Credentials: true
< Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
< Access-Control-Allow-Headers: Content-type, fromPartyID, inputFormat, outputFormat, Authorization, Content-Length, Accept, Origin
< Content-Type: text/html
< Set-Cookie: CP_GUTC=10.163.4.54.1592389711389899; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Set-Cookie: CP_GUTC=10.163.44.92.1592389711391532; path=/; expires=Mon, 16-Jun-25 10:28:31 GMT; domain=.cisco.com
< Cache-Control: max-age=0
< Expires: Wed, 17 Jun 2020 10:28:31 GMT
<
<html>
<head>
<script language="JavaScript">
var input = document.URL.indexOf('intellishield');
if(input != -1) {
window.location="https://intellishield.cisco.com/security/alertmanager/";
}
else {
window.location="http://www.cisco.com";
};
</script>
</head>
<body>
<a href="http://www.cisco.com">www.cisco.com</a>
</body>
</html>
* Connection #0 to host tools.cisco.com left intact
root@FMC2000-2:/Volume/home/admin#
التحقق من صحة DNS
تحقق من الحل الناجح على tools.cisco.com (smartreceiver.cisco.com من FMC 7.3+):
root@FMC2000-2:/Volume/home/admin# nslookup tools.cisco.com
Server: 192.0.2.100
Address: 192.0.2.100#53
Non-authoritative answer:
Name: tools.cisco.com
Address: 72.163.4.38
التحقق من الوكيل
إذا تم إستخدام apProxy، فتحقق من القيم الموجودة على كل من FMC وخادم الوكيل. على وحدة التحكم في إدارة اللوحة الأساسية (FMC)، تحقق مما إذا كانت وحدة التحكم في إدارة اللوحة الأساسية (FMC) تستخدم بروتوكول IP للخادم الوكيل والمنفذ الصحيحين.
root@FMC2000-2:/Volume/home/admin# cat /etc/sf/smart_callhome.conf
KEEP_SYNC_ACTIVE:1
PROXY_DST_URL:https://tools.cisco.com/its/service/oddce/services/DDCEService
PROXY_SRV:192.0.xx.xx
PROXY_PORT:80
في واجهة مستخدم FMC، يمكن تأكيد قيم الوكيل من النظام > التكوين > واجهات الإدارة.
إذا كانت القيم الجانبية ل FMC صحيحة، فتحقق من القيم جانب الخادم الوكيل (على سبيل المثال، إذا كان الخادم الوكيل يسمح بالوصول من FMC وإلى tools.cisco.com. بالإضافة إلى ذلك، قم بالسماح بحركة المرور وتبادل الشهادات عبر الوكيل. تستخدم وحدة التحكم في إدارة الاتصالات (FMC) شهادة لتسجيل الترخيص الذكي).
معرف الرمز المميز الذي انتهت مدة صلاحيته
تحقق من عدم انتهاء صلاحية معرف الرمز المميز الصادر. في حالة انتهاء صلاحيته، اطلب من مسؤول "إدارة البرامج الذكية" إصدار رمز مميز جديد وإعادة تسجيل الترخيص الذكي باستخدام معرف الرمز المميز الجديد.
تغيير بوابة FMC
قد تكون هناك حالات لا يمكن فيها إجراء مصادقة الترخيص الذكي بشكل صحيح بسبب تأثيرات وكيل ترحيل أو جهاز فك تشفير SSL. قم بتغيير مسار وصول FMC إلى الإنترنت، إن أمكن، لتجنب هذه الأجهزة، وأعد محاولة تسجيل "الترخيص الذكي".
راجع أحداث الحماية على FMC
على FMC، انتقل إلى System > Health > Events وفحص حالة وحدة مراقبة الترخيص الذكي للأخطاء. على سبيل المثال، إذا فشل الاتصال نتيجة لشهادة منتهية الصلاحية، يتم إنشاء خطأ مثل معرف منتهي الصلاحية كما هو موضح في هذه الصورة.
