はじめに

本ドキュメントでは、Firepower Management Center(FMC)のスマートライセンス登録方法、及び、仮にスマートライセンス登録ができない場合のトラブルシューティング方法を紹介します。

本ドキュメントは、Cisco Firepower Management Center for VMWare バージョン 6.2.0.2、ASA5516 FTD バージョン 6.2.0.2を用いて確認、作成しております。

  

  

FMCと FTDと スマートライセンス

FMCにてスマートライセンス登録を実施し、クラウドの Smart Software Manager (SSM)と連携します。 FMCは管理FTDデバイスに対し、自由にライセンスの割り当てや削除が可能です。 つまり、FMCが FTDデバイスのライセンスを集中管理します。 

  

FTDデバイスに割り当て可能な スマートライセンスのタイプは以下です。

ライセンス	主な提供機能	期間
Base	基本的なFirewall機能やAVC	永久 (デバイスに含まれる)
Threat	IPSや セキュリティインテリジェンス、File control	期間ベース
Malware	Advanced Malware Protection (AMP)、 AMP Threat Grid	期間ベース
URL Filtering	カテゴリと評価を基にしたURL Filtering	期間ベース
AnyConnect	リモートアクセスVPN	期間ベース or 永久

 

Baseライセンスは 予めFTDデバイスに含まれており、FMCがSSMに接続時に、ご利用のスマートアカウントに自動登録されます。

期間ベースライセンスであるThreat、Malware、URL Filteringは オプションです。 購入しスマートアカウントに登録ができます。 期間ベースライセンスのタイプや個数と 使用状況は、SSMから確認できます。 これらライセンスを、FMC経由でFTDデバイスに割り当てることで、FTDデバイスはその機能が利用可能になります。 
  

FMC virtual (FMCv) を利用時は、上記のFTD用ライセンスとは別に、FMCvの購入と、FMCv用ライセンス の そのFMCvへの割当てが必要です。 FMCv用のライセンスは、SSM上で Firepower MCv Device License と表示されます。 FMCvが接続時に自動で割当てられ、有効期間は永久です。
 

Firepower Systemのライセンスについて より詳しくは、Cisco Firepower System Feature Licenses や Frequently Asked Questions (FAQ) about Firepower Licensing も参考にしてください。

  

  

FMCのスマートライセンス登録方法

事前実施事項

1. FMCのスマートライセンス登録には、FMCがインターネットにアクセス可能である必要があります。 また、FMCと ライセンスクラウド間で HTTPSを利用し証明書を交換するため、その通信を阻害する装置などが経路にないことを確認してください。

2. Smart Software Manager (SSM)にアクセスし、Inventory > Generalの New Tokenボタンより Token IDを発行してください。 この際、「Allow export-controlled functionality on the products registered with this token (このトークンに登録された製品の輸出規制された機能を許可する)」に必ずチェックをいれてください。 強固な暗号処理の利用に必要となるためです

     

FMCのスマートライセンス登録

FMCの System > Licenses > Smart Licensesから、Registerをクリックします。

   
「Smart Licensing Product Registration」のポップアップにTokenを入力し、Apply Changesをクリックします。

   
   
Registeredになれば登録成功です。

  
FTDデバイスに 期間ベースライセンスを割り当てるには、Edit Licensesをクリックします。 「Edit Licenses」がポップアップするため、有効化したいライセンスの任意タブとデバイスを選択・Addし、Device with license欄に登録したのち、Applyをクリックします。

  
各ライセンスタイプを開き、想定のデバイスのライセンスが有効であることを確認してください。

 

Smart Software Manager (SSM) 側の確認  

FMCのスマートライセンス登録が成功すると、SSMの Inventory > Event Logより、FMCの登録成功を確認できます。

  
FMCの登録状況は、Inventory > Product Instancesより確認できます。

  
Nameをクリックすることで、NameやPID、License利用状況、Event Logなどを確認できます。

  
ライセンスの登録と利用状況は、Inventory > Licensesから確認できます。 購入した期間ベースライセンスが正しく使用されていることを確認してください。

  

  

