Dépannage de la licence Smart dans l'appliance Web sécurisé
Table des matières
Introduction
Ce document décrit les étapes de configuration et de dépannage de la licence Smart dans l'appareil Web sécurisé (SWA).
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Fonctionnement de la licence Smart.
- Administration sécurisée des appareils Web (SWA).
Cisco recommande que vous ayez :
- Appareil Web sécurisé physique ou virtuel (SWA) installé.
- Accès administratif au SWA.
- Accès au portail des licences Smart.
Composants utilisés
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Licence Cisco Smart
Les licences Smart permettent de :
- Gérez toutes vos licences de produit depuis un emplacement centralisé
- Normalise le processus entre l'appliance de sécurité de la messagerie électronique physique et virtuelle (ESA) / l'appliance de gestion de la sécurité (SMA) / l'appliance SWA, en utilisant une seule méthode pour appliquer et gérer les licences
- Appliquer facilement une licence à votre ESA/SMA/SWA
- Recevoir des alertes relatives à l'expiration de la licence
- Le modèle matériel ESA/SMA/SWA prêt à l'emploi dispose d'une période d'évaluation de 90 jours pour tous les services
Pour enregistrer le SWA avec la licence Smart, le propriétaire de l'appliance doit disposer d'un compte Smart.
- Les comptes Smart sont attribués un par domaine.
- L'administrateur du compte Smart peut créer des comptes virtuels de sous-niveau qui permettent la séparation des ressources.
- Les comptes virtuels peuvent être utilisés pour restreindre l'accès à différentes licences de produit Cisco, en fonction de vos besoins.
- Accédez à Cisco Smart Software Manager (CSSM) pour gérer les licences et télécharger les jetons.
Les liens vers les ressources fournies par Cisco incluent des vidéos, des guides et des explications sur les licences Smart :
- Créer un nouveau compte Smart ou Demander à ajouter un utilisateur à un compte existant
- Présentation des licences logicielles Smart Page Web Cisco
- Guide de déploiement des licences Smart
- Cisco Smart Software Manager (CSSM)
- Générer un fichier de clé de licence à partir du fichier PAK pour la sécurité de la messagerie - Cisco
Smart Software Manager Satellite
Cisco Smart Software Manager satellite est un composant de Cisco Smart Licensing.
CSSM Satellite travaille en collaboration avec CSSM pour gérer les licences de produits, fournir une visibilité et des rapports en temps quasi réel sur les licences Cisco utilisées.
Pour des raisons de sécurité, si vous ne souhaitez pas gérer la base installée avec Smart Software Manager résidant sur Cisco.com, vous pouvez choisir d'installer le satellite Smart Software Manager sur site.
Pour plus d'informations sur Smart Software Manager Satellite, veuillez consulter ce lien : Cisco Smart Software Manager - Cisco .
Définitions relatives à la licence Smart
Types de licence :
- La licence classique (CL) fait référence aux méthodes traditionnelles utilisées pour les licences matérielles et virtuelles.
- Licence Smart (SL)
License Authorization Status : état d'une licence donnée au sein de l'appliance.
- ESA/SWA/SMA n'affiche pas la date d'expiration réelle sur la page des licences Smart.
- Emplacement : GUI > Administration système > Licences.
- Emplacement : CLI > license_smart > SUMMARY.
L'état d'une fonction spécifique apparaît avec l'une des valeurs suivantes :
- Eval :
- Le service SL a été activé sur un nouveau ESA/SMA (matériel) sans enregistrement de jeton
- Le service SL a été activé sur un appareil sur lequel CL est actuellement installé
- Expiration de l'évaluation : la licence Smart d'évaluation de 90 jours a expiré et l'appliance est passée à la période de grâce supplémentaire de 30 jours
- En conformité : l'appliance a été enregistrée avec un jeton et la fonctionnalité utilise actuellement une licence valide
- La non-conformité (délai de grâce) peut être observée dans 2 scénarios :
- Une demande de licence de fonction temporaire de 30 jours en un clic est en cours d'utilisation
- Une licence a expiré sur l'appliance et le délai de grâce de 30 jours a commencé
- Non conforme (expiré) : licence totalement expirée et le service associé cesse de fonctionner
Remarque : une clé perpétuelle indique qu'il n'y a pas de période d'expiration pour cette fonctionnalité. Une clé Dormant indique que la fonctionnalité elle-même dispose d'un contrat de licence utilisateur final (CLUF) qui doit être accepté ou que la fonctionnalité doit être configurée et activée. Une fois terminée, la fonction passe à Active et le compteur d'expiration commence.
Configuration de la licence Smart dans Secure Web Appliance
Vous pouvez connecter SWA à une licence Smart via l'interface graphique utilisateur (GUI) et l'interface de ligne de commande (CLI).
Avant de commencer
Attention : l'activation de la fonction de licence Smart sur ESA/SMA/SWA est permanente et ne permet pas de rétablir une appliance en mode de licence classique.
- Tous les modèles matériels SWA achetés incluent des licences d'évaluation de 90 jours pour toutes les fonctionnalités.
- Tous les modèles matériels qui migrent avec les licences classiques (CL) actuelles vers les licences Smart reçoivent des licences d'évaluation de 90 jours.
- Tous les modèles Virtual SWA nécessitent une licence virtuelle de base (VLN) qui est un fichier XML, chargé sur l'appliance à partir de la commande CLI (Command Line Interface) loadlicense, pour établir une liaison avec le serveur de mise à niveau/mise à jour.
- Tous les modèles Virtual SWA, une fois créés, n'incluent PAS de licences de 90 jours et nécessitent une inscription par le fichier VLN de licence classique (parfois appelé XML).
- Tous les modèles Virtual SWA qui migrent avec les licences classiques (CL) actuelles incluent des licences d'évaluation de 90 jours.
- Actuellement, SWA dispose d'une licence Smart dans toutes les versions en tant que fonctionnalité facultative.
- Une fois la licence Smart activée, la licence Classic n'est plus utilisée dans cette zone.
- La licence classique ne peut pas être conservée une fois la licence Smart activée.
- Dans la version 15.0 de SWA et les versions plus récentes, il est possible d'activer directement la licence Smart sans activer la licence classique. Ici, les licences doivent être achetées et configurées pour utiliser le SWA avec la licence Smart.
- À partir de la version 15.0, il existe une période de grâce de 30 jours pour la nouvelle installation et l'enregistrement de la licence Smart sans activation de licence classique.
- Dans la dernière version de la version 15.1, la licence Smart est obligatoire pour permettre à SWA de fonctionner correctement. En outre, toutes les fonctionnalités liées aux licences classiques sont supprimées dans la dernière version.
- La mise à niveau vers les versions de licence Smart de SWA est restreinte au moment du téléchargement si la licence Smart n'est pas activée dans la version de base.
Modifications de l'interface CLI et GUI
Quatre commandes ont été utilisées dans CLI for Classic License. Par conséquent, dans les versions Smart License Mandat (15.1 et ultérieures), ces commandes sont supprimées.
Liste des commandes CLI supprimées :
- licence de chargement
- show license
- feature key
- feature keyconfig
Dans l'interface graphique utilisateur de la licence classique, deux pages sont mentionnées dans l'onglet Administration système. Par conséquent, dans les versions Smart License Mandat, les pages sont supprimées.
Liste des pages GUI supprimées :
- Paramètres des touches de fonction
- Touche de fonction
Réinitialiser et recharger
La réinitialisation de la configuration dans SWA permet d'effectuer une réinitialisation en usine lorsque la totalité de la configuration est effacée et que SWA revient à son état d'usine.
Avec le mandat de licence Smart, le même comportement est conservé.
Reload est une commande masquée de l'interface de ligne de commande qui efface les données de configuration et supprime également les clés de fonction. Si SWA a été enregistré avec une licence classique et qu'il effectue un rechargement, rechargez la licence.
Si SWA a été configuré avec la licence Smart, après le rechargement, la licence Smart est désenregistrée et désactivée, ainsi que la réinitialisation d'usine dans le comportement SWA actuel.
Dans les versions de génération de mandat SWA, Smart License ne revient jamais à l'état disable, donc la commande reload efface toute configuration.
La licence Smart reste à l'état Registered. Par conséquent, demandez à nouveau toutes les licences.
Exigences de communication
Communication réseau ou proxy vers smartreceive.cisco.com sur le port TCP 443.
Pour tester la connectivité à partir de SWA, procédez comme suit :
Étape 1. Connectez-vous à l'interface CLI.
Étape 2. Tapez telnet et appuyez sur Entrée.
Étape 3. Sélectionnez l'interface que vous attendez de la connexion SWA au serveur de licences Smart.
Étape 4. Tapez smartreceive.cisco.com et appuyez sur Entrée.
Étape 5. Dans la section port, tapez 443 et appuyez sur Entrée.
Remarque : si vous avez configuré Smart Software Manager Satellite, ajoutez l'URL (Uniform Resource Locator) ou l'adresse IP (Internet Protocol) associée à ce serveur à l'étape 4.
Voici un exemple de connexion réussie :
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 4
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
Connected to smartreceiver.cisco.com.
Escape character is '^]'.Voici l'exemple d'échec de connexion :
SWA_CLI> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 2
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
telnet: connect to address 10.112.59.81: Operation timed out
Trying 2a04:e4c7:fffe::f...
bind: Invalid argumentRemarque : pour quitter Telnet, si ctrl+c ne fonctionne pas, maintenez la touche Ctrl enfoncée et appuyez sur ] puis tapez q et appuyez sur Entrée.
Configurer la licence Smart depuis l'interface utilisateur graphique
Étape 1. Connectez-vous à l'interface utilisateur graphique et accédez à Administration système.
Étape 2. Sélectionnez Smart Software Licensing.
Image - Choisir les licences logicielles Smart
Étape 3. Sélectionnez Activer les licences logicielles Smart
Image : sélectionnez Activer les licences logicielles Smart
Étape 4. Veuillez lire attentivement les instructions et choisir OK.
Image- Lisez attentivement les instructions
Attention : vous ne pouvez pas revenir de la licence Smart à la licence classique après avoir activé la fonction de licence Smart sur votre appliance.
Étape 5. Valider les modifications.
Étape 6. Suspendez, puis actualisez la page Smart Licensing.
Étape 7. Sélectionnez Smart License Registration et cliquez sur Confirm
Image : sélectionnez Enregistrement de licence Smart
Étape 8.(Facultatif) Si votre réseau comporte un satellite Smart Software Manager, ajoutez l'URL ou l'adresse IP du serveur dans les paramètres de transport.
Étape 9. Si vous disposez d’une table de routage distincte, mais que vous n’avez pas accès à https://smartreceiver.cisco.com depuis l’interface de gestion, sélectionnez Data from Test Interface section.
Par défaut, la table de routage de gestion est sélectionnée.
Image : choisissez Routing table
Étape 10. Choisissez Register pour accéder à la page d'inscription.
Étape 11. Connectez-vous à votre portail Smart Software Manager ( Cisco Software Central ) ou à votre satellite Smart Software Manager.
Étape 12. Accédez à l'onglet Inventaire et, si vous n'avez pas encore de jeton, générez un nouveau jeton, ou cliquez sur la flèche bleue pour afficher votre jeton.
Image - Accéder à l'inventaire
Étape 13. (Facultatif) pour créer un jeton d'enregistrement, sélectionnez Nouveau jeton et renseignez les champs obligatoires.
Étape 14. Collez le jeton du portail de licences Smart dans votre SWA et choisissez Register.
Image - Coller le jeton d'enregistrement
Étape 15. (Facultatif) Si le périphérique a déjà été enregistré, vous pouvez le réenregistrer si vous cochez la case.
Étape 16. Après quelques minutes, vous pouvez vérifier l'état de l'inscription.
Image - Appareil enregistré
Vérification De L'Intégration
Vous pouvez vérifier l'intégration à partir de l'interface utilisateur graphique, de la CLI ou du portail Smart License
Vérifier l'état de la licence Smart depuis la GUI
Étape 1. Connectez-vous à l'interface utilisateur graphique et accédez à Administration système.
Étape 2. Sélectionnez Smart Software Licensing.
Étape 3. Vérifiez ces éléments :
- État d'enregistrement
- État d'autorisation de licence
- État de la dernière tentative de renouvellement d'inscription
- État de la dernière tentative de renouvellement d'autorisation
Image - Vérifier la licence Smart dans l'interface utilisateur graphique
Étape 4. Dans le menu Administration système, sélectionnez Licences .
Étape 5. Vérifiez que les licences souhaitées sont conformes.
Image - État de la licence
Vérifier l'état des licences Smart depuis CLI
Pour vérifier l'état de la licence Smart à partir de l'interface de ligne de commande, procédez comme suit :
Étape 1. Se connecter à la CLI
Étape 2. Tapez license_smart, puis appuyez sur Entrée
Étape 3. Choisissez STATUS
Étape 4. Vérifiez ces éléments :
- État d'enregistrement
- État d'autorisation de licence
- État de la dernière tentative de renouvellement d'inscription
- État de la dernière tentative de renouvellement d'autorisation
Smart Licensing is : Enabled
License Reservation is: Disabled
Evaluation Period: Not In Use
Evaluation Period Remaining: 89 days 22 hours 40 minutes
Registration Status: Registered ( 04 Sep 2023 20:38 ) Registration Expires on: ( 03 Sep 2024 21:03 )
Smart Account: XXXXXXXXXXXX18.cisco.com
Virtual Account: XXXXXXXXX
Last Registration Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
License Authorization Status: Authorized ( 04 Sep 2023 20:38 ) Authorization Expires on: ( 03 Dec 2023 20:03 )
Last Authorization Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
Product Instance Name: wsa125to15.amojarra.calo
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)
Device Led Conversion Status: Started
Étape 5. Dans l'assistant license_smart, sélectionnez SUMMARY.
[]> SUMMARY
Feature Name License Authorization Status
----------------------------------------------------------------------------------------------------
Secure Web Appliance Cisco Web Usage Controls In Compliance
Secure Web Appliance Anti-Virus Webroot In Compliance
Secure Web Appliance L4 Traffic Monitor In Compliance
Secure Web Appliance Cisco AnyConnect SM for AnyConnect In Compliance
Secure Web Appliance Secure Endpoint Reputation In Compliance
Secure Web Appliance Anti-Virus Sophos In Compliance
Secure Web Appliance Web Reputation Filters In Compliance
Secure Web Appliance Secure Endpoint In Compliance
Secure Web Appliance Anti-Virus McAfee Not requested
Secure Web Appliance Web Proxy and DVS Engine In Compliance
Secure Web Appliance HTTPs Decryption In Compliance
Étape 6. Vérifiez que les licences souhaitées sont conformes.
Vérifier l'état du périphérique dans Smart License Portal
Étape 1. Connectez-vous au portail Smart Software Licensing : Cisco Software Central
Étape 2. Sélectionnez l'onglet Inventaire.
Étape 3. Sélectionnez Instances de produit.
Étape 4. Vérifiez que votre périphérique est répertorié et cliquez sur son nom.
Image - Vérifier l'état du périphérique dans le portail de licences Smart
Étape 5 : observation des clés de fonction et de l’état du périphérique dans l’onglet Général
Image : vérification des clés de fonction dans le portail Smart License
Rechercher un VLAN à partir de CLI
Pour afficher votre VLAN à partir de l'interface de ligne de commande, utilisez la commande smartaccountinfo. Vous pouvez également afficher des informations supplémentaires telles que le domaine de compte virtuel ou l'ID et les instances de produit.
> smartaccountinfo
Smart Account details
---------------------
Product Instance ID : 609XXXXXXXX-fXXXXXXXXX55
Smart Account Domain : XXXXXXXXXXXXXXXXXXX18.cisco.com
Smart Account ID : 111111
Smart Account Name : XXXXXXXXXXXXXXXXXXX18.cisco.com
VLN : VLNWSA1111111
Virtual Account Domain : WSA_XXXXX
Virtual Account ID : 111111Journalisation
Tous les journaux associés à la licence Smart sont collectés dans les journaux Smartlicense. Ce journal est activé par défaut.
Pour configurer le journal des licences Smart, procédez comme suit :
Étape 1. Connectez-vous à la GUI.
Étape 2. Dans le menu Administration système, sélectionnez Inscriptions au journal.
Étape 3. Faites défiler la page vers le bas et recherchez Smartlicense logs.
Étape 4. Cliquez sur le nom du journal pour modifier la configuration.
Conseil : si vous souhaitez transmettre les journaux à votre serveur de collecte de journaux, il est conseillé de créer un nouvel abonnement aux journaux et de transférer ces journaux, afin d'avoir une copie des journaux localement sur le SWA
Dépannage de la licence Smart
Voici les erreurs courantes et les étapes à suivre pour résoudre le problème.
Connexion sans interruption
Voici un exemple de journaux smart_license avec un résultat positif :
Mon Sep 4 20:39:32 2023 Info: The product is registered successfully with Smart Software Manager.Échec de l'enregistrement
Image - Échec de l'enregistrement
Si Registration Failed est retourné, vérifiez les journaux smart_license de l'interface de ligne de commande en procédant comme suit :
Étape 1. Connectez-vous à CLI.
Étape 2. Tapez grep et appuyez sur Entrée.
Étape 3. Recherchez le numéro associé aux journaux smartlicense et tapez le numéro, puis appuyez sur Entrée.
Étape 4. Appuyez sur Entrée jusqu'à ce que vous voyiez les journaux.
Erreur d'envoi de communication
Si le message « Communication send error » s'affiche, vérifiez la connectivité entre SWA et Smart License Server sur le port TCP 443.
Mon Sep 4 19:57:09 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error. Conseil : si vous avez configuré le satellite Smart Software Manager, vérifiez la connectivité au numéro de port configuré.
Pour vérifier la connectivité, suivez les étapes décrites dans la section « Exigences de communication » de cet article.
Le même message d'erreur s'affiche également dans Alertes :
04 Sep 2023 20:19:29 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.Jeton non valide
Si le jeton a expiré ou a atteint sa valeur maximale définie Utilisé, le jeton du journal d'avertissement n'est pas valide est renvoyé.
Vous pouvez vérifier l'erreur à partir de la commande displayalerts ou à partir des journaux de smartlicense.
Voici un exemple d'erreur de display alerts dans CLI :
04 Sep 2023 20:26:55 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not validVoici un exemple de ligne de journal des journaux smartlcese de la CLI :
Mon Sep 4 20:26:55 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not validPour vérifier la validité du jeton, connectez-vous à votre portail de licences Smart, accédez à l'inventaire, vérifiez l'état d'expiration et le nombre d'utilisations.
Image - Expier Token
Échec Du Renouvellement De L'Autorisation
Erreur d'envoi communication
Si vous obtenez Échec du renouvellement de l'autorisation en raison d'une erreur d'envoi de communication, cela peut être dû au problème de connectivité. Assurez-vous que la table de routage correcte est sélectionnée et testez la connectivité entre SWA et le port TCP 443 smartreceive.cisco.com ou votre serveur satellite Smart Software Manager
Pour vérifier la connectivité, suivez les étapes décrites dans la section « Exigences de communication » de cet article.
Vous pouvez vérifier l'erreur avec la commande displayalerts ou à partir des journaux smartlicense
Voici un exemple d'erreur de display alerts dans CLI :
04 Sep 2023 22:23:43 +0200 Failed to renew authorization of the product with Smart Software Manager due to Communication send error..Voici un exemple de ligne de journal des journaux smartlcese de la CLI :
Mon Sep 4 22:22:58 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Communication send error..Le certificat est RÉVOQUÉ
Si la raison du renouvellement de l'autorisation est que le certificat est RÉVOQUÉ, vérifiez si le périphérique a été supprimé du portail de licences Smart.
Cochez la section « Vérifier l'état du périphérique dans le portail de licences Smart » dans cet article.
Vérifiez l'erreur à l'aide de la commande displayalerts ou des journaux smartlicense
Voici un exemple d'erreur de display alerts dans CLI :
04 Sep 2023 22:39:10 +0200 Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (111111111) since it is REVOKED..Voici un exemple de ligne de journal des journaux smartlcese de la CLI :
Mon Sep 4 22:39:10 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (1111111) since it is REVOKED..Pour résoudre ce problème, enregistrez à nouveau le périphérique.