التحقق من سجل الأحداث على جانب SSM
إذا كان بإمكان FMC الاتصال ب CSSM، فتحقق من سجل الأحداث الخاص بالاتصال في المخزون > سجل الأحداث. تحقق من وجود سجلات أحداث أو سجلات أخطاء من هذا القبيل في CSSM. إذا لم تكن هناك مشكلة في قيم/تشغيل موقع FMC، ولا يوجد سجل أحداث على جانب CSSM، فهناك إمكانية أن تكون مشكلة في المسار بين FMC و CSSM.
المشكلات الشائعة
يذكر موجز التسجيل والإذن:
حالة تسجيل المنتج |
حالة تفويض الاستخدام |
التعليقات |
غير مسجل |
— |
لا يكون FMC في وضع "مسجل" ولا في وضع "التقييم". هذه هي الحالة الأولية بعد تثبيت FMC أو بعد انتهاء صلاحية ترخيص التقييم لمدة 90 يوما. |
مسجل |
مُفوض |
تم تسجيل وحدة التحكم في إدارة الإطارات (FMC) مع مدير البرامج الذكية (CSSM) من Cisco وهناك أجهزة FTD مسجلة باشتراك صالح. |
مسجل |
انتهت صلاحية التفويض |
فشلت FMC في الاتصال بخلفية ترخيص Cisco لأكثر من 90 يوما. |
مسجل |
غير مسجل |
تم تسجيل وحدة التحكم في إدارة الإطارات (FMC) مع مدير البرامج الذكية (CSSM) من Cisco، ولكن لا توجد أجهزة FTD مسجلة على وحدة التحكم في الإدارة الأساسية (FMC). |
مسجل |
عدم الامتثال |
تم تسجيل FMC مع إدارة البرامج الذكية (CSSM) من Cisco، ولكن هناك أجهزة FTD مسجلة باشتراك (اشتراكات) غير صالح. على سبيل المثال، يستخدم جهاز FTD (FP4112) اشتراك التهديد، ولكن باستخدام مدير البرنامج الذكي (CSSM) من Cisco لا توجد اشتراكات تهديد متاحة ل FP4112. |
التقييم (90 يوما) |
غير متوفر |
فترة التقييم قيد الاستخدام، ولكن لا توجد أجهزة FTD مسجلة على FMC. |
دراسة حالة 1. رمز مميز غير صالح
العرض: يفشل التسجيل إلى CSSM بسرعة (~10) بسبب رمز مميز غير صالح، كما هو موضح في هذه الصورة.
الحل: أستخدم رمزا مميزا صالحا.
دراسة حالة 2. DNS غير صالح
العرض: فشل التسجيل إلى CSSM بعد فترة (~25 ثانية)، كما هو موضح في هذه الصورة.
تحقق من ملف /var/log/process_stdout.log. يتم عرض مشكلة DNS:
root@FMC2000-2:/Volume/home/admin# cat /var/log/process_stdout.log
2020-06-25 09:05:21 sla[24043]: *Thu Jun 25 09:05:10.989 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494],
failed to perform, err code 6, err string "Couldn't resolve host name"
الحل: فشل تحليل اسم المضيف CSSM. الحل هو تكوين DNS، في حالة عدم تكوينه، أو إصلاح مشاكل DNS.
دراسة الحالة 3. قيم الوقت غير صالحة
العرض: فشل التسجيل إلى CSSM بعد فترة (~25 ثانية)، كما هو موضح في هذه الصورة.
تحقق من ملف /var/log/process_stdout.log. تظهر مشاكل الشهادة:
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_request_init[59], request "POST", url "https://tools.cisco.com/its/service/oddce/services/DDCEService"
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[299], https related setting
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_post_prepare[302], set ca info
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:39.716 UTC: CH-LIB-TRACE: ch_pf_curl_head_init[110], init msg header
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg[494],
failed to perform, err code 60, err string "SSL peer certificate or SSH remote key was not OK"
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_http_unlock[330], unlock http mutex.