スマートライセンス登録の解除方法

何らかの理由でライセンスを解放したい場合や、FMCの再登録をしたい場合は、既存FMC登録の解除を検討します。 方法は 以下のいずれかを実施してください。
 

FMC側で行う場合

System > Licenses > Smart Licenses より、De-registerボタンをクリックしてください。なお、何らかの理由で上記ボタンを押しても 登録解除ができず、FMCを再起動しても登録解除ができない状態が続く場合は、Firepower System: FMCのスマートライセンスの強制登録解除方法 を参照してください。

 

SSM側で行う場合

Inventory > Product Instancesより 対象FMCのRemoveをクリックし 以下のポップアップで"Remove Product Instance"をクリックすれば、FMCの削除と 割り当てライセンスの解放が可能です。

  

  

スマートライセンス登録失敗時の確認事項

正しい時刻状態であること

FMCにCLIアクセスし、FMCの時刻が正しい事、及び 信頼されたNTPサーバと同期されていることを確認してください。 スマートライセンス認証時は証明書を用いるため、正しい時刻情報をFMCが保持していることは重要です。

admin@nakamura-FMC:~$ date
Thu Dec 14 09:18:47 UTC 2017
admin@nakamura-FMC:~$
admin@nakamura-FMC:~$ ntpq -pn
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*1.0.0.2         171.68.xx.xx     2 u  387 1024  377    0.977    0.469   0.916
 127.127.1.1     .SFCL.          13 l    -   64    0    0.000    0.000   0.000

WebUIでは System > Configuration > Time Synchronization から、NTPサーバ設定を確認可能です。

 

tools.cisco.comに名前解決と疎通が可能あること

DNSで名前解決ができ、疎通可能なことを確認してください

admin@nakamura-FMC:~$ sudo su
Password:
root@nakamura-FMC:/Volume/home/admin#
root@nakamura-FMC:/Volume/home/admin# ping tools.cisco.com
PING tools.cisco.com (173.37.145.8) 56(84) bytes of data.
64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=1 ttl=236 time=136 ms
64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=2 ttl=236 time=135 ms
64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=3 ttl=236 time=132 ms
64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=4 ttl=236 time=132 ms
64 bytes from tools2.cisco.com (173.37.145.8): icmp_req=5 ttl=236 time=132 ms

WebUIでは System > Configuration > Management Interfaces から、管理IPやDNSサーバIPが確認可能です。

 

tools.cisco.comにHTTPS(TCP443)アクセスが可能であること

telnetや curlコマンドを利用し、FMCからtools.cisco.comにHTTPS(TCP443)アクセス可能であることを確認してください。 仮にアクセスが不可の場合は、経路のFirewallでブロックしてないか、経路にSSL Decryrption装置がないか、などを確認してください。

root@nakamura-FMC:/Volume/home/admin# telnet tools.cisco.com 443
Trying 173.37.145.8...
Connected to tools.cisco.com.
Escape character is '^]'.
^CConnection closed by foreign host.      <--- Press Ctrl+C

root@nakamura-FMC:/Volume/home/admin# curl -vvk https://tools.cisco.com
* Rebuilt URL to: https://tools.cisco.com/
*   Trying 173.37.145.8...
* Connected to tools.cisco.com (173.37.145.8) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
    --- snip ---
> GET / HTTP/1.1
> Host: tools.cisco.com
> User-Agent: curl/7.48.0
> Accept: */*
>
< HTTP/1.1 302 Found
< Date: Thu, 14 Dec 2017 09:25:35 GMT
< Set-Cookie: ObSSOCookie=loggedoutcontinue; path=/; domain=.cisco.com
< Location: https://sso.cisco.com/obrareq.cgi?wh%3DCCX-PROD2%20wu%3D%2F%20wo%3D1%20rh%3Dhttps%3A%2F%2Ftools.cisco.com%20ru%3D%252F
< Content-Length: 302
< Cache-Control: max-age=0
< Expires: Thu, 14 Dec 2017 09:25:35 GMT
< Content-Type: text/html; charset=iso-8859-1
<
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="https://sso.cisco.com/obrareq.cgi?wh%3DCCX-PROD2%20wu%3D%2F%20wo%3D1%20rh%3Dhttps%3A%2F%2Ftools.cisco.com%20ru%3D%252F">here</a>.</p>
</body></html>
* Connection #0 to host tools.cisco.com left intact

