この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Secure Web Appliance(SWA)でスマートライセンスを設定およびトラブルシューティングする手順について説明します。
次の項目に関する知識があることが推奨されます。
Cisco では次の前提を満たす推奨しています。
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
スマートライセンスは、次の機能を提供します。
SWAをスマートライセンスに登録するには、アプライアンスの所有者にスマートアカウントが必要です。
シスコが提供するリソースへのリンクには、スマートライセンスに関連するビデオ、ガイド、および説明が含まれています。
Cisco Smart Software Managerサテライトは、Cisco Smart Licensingのコンポーネントです。
CSSMサテライトは、CSSMと連携して製品ライセンスを管理し、使用中のCiscoライセンスをほぼリアルタイムに可視化してレポートします。
セキュリティ上の理由から、Cisco.comにあるSmart Software Managerでインストールベースを管理したくない場合は、Smart Software Managerサテライトをオンプレミスでインストールすることを選択できます。
Smart Software Mangerサテライトの詳細については、Cisco Smart Software Manager - Ciscoを参照してください。
ライセンスのタイプ:
ライセンス認証ステータス:アプライアンス内の特定のライセンスのステータス。
特定の機能のステータスが次のいずれかの値で表示されます。
注:無制限キーは、その機能に有効期限がないことを示します。Dormantキーは、機能自体に使用許諾契約書(EULA)があり、そのEULAに同意する必要があること、または機能を構成して有効にする必要があることを示します。完了すると、機能はアクティブに移行し、有効期限タイマーが開始されます。
SWAをスマートライセンスに接続するには、グラフィカルユーザインターフェイス(GUI)とコマンドラインインターフェイス(CLI)の両方を使用できます。
注意:ESA/SMA/SWAでスマートライセンス機能を有効にすることは永続的であり、アプライアンスをクラシックライセンスモードに戻すオプションを使用することはできません。
従来のライセンスのCLIでは、4つのコマンドが使用されました。そのため、スマートライセンスの委任状のビルド(15.1以降)では、これらのコマンドは削除されます。
削除されたCLIコマンドのリスト:
ClassicライセンスのGUIでは、「System Administration」タブに2ページが示されています。そのため、スマートライセンスの委任状では、ページが削除されます。
削除されたGUIページのリスト:
SWAでの設定のリセットは、設定全体が消去されてSWAが工場出荷時の状態に戻る工場出荷時のリセットを実行することです。
スマートライセンスでは、構築のマンデートも同じ動作が維持されます。
Reloadは、設定データを消去して機能キーも削除するCLI隠しコマンドです。SWAがクラシックライセンスに登録され、リロードを実行した場合は、ライセンスを再ロードします。
SWAにスマートライセンスが設定されている場合、リロード後にスマートライセンスの登録が解除されて無効になり、現在のSWAの動作では工場出荷時の状態にリセットされます。
SWAの必須ビルドバージョンでは、スマートライセンスがdisable状態に戻ることはないため、reloadコマンドによってすべての設定が消去されます。
スマートライセンスはregistered状態のままであるため、すべてのライセンスを再度要求します。
TCPポート443でsmartreceiver.cisco.comにネットワーク通信またはプロキシ通信を行います。
SWAからの接続をテストするには、次の手順を使用します。
ステップ 1:CLIにログインします。
ステップ 2:telnetと入力してEnterキーを押します。
ステップ 3:SWAがスマートライセンスサーバに接続するインターフェイスを選択します。
ステップ4:smartreceiver.cisco.comと入力してEnterを押す。
ステップ 5:ポートセクションに443と入力し、Enterを押します。
注:Smart Software Mangerサテライトを設定している場合は、ステップ4でそのサーバに関連付けられているUniform Resource Locator(URL)またはInternet Protocol(IP)アドレスを追加してください。
正常な接続の例を次に示します。
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 4
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
Connected to smartreceiver.cisco.com.
Escape character is '^]'.
失敗した接続の例を次に示します。
SWA_CLI> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 2
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
telnet: connect to address 10.112.59.81: Operation timed out
Trying 2a04:e4c7:fffe::f...
bind: Invalid argument
注:Telnetを終了するには、Ctrl+Cが機能しない場合は、Controlキーを押しながら]キーを押し、qと入力してEnterキーを押します。
ステップ 1: GUIにログインして、System Administrationに移動します。
ステップ 2: Smart Software Licensingを選択します。
ステップ 3: Enable Smart Software Licensingを選択します
ステップ 4: 指示をよく読み、「OK」を選択してください。
注意:アプライアンスでスマートライセンス機能を有効にした後で、スマートライセンスからクラシックライセンスにロールバックすることはできません。
ステップ 5: 変更を確定します。
手順 6:「スマートライセンス」ページを一時停止してから更新します。
手順 7: Smart License Registrationを選択し、Confirmをクリックします。
ステップ8:(オプション)ネットワーク内にSmart Software Managerサテライトがある場合は、Transport SettingsでサーバのURLまたはIPアドレスを追加します。
ステップ9:別個のルーティングテーブルがあっても、https://smartreceiver.cisco.com/ from管理インターフェイスへのアクセスがない場合は、Data from Test Interface sectionを選択します。
デフォルトでは、管理ルーティングテーブルが選択されています。
ステップ 10: Registerを選択して、登録ページに移動します。
ステップ 11 Smart Software Managerポータル(Cisco Software Central)またはSmart Software Managerサテライトにログインします。
ステップ 12 Inventoryタブに移動し、トークンがない場合は新しいトークンを生成します。トークンを表示するには、青い矢印をクリックします。
ステップ13:(オプション)登録トークンを作成するには、「新規トークン」を選択し、必須フィールドに入力します。
ステップ 14: スマートライセンスポータルからSWAにトークンを貼り付け、Registerを選択します。
ステップ15. (オプション)デバイスがすでに登録されている場合、チェックボックスをオンにするとデバイスを再登録できます。
ステップ 16: 数分後、登録ステータスを確認できます。
統合は、GUI、CLI、またはスマートライセンスポータルから確認できます
ステップ 1: GUIにログインして、System Administrationに移動します。
ステップ 2: Smart Software Licensingを選択します。
ステップ 3:次のことを確認してください。
ステップ 4: System Administrationメニューから、Licensesを選択します。
ステップ 5:必要なライセンスが準拠していることを確認します。
CLIからスマートライセンスのステータスを確認するには、次の手順を使用します。
ステップ 1:CLIへのログイン
ステップ 2:license_smartと入力してEnterを押す
ステップ 3:STATUSを選択します
ステップ 4:次のことを確認してください。
Smart Licensing is : Enabled
License Reservation is: Disabled
Evaluation Period: Not In Use
Evaluation Period Remaining: 89 days 22 hours 40 minutes
Registration Status: Registered ( 04 Sep 2023 20:38 ) Registration Expires on: ( 03 Sep 2024 21:03 )
Smart Account: XXXXXXXXXXXX18.cisco.com
Virtual Account: XXXXXXXXX
Last Registration Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
License Authorization Status: Authorized ( 04 Sep 2023 20:38 ) Authorization Expires on: ( 03 Dec 2023 20:03 )
Last Authorization Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
Product Instance Name: wsa125to15.amojarra.calo
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)
Device Led Conversion Status: Started
ステップ5:license_smart wizardからSUMMARYを選択します。
[]> SUMMARY
Feature Name License Authorization Status
----------------------------------------------------------------------------------------------------
Secure Web Appliance Cisco Web Usage Controls In Compliance
Secure Web Appliance Anti-Virus Webroot In Compliance
Secure Web Appliance L4 Traffic Monitor In Compliance
Secure Web Appliance Cisco AnyConnect SM for AnyConnect In Compliance
Secure Web Appliance Secure Endpoint Reputation In Compliance
Secure Web Appliance Anti-Virus Sophos In Compliance
Secure Web Appliance Web Reputation Filters In Compliance
Secure Web Appliance Secure Endpoint In Compliance
Secure Web Appliance Anti-Virus McAfee Not requested
Secure Web Appliance Web Proxy and DVS Engine In Compliance
Secure Web Appliance HTTPs Decryption In Compliance
手順 6:必要なライセンスが準拠していることを確認します。
ステップ 1:Smart Software Licensing Portalへのログイン:Cisco Software Central
ステップ 2:Inventoryタブを選択します。
ステップ 3:Product Instancesを選択します。
ステップ 4: デバイスがリストされていることを確認し、デバイス名をクリックします。
ステップ5:Generalタブで、機能キーとデバイスステータスを確認します
CLIからVLNを表示するには、smartaccountinfoコマンドを使用します。また、仮想アカウントドメインやIDおよび製品インスタンスなどの追加情報も表示できます。
> smartaccountinfo
Smart Account details
---------------------
Product Instance ID : 609XXXXXXXX-fXXXXXXXXX55
Smart Account Domain : XXXXXXXXXXXXXXXXXXX18.cisco.com
Smart Account ID : 111111
Smart Account Name : XXXXXXXXXXXXXXXXXXX18.cisco.com
VLN : VLNWSA1111111
Virtual Account Domain : WSA_XXXXX
Virtual Account ID : 111111
スマートライセンスに関連するすべてのログは、Smartlicenseのログに収集されます。このログはデフォルトで有効になっています。
スマートライセンスログを設定するには、次の手順を実行します。
ステップ 1:GUIにログインします。
ステップ 2:System Administrationメニューから、Log Subscriptionsを選択します。
ステップ 3: 下にスクロールして、Smartlicenseログを見つけます。
ステップ 4:ログ名をクリックして、設定を編集します。
ヒント:ログをログコレクタサーバにプッシュする場合は、新しいログサブスクリプションを作成して、これらのログを転送し、ログのコピーをSWA上にローカルで保持することをお勧めします
一般的なエラーと問題を解決する手順を次に示します。
次に、smart_licenseログと正常な結果の例を示します。
Mon Sep 4 20:39:32 2023 Info: The product is registered successfully with Smart Software Manager.
Registration Failedが返された場合は、次の手順を使用してCLIからsmart_licenseログを確認します。
ステップ 1:CLIにログインします。
ステップ 2:grepと入力してEnterキーを押す。
ステップ 3:smartlicenseログに関連付けられている番号を見つけて番号を入力し、Enterキーを押します。
ステップ 4:ログが表示されるまでEnterキーを押します。
「Communication send error」が表示された場合は、SWAとスマートライセンスサーバの間の接続をポートTCP 443で確認します。
Mon Sep 4 19:57:09 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.
ヒント:Smart Software Manager(SSM)サテライトを設定した場合は、設定したポート番号への接続性を確認してください。
接続を確認するには、この記事の「通信の要件」セクションに記載されている手順を使用します。
また、アラートの表示にも同じエラーメッセージが表示されます(図1を参照)。
04 Sep 2023 20:19:29 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.
トークンの有効期限が切れているか、定義されているUsedの最大値に達している場合は、警告ログ「Token is not valid」が返されます。
エラーは、displayalertsコマンドまたはsmartlicenseログで確認できます。
CLIでのdisplayalertsからのエラーの例を次に示します。
04 Sep 2023 20:26:55 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid
CLIのsmartlceseログのログ行の例を次に示します。
Mon Sep 4 20:26:55 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid
トークンの有効性を確認するには、スマートライセンスポータルにログインし、インベントリに移動して、有効期限のステータスと使用回数を確認します。
Failed to renew authorization due to Communication send errorが表示された場合は、次の原因が考えられます。接続性の問題。正しいルーティングテーブルが選択されていることを確認し、SWAとsmartreceiver.cisco.comのTCPポート443またはSmart Software Managerサテライトサーバの間の接続性をテストします
接続を確認するには、この文書の「通信の要件」の項に記載されている手順に従います。
エラーを確認するには、displayalertsコマンドを使用するか、smartlicenseログを使用します
CLIでのdisplayalertsからのエラーの例を次に示します。
04 Sep 2023 22:23:43 +0200 Failed to renew authorization of the product with Smart Software Manager due to Communication send error..
CLIのsmartlceseログのログ行の例を次に示します。
Mon Sep 4 22:22:58 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Communication send error..
認証を更新する理由が証明書の失効である場合は、デバイスがスマートライセンスポータルから削除されているかどうかを確認してください。
この記事の「Verify Device Status in Smart License Portal」セクションを確認します。
displayalertsコマンドまたはsmartlicenseログを使用してエラーを確認します
CLIでのdisplayalertsからのエラーの例を次に示します。
04 Sep 2023 22:39:10 +0200 Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (111111111) since it is REVOKED..
CLIのsmartlceseログのログ行の例を次に示します。
Mon Sep 4 22:39:10 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (1111111) since it is REVOKED..
この問題を解決するには、デバイスを再登録します。
物理デバイスの場合、VLNはありません。仮想ライセンス番号は、仮想アプライアンスでのみ使用されます。
仮想SWAを使用していて、CLIのsmartaccountinfoの出力にVLNが表示されない場合は、CLIのloadlicenseコマンドを使用してXMLライセンスファイルのロードを再試行します。
注意: loadlicenseコマンドは、新しいライセンスファイルとキーをインストールする前に、既存のすべての機能キー(評価キーを含む)とライセンスファイルをシステムから削除します。
このエラーメッセージが表示されるのは、SWAの既知のCisco Bug ID「CSCwe36665」またはESAのCisco Bug ID「CSCvo22855」が原因です。回避策を実装するには、TACにお問い合わせください。
"Smart license agent service is unavailable. Please visit this page after some time. If you continue to see the same message, please contact Cisco Sales representative."
スマートライセンス認証が失敗し、次のエラーが表示された場合:
Tue Apr 22 09:46:27 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Failed to verify signature..
[最初のテスト]このエラーは、既知のCisco Bug ID CSCvx04164 .
この不具合の条件は、スマートライセンスポータルの仮想アカウント名に英語以外の文字が含まれていることです。この問題の回避策は次のとおりです。
仮想アカウントの名前を変更し、英語以外の文字を削除します。
ステップ 1:software.cisco.comにアクセスします。
ステップ 2:Administration > Manage Smart Account > Virtual Accountsの順に選択します。
ステップ 3:対象の仮想アカウントをクリックします。
ステップ 4:新しい名前を定義し、英語以外の文字を削除します。
注:仮想アカウントの名前を変更するには、管理者権限が必要です。
[2番目のテスト]仮想アカウント名が正しければ、デバイスがスマートライセンスポータルインベントリにリストされていることを確認してください。
この記事の「スマートライセンスポータルでのデバイスステータスの確認」の項に記載されている手順を使用します。
[3番目のテスト]デバイスがスマートライセンスポータルインベントリにリストされている場合は、CLIからSWAスマートライセンスサービスを再起動してみてください。
ステップ 1:CLIにログインします。
ステップ 2:を実行します。 診断コマンド
ステップ 3:サービスの選択
ステップ 4:SMART_LICENSEを選択します
ステップ 5:RESTARTを選択します。
SWA_CLI> diagnostic
Choose the operation you want to perform:
- NET - Network Diagnostic Utility.
- PROXY - Proxy Debugging Utility.
- REPORTING - Reporting Utilities.
- SERVICES - Service Utilities.
[]> SERVICES
Choose one of the following services:
- AMP - Secure Endpoint
- AVC - AVC
- ADC - ADC
- DCA - DCA
- WBRS - WBRS
- EXTFEED - ExtFeed
- L4TM - L4TM
- ANTIVIRUS - Anti-Virus xiServices
- AUTHENTICATION - Authentication Services
- MANAGEMENT - Appliance Management Services
- REPORTING - Reporting Associated services
- MISCSERVICES - Miscellaneous Service
- OCSP - OSCP
- UPDATER - UPDATER
- SICAP - SICAP
- SNMP - SNMP
- SNTP - SNTP
- VMSERVICE - VM Services
- WEBUI - Web GUI
- SMART_LICENSE - Smart Licensing Agent
- WCCP - WCCP
[]> SMART_LICENSE
Choose the operation you want to perform:
- RESTART - Restart the service
- STATUS - View status of the service
[]> RESTART
smart_agent is restarting.
[forth test] Smart License Managerポータルで新しいトークンを生成し、デバイスを再登録します。
これらのエラーは、アプライアンス(アップグレード前にスマートライセンスが有効になっていた)をバージョン14.1または14.0にアップグレードした後で、ESAまたはSMAで確認できます。
注:このエラーはx195またはx395デバイスで発生します。
アプライアンスによって生成されるメッセージの例を次に示します
08 Apr 2023 10:19:36 -0500 Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
また、smart_licenseのログには、次のように記録されます。
Mon Apr 8 09:02:36 2021 Warning: Smart License: Failed to change the hostname to esa.local for the product.
このエラーは、ESAのCisco Bug ID CSCvz74874およびSMAのCisco Bug ID CSCvx68947が判明していることが原因です。この問題を解決するには、シスコのサポートに連絡する必要があります。
このエラーの大部分は、予想よりも多くのリソースを使用して設定されている仮想アプライアンスに関連しています。
ログの例を次に示します。
Thu Jun 23 16:16:07 2022 Critical: Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
any attempts to swap ports using the defined command will fail.
この問題を解決するには、CLIでversionコマンドの出力をチェックして、CPUの数と割り当てられたメモリが予期したとおりに設定されていることを確認します。
サポートされるアプライアンスのコア数が多い場合は、割り当てを修正します。
デバイスがSmart License Managerポータルから削除されている場合、古いバージョンでは次のエラーが返されます。
Thu Nov 15 13:50:20 2022 Warning: Failed to renew authorization of the product with Smart Software Manager due to Invalid response from licensing cloud..
この問題を解決するには、アプライアンスを再登録してください。
また、Cisco Bug ID CSCvr09743
ご使用のアプライアンスからこのエラーが表示され、アップデートを取得できない場合は、『Field Notice:FN - 72502』で詳細を参照してください。
21 Aug 2023 14:03:04 +0200 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent
従来のVLN証明書ファイルには、アップデートやアップグレードにアクセスするためにTalosキーマスターによって作成された証明書が含まれています。古いキーマスター認証局(CA)の有効期限が2023年1月13日に切れました。
2021年12月15日より前に発行され、有効期間が12ヵ月を超えるVLN証明書ファイルは、2023年1月13日より前に更新および適用される必要があります。
この問題を解決するには、シスコのライセンスサポートに連絡して、新しいVLNファイルを要求してください。
一部の機能がコンプライアンス違反に移行されたことを示すログが表示された場合は、次の項目を確認してください。
サンプル ログを以下に示します。
Mon Sep 4 20:41:09 2023 Warning: Secure Web Appliance HTTPs Decryption license has been moved to Out of Compliance successfully.
Mon Sep 4 20:41:10 2023 Warning: The Secure Web Appliance HTTPs Decryption is in Out of Compliance (OOC) state. You have 29 days remaining in your grace period.
「Smart Agent is in Authorization Expired state」という重大なエラーが表示された場合は、次の行を確認して、この状態の原因を見つけてください。
次にエラーの例を示します。
Fri Aug 18 15:51:11 2023 Critical: Web Security Appliance Cisco Web Usage Controls feature will stop working as Smart Agent is in Authorization Expired state. This can happen if there is no communication between the appliance and the Cisco Smart Software Manager (CSSM) for more than 90 days.
接続を確認し、デバイスがスマートライセンスポータルに登録されていることを確認してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
08-Sep-2023 |
初版 |