Secure Firewall Smart Licensingのコンプライアンス違反エラーのトラブルシューティング
内容
はじめに
このドキュメントでは、Cisco FMCおよびFTDモデルのコンプライアンス違反の最も一般的なCisco Smart Licensingについて説明します。
背景説明
Cisco Smart Licensingは、多くの製品のライセンスを一元管理します。Cisco Secure Firewallは、センサーの大規模な導入全体でライセンスの管理を簡素化し、アプライアンス、仮想、およびパブリッククラウドモデルで使用できます。このドキュメントでは、Cisco Firewall Management Center(FMC)とCisco Firewall Threat Defense(FTD)ソフトウェアおよびアプライアンスモデルのスマートライセンスのコンプライアンス違反の問題に関するトラブルシューティングガイドを提供します。
スマートライセンスがコンプライアンス違反であるとFMCが報告した場合、FMCはスマートアカウントで適切なライセンスを見つけられないことを示します。この場合、ヘルスアラートが表示されます。このドキュメントで説明した理由の一部が考えられます。
「コンプライアンス違反」ステータスを引き起こすライセンスのタイプを特定する方法
FMCグラフィックユーザインターフェイス(GUI)の使用
FMC通知アイコンからヘルスアラートに移動し、ヘルスをクリックします。
スマートアカウントポータルの使用
System >> Licenses >> Smart Licensesで、スマートライセンスステータスに移動します。 FMCが登録されている仮想アカウント情報は、ここで確認できます。
スマートライセンスのセクションには、コンプライアンス違反の特定のライセンスが示されています。この例では、Cisco Secure Firewall 1120機能ライセンス「Malware Defense」の「Out of Compliance」ステータスがリストされています。赤で「Out of Compliance」と記載されているすべての機能/製品を確認します。緑色の「In-Compliance」チェックマークは、特定のライセンスタイプが使用可能であり、FMCがスマートアカウントから取得できることを示します。
これらのライセンスが使用可能かどうかを確認するには、スマートアカウントポータルにログインし、スマートアカウント>>インベントリ> [仮想アカウント名]に移動します。必要に応じてライセンス名をフィルタリングします。
次のステータスが考えられます。
使用可能=購入済み数
使用中=この機能が有効になっているデバイスの数
バランス=購買と使用の間のオフセット。
バランスが負になると、その機能や製品のコンプライアンス違反ステータスがFMCに表示されます。
また、アラートはスマートアカウント>> Alertsでも確認できます。必要に応じて、「ソース」の仮想アカウントをフィルタリングします。
FMCコマンドラインインターフェイス(CLI)の使用
ステップ 1:FMC CLIにログインします。
ステップ 2:次のコマンドでLinuxシェルにアクセスします
expert
ステップ 3:次のコマンドを発行します。
less /var/log/sam.log
ファイル内の最新のエントリに移動するには、スクロールダウンして最新のステータスを確認します。
ライセンスが適切に取得されると、そのライセンスは「AUTHORIZED」と表示されます。
ライセンスが使用できない場合、特定のライセンスタイプは「OUT OF COMPLIANCE」と表示されます。
トラブルシュート
次に、最も一般的なシナリオとそれぞれのトラブルシューティング方法をいくつか示します。
シナリオ1:FTD物理プラットフォームの特定の機能に対するライセンスが不足している。
さまざまなライセンスタイプがあります。これらは、ハードウェアおよび機能固有に分類できます。ライセンスは、ライセンス名に表示されるモデルと、その後に表示されるライセンス提供対象の機能に基づいて特定できます。
-Base(7.xより前)またはEssentials(7.xより後)
– マルウェア防御
-IPS
-URL
– キャリア
– セキュアクライアントプレミア
– セキュアなクライアントの利点
– セキュアクライアントVPNのみ
ライセンスが購入され、スマートアカウントで使用できない疑いがある場合は、発注情報を確認し、発注時に提供されたスマートライセンスアカウントを確認します。
発注の際に割り当て済みスマートアカウントが提供されると、ライセンスは「割り当て済みスマートアカウント」に移行されます。
割り当てられたスマートアカウントが提供されず、パートナー経由で注文が行われた場合、ライセンスはパートナーの暫定アカウントに転送されます。その場合は、シスコパートナー企業に注文書を提出して連絡し、スマートアカウントへのライセンスの移行をサポートしてもらいます。
シナリオ2 – ライセンスが別の仮想アカウントで使用可能になる
デフォルトでは、すべてのスマートアカウントにDEFAULTという名前の仮想アカウントが1つだけあります。スマートアカウント管理者は、管理を容易にするなどの目的で、複数の仮想アカウントを作成できます。
必要なライセンスが別の仮想アカウントの一部である場合は、次の手順を使用して適切な仮想アカウントに移行できます。
ステップ 1:スマートアカウント>>インベントリに移動します。
ステップ 2:正しい仮想アカウントをフィルタリングします。 必要に応じてライセンスをフィルタリングします。
ステップ 3: 適切なライセンスを特定したら、Actionsドロップダウンをクリックして、Transferを選択します。
ステップ 4:ライセンスが必要な転送先の仮想アカウントを選択し、転送するライセンスの数を指定します。
ステップ 5:Show Previewをクリックして検証し、Transferをクリックします。
FMCが登録されている仮想アカウントですべてのライセンスが使用可能になったら、FMCのRe-AuthorizeボタンをクリックしてOut of Complianceステータスをクリアします。
シナリオ3:Firepower MCvデバイスライセンスがない
仮想管理モデルでは、2つの異なるプラットフォームが混在していることが一般的です。
FMCvデバイスライセンスは「Firepower MCvデバイスライセンス」と表示され、FMCv300デバイスライセンスは「Firepower MCv300デバイスライセンス」と表示されます。
ファイアウォールを管理するには、FMCにもデバイスライセンスが必要です。
ライセンスタイプをクリックすると、それらのライセンスを消費しているFMCを特定するのに役立ちます。この例では、FMCv-aはFMCスマートライセンスページと一致する5つのライセンスを使用しています。
シナリオ4:FTDが7.0より前のバージョンを実行する仮想プラットフォームである
基本ライセンスは自動的に要求され、階層化されていません。7.x以前のFTDv在庫保持ユニット(SKU)については、『シスコネットワークセキュリティ発注ガイド』の表60および61を参照してください。
これらは、スマートアカウントの7.x以前のFTDvライセンス名です。
脅威対策の仮想マルウェア防御
脅威対策の仮想URLフィルタリング
Firepower MCvデバイスライセンス
Firepower Threat Defense Baseの機能
脅威防御仮想脅威保護
Cisco AnyConnect Plusライセンス
Cisco AnyConnect Apexライセンス
Cisco AnyConnect VPN Onlyライセンス
この例では、仮想アカウントに十分なライセンスがないため、マルウェアおよび脅威のライセンスはコンプライアンスに準拠していません。
ライセンスに準拠するには、ユーザはSmart Licensing仮想アカウントに十分なライセンスがあることを確認する必要があります。7.xより前のFTDv SKUについては、『シスコネットワークセキュリティ発注ガイド』を参照してください。
シナリオ5:FTDは7.0バージョン以降を実行する仮想プラットフォームです
基本ライセンスはサブスクリプションベースで、階層にマッピングされます。仮想アカウントには、FTDvsおよび脅威、マルウェア、URLフィルタリングの基本ライセンス権限が必要です。
FTDvをバージョン7.0以降にアップグレードすると、デバイスは自動的にFTDv – 変数階層に移動され、階層化されていない資格を使用します。この例では、FTDが6.6.7から7.2.5にアップグレードされ、スマートライセンスのステータスがAuthorized and In-Complianceになっています。
階層化されていないエンタイトルメントを引き続き使用します。
ユーザが資格を持たないパフォーマンス階層を選択した場合(またはデフォルトで自動割り当て済みの場合)、ステータスOut of Complianceが表示されます。
この例では、ユーザは、登録済みの仮想アカウントにベースマルウェアおよび脅威のライセンスがない状態で、Performance Tier FTDv50を選択します。
仮想アカウントには、要求されたパフォーマンス層のライセンス数または権限数が多く表示される必要があります。
準拠するには、ユーザはVirtual Smart LicensingアカウントでPerformanceレベルの権限を選択する必要があります。誤ったパフォーマンス階層が選択された場合、ユーザーはFMCまたはFDMのページに移動し、仮想アカウントの内容に合わせてパフォーマンス階層を調整できます。
選択したパフォーマンス層に対して要求されたライセンス/権限がVirtual Smart Licensingアカウントにない場合は、次のステップとしてシナリオ1を参照してください。
パフォーマンス階層を編集するには、FMC歯車アイコン>スマートライセンス>パフォーマンス階層の編集に移動し、正しいパフォーマンス階層を選択します。
この表は、パフォーマンス階層と関連する仕様、ライセンス、および制限を簡単に参照するためのものです。
表 1
| パフォーマンス層 |
デバイス仕様(コア/RAM) |
Rate Limit |
RA VPNセッションの制限 |
ライセンス名 |
ライセンスPID |
RA VPNライセンスおよびPID |
| FTDv5、100Mbps |
4コア/8 GB |
100 Mbps |
50 |
FTDvベース100 Mbps |
FTD-V-5S-BSE-K9 |
Cisco AnyConnect Apexライセンス Cisco AnyConnect Plusライセンス Cisco AnyConnect VPN Onlyライセンス RA VPNライセンスPIDについては、『Cisco Secure Client発注ガイド』を参照してください。 |
| FTDvマルウェア100 Mbps |
FTD-V-5S-TMC |
|||||
| FTDv URLフィルタリング100 Mbps |
||||||
| FTDv Threat Protection(FTDv)100 Mbps |
||||||
| Firepower FTDvキャリアライセンス |
FTDV-CAR |
|||||
| FTDv10、1 Gbps |
4コア/8 GB |
1 Gbps |
250 |
FTDvベース1 Gbps |
FTD-V-10S-BSE-K9 |
|
| FTDvマルウェア1 Gbps |
FTD-V-10S-TMC |
|||||
| FTDv URLフィルタリング1 Gbps |
||||||
| FTDvによる脅威からの保護1 Gbps |
||||||
| Firepower FTDvキャリアライセンス |
FTDV-CAR |
|||||
| FTDv20、3 Gbps |
4コア/8 GB |
3 Gbps |
250 |
FTDvベース3 Gbps |
FTD-V-20S-BSE-K9 |
|
| FTDvマルウェア3 Gbps |
FTD-V-20S-TMC |
|||||
| FTDv URLフィルタリング3 Gbps |
||||||
| FTDvによる脅威からの保護3 Gbps |
||||||
| Firepower FTDvキャリアライセンス |
FTDV-CAR |
|||||
| FTDv30、5 Gbps |
8コア/16 GB |
5 Gbps |
250 |
FTDvベース5 Gbps |
FTD-V-30S-BSE-K9 |
|
| FTDvマルウェア5 Gbps |
FTD-V-30S-TMC |
|||||
| FTDv URLフィルタリング5 Gbps |
||||||
| FTDvによる脅威からの保護5 Gbps |
||||||
| Firepower FTDvキャリアライセンス |
FTDV-CAR |
|||||
| FTDv50、10 Gbps |
12コア/24 GB |
10 Gbps |
750 |
FTDvベース10 Gbps |
FTD-V-50S-BSE-K9 |
|
| FTDvマルウェア10 Gbps |
FTD-V-50S-TMC |
|||||
| FTDv URLフィルタリング10 Gbps |
||||||
| FTDv脅威保護10 Gbps |
||||||
| Firepower FTDvキャリアライセンス |
||||||
| FTDv100、16 Gbps |
16コア/32 GB |
16 Gbps |
10,000 |
FTDvベース16 Gbps |
FTD-V-100S-BSE-K9 |
|
| FTDvマルウェア16 Gbps |
FTD-V-100S-TMC |
|||||
| FTDv URLフィルタリング16 Gbps |
||||||
| FTDv脅威保護16 Gbps |
||||||
| Firepower FTDvキャリアライセンス |
FTDV-CAR |
|||||
| FTDv変数 |
デバイスの機能に基づく |
デバイスの機能に基づく |
Firepower Threat Defense Baseの機能 |
|||
| 脅威対策の仮想マルウェア防御 |
||||||
| 脅威対策の仮想URLフィルタリング |
||||||
| 脅威防御仮想脅威保護 |
||||||
| Firepower FTDvキャリアライセンス |
FTDV-CAR |
FTDvのPerformance TierライセンスSKUの詳細については、表59を参照してください。Cisco Secure Firewall Threat Defenseの仮想パフォーマンス階層型ベースサブスクリプションと脅威、マルウェア、URLフィルタリングサブスクリプションSKU
シナリオ6 – ライセンスが適切なスマートアカウントまたは仮想アカウントにない
製品インスタンスは正しい仮想アカウントに転送できます。
ステップ 1:ブラウザを使用してsoftware.cisco.comにアクセスします
ステップ 2:Manage Licensesに移動します。
ステップ 3:右上のドロップダウンで適切なスマートアカウントを選択し、Inventory > [Virtual Account Name] > Product Instances > Actionsの順に移動して、Transfer > Transfer product Instanceをクリックします。
ステップ 4:ダイアログボックスが開いたら、FMCまたはFTD製品インスタンスを移動するための正しい仮想アカウントを選択します。
シナリオ7:FMCが適切なスマートアカウントまたは仮想アカウントにない
FMCまたはFTDが正しいスマートアカウントに登録されていない場合は、FMCスマートライセンスページの登録解除アイコンをクリックして、Smart Software ManagerからFMCの登録を解除します。
次に、適切なスマートアカウントと仮想アカウントからトークンを生成し、FMCをスマートソフトウェアマネージャに登録します。
シナリオ8:オンボックス管理のためのスマートアカウントからの製品インスタンスの削除
FMCは管理対象のデバイスのライセンスのみを取得するため、FMCで管理対象のデバイスにはこの限りではありません。
スマートアカウントからライセンスの登録を解除せずにデバイスのイメージを再作成すると、ライセンスが過剰に消費される場合があります。
ステップ 1:スマートアカウント製品インスタンスに移動し、ホスト名を使用してインスタンスを識別します
ステップ 2:Actions >> Removeの順にクリックします。
ステップ 3:Remove Product Instanceボタンをクリックします。
上記のいずれのシナリオも役に立たない場合は、Cisco Technical Support Centerに連絡してください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
15-Jan-2024 |
初版 |
フィードバック