    

(Proxy利用時) FMC側と Proxyサーバ側で設定が正しいこと

FMCで想定のプロキシサーバのIPアドレスとポートを利用していることを確認してください。

root@nakamura-FMC:/Volume/home/admin# cat /etc/sf/smart_callhome.conf
KEEP_SYNC_ACTIVE:1
PROXY_DST_URL:https://tools.cisco.com/its/service/oddce/services/DDCEService
PROXY_SRV:173.36.xx.xx
PROXY_PORT:80

WebUIでは System > Configuration > Management Interfaces から、プロキシ設定が確認可能です。

仮にFMC側の設定が問題ない場合、Proxyサーバー側の設定が正しい確認してください。 例えば、Proxyサーバが そのFMCからのアクセスを許可しているか、tools.cisco.comにアクセス可能か、そのProxyサーバーを経由する tools.cisco.com宛のアクセスや 証明書のやり取りが許可されているか、など確認します。 仮に透過型Proxyを利用している場合も、Proxyサーバー側で同様の確認が必要です。

中継プロキシなどで暗号通信の解読(Decrypt)機能が有効の場合は、スマートライセンス認証の証明書交換などを阻害する恐れがあるため、スマートライセンス通信は そのバイパスをお勧めします。

  

発行したトークンが期限切れでないこと

仮に期限切れの可能性がある場合は、SSM管理者に依頼し、新しいTokenを発行してもらうこと、及び そのToken IDを利用してスマートライセンス再登録をしてください。

切り分けのために、念のためトークンの新規再発行を実施し利用することは、スマートライセンス登録問題時の切り分けのうえで非常に有効です。

 

FMCを再起動する

何らかの処理と競合している可能性があります。 FMCを再起動してから、再度スマートライセンス登録を試みてください。 再起動の手順は、ASA Firepower Moduleと FMCの 再起動手順 を参照してください。

  

FMCのゲートウェイを変更する

中継にあるプロキシやSSLデクリプション装置などの影響で、正しくスマートライセンス認証ができないケースがあります。 これら機器を経由しないインターネットアクセスのための経路に変更し、スマートライセンス登録を試してみてください。

 

FMCのヘルスイベントを確認

System > Health > Eventsの Smart License Monitorより、FMC側のスマートライセンスの状態やエラー有無を確認可能です。 例えば、証明書の期限切れで接続に失敗する場合は、"id certificated expired"といったエラーが出力されます。

    

SSMのイベントログを確認

FMCがSSMに接続できた場合は、Inventory > Event Logで確認できます。 それらイベントログがあるか、エラーログは無いか、など確認してください。 仮にFMC側の設定・動作が問題なく、SSM側でイベントログ出力がない場合は、その経路の問題である可能性があがります。

   

しばらく時間をおく

ライセンスを購入や登録して 間もない場合は、しばらく時間をおいてから、再度試してください。

    

  

スマートライセンス無効時の影響

期間ベースのライセンスが何らかの理由で無効になった場合、多くの機能は継続し利用が可能ですが、様々な制限が発生します。 以下はその制限例です。(なお、Baseライセンスの期間は永久です。)

共通	そのライセンスが必要な機能の設定変更や 対象デバイスにデプロイが不可 (例えば、Threatが無効時、Intrusion Policyを含むAccess Control Policyのデプロイが不可となる)
Threat	Intrusion Eventや File Eventの FMC側での検知不可
Malware	AMPクラウドへのクエリ停止、Retrospective Eventsの検知不可
URL Filtering	即座のURL filtering停止、最新URLデータのダウンロード不可

  

以下は Threatライセンス無効に伴い、Intrusion Policyのデプロイに失敗した時の出力例です。

 

  