Aucun VLAN dans le périphérique
Pour les périphériques physiques, il n'y a pas de VLAN ; le numéro de licence virtuelle est uniquement utilisé dans les appareils virtuels.
Si vous utilisez un SWA virtuel et qu'il n'y a pas de VLAN dans le résultat de smartaccountingfo dans CLI, essayez de charger à nouveau le fichier de licence XML avec la commande loadlicense dans CLI.
Attention : la commande loadlicense supprime toutes les clés de fonction existantes (y compris les clés d'évaluation) et le fichier de licence du système avant d'installer le nouveau fichier de licence et les nouvelles clés.
Le service Smart License Agent n'est pas disponible
Si vous obtenez ce message d'erreur, c'est en raison d'un ID de bogue Cisco connu .
"Smart license agent service is unavailable. Please visit this page after some time. If you continue to see the same message, please contact Cisco Sales representative."Impossible de vérifier la signature
Si l'autorisation de licence Smart échoue avec l'erreur :
Tue Apr 22 09:46:27 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Failed to verify signature..[Premier test] Cette erreur peut être due à un bogue Cisco connu dont l'ID est CSCvx04164
.
La condition pour ce bogue est que le nom du compte virtuel sur le portail de licences Smart contient des caractères non anglais, et la solution de contournement pour ce problème est :
Renommez le compte virtuel et supprimez les caractères non anglais :
Étape 1. Rendez-vous sur software.cisco.com.
Étape 2. Accédez à Administration > Manage Smart Account > Virtual Accounts.
Étape 3. Cliquez sur le compte virtuel en question.
Étape 4. Définissez un nouveau nom et supprimez les caractères non anglais.
Remarque : l'utilisateur doit disposer de privilèges d'administration pour pouvoir renommer le compte virtuel.
[Deuxième test] Si le nom du compte virtuel est correct, assurez-vous que le périphérique figure dans l'inventaire du portail de licences Smart.
Suivez les étapes décrites dans la section « Vérifier l'état du périphérique dans le portail Smart License » de cet article.
[Troisième test] Si le périphérique est répertorié dans l'inventaire du portail de licences Smart, essayez de redémarrer le service de licences Smart SWA à partir de l'interface de ligne de commande :
Étape 1. Connectez-vous à CLI.
Étape 2. Exécutez la commande diagnostic
Étape 3. Choisir des SERVICES
Étape 4. Sélectionnez SMART_LICENSE
Étape 5. Sélectionnez REDÉMARRER
SWA_CLI> diagnostic
Choose the operation you want to perform:
- NET - Network Diagnostic Utility.
- PROXY - Proxy Debugging Utility.
- REPORTING - Reporting Utilities.
- SERVICES - Service Utilities.
[]> SERVICES
Choose one of the following services:
- AMP - Secure Endpoint
- AVC - AVC
- ADC - ADC
- DCA - DCA
- WBRS - WBRS
- EXTFEED - ExtFeed
- L4TM - L4TM
- ANTIVIRUS - Anti-Virus xiServices
- AUTHENTICATION - Authentication Services
- MANAGEMENT - Appliance Management Services
- REPORTING - Reporting Associated services
- MISCSERVICES - Miscellaneous Service
- OCSP - OSCP
- UPDATER - UPDATER
- SICAP - SICAP
- SNMP - SNMP
- SNTP - SNTP
- VMSERVICE - VM Services
- WEBUI - Web GUI
- SMART_LICENSE - Smart Licensing Agent
- WCCP - WCCP
[]> SMART_LICENSE
Choose the operation you want to perform:
- RESTART - Restart the service
- STATUS - View status of the service
[]> RESTART
smart_agent is restarting.[Quatrième test] Générez un nouveau jeton dans le portail Smart License Manager et réenregistrez le périphérique.
