はじめに
本ドキュメントでは、ASAソフトウェアにスマートライセンス(ASA5500-Xシリーズなどは従来のPAKライセンスのため、影響を受けません)を利用する場合に、スマートライセンス登録が予期せず解除が発生してしまう事象についてご紹介します。
事象内容
ASAvをスマートライセンス登録後、最初は下記の状態で正常にスマートライセンスが認識され、正常に利用できたのが、数か月後に、ライセンスが自動的に解除されるケースが稀に御座います。
------------正常時------------
ciscoasa# sho license status
Smart Licensing is ENABLED
Registration:
Status: REGISTERED---------------------------------->正常に登録できている状態
Smart Account: TAC Cisco Systems, Inc.
Virtual Account: SEC TAC
Export-Controlled Functionality: Allowed
Initial Registration: SUCCEEDED on Aug 16 12:43:04 2021 UTC
Last Renewal Attempt: None
Next Renewal Attempt: Feb 12 12:43:03 2022 UTC
Registration Expires: Aug 16 12:38:47 2022 UTC
License Authorization:
Status: AUTHORIZED on Aug 16 12:43:15 2021 UTC---------------------------------->正常に認証された状態
Last Communication Attempt: SUCCESS on Aug 16 12:43:15 2021 UTC
Next Communication Attempt: Sep 15 12:43:14 2021 UTC
Communication Deadline: Nov 14 12:39:00 2021 UTC
------------正常時-----------
----------事象発生時----------
ciscoasa(config-smart-lic)# sho license status
Smart Licensing is ENABLED
Registration:
Status: UNREGISTERED---------------------------------->登録が解除された状態
Export-Controlled Functionality: Not Allowed
License Authorization:
Status: EVAL MODE---------------------------------->評価モードの状態
Evaluation Period Remaining: 70 days, 5 hours, 40 minutes, 49 seconds
----------事象発生時----------
また、事象発生時にASAでは下記の時刻変更により証明書が失効されたことを示すログを確認できます。
Aug 28 14:30:56 %ASA-5-444305: %SMART_LIC-5-SYSTEM_CLOCK_CHANGED:Smart Agent for Licensing System clock has been changed
Aug 28 14:30:57 %ASA-3-444303: %SMART_LIC-3-ID_CERT_EXPIRED_WARNING:This device's registration will expire in 60 days.
発生原因
スマートライセンスに対応したASAには、スマートライセンス登録と管理用のSmart Agentが実装されていますが、下記のsmart agentの不具合により、ライセンスが自動的に解除されてしまう事象が発生することが稀に御座います。 当問題は ASAvにて発生するリスクがあります。ASAvの稼働するハイパーバイザーや NTPサーバーのシステムなど側の影響で発生するケースが稀に御座います。物理アプライアンスであるFPR1000/2100/4100/9300シリーズでは基本的に発生しません。そのため、上記のSystem clock has been changedのログが出て、且つスマートライセンス解除が発生した事のあるシステムの場合、影響を受けるシステムを利用してる可能性が高いので、下記の「対処方法」にてご対応をお願いいたします。
尚、不具合の詳細についてはコードレベルでの内容と関連しており、詳細の開示は致しかねます。
Losing and expired Smart license information/registration when clock changes.
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvm79772
対処方法
CSCvm79772の不具合については、smart agent Ver4.5.7にて修正され、ASAの場合は、ASA Version 9.13以後にて当バージョンが組み込まれております。そのため、CSCvm79772のFurther Problem Descriptionに記載しております通り、ASA Ver9.13以後にて修正しております。smart agentのバージョンについては、show license allからご確認いただけます。(下記はASA Ver9.13.1での出力結果となります)。
ciscoasa# show license all
Smart Licensing Status
======================
Smart Licensing is ENABLED
中略
Agent Version
=============
Smart Agent for Licensing: 4.9.3_rel/34-------------->Smart Agentバージョン
また、暫定対策としては、再度スマートライセンスを登録し直すこととなりますが、いつ再発するかは不明のため、影響を受けるシステムを利用時は、恒久対策の修正バージョン以後へのアップグレードのご検討をお願いします。
!! token登録コマンド
license smart register idtoken [token ID] force
!! 既に Licensing Portalに登録済みの場合の再試行時に実行
license smart renew auth
参考情報
ASAv/FPR1000/FPR2100: スマートライセンス認証とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3163034
FPR4100/9300-ASA: Smart License 有効化方法とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3328615