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_send_http[365], send http msg, result 30
2021-06-25 09:22:51 sla[24043]: *Fri Jun 25 09:22:40.205 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue[514],
cert issue checking, ret 60, url https://tools.cisco.com/its/service/oddce/services/DDCEService
تحقق من قيمة وقت FMC:
root@FMC2000-2:/Volume/home/admin# date
Fri Jun 25 09:27:22 UTC 2021
دراسة حالة 4. لا يوجد اشتراك
في حالة عدم وجود اشتراك ترخيص لميزة معينة، لا يمكن نشر FMC:
الحل: يلزم شراء الاشتراك المطلوب وتطبيقه على الجهاز.
دراسة حالة 5. عدم التوافق (OOC)
إذا لم يكن هناك إستحقاق لاشتراكات FTD، فإن الترخيص الذكي ل FMC يذهب إلى حالة عدم التوافق (OOC):
في CSSM، تحقق من التنبيهات بحثا عن أخطاء:
دراسة الحالة 6. لا يوجد تشفير قوي
في حالة إستخدام الترخيص الأساسي فقط، يتم تمكين تشفير معيار تشفير البيانات (DES) في محرك FTD LINA. في هذه الحالة، تفشل عمليات النشر مثل الشبكة الخاصة الظاهرية (VPN) التي تعمل بتقنية L2L مع خوارزميات أقوى:
الحل: قم بتسجيل FMC في CSSM مع تمكين سمة تشفير قوية.
ملاحظات إضافية
تعيين إعلام حالة الترخيص الذكي
إعلام البريد الإلكتروني بواسطة SSM
على جانب SSM، يتيح إعلام SSM عبر البريد الإلكتروني إستقبال رسائل البريد الإلكتروني الموجزة لمختلف الأحداث. على سبيل المثال، الإخطار بعدم وجود تراخيص أو تراخيص على وشك انتهاء صلاحيتها. يمكن تلقي إعلامات باتصال مثيل المنتج أو فشل التحديث.
تعد هذه الوظيفة مفيدة للغاية لملاحظة ومنع حدوث قيود وظيفية بسبب انتهاء صلاحية الترخيص.
الحصول على إعلامات التنبيه الصحي من FMC
على جانب FMC، من الممكن تكوين تنبيه مراقب صحي وتلقي إعلام تنبيه بحدث صحي. تتوفر مراقبة الترخيص الذكي للوحدة للتحقق من حالة الترخيص الذكي. يدعم تنبيه الشاشة Syslog والبريد الإلكتروني وملائمة SNMP.
هذا مثال تكوين للحصول على رسالة Syslog عند حدوث حدث مراقبة الترخيص الذكي:
هذا مثال على تنبيه صحي:
رسالة syslog التي تم إنشاؤها بواسطة FMC هي:
Mar 13 18:47:10 xx.xx.xx.xx Mar 13 09:47:10 FMC : HMNOTIFY: Smart License Monitor (Sensor FMC): Severity: critical: Smart License usage is out of compliance
ارجع إلى مراقبة الصحة للحصول على تفاصيل إضافية حول تنبيهات Health Monitor.
وحدات FMCs متعددة على نفس الحساب الذكي
عند إستخدام العديد من وحدات التحكم في الوصول إلى البنية الأساسية (FMC) على نفس "الحساب الذكي"، يجب أن يكون كل اسم مضيف ل FMC فريدا. عند إدارة العديد من وحدات التحكم في إدارة الهيكل (FMC) في CSSM، لتمييز كل وحدة تحكم في الإدارة الأساسية (FMC)، يجب أن يكون اسم المضيف لكل وحدة تحكم في الإدارة الأساسية (FMC) فريدا. وهذا مفيد لصيانة الترخيص الذكي من FMC قيد التشغيل.
يجب أن تحافظ وحدة التحكم في إدارة الهيكل (FMC) على الاتصال بالإنترنت
بعد التسجيل، تتحقق FMC من مجموعة الترخيص الذكي وحالة الترخيص كل 30 يوما. إذا تعذر على FMC الاتصال لمدة 90 يوما، يتم الاحتفاظ بالوظيفة المرخصة، ولكنها تظل في حالة انتهاء صلاحية التخويل. حتى في هذه الحالة، تحاول FMC الاتصال بسحابة الترخيص الذكي باستمرار.
