2021-08-26 02:34 PM
先日Firepower 2120にてスタンドアロン構成で「Firepower 2100 ASA Standard」のスマートライセンス認証をすることができました。
しかし、「Firepower 2100 ASA Security Context」や「Cisco Firepower 2K Series ASA Strong Encryption (3DES/AES)」といったライセンスがバーチャルアカウントに登録はされているのですが、これらをどのようにFirepowerへアクティベートすればよいのかわかりません。
お手数ですが、上記ライセンスのアクティベート方法をご教示いただけないでしょうか?
また、こちらもまだ実施する前なのですが、Active-Standby構成の場合は、スタンドアロン構成とは違った工程でのスマートライセンス認証が必要なのでしょうか?
以上、何卒よろしくお願いいたします。
解決済! 解決策の投稿を見る。
2021-08-28 05:55 AM
おはようございます。
FPR2100シリーズは 無料で1台あたり 2contextまで使えるので、冗長構成の場合 Contextは合算されると思うので、4 contextまでは Standardライセンスで使えると思います。 それ以上 Context設定したい場合は、例えば L-FPR2K-ASASC-5 など Context追加ライセンスを購入しスマートアカウントに Contextライセンスをいれてから、ASA側で feature context [追加で設定したいContext数] コマンド実行することで Contextライセンスを任意数 アクティベートできるはずです。例えば以下の設定例を冗長構成でやれば、4 + 10 = 最大14のContextが設定可能になるんじゃないかなーとおもいます。
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature context 10
Strong-Encryptionライセンスは今はもう使わない失われたライセンスです。スマートライセンス認証時に「輸出規制」のチェックがONになってれば、高度暗号化機能は自動有効化されるので気にする必要ありません。既に確認頂いてるかもですが、以下ドキュメントの6.4に記載ありますね。
https://community.cisco.com/t5/-/-/ta-p/3163034#toc-hId-1505069233
ライセンスについて詳しくはこちらを参照ください。
2021-08-26 02:40 PM
冗長構成のライセンス認証はこちらにありましたね。
はい、各機器でスマートライセンス登録を実施してください。各機器でスマートライセンス登録をしないと、各機器でStrong-Encryption機能 (高度暗号機能) が有効になりません。また、仮想アプライアンスである ASAvの場合、ライセンス認証未実施時の速度制限の解除(※)には、スマートライセンス登録が必要です。(※FPR1000/2100など物理アプライアンスの場合はライセンス未認証時の速度制限はありません。)
なお、冗長構成で利用時は、スマートライセンス認証後、Active機が冗長ペアに必要なライセンスを ライセンスクラウドに取りに行きます。
2021-08-28 05:55 AM
おはようございます。
FPR2100シリーズは 無料で1台あたり 2contextまで使えるので、冗長構成の場合 Contextは合算されると思うので、4 contextまでは Standardライセンスで使えると思います。 それ以上 Context設定したい場合は、例えば L-FPR2K-ASASC-5 など Context追加ライセンスを購入しスマートアカウントに Contextライセンスをいれてから、ASA側で feature context [追加で設定したいContext数] コマンド実行することで Contextライセンスを任意数 アクティベートできるはずです。例えば以下の設定例を冗長構成でやれば、4 + 10 = 最大14のContextが設定可能になるんじゃないかなーとおもいます。
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature context 10
Strong-Encryptionライセンスは今はもう使わない失われたライセンスです。スマートライセンス認証時に「輸出規制」のチェックがONになってれば、高度暗号化機能は自動有効化されるので気にする必要ありません。既に確認頂いてるかもですが、以下ドキュメントの6.4に記載ありますね。
https://community.cisco.com/t5/-/-/ta-p/3163034#toc-hId-1505069233
ライセンスについて詳しくはこちらを参照ください。
2021-08-28 12:57 PM
いつも助けていただきありがとうございます。
おおおおーーー確かにコマンド出てきました!
fw1(config)# license smart INFO: License(s) corresponding to an entitlement will be activated only after an entitlement request has been authorized. fw1(config-smart-lic)# fw1(config-smart-lic)# feature ? smart-lic-mode mode commands/options: context Specify the context capacity license strong-encryption Specify the license for strong encryption tier Specify License feature tier fw1(config-smart-lic)# feature strong-encryption ? smart-lic-mode mode commands/options: <cr> fw1(config-smart-lic)# feature strong-encryption fw1(config-smart-lic)# feature context ? smart-lic-mode mode commands/options: <1-23> Specify the total number of security contexts for the device fw1(config-smart-lic)# feature context xx
GUIではなくCLIでやっているので「輸出規制」のチェックができなかった?と思いますので
feature strong-encryption コマンドを入力して、Strong-Encryptionライセンスを適用することができました!
2021-08-28 02:19 PM 2021-08-28 02:23 PM 更新
Context設定見つけれたようでよかったです
あと、strong-encryptionは 非常に古いCSSMサテライト(既にEoLだったはず)用なので、オンライン認証の場合は有効化は不要ですー。(使わないとなんとなくもったいない!精神の場合は、このライセンスがCSSM側で余ってる場合は使ってもいいといえばいいのですが。。) ちなみに、設定ガイドにも、通常不要だと明記されてます。
(任意) 高度暗号化(3DES/AES)ライセンスは、通常は必要ありません。たとえば、古いサテライトサーバのバージョン(2.3.0 より前)を使用する ASA にはこのライセンスが必要ですが、この機能は、必要な場合、または自分のアカウントにおけるこのライセンスの使用状況を追跡する場合に有効にできます。 feature strong-encryption
「輸出規制」のチェックはトークン発行時にCSSM側で行うので、ASDMでは表示されません。あと、発行されたトークンで輸出規制チェックが有効(※日本の方はデフォルト有効のはず)の場合は、Export-Controlled FunctionalityがAllowedになります。
例えば以下は私のASAvの出力例ですが、show versionで Encryption-3DES-AESが有効なら、strong encyrptionが有効なのを確認できます。以下のlicense usageを見て頂ければわかりますが、ASA standardしか有効化してません。 つまり、通常日本で利用時は強固な暗号化は自動で有効化されるので、ライセンス設定が簡単になってると思っていただくといいのかなぁと思います。(ちなみに、この輸出規制の機能というのは、強固な暗号機能の利用が制限されている第三国で製品を悪用されないための制限だったはずです。)
TEST-MGMT-ASAv-01# show version | in DES Encryption-DES : Enabled Encryption-3DES-AES : Enabled <--- 輸出規制の機能が許可されてる場合 自動有効化 TEST-MGMT-ASAv-01# show license all Smart Licensing Status ====================== Smart Licensing is ENABLED Registration: Status: REGISTERED Smart Account: xxxxx Virtual Account: xxxxxx Export-Controlled Functionality: ALLOWED <--- 輸出規制の機能が許可 Initial Registration: SUCCEEDED on Jul 08 2021 08:36:40 UTC Last Renewal Attempt: None Next Renewal Attempt: Jan 04 2022 08:37:56 UTC Registration Expires: Jul 08 2022 08:32:53 UTC --- snip -- License Usage ============== ASAv5 Standard - 100M (ASAv-STD-100M): <--- ASAvやFPR-ASAは、Standardライセンス(と必要に応じてContext) 有効化するだけで基本OK Description: ASAv5 Standard - 100M Count: 1 Version: 1.0 Status: OUT OF COMPLIANCE Export status: NOT RESTRICTED Product Information =================== UDI: PID:ASAv,SN:9AWK2xxxxxx Agent Version ============= Smart Agent for Licensing: 4.9.3_rel/34
ご参考になれば!
2021-08-29 08:05 PM
ありがとうございます。
申し訳ございません。もしこちらご存じでしたら教えていただきたいです。
冗長構成でライセンス認証させようとしたら以下のようなメッセージが出力されました。
fw1/stbyNoFailover/sec(config)# license smart INFO: License(s) corresponding to an entitlement will be activated only after an entitlement request has been authorized. fw1/stbyNoFailover/sec(config-smart-lic)# fw1/stbyNoFailover/sec(config-smart-lic)# feature tier standard The requested entitlement configuration is cached on this unit. Please un-configure the entitlement first.
The requested entitlement configuration is cached on this unit. Please un-configure the entitlement first.
というのは一度スタンドアロン構成の状態に戻せ、ということなのでしょうか?
よろしくお願いいたします。
2021-08-30 07:13 AM
エラー見る限りは、恐らくActiveからライセンス情報を貰いキャッシュもってしまってる影響だと思います。冗長構成を組むと、ライセンス情報を2台間で共有・キャッシュして、30日間は使える状態になるので。
なお、旧ライセンス方式のPAKの時もそうですが、機能や設定を使うためにライセンス認証をするので、ライセンス認証は 設定"前"に行うのが原則かと思います。そのため、一旦 HA構成崩して 各機器でライセンス認証してから、Failover設定含めて再設定されると如何でしょうか。
具体的には以下手順で可能ではとおもいます。
1. no failover を実施し HA構成を分離
2. スマートライセンスCLIを無効化し、ライセンスキャッシュをクリア (例: no license smart)
3. スマートライセンスCLIを再度有効化し、通常は feature tier standard"のみ"を有効化。有償のContextライセンス持ってる場合は、feature context [利用数] も有効化
4. license smart register idtoken [token] コマンドで クラウドとライセンス認証。 うまくいかない場合は、froce オプションを最後につける
5. show version で Encryption-3DES-AES が有効になってるか、show license allで クラウドから standard ライセンス (と context利用時は contextライセンス) 貰ってるか確認
6. 機器の設定開始!(Contextや 冗長構成の設定・組むなど)
上記で復旧しない場合は、no license smartの後に 一度再起動して頂けるといいかもです。
2021-08-30 10:38 AM
いつも詳細に回答していただきありがとうございます!
再起動まではかけてなかったので一度試してみます。。。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます