Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les étapes de configuration et de dépannage de la licence Smart dans l'appareil Web sécurisé (SWA).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Cisco recommande que vous ayez :
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Les licences Smart permettent de :
Pour enregistrer le SWA avec la licence Smart, le propriétaire de l'appliance doit disposer d'un compte Smart.
Les liens vers les ressources fournies par Cisco incluent des vidéos, des guides et des explications sur les licences Smart :
Cisco Smart Software Manager satellite est un composant de Cisco Smart Licensing.
CSSM Satellite travaille en collaboration avec CSSM pour gérer les licences de produits, fournir une visibilité et des rapports en temps quasi réel sur les licences Cisco utilisées.
Pour des raisons de sécurité, si vous ne souhaitez pas gérer la base installée avec Smart Software Manager résidant sur Cisco.com, vous pouvez choisir d'installer le satellite Smart Software Manager sur site.
Pour plus d'informations sur Smart Software Manager Satellite, veuillez consulter ce lien : Cisco Smart Software Manager - Cisco .
Types de licence :
License Authorization Status : état d'une licence donnée au sein de l'appliance.
L'état d'une fonction spécifique apparaît avec l'une des valeurs suivantes :
Remarque : une clé perpétuelle indique qu'il n'y a pas de période d'expiration pour cette fonctionnalité. Une clé Dormant indique que la fonctionnalité elle-même dispose d'un contrat de licence utilisateur final (CLUF) qui doit être accepté ou que la fonctionnalité doit être configurée et activée. Une fois terminée, la fonction passe à Active et le compteur d'expiration commence.
Vous pouvez connecter SWA à une licence Smart via l'interface graphique utilisateur (GUI) et l'interface de ligne de commande (CLI).
Attention : l'activation de la fonction de licence Smart sur ESA/SMA/SWA est permanente et ne permet pas de rétablir une appliance en mode de licence classique.
Quatre commandes ont été utilisées dans CLI for Classic License. Par conséquent, dans les versions Smart License Mandat (15.1 et ultérieures), ces commandes sont supprimées.
Liste des commandes CLI supprimées :
Dans l'interface graphique utilisateur de la licence classique, deux pages sont mentionnées dans l'onglet Administration système. Par conséquent, dans les versions Smart License Mandat, les pages sont supprimées.
Liste des pages GUI supprimées :
La réinitialisation de la configuration dans SWA permet d'effectuer une réinitialisation en usine lorsque la totalité de la configuration est effacée et que SWA revient à son état d'usine.
Avec le mandat de licence Smart, le même comportement est conservé.
Reload est une commande masquée de l'interface de ligne de commande qui efface les données de configuration et supprime également les clés de fonction. Si SWA a été enregistré avec une licence classique et qu'il effectue un rechargement, rechargez la licence.
Si SWA a été configuré avec la licence Smart, après le rechargement, la licence Smart est désenregistrée et désactivée, ainsi que la réinitialisation d'usine dans le comportement SWA actuel.
Dans les versions de génération de mandat SWA, Smart License ne revient jamais à l'état disable, donc la commande reload efface toute configuration.
La licence Smart reste à l'état Registered. Par conséquent, demandez à nouveau toutes les licences.
Communication réseau ou proxy vers smartreceive.cisco.com sur le port TCP 443.
Pour tester la connectivité à partir de SWA, procédez comme suit :
Étape 1. Connectez-vous à l'interface CLI.
Étape 2. Tapez telnet et appuyez sur Entrée.
Étape 3. Sélectionnez l'interface que vous attendez de la connexion SWA au serveur de licences Smart.
Étape 4. Tapez smartreceive.cisco.com et appuyez sur Entrée.
Étape 5. Dans la section port, tapez 443 et appuyez sur Entrée.
Remarque : si vous avez configuré Smart Software Manager Satellite, ajoutez l'URL (Uniform Resource Locator) ou l'adresse IP (Internet Protocol) associée à ce serveur à l'étape 4.
Voici un exemple de connexion réussie :
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 4
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
Connected to smartreceiver.cisco.com.
Escape character is '^]'.
Voici l'exemple d'échec de connexion :
SWA_CLI> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 2
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
telnet: connect to address 10.112.59.81: Operation timed out
Trying 2a04:e4c7:fffe::f...
bind: Invalid argument
Remarque : pour quitter Telnet, si ctrl+c ne fonctionne pas, maintenez la touche Ctrl enfoncée et appuyez sur ] puis tapez q et appuyez sur Entrée.