スマートライセンス状態の通知機能

SSMを用いたEメール通知

SSMの Email Notificationで、様々なイベントの要約メールの受信設定が可能です。 ライセンス関連ですと、ライセンス不足や期限失効近く、もしくは失効の通知を受けれます。 製品インスタンスの接続や更新失敗の通知も受け取ることができます。

ライセンスや製品インスタンスの更新失敗による機能制限発生の防止のためにも、活用を強くお勧めします。

   

FMCを用いたヘルスモニタアラート

FMC側でも、ライセンス関連のヘルスイベントのアラート通知が可能です。 スマートライセンス監視に利用可能な Module Nameは「Smart License Monitor」です。アラートは シスログ、メール、SNMPトラップでの通知が可能です。

以下は実際の、Smart License Monitorのイベント発生時の Syslogアラート送付の設定例です。

 

  

以下は、Smart License Monitorが「out of compliance」を検知した際のヘルスイベント出力例と、実際のシスログサーバ側でのアラート受信例です。

Mar 13 18:47:10 xx.xx.xx.xx Mar 13 09:47:10 nakamura-FMC : HMNOTIFY: Smart License Monitor (Sensor nakamura-FMC): Severity: critical: Smart License usage is out of compliance 

  

Health Monitorの設定方法についてより詳しくは、以下ドキュメントなどを参考にしてください。

Firepower System: Health Monitor: CPUやメモリの 定常監視方法
https://supportforums.cisco.com/t5/-/-/ta-p/3292677

    

    

よくあるトラブルと対応例

以下ドキュメントに、FMCのスマートライセンス利用時の「よくあるトラブル ( Common Issues )
」や「Frequently Asked Questions (FAQ)」を記載しているため参照ください。

• FMC and FTD Smart License Registration and Troubleshooting

  

 

その他 注意事項

PID内に ホスト名を含めないようにすること 

PID内にホスト名が含まれると、FMCのスマートライセンス登録が失敗することがあります。

例えば、FMC1000 (PID=FMC1000-K9)を利用時、そのFMCのホスト名に、FMC もしくは FMC1000 もしくは FMC1000-K9を利用するのは避けてください。ホスト名 FMC-PriやFMC-Secなどの場合は問題ありません。

詳しくは、CSCvh14518 を参照してください。 なお、CSCvh14518 の制限は、Firepower System バージョン 6.3.0以降で撤廃されます。

 

複数FMCをスマートライセンス登録時は、各FMCに一意なホスト名を設定すること

FMCでFTDデバイスのライセンス割当てを統合管理するため、SSM側の操作は殆ど不要となりますが、複数のFMCをスマートライセンス登録時は、どのFMCがどのSSMに接続しているか解りやすくするために、各FMCには一意なホスト名の割り当てを推奨します。

  

FMCはインターネット接続可能な状態を維持すること

ライセンス認証後も通常30日に1回、ライセンスクラウドとライセンス状況を確認しています。90日通信ができないと、ライセンス機能は維持されますが、Authorization Expiredの状態になります。 なお、この状態になっても、FMCはライセンスクラウドへの接続は継続的に試みます。

FMCが継続してインターネット接続不可能な状態を避けるため、SSMの Email Notificationや Health Monitor Alert等も活用し、長時間 インターネット接続が不可な状態を避けることをお勧めします。 インターネット接続が不可の場合、最新のSnort Rule Updateや マルウェア検知、セキュリティインテリジェンスのデータベース更新などもできず、大きくセキュリティが低下します。

  

URLフィルタリングを利用時は FMCバージョン 6.2.2以降を利用すること

以下の既知不具合の影響により、URLフィルタリングライセンスをFTDに適用しようとすると、スマートライセンス機能が以後正しく動作しなくなる問題があります。 管理デバイスで FTDのURLフィルタリングライセンスを利用時は、修正を含むバージョンである 6.2.2以降に FMCのアップグレードを事前に実施してください。

CSCvd02391 Enabling URL filtering license for FTD breaks the smart license.

  

FMCvを複数セットアップ時は、1つ1つ OVFファイルから作成すること

Firepower Systemを仮想環境で利用時は、クローニングは正式サポートