キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
4537
閲覧回数
15
いいね!
7
返信

FRP2100 のSecurity Context やStrong Encryption (3DES/AES)のアクティべートについて

HITOSHIYAMADA8041
Spotlight
Spotlight

先日Firepower 2120にてスタンドアロン構成で「Firepower 2100 ASA Standard」のスマートライセンス認証をすることができました。

 

しかし、「Firepower 2100 ASA Security Context」や「Cisco Firepower 2K Series ASA Strong Encryption (3DES/AES)」といったライセンスがバーチャルアカウントに登録はされているのですが、これらをどのようにFirepowerへアクティベートすればよいのかわかりません。

お手数ですが、上記ライセンスのアクティベート方法をご教示いただけないでしょうか?

 

また、こちらもまだ実施する前なのですが、Active-Standby構成の場合は、スタンドアロン構成とは違った工程でのスマートライセンス認証が必要なのでしょうか?

 

以上、何卒よろしくお願いいたします。

1 件の受理された解決策

受理された解決策

Akira Muranaka
Level 8
Level 8

おはようございます。

 

FPR2100シリーズは 無料で1台あたり 2contextまで使えるので、冗長構成の場合 Contextは合算されると思うので、4 contextまでは Standardライセンスで使えると思います。 それ以上 Context設定したい場合は、例えば L-FPR2K-ASASC-5 など Context追加ライセンスを購入しスマートアカウントに Contextライセンスをいれてから、ASA側で feature context [追加で設定したいContext数]  コマンド実行することで Contextライセンスを任意数 アクティベートできるはずです。例えば以下の設定例を冗長構成でやれば、4 + 10 = 最大14のContextが設定可能になるんじゃないかなーとおもいます。

ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature context 10

 

Strong-Encryptionライセンスは今はもう使わない失われたライセンスです。スマートライセンス認証時に「輸出規制」のチェックがONになってれば、高度暗号化機能は自動有効化されるので気にする必要ありません。既に確認頂いてるかもですが、以下ドキュメントの6.4に記載ありますね。

https://community.cisco.com/t5/-/-/ta-p/3163034#toc-hId-1505069233

 

ライセンスについて詳しくはこちらを参照ください。

https://www.cisco.com/c/en/us/td/docs/security/asa/asa914/configuration/general/asa-914-general-config/intro-license-smart.html#concept_sbk_grh_v1b

元の投稿で解決策を見る

7件の返信7

HITOSHIYAMADA8041
Spotlight
Spotlight

冗長構成のライセンス認証はこちらにありましたね。

https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asav-fpr1000-fpr2100-%E3%82%B9%E3%83%9E%E3%83%BC%E3%83%88%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%AA%...

6.5 冗長構成で導入時、スマートライセンス登録は両機器で必要ですか

はい、各機器でスマートライセンス登録を実施してください。各機器でスマートライセンス登録をしないと、各機器でStrong-Encryption機能 (高度暗号機能) が有効になりません。また、仮想アプライアンスである ASAvの場合、ライセンス認証未実施時の速度制限の解除(※)には、スマートライセンス登録が必要です。(※FPR1000/2100など物理アプライアンスの場合はライセンス未認証時の速度制限はありません。)

なお、冗長構成で利用時は、スマートライセンス認証後、Active機が冗長ペアに必要なライセンスを ライセンスクラウドに取りに行きます。

Akira Muranaka
Level 8
Level 8

おはようございます。

 

FPR2100シリーズは 無料で1台あたり 2contextまで使えるので、冗長構成の場合 Contextは合算されると思うので、4 contextまでは Standardライセンスで使えると思います。 それ以上 Context設定したい場合は、例えば L-FPR2K-ASASC-5 など Context追加ライセンスを購入しスマートアカウントに Contextライセンスをいれてから、ASA側で feature context [追加で設定したいContext数]  コマンド実行することで Contextライセンスを任意数 アクティベートできるはずです。例えば以下の設定例を冗長構成でやれば、4 + 10 = 最大14のContextが設定可能になるんじゃないかなーとおもいます。

ciscoasa(config)# license smart
ciscoasa(config-smart-lic)# feature context 10

 

Strong-Encryptionライセンスは今はもう使わない失われたライセンスです。スマートライセンス認証時に「輸出規制」のチェックがONになってれば、高度暗号化機能は自動有効化されるので気にする必要ありません。既に確認頂いてるかもですが、以下ドキュメントの6.4に記載ありますね。

https://community.cisco.com/t5/-/-/ta-p/3163034#toc-hId-1505069233

 

ライセンスについて詳しくはこちらを参照ください。

https://www.cisco.com/c/en/us/td/docs/security/asa/asa914/configuration/general/asa-914-general-config/intro-license-smart.html#concept_sbk_grh_v1b

いつも助けていただきありがとうございます。

おおおおーーー確かにコマンド出てきました!

fw1(config)# license smart
INFO: License(s) corresponding to an entitlement will be activated only after an entitlement request has been authorized.
fw1(config-smart-lic)#
fw1(config-smart-lic)# feature ?

smart-lic-mode mode commands/options:
  context            Specify the context capacity license
  strong-encryption  Specify the license for strong encryption
  tier               Specify License feature tier

fw1(config-smart-lic)# feature strong-encryption ?

smart-lic-mode mode commands/options:
  <cr>
fw1(config-smart-lic)# feature strong-encryption
fw1(config-smart-lic)# feature context ?

smart-lic-mode mode commands/options:
  <1-23>  Specify the total number of security contexts for the device
fw1(config-smart-lic)# feature context xx

GUIではなくCLIでやっているので「輸出規制」のチェックができなかった?と思いますので

feature strong-encryption コマンドを入力して、Strong-Encryptionライセンスを適用することができました!

Akira Muranaka
Level 8
Level 8

Context設定見つけれたようでよかったです

 

あと、strong-encryptionは 非常に古いCSSMサテライト(既にEoLだったはず)用なので、オンライン認証の場合は有効化は不要ですー。(使わないとなんとなくもったいない!精神の場合は、このライセンスがCSSM側で余ってる場合は使ってもいいといえばいいのですが。。) ちなみに、設定ガイドにも、通常不要だと明記されてます。

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/asa-98-general-config_chapter_0100.html#id_57012

(任意) 高度暗号化(3DES/AES)ライセンスは、通常は必要ありません。たとえば、古いサテライトサーバのバージョン(2.3.0 より前)を使用する ASA にはこのライセンスが必要ですが、この機能は、必要な場合、または自分のアカウントにおけるこのライセンスの使用状況を追跡する場合に有効にできます。
feature strong-encryption

 

「輸出規制」のチェックはトークン発行時にCSSM側で行うので、ASDMでは表示されません。あと、発行されたトークンで輸出規制チェックが有効(※日本の方はデフォルト有効のはず)の場合は、Export-Controlled FunctionalityがAllowedになります。

 

例えば以下は私のASAvの出力例ですが、show versionで Encryption-3DES-AESが有効なら、strong encyrptionが有効なのを確認できます。以下のlicense usageを見て頂ければわかりますが、ASA standardしか有効化してません。 つまり、通常日本で利用時は強固な暗号化は自動で有効化されるので、ライセンス設定が簡単になってると思っていただくといいのかなぁと思います。(ちなみに、この輸出規制の機能というのは、強固な暗号機能の利用が制限されている第三国で製品を悪用されないための制限だったはずです。)

TEST-MGMT-ASAv-01# show version | in DES
Encryption-DES                    : Enabled
Encryption-3DES-AES               : Enabled   <--- 輸出規制の機能が許可されてる場合 自動有効化

TEST-MGMT-ASAv-01# show license all

Smart Licensing Status
======================

Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: xxxxx
  Virtual Account: xxxxxx
  Export-Controlled Functionality: ALLOWED   <--- 輸出規制の機能が許可
  Initial Registration: SUCCEEDED on Jul 08 2021 08:36:40 UTC
  Last Renewal Attempt: None
  Next Renewal Attempt: Jan 04 2022 08:37:56 UTC
  Registration Expires: Jul 08 2022 08:32:53 UTC

   --- snip --
License Usage
==============

ASAv5 Standard - 100M (ASAv-STD-100M):   <--- ASAvやFPR-ASAは、Standardライセンス(と必要に応じてContext) 有効化するだけで基本OK
  Description: ASAv5 Standard - 100M
  Count: 1
  Version: 1.0
  Status: OUT OF COMPLIANCE
  Export status: NOT RESTRICTED

Product Information
===================
UDI: PID:ASAv,SN:9AWK2xxxxxx

Agent Version
=============
Smart Agent for Licensing: 4.9.3_rel/34

 

ご参考になれば!

ありがとうございます。

 

申し訳ございません。もしこちらご存じでしたら教えていただきたいです。

冗長構成でライセンス認証させようとしたら以下のようなメッセージが出力されました。

 

fw1/stbyNoFailover/sec(config)# license smart
INFO: License(s) corresponding to an entitlement will be activated only after an entitlement request has been authorized.
fw1/stbyNoFailover/sec(config-smart-lic)#
fw1/stbyNoFailover/sec(config-smart-lic)# feature tier standard
The requested entitlement configuration is cached on this unit. Please un-configure the entitlement first.

 

 

 

The requested entitlement configuration is cached on this unit. Please un-configure the entitlement first.

というのは一度スタンドアロン構成の状態に戻せ、ということなのでしょうか?

 

よろしくお願いいたします。

エラー見る限りは、恐らくActiveからライセンス情報を貰いキャッシュもってしまってる影響だと思います。冗長構成を組むと、ライセンス情報を2台間で共有・キャッシュして、30日間は使える状態になるので。

 

なお、旧ライセンス方式のPAKの時もそうですが、機能や設定を使うためにライセンス認証をするので、ライセンス認証は 設定"前"に行うのが原則かと思います。そのため、一旦 HA構成崩して 各機器でライセンス認証してから、Failover設定含めて再設定されると如何でしょうか。

 

具体的には以下手順で可能ではとおもいます。

1. no failover を実施し HA構成を分離

2. スマートライセンスCLIを無効化し、ライセンスキャッシュをクリア (例: no license smart)

3. スマートライセンスCLIを再度有効化し、通常は feature tier standard"のみ"を有効化。有償のContextライセンス持ってる場合は、feature context [利用数] も有効化

4. license smart register idtoken [token] コマンドで クラウドとライセンス認証。 うまくいかない場合は、froce オプションを最後につける
5. show version で Encryption-3DES-AES が有効になってるか、show license allで クラウドから standard ライセンス (と context利用時は contextライセンス) 貰ってるか確認

6. 機器の設定開始!(Contextや 冗長構成の設定・組むなど)

 

上記で復旧しない場合は、no license smartの後に 一度再起動して頂けるといいかもです。

いつも詳細に回答していただきありがとうございます!

再起動まではかけてなかったので一度試してみます。。。