Étape 1. Connectez-vous à l'interface utilisateur graphique et accédez à Administration système.
Étape 2. Sélectionnez Smart Software Licensing.
Étape 3. Sélectionnez Activer les licences logicielles Smart
Étape 4. Veuillez lire attentivement les instructions et choisir OK.
Attention : vous ne pouvez pas revenir de la licence Smart à la licence classique après avoir activé la fonction de licence Smart sur votre appliance.
Étape 5. Valider les modifications.
Étape 6. Suspendez, puis actualisez la page Smart Licensing.
Étape 7. Sélectionnez Smart License Registration et cliquez sur Confirm
Étape 8.(Facultatif) Si votre réseau comporte un satellite Smart Software Manager, ajoutez l'URL ou l'adresse IP du serveur dans les paramètres de transport.
Étape 9. Si vous disposez d’une table de routage distincte, mais que vous n’avez pas accès à https://smartreceiver.cisco.com depuis l’interface de gestion, sélectionnez Data from Test Interface section.
Par défaut, la table de routage de gestion est sélectionnée.
Étape 10. Choisissez Register pour accéder à la page d'inscription.
Étape 11. Connectez-vous à votre portail Smart Software Manager ( Cisco Software Central ) ou à votre satellite Smart Software Manager.
Étape 12. Accédez à l'onglet Inventaire et, si vous n'avez pas encore de jeton, générez un nouveau jeton, ou cliquez sur la flèche bleue pour afficher votre jeton.
Étape 13. (Facultatif) pour créer un jeton d'enregistrement, sélectionnez Nouveau jeton et renseignez les champs obligatoires.
Étape 14. Collez le jeton du portail de licences Smart dans votre SWA et choisissez Register.
Étape 15. (Facultatif) Si le périphérique a déjà été enregistré, vous pouvez le réenregistrer si vous cochez la case.
Étape 16. Après quelques minutes, vous pouvez vérifier l'état de l'inscription.
Vous pouvez vérifier l'intégration à partir de l'interface utilisateur graphique, de la CLI ou du portail Smart License
Étape 1. Connectez-vous à l'interface utilisateur graphique et accédez à Administration système.
Étape 2. Sélectionnez Smart Software Licensing.
Étape 3. Vérifiez ces éléments :
Étape 4. Dans le menu Administration système, sélectionnez Licences .
Étape 5. Vérifiez que les licences souhaitées sont conformes.
Pour vérifier l'état de la licence Smart à partir de l'interface de ligne de commande, procédez comme suit :
Étape 1. Se connecter à la CLI
Étape 2. Tapez license_smart, puis appuyez sur Entrée
Étape 3. Choisissez STATUS
Étape 4. Vérifiez ces éléments :
Smart Licensing is : Enabled
License Reservation is: Disabled
Evaluation Period: Not In Use
Evaluation Period Remaining: 89 days 22 hours 40 minutes
Registration Status: Registered ( 04 Sep 2023 20:38 ) Registration Expires on: ( 03 Sep 2024 21:03 )
Smart Account: XXXXXXXXXXXX18.cisco.com
Virtual Account: XXXXXXXXX
Last Registration Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
License Authorization Status: Authorized ( 04 Sep 2023 20:38 ) Authorization Expires on: ( 03 Dec 2023 20:03 )
Last Authorization Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
Product Instance Name: wsa125to15.amojarra.calo
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)
Device Led Conversion Status: Started
Étape 5. Dans l'assistant license_smart, sélectionnez SUMMARY.
[]> SUMMARY
Feature Name License Authorization Status
----------------------------------------------------------------------------------------------------
Secure Web Appliance Cisco Web Usage Controls In Compliance
Secure Web Appliance Anti-Virus Webroot In Compliance
Secure Web Appliance L4 Traffic Monitor In Compliance
Secure Web Appliance Cisco AnyConnect SM for AnyConnect In Compliance
Secure Web Appliance Secure Endpoint Reputation In Compliance
Secure Web Appliance Anti-Virus Sophos In Compliance
Secure Web Appliance Web Reputation Filters In Compliance
Secure Web Appliance Secure Endpoint In Compliance
Secure Web Appliance Anti-Virus McAfee Not requested
Secure Web Appliance Web Proxy and DVS Engine In Compliance
Secure Web Appliance HTTPs Decryption In Compliance
Étape 6. Vérifiez que les licences souhaitées sont conformes.
