本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本文檔介紹在安全網路裝置(SWA)中配置智慧許可證並對其進行故障排除的步驟。
思科建議您瞭解以下主題:
思科建議您:
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
智慧許可提供以下功能:
要使用智慧許可註冊SWA,裝置的所有者必須具有智慧帳戶。
思科提供的資源連結,包括與智慧許可相關的影片、指南和說明:
Cisco Smart Software Manager衛星是Cisco Smart Licensing的一個元件。
CSSM Satellite與CSSM協同工作,可管理產品許可證,提供正在使用的思科許可證的近即時可視性和報告。
出於安全原因,如果您不想管理位於Cisco.com的智慧軟體管理器的客戶群,可以選擇在內部安裝智慧軟體管理器衛星。
有關Smart Software Manager Satellite的詳細資訊,請訪問以下連結:Cisco Smart Software Manager - Cisco。
許可證型別:
許可證授權狀態:裝置內給定許可證的狀態。
特定特徵的狀態會隨以下值之一出現:
附註:Perpetual鍵表示該功能沒有到期期限。Dormant金鑰表示功能本身具有必須接受的終端使用者許可協定(EULA),或者必須配置並啟用該功能。完成之後,功能將移至「活動」,到期計時器開始。
您可以通過圖形使用者介面(GUI)和命令列介面(CLI)將SWA連線到智慧許可證。
注意:在ESA/SMA/SWA上啟用智慧許可證功能是永久性的,不允許選擇將裝置恢復為傳統許可證模式。
在CLI for Classic License中使用了4個命令。因此,在智慧許可證授權版本(15.1及更高版本)中,這些命令將被刪除。
刪除的CLI命令清單:
在Classic License的GUI中,System Administration頁籤中提到兩個頁面。因此,在Smart License Mandate構建這些頁面時,頁面將被刪除。
刪除的GUI頁面清單:
SWA中的重置配置是執行出廠重置,此時將清除整個配置,並且SWA恢復其出廠狀態。
使用智慧許可證授權構建時,也會保留相同的行為。
Reload是一個CLI隱藏命令,用於清除配置資料並刪除功能金鑰。如果SWA註冊了經典許可證並執行重新載入,請再次載入許可證。
如果SWA配置了智慧許可證,則在重新載入後,智慧許可證將取消註冊並禁用,同時在當前的SWA行為中重置出廠設定。
在SWA授權構建版本中,智慧許可證永遠不會恢復到disable狀態,因此reload命令會清除所有配置。
智慧許可證將處於registered狀態,因此,將再次請求所有許可證。
通過TCP埠443與smartreceiver.cisco.com進行網路或代理通訊。
要測試從SWA的連線,請執行以下步驟:
步驟1.登入到CLI。
步驟2.鍵入telnet並按Enter鍵。
步驟3.選擇您希望SWA連線到智慧許可證伺服器的介面。
步驟4.鍵入smartreceiver.cisco.com並按Enter鍵。
步驟5.在埠部分中鍵入443並按Enter。
附註:如果您已配置Smart Software Manager Satellite,請在步驟4中新增與該伺服器關聯的統一資源定位器(URL)或網際網路協定(IP)地址。
以下是成功連線的範例:
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 4
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
Connected to smartreceiver.cisco.com.
Escape character is '^]'.
以下是連線失敗的示例:
SWA_CLI> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 2
Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com
Enter the remote port.
[23]> 443
Trying 10.112.59.81...
telnet: connect to address 10.112.59.81: Operation timed out
Trying 2a04:e4c7:fffe::f...
bind: Invalid argument
附註:要退出telnet,如果ctrl+c不起作用,請按住Control,然後按],然後鍵入q,然後按enter鍵。
步驟1.登入到GUI並導航到系統管理。
步驟2.選擇Smart Software Licensing。
步驟3.選擇啟用智慧軟體許可
步驟4.請仔細閱讀說明並選擇OK。
注意:在裝置上啟用智慧許可證功能後,無法從「智慧許可證」回滾到「經典許可證」。
步驟5.提交更改。
步驟6.暫停,然後刷新「智慧許可」頁面。
步驟7.選擇Smart License Registration(智慧許可證註冊),然後點選Confirm(確認)
步驟8.(可選)如果您的網路中有Smart Software Manager衛星,請在「傳輸設定」中新增伺服器的URL或IP地址。
步驟 9. 如果您有單獨的路由表,但無法訪問https://smartreceiver.cisco.com/ from管理介面,請選擇Data from Test Interface部分。
預設情況下,管理路由表處於選中狀態。
步驟10.選擇Register導航至註冊頁面。
步驟11.登錄到您的智慧軟體管理器門戶(思科軟體中心)或您的智慧軟體管理器衛星。
步驟12.導覽至Inventory索引標籤,如果您還沒有權杖,請生成新的權杖,或者按一下藍色箭頭檢視權杖。
步驟13.(可選)要建立註冊令牌,選擇新建令牌,並填寫所需欄位。
步驟14.將權杖從智慧授權入口貼上到您的SWA,然後選擇Register。
步驟 15. (可選)如果裝置已經註冊,則選中此覈取方塊後,您可以重新註冊裝置。
步驟16.幾分鐘後,您可以檢查註冊狀態。
您可以從GUI、CLI或智慧許可證門戶驗證整合
步驟1.登入到GUI並導航到系統管理。
步驟2.選擇Smart Software Licensing。
步驟3.檢查以下專案:
步驟4.從System Administration選單中選擇Licenses。
步驟5.檢查所需的許可證是符合的。
使用以下步驟從CLI驗證智慧許可證狀態:
步驟1.登入到CLI
步驟2.鍵入license_smart並按Enter鍵
步驟3.選擇STATUS
步驟4.檢查以下專案:
Smart Licensing is : Enabled
License Reservation is: Disabled
Evaluation Period: Not In Use
Evaluation Period Remaining: 89 days 22 hours 40 minutes
Registration Status: Registered ( 04 Sep 2023 20:38 ) Registration Expires on: ( 03 Sep 2024 21:03 )
Smart Account: XXXXXXXXXXXX18.cisco.com
Virtual Account: XXXXXXXXX
Last Registration Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
License Authorization Status: Authorized ( 04 Sep 2023 20:38 ) Authorization Expires on: ( 03 Dec 2023 20:03 )
Last Authorization Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
Product Instance Name: wsa125to15.amojarra.calo
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)
Device Led Conversion Status: Started
步驟 5. 在license_smart嚮導中選擇SUMMARY。
[]> SUMMARY
Feature Name License Authorization Status
----------------------------------------------------------------------------------------------------
Secure Web Appliance Cisco Web Usage Controls In Compliance
Secure Web Appliance Anti-Virus Webroot In Compliance
Secure Web Appliance L4 Traffic Monitor In Compliance
Secure Web Appliance Cisco AnyConnect SM for AnyConnect In Compliance
Secure Web Appliance Secure Endpoint Reputation In Compliance
Secure Web Appliance Anti-Virus Sophos In Compliance
Secure Web Appliance Web Reputation Filters In Compliance
Secure Web Appliance Secure Endpoint In Compliance
Secure Web Appliance Anti-Virus McAfee Not requested
Secure Web Appliance Web Proxy and DVS Engine In Compliance
Secure Web Appliance HTTPs Decryption In Compliance
步驟6.檢查所需的許可證是符合的。
步驟1.登錄到智慧軟體許可門戶:思科軟體中心
步驟2.選擇到Inventory選項卡。
步驟3.選擇產品例項。
步驟4.驗證您的裝置是否已列出,然後按一下裝置名稱。
步驟 5. 在General頁籤中觀察功能鍵和裝置狀態
要從CLI檢視您的VLAN,請使用smartaccountinfo命令。此外,您還可以檢視一些其他資訊,如虛擬帳戶域或ID和產品例項。
> smartaccountinfo
Smart Account details
---------------------
Product Instance ID : 609XXXXXXXX-fXXXXXXXXX55
Smart Account Domain : XXXXXXXXXXXXXXXXXXX18.cisco.com
Smart Account ID : 111111
Smart Account Name : XXXXXXXXXXXXXXXXXXX18.cisco.com
VLN : VLNWSA1111111
Virtual Account Domain : WSA_XXXXX
Virtual Account ID : 111111
與智慧許可證相關的所有日誌都收集在Smartlicense日誌中。預設情況下啟用此日誌。
使用以下步驟配置智慧許可證日誌:
步驟1.登入到GUI。
步驟2.從System Administration選單中選擇Log Subscriptions。
步驟3.下滾並查詢Smartlicense日誌。
步驟4.按一下日誌名稱以編輯配置。
提示:如果要將日誌推送到日誌收集器伺服器,建議您建立新的日誌訂閱並轉發這些日誌,以便在SWA本地擁有日誌副本
以下是常見錯誤以及解決該問題的步驟。
以下是成功結果的smart_license日誌示例:
Mon Sep 4 20:39:32 2023 Info: The product is registered successfully with Smart Software Manager.
如果返回Registration Failed,請使用以下步驟從CLI檢查smart_license日誌:
步驟1.登入到CLI。
步驟2.鍵入grep並按Enter鍵。
步驟3.查找與smartlicense日誌關聯的號碼並鍵入該號碼,然後按Enter鍵。
步驟4.按下Enter鍵,直到看到日誌。
如果出現「Communication send error(通訊傳送錯誤)」,請檢查SWA和埠TCP 443上的智慧許可證伺服器之間的連線。
Mon Sep 4 19:57:09 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.
提示:如果已配置智慧軟體管理器衛星,請檢查與已配置埠號的連線。
要檢查連通性,請按照本文「通訊要求」一節中提供的步驟操作。
此外,在顯示警報中,您還可以看到相同的錯誤消息:
04 Sep 2023 20:19:29 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.
如果令牌已過期或達到其最大定義的已用值,則返回警告日誌令牌無效。
您可以通過displayalerts命令或smartlicense日誌驗證錯誤。
以下是CLI中displayalerts的錯誤範例:
04 Sep 2023 20:26:55 +0200 The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid
以下是來自CLI的smartlist日誌行的示例:
Mon Sep 4 20:26:55 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid
要驗證令牌有效性是否登入到您的智慧許可證門戶,請導航到清單,檢查到期狀態和使用次數。
如果由於「通訊傳送」錯誤而導致「更新授權失敗」,則這可能是由導致的。連線問題,請確保選擇了正確的路由表,並測試SWA和smartreceiver.cisco.com TCP埠443或Smart Software Manager衛星伺服器之間的連線
要檢查連通性,請按照本文「通訊要求」一節中提供的步驟操作。
您可以使用displayalerts命令或smartlicense日誌驗證錯誤
以下是CLI中displayalerts的錯誤範例:
04 Sep 2023 22:23:43 +0200 Failed to renew authorization of the product with Smart Software Manager due to Communication send error..
以下是來自CLI的smartlist日誌行的示例:
Mon Sep 4 22:22:58 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Communication send error..
如果續訂授權的原因是證書已吊銷,請檢查裝置是否已從智慧許可證門戶中刪除。
檢查本文的「在智慧許可證門戶中驗證裝置狀態」部分。
使用displayalerts命令或smartlicense日誌驗證錯誤
以下是CLI中displayalerts的錯誤範例:
04 Sep 2023 22:39:10 +0200 Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (111111111) since it is REVOKED..
以下是來自CLI的smartlist日誌行的示例:
Mon Sep 4 22:39:10 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (1111111) since it is REVOKED..
要解決此問題,請再次註冊裝置。
對於物理裝置,沒有VLAN;虛擬許可證編號主要用於虛擬裝置中。
如果您使用的是虛擬SWA,且CLI的smartaccountinfo輸出中沒有VLAN,請嘗試在CLI中使用loadlicense命令再次載入XML許可證檔案。
注意:loadlicense命令會在安裝新的許可證檔案和金鑰之前從系統中刪除所有現有的功能金鑰(包括評估金鑰)和許可證檔案。
如果您收到此錯誤訊息,可能是由於適用於SWA的已知思科錯誤ID「CSCwe36665」或適用於ESA的思科錯誤ID「CSCvo22855」所致。請聯絡TAC實施解決方法。
"Smart license agent service is unavailable. Please visit this page after some time. If you continue to see the same message, please contact Cisco Sales representative."
如果智慧許可證授權失敗並出現錯誤:
Tue Apr 22 09:46:27 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Failed to verify signature..
[首次測試]此錯誤可能是由於已知思科錯誤ID CSCvx04164 .
此錯誤的條件是智慧授權門戶上的虛擬帳戶名稱包含非英文字元,此問題的解決方法為:
重新命名虛擬帳戶並刪除非英文字元:
步驟1.轉到software.cisco.com。
步驟2.導覽至管理>管理智慧帳戶>虛擬帳戶。
步驟3.按一下相關虛擬帳戶。
步驟4.定義新名稱並刪除非英文字元。
附註:使用者必須具有管理許可權才能重新命名虛擬帳戶。
[第二次測試]如果虛擬帳戶名稱正確,請確保裝置列在智慧許可證門戶清單中。
使用本文「在智慧許可證門戶中驗證裝置狀態」一節中提供的步驟。
[第三次測試]如果裝置列在智慧許可證門戶清單中,請嘗試從CLI重新啟動SWA智慧許可證服務:
步驟1.登入到CLI。
步驟2.執行 診斷命令
步驟3.選擇服務
步驟4.選擇SMART_LICENSE
步驟5.選擇RESTART
SWA_CLI> diagnostic
Choose the operation you want to perform:
- NET - Network Diagnostic Utility.
- PROXY - Proxy Debugging Utility.
- REPORTING - Reporting Utilities.
- SERVICES - Service Utilities.
[]> SERVICES
Choose one of the following services:
- AMP - Secure Endpoint
- AVC - AVC
- ADC - ADC
- DCA - DCA
- WBRS - WBRS
- EXTFEED - ExtFeed
- L4TM - L4TM
- ANTIVIRUS - Anti-Virus xiServices
- AUTHENTICATION - Authentication Services
- MANAGEMENT - Appliance Management Services
- REPORTING - Reporting Associated services
- MISCSERVICES - Miscellaneous Service
- OCSP - OSCP
- UPDATER - UPDATER
- SICAP - SICAP
- SNMP - SNMP
- SNTP - SNTP
- VMSERVICE - VM Services
- WEBUI - Web GUI
- SMART_LICENSE - Smart Licensing Agent
- WCCP - WCCP
[]> SMART_LICENSE
Choose the operation you want to perform:
- RESTART - Restart the service
- STATUS - View status of the service
[]> RESTART
smart_agent is restarting.
[Forth test] 在智慧許可證管理器門戶中生成新令牌並重新註冊裝置。
將設備(在升級前啟用了智慧許可證)升級到版本14.1或14.0後,在ESA或SMA上可以看到這些錯誤。
附註:x195或x395裝置上出現此錯誤。
以下是裝置生成的郵件示例
08 Apr 2023 10:19:36 -0500 Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
在smart_license日誌中,您可以看到:
Mon Apr 8 09:02:36 2021 Warning: Smart License: Failed to change the hostname to esa.local for the product.
此錯誤是由於ESA的已知思科錯誤ID CSCvz74874和適用於SMA的思科錯誤ID CSCvx68947。您需要與思科支援人員聯絡才能解決此問題。
此錯誤主要與虛擬裝置相關,這些虛擬裝置配置的資源多於預期。
以下是日誌示例:
Thu Jun 23 16:16:07 2022 Critical: Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
any attempts to swap ports using the defined command will fail.
要解決此問題,請檢查CLI中version命令的輸出,確保CPU的數量和分配的記憶體設定為預期。
如果受支援的裝置有更多核心,請更正分配。
如果裝置已從智慧許可證管理器門戶中刪除,則較舊版本會返回此錯誤,
Thu Nov 15 13:50:20 2022 Warning: Failed to renew authorization of the product with Smart Software Manager due to Invalid response from licensing cloud..
要解決此問題,請重新註冊裝置。
此外,請檢查Cisco錯誤ID CSCvr09743
如果您從裝置收到此錯誤並且無法獲得更新,請參閱現場通知:FN - 72502,瞭解更多資訊。
21 Aug 2023 14:03:04 +0200 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent
傳統VLAN證書檔案包括由Talos Keymaster建立的用於訪問更新和升級的證書。舊的Keymaster證書頒發機構(CA)已於2023年1月13日到期。
2021年12月15日前簽發的證書的有效期超過12個月的VLN證書檔案必須在2023年1月13日前續簽並應用。
要解決此問題,請聯絡思科許可證支援並請求一個新的VLAN檔案。
如果您看到一些日誌,表明您的某個功能已移至「不合規」狀態,請檢查:
以下是日誌示例:
Mon Sep 4 20:41:09 2023 Warning: Secure Web Appliance HTTPs Decryption license has been moved to Out of Compliance successfully.
Mon Sep 4 20:41:10 2023 Warning: The Secure Web Appliance HTTPs Decryption is in Out of Compliance (OOC) state. You have 29 days remaining in your grace period.
如果出現「Critical error as "Smart Agent is in Authorization Expired state"(嚴重錯誤,因為「智慧代理處於授權過期狀態」),請檢視下一行,查詢導致此狀態的原因。
以下是錯誤範例:
Fri Aug 18 15:51:11 2023 Critical: Web Security Appliance Cisco Web Usage Controls feature will stop working as Smart Agent is in Authorization Expired state. This can happen if there is no communication between the appliance and the Cisco Smart Software Manager (CSSM) for more than 90 days.
請檢查連線並確保裝置已在智慧許可證門戶中註冊。
思科安全網路裝置AsyncOS 14.5使用手冊 — GD(常規部署) — 連線、安裝和配置[思科安全網路裝置] — 思科
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
08-Sep-2023 |
初始版本 |