نشر العديد من وحدات FMCv
عند إستخدام نظام FirePOWER في بيئة افتراضية، لا يتم دعم النسخ (ساخن أو بارد) بشكل رسمي. كل Firepower Management Center Virtual (FMCv) فريد لأنه يحتوي على معلومات مصادقة بداخله. لنشر العديد من برامج FMCv، يجب إنشاء برنامج FMCv من ملف Open Virtualization Format (OVF) واحد في كل مرة. لمزيد من المعلومات حول هذا التحديد، ارجع إلى Cisco Firepower Management Center Virtual للحصول على دليل البدء السريع لنشر VMware.
الأسئلة المتكررة (FAQs)
في FTD HA، ما هو عدد تراخيص الأجهزة المطلوبة؟
عند إستخدام فتحتي FTD في حالة توفر عال، يلزم توفر ترخيص لكل جهاز. على سبيل المثال، يلزم توفر ترخيصين للتهديدات والبرامج الضارة إذا تم إستخدام نظام الحماية المتطفل (IPS) وميزة الحماية المتقدمة من البرامج الضارة (AMP) على زوج الأجهزة فائقة التوفر (FTD).
لماذا لا يتم إستخدام تراخيص AnyConnect من قبل FTD؟
بعد تسجيل FMC في الحساب الذكي، تأكد من تمكين ترخيص AnyConnect. لتمكين الترخيص، انتقل إلىFMC > الأجهزة، أختر جهازك، وحدد الترخيص. حدد أيقونة القلم الرصاص، أختر الترخيص الذي يتم إيداعه في الحساب الذكي، وحدد حفظ.
لماذا يتم إستخدام ترخيص AnyConnect واحد فقط في "الحساب الذكي" عند اتصال 100 مستخدم؟
هذا سلوك متوقع، حيث يتتبع "الحساب الذكي" عدد الأجهزة التي تم تمكين هذا الترخيص بها، وغير المستخدمين النشطين.
لماذا يوجد الخطأ Device does not have the AnyConnect License
بعد تكوين شبكة VPN للوصول عن بعد ونشرها بواسطة FMC؟
تأكد من تسجيل FMC في سحابة الترخيص الذكي. السلوك المتوقع هو عدم إمكانية نشر تكوين الوصول عن بعد عندما تكون وحدة التحكم في إدارة اللوحة الأساسية (FMC) غير مسجلة أو في وضع "التقييم". إذا تم تسجيل وحدة التحكم في إدارة اللوحة الأساسية (FMC)، فتأكد من وجود ترخيص AnyConnect في حسابك الذكي ويتم تعيينه للجهاز.
لتعيين ترخيص، تبحر إلىأجهزة FMC، حدد جهازك، الترخيص (أيقونة القلم الرصاص). أختر الترخيص في "الحساب الذكي" وحدد حفظ.
لماذا يوجد الخطأ Remote Access VPN with SSL cannot be deployed when Export-Controlled Features (Strong-crypto) are disabled
عند نشر تكوين شبكة VPN للوصول عن بعد؟
تتطلب شبكة VPN للوصول عن بعد التي تم نشرها على FTD تمكين ترخيص تشفير قوي. إينمن المؤكد أنه تم تمكين ترخيص تشفير قوي على FMC. للتحقق من حالة ترخيص التشفير القوي، تبحر إلى نظام FMC > التراخيص > الترخيص الذكيوالتحقق من تمكين الميزات التي يتم التحكم فيها عن طريق التصدير.
كيف يمكن تمكين ترخيص تشفير قوي في حالة Export-Controlled Features
تعطيله؟
يتم تمكين هذه الوظيفة تلقائيا إذا كان للرمز المميز المستخدم أثناء تسجيل FMC إلى سحابة الحساب الذكي خيار السماح بالوظيفة التي يتم التحكم فيها بالتصدير على المنتجات المسجلة بهذا الرمز المميز ممكنة. إذا لم يتم تمكين هذا الخيار على الرمز المميز، فقم بإلغاء تسجيل FMC وقم بتسجيله مرة أخرى مع تمكين هذا الخيار.
ماذا يمكن فعله إذا لم يكن الخيار 'السماح بوظائف التحكم في التصدير على المنتجات المسجلة مع هذا الرمز المميز' متوفرا عند إنشاء الرمز المميز؟
اتصل بفريق حساب Cisco.
لماذا لم يتم تلقي الخطأ "التشفير القوي (أي خوارزمية التشفير الأكبر من DES)" لطبولوجيا VPN s2s؟
يتم عرض هذا الخطأ عندما تستخدم FMC وضع التقييم أو أن حساب الترخيص الذكي لا يحق له الحصول على ترخيص تشفير قوي. Vتأكد من تسجيل FMC لدى سلطة الترخيص وتم تمكين السماح بوظائف التحكم في التصدير للمنتجات المسجلة مع هذا الرمز المميز. إذا لم يتم السماح للحساب الذكي باستخدام ترخيص تشفير قوي، لا يتم السماح بنشر تكوين VPN من موقع إلى موقع مع شفرات أقوى من DES.
لماذا تم تلقي حالة "عدم الامتثال" على FMC؟
يمكن أن يصبح الجهاز غير متوافق عندما يستخدم أحد الأجهزة المدارة تراخيص غير متوفرة.
كيف يمكن تصحيح حالة "عدم التوافق"؟
اتبع الخطوات الموضحة في دليل تكوين FirePOWER:
1. راجع قسم التراخيص الذكية في أسفل الصفحة لتحديد التراخيص المطلوبة.
2. شراء التراخيص المطلوبة من خلال قنواتك المعتادة.
3. في مدير البرامج الذكية من Cisco (https://software.cisco.com/#SmartLicensing-Inventory)، تحقق من ظهور التراخيص في حسابك الظاهري.
4. في FMC، حدد النظام > التراخيص > التراخيص الذكية.
5. حدد إعادة تخويل.
ويمكن العثور على الإجراء الكامل في ترخيص نظام FirePOWER.
ما هي ميزات قاعدة الدفاع ضد التهديد الخاص بقوة النيران؟
يسمح الترخيص الأساسي:
- تكوين أجهزة FTD للمحول والتوجيه (والذي يتضمن ترحيل DHCP و NAT).
- تهيئة أجهزة FTD في وضع التوفر العالي (HA).
- تكوين وحدات الأمان كمجموعة داخل هيكل Firepower 9300 (مجموعة داخل الهيكل).
- تكوين الأجهزة من السلسلة Firepower 9300 أو Firepower 4100 (FTD) كمجموعة (نظام مجموعة هيكلي داخلي).
- تكوين التحكم في المستخدم والتطبيق وإضافة شروط خاصة بالمستخدم والتطبيق للوصول إلى قواعد التحكم.
كيف يمكن الحصول على ترخيص لميزات قاعدة الدفاع ضد تهديدات الحماية من FirePOWER؟
يتم تضمين ترخيص أساسي تلقائيا مع كل عملية شراء لجهاز الدفاع ضد تهديد الحماية من FirePOWER أو جهاز الدفاع الظاهري من FirePOWER. تتم إضافتها تلقائيا إلى حسابك الذكي عند تسجيل FTD في FMC.
ما هي عناوين IP التي يجب السماح بها في المسار بين FMC وسحابة الترخيص الذكي؟
تستخدم FMC عنوان IP على المنفذ 443 للاتصال بسحابة الترخيص الذكي.
عنوان IP هذا (https://tools.cisco.com)إلى عناوين IP التالية:
بالنسبة لإصدارات FMC الأعلى من 7.3، تتصل ب https://smartreceiver.cisco.com التي تحل إلى عناوين IP التالية:
معلومات ذات صلة