Étape 1. Connectez-vous au portail Smart Software Licensing : Cisco Software Central
Étape 2. Sélectionnez l'onglet Inventaire.
Étape 3. Sélectionnez Instances de produit.
Étape 4. Vérifiez que votre périphérique est répertorié et cliquez sur son nom.
Étape 5 : observation des clés de fonction et de l’état du périphérique dans l’onglet Général
Pour afficher votre VLAN à partir de l'interface de ligne de commande, utilisez la commande smartaccountinfo. Vous pouvez également afficher des informations supplémentaires telles que le domaine de compte virtuel ou l'ID et les instances de produit.
> smartaccountinfo
Smart Account details
---------------------
Product Instance ID : 609XXXXXXXX-fXXXXXXXXX55
Smart Account Domain : XXXXXXXXXXXXXXXXXXX18.cisco.com
Smart Account ID : 111111
Smart Account Name : XXXXXXXXXXXXXXXXXXX18.cisco.com
VLN : VLNWSA1111111
Virtual Account Domain : WSA_XXXXX
Virtual Account ID : 111111
Tous les journaux associés à la licence Smart sont collectés dans les journaux Smartlicense. Ce journal est activé par défaut.
Pour configurer le journal des licences Smart, procédez comme suit :
Étape 1. Connectez-vous à la GUI.
Étape 2. Dans le menu Administration système, sélectionnez Inscriptions au journal.
Étape 3. Faites défiler la page vers le bas et recherchez Smartlicense logs.
Étape 4. Cliquez sur le nom du journal pour modifier la configuration.
Conseil : si vous souhaitez transmettre les journaux à votre serveur de collecte de journaux, il est conseillé de créer un nouvel abonnement aux journaux et de transférer ces journaux, afin d'avoir une copie des journaux localement sur le SWA
Voici les erreurs courantes et les étapes à suivre pour résoudre le problème.
Voici un exemple de journaux smart_license avec un résultat positif :
Mon Sep 4 20:39:32 2023 Info: The product is registered successfully with Smart Software Manager.
Si Registration Failed est retourné, vérifiez les journaux smart_license de l'interface de ligne de commande en procédant comme suit :
Étape 1. Connectez-vous à CLI.
Étape 2. Tapez grep et appuyez sur Entrée.
Étape 3. Recherchez le numéro associé aux journaux smartlicense et tapez le numéro, puis appuyez sur Entrée.
Étape 4. Appuyez sur Entrée jusqu'à ce que vous voyiez les journaux.
Si le message « Communication send error » s'affiche, vérifiez la connectivité entre SWA et Smart License Server sur le port TCP 443.
Mon Sep 4 19:57:09 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.
Conseil : si vous avez configuré le satellite Smart Software Manager, vérifiez la connectivité au numéro de port configuré.
Pour vérifier la connectivité, suivez les étapes décrites dans la section « Exigences de communication » de cet article.
Le même message d'erreur s'affiche également dans Alertes :
04 Sep 2023 20:19:29 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.
Si le jeton a expiré ou a atteint sa valeur maximale définie Utilisé, le jeton du journal d'avertissement n'est pas valide est renvoyé.
Vous pouvez vérifier l'erreur à partir de la commande displayalerts ou à partir des journaux de smartlicense.
Voici un exemple d'erreur de display alerts dans CLI :
04 Sep 2023 20:26:55 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid
Voici un exemple de ligne de journal des journaux smartlcese de la CLI :
Mon Sep 4 20:26:55 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid
Pour vérifier la validité du jeton, connectez-vous à votre portail de licences Smart, accédez à l'inventaire, vérifiez l'état d'expiration et le nombre d'utilisations.
Si vous obtenez Échec du renouvellement de l'autorisation en raison d'une erreur d'envoi de communication, cela peut être dû au problème de connectivité. Assurez-vous que la table de routage correcte est sélectionnée et testez la connectivité entre SWA et le port TCP 443 smartreceive.cisco.com ou votre serveur satellite Smart Software Manager
Pour vérifier la connectivité, suivez les étapes décrites dans la section « Exigences de communication » de cet article.