Smart_agent bloqué à l'état désactivé
Ces erreurs peuvent être observées sur un ESA ou un SMA après la mise à niveau de l'appliance (pour laquelle la licence Smart a été activée avant la mise à niveau) vers la version 14.1 ou 14.0.
Remarque : cette erreur s'est produite sur les périphériques x195 ou x395.
Voici un exemple du message généré par l'appliance
08 Apr 2023 10:19:36 -0500 Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.Et dans les journaux smart_license, vous pouvez voir :
Mon Apr 8 09:02:36 2021 Warning: Smart License: Failed to change the hostname to esa.local for the product.Cette erreur est due à un bogue Cisco connu, ID CSCvz74874 pour ESA et ID de bogue Cisco CSCvx68947 pour SMA. Vous devez contacter le support technique de Cisco pour résoudre ce problème.
Échec de l'initialisation du service Smart Agent
Cette erreur est principalement liée aux appliances virtuelles qui sont configurées avec plus de ressources que prévu.
Voici un exemple de journal :
Thu Jun 23 16:16:07 2022 Critical: Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
any attempts to swap ports using the defined command will fail.Pour résoudre ce problème, vérifiez le résultat de la commande version dans CLI et assurez-vous que le nombre de CPU et la mémoire allouée est défini sur attendu.
Si d'autres coeurs de l'appliance sont pris en charge, corrigez l'allocation.
Réponse Non Valide Du Cloud De Licences
Si le périphérique a été supprimé du portail Smart License Manager, les versions antérieures renvoient cette erreur,
Thu Nov 15 13:50:20 2022 Warning: Failed to renew authorization of the product with Smart Software Manager due to Invalid response from licensing cloud..Pour résoudre ce problème, réenregistrez l'appliance.
Aucun certificat SSL valide n'a été envoyé
Si vous obtenez cette erreur de votre appareil et que vous ne pouvez pas obtenir les mises à jour, référez-vous à l'avis de champ : FN - 72502 pour plus d'informations.
21 Aug 2023 14:03:04 +0200 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sentLes fichiers de certificat VLAN traditionnels incluent un certificat créé par Talos Keymaster pour accéder aux mises à jour et mises à niveau. L'ancienne autorité de certification (AC) Keymaster a expiré le 13 janvier 2023.
Les dossiers de certificats de VLAN avec des certificats délivrés avant le 15 décembre 2021, avec une validité de plus de 12 mois, doivent être renouvelés et appliqués avant le 13 janvier 2023.
Pour résoudre ce problème, contactez le support de licence Cisco et demandez un nouveau fichier VLAN.
La fonctionnalité a été déplacée vers Non conforme
Si vous voyez des journaux indiquant qu'une ou plusieurs de vos fonctionnalités ont été déplacées vers la non-conformité, veuillez vérifier :
- Vous avez une licence valide
- L'appareil est connecté au serveur de licences Smart (voir la section « Exigences de communication » de cet article)
- Consultez les journaux des licences Smart pour en savoir plus sur le problème.
- Contactez l'assistance Cisco pour obtenir de l'aide
Voici un exemple de journal :
Mon Sep 4 20:41:09 2023 Warning: Secure Web Appliance HTTPs Decryption license has been moved to Out of Compliance successfully.
Mon Sep 4 20:41:10 2023 Warning: The Secure Web Appliance HTTPs Decryption is in Out of Compliance (OOC) state. You have 29 days remaining in your grace period.Smart Agent est à l'état Autorisation expirée
Si vous obtenez l'erreur Critique « Smart Agent is in Authorization Expired state » (L'agent Smart est dans l'état « Authorization Expired »), consultez les lignes suivantes pour trouver les raisons de cet état.
Voici un exemple d'erreur :
Fri Aug 18 15:51:11 2023 Critical: Web Security Appliance Cisco Web Usage Controls feature will stop working as Smart Agent is in Authorization Expired state. This can happen if there is no communication between the appliance and the Cisco Smart Software Manager (CSSM) for more than 90 days.Vérifiez la connectivité et assurez-vous que votre périphérique est enregistré dans le portail de licences Smart.
Référence
Recommandations relatives aux meilleures pratiques pour les appareils de sécurité Web Cisco - Cisco
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
08-Sep-2023 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)