Vous pouvez vérifier l'erreur avec la commande displayalerts ou à partir des journaux smartlicense
Voici un exemple d'erreur de display alerts dans CLI :
04 Sep 2023 22:23:43 +0200 Failed to renew authorization of the product with Smart Software Manager due to Communication send error..
Voici un exemple de ligne de journal des journaux smartlcese de la CLI :
Mon Sep 4 22:22:58 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Communication send error..
Si la raison du renouvellement de l'autorisation est que le certificat est RÉVOQUÉ, vérifiez si le périphérique a été supprimé du portail de licences Smart.
Cochez la section « Vérifier l'état du périphérique dans le portail de licences Smart » dans cet article.
Vérifiez l'erreur à l'aide de la commande displayalerts ou des journaux smartlicense
Voici un exemple d'erreur de display alerts dans CLI :
04 Sep 2023 22:39:10 +0200 Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (111111111) since it is REVOKED..
Voici un exemple de ligne de journal des journaux smartlcese de la CLI :
Mon Sep 4 22:39:10 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (1111111) since it is REVOKED..
Pour résoudre ce problème, enregistrez à nouveau le périphérique.
Pour les périphériques physiques, il n'y a pas de VLAN ; le numéro de licence virtuelle est uniquement utilisé dans les appareils virtuels.
Si vous utilisez un SWA virtuel et qu'il n'y a pas de VLAN dans le résultat de smartaccountingfo dans CLI, essayez de charger à nouveau le fichier de licence XML avec la commande loadlicense dans CLI.
Attention : la commande loadlicense supprime toutes les clés de fonction existantes (y compris les clés d'évaluation) et le fichier de licence du système avant d'installer le nouveau fichier de licence et les nouvelles clés.
Si vous obtenez ce message d'erreur, c'est en raison d'un ID de bogue Cisco connu .
"Smart license agent service is unavailable. Please visit this page after some time. If you continue to see the same message, please contact Cisco Sales representative."
Si l'autorisation de licence Smart échoue avec l'erreur :
Tue Apr 22 09:46:27 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Failed to verify signature..
[Premier test] Cette erreur peut être due à un bogue Cisco connu dont l'ID est CSCvx04164 .
La condition pour ce bogue est que le nom du compte virtuel sur le portail de licences Smart contient des caractères non anglais, et la solution de contournement pour ce problème est :
Renommez le compte virtuel et supprimez les caractères non anglais :
Étape 1. Rendez-vous sur software.cisco.com.
Étape 2. Accédez à Administration > Manage Smart Account > Virtual Accounts.
Étape 3. Cliquez sur le compte virtuel en question.
Étape 4. Définissez un nouveau nom et supprimez les caractères non anglais.
Remarque : l'utilisateur doit disposer de privilèges d'administration pour pouvoir renommer le compte virtuel.
[Deuxième test] Si le nom du compte virtuel est correct, assurez-vous que le périphérique figure dans l'inventaire du portail de licences Smart.
Suivez les étapes décrites dans la section « Vérifier l'état du périphérique dans le portail Smart License » de cet article.
[Troisième test] Si le périphérique est répertorié dans l'inventaire du portail de licences Smart, essayez de redémarrer le service de licences Smart SWA à partir de l'interface de ligne de commande :
Étape 1. Connectez-vous à CLI.
Étape 2. Exécutez la commande diagnostic
Étape 3. Choisir des SERVICES
Étape 4. Sélectionnez SMART_LICENSE
Étape 5. Sélectionnez REDÉMARRER
SWA_CLI> diagnostic
Choose the operation you want to perform:
- NET - Network Diagnostic Utility.
- PROXY - Proxy Debugging Utility.
- REPORTING - Reporting Utilities.
- SERVICES - Service Utilities.
[]> SERVICES
Choose one of the following services:
- AMP - Secure Endpoint
- AVC - AVC
- ADC - ADC
- DCA - DCA
- WBRS - WBRS
- EXTFEED - ExtFeed
- L4TM - L4TM
- ANTIVIRUS - Anti-Virus xiServices
- AUTHENTICATION - Authentication Services
- MANAGEMENT - Appliance Management Services
- REPORTING - Reporting Associated services
- MISCSERVICES - Miscellaneous Service
- OCSP - OSCP
- UPDATER - UPDATER
- SICAP - SICAP
- SNMP - SNMP
- SNTP - SNTP
- VMSERVICE - VM Services
- WEBUI - Web GUI
- SMART_LICENSE - Smart Licensing Agent
- WCCP - WCCP
[]> SMART_LICENSE
Choose the operation you want to perform:
- RESTART - Restart the service
- STATUS - View status of the service
[]> RESTART
smart_agent is restarting.
[Quatrième test] Générez un nouveau jeton dans le portail Smart License Manager et réenregistrez le périphérique.
Ces erreurs peuvent être observées sur un ESA ou un SMA après la mise à niveau de l'appliance (pour laquelle la licence Smart a été activée avant la mise à niveau) vers la version 14.1 ou 14.0.
Remarque : cette erreur s'est produite sur les périphériques x195 ou x395.
Voici un exemple du message généré par l'appliance
08 Apr 2023 10:19:36 -0500 Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
Et dans les journaux smart_license, vous pouvez voir :
Mon Apr 8 09:02:36 2021 Warning: Smart License: Failed to change the hostname to esa.local for the product.
Cette erreur est due à un bogue Cisco connu, ID CSCvz74874 pour ESA et ID de bogue Cisco CSCvx68947 pour SMA. Vous devez contacter le support technique de Cisco pour résoudre ce problème.
Cette erreur est principalement liée aux appliances virtuelles qui sont configurées avec plus de ressources que prévu.
Voici un exemple de journal :
Thu Jun 23 16:16:07 2022 Critical: Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
any attempts to swap ports using the defined command will fail.
Pour résoudre ce problème, vérifiez le résultat de la commande version dans CLI et assurez-vous que le nombre de CPU et la mémoire allouée est défini sur attendu.
Si d'autres coeurs de l'appliance sont pris en charge, corrigez l'allocation.
Si le périphérique a été supprimé du portail Smart License Manager, les versions antérieures renvoient cette erreur,
Thu Nov 15 13:50:20 2022 Warning: Failed to renew authorization of the product with Smart Software Manager due to Invalid response from licensing cloud..
Pour résoudre ce problème, réenregistrez l'appliance.
Si vous obtenez cette erreur de votre appareil et que vous ne pouvez pas obtenir les mises à jour, référez-vous à l'avis de champ : FN - 72502 pour plus d'informations.
21 Aug 2023 14:03:04 +0200 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent
Les fichiers de certificat VLAN traditionnels incluent un certificat créé par Talos Keymaster pour accéder aux mises à jour et mises à niveau. L'ancienne autorité de certification (AC) Keymaster a expiré le 13 janvier 2023.
Les dossiers de certificats de VLAN avec des certificats délivrés avant le 15 décembre 2021, avec une validité de plus de 12 mois, doivent être renouvelés et appliqués avant le 13 janvier 2023.
Pour résoudre ce problème, contactez le support de licence Cisco et demandez un nouveau fichier VLAN.
Si vous voyez des journaux indiquant qu'une ou plusieurs de vos fonctionnalités ont été déplacées vers la non-conformité, veuillez vérifier :
Voici un exemple de journal :
Mon Sep 4 20:41:09 2023 Warning: Secure Web Appliance HTTPs Decryption license has been moved to Out of Compliance successfully.
Mon Sep 4 20:41:10 2023 Warning: The Secure Web Appliance HTTPs Decryption is in Out of Compliance (OOC) state. You have 29 days remaining in your grace period.
Si vous obtenez l'erreur Critique « Smart Agent is in Authorization Expired state » (L'agent Smart est dans l'état « Authorization Expired »), consultez les lignes suivantes pour trouver les raisons de cet état.
Voici un exemple d'erreur :
Fri Aug 18 15:51:11 2023 Critical: Web Security Appliance Cisco Web Usage Controls feature will stop working as Smart Agent is in Authorization Expired state. This can happen if there is no communication between the appliance and the Cisco Smart Software Manager (CSSM) for more than 90 days.
Vérifiez la connectivité et assurez-vous que votre périphérique est enregistré dans le portail de licences Smart.
Recommandations relatives aux meilleures pratiques pour les appareils de sécurité Web Cisco - Cisco
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
08-Sep-2023 |
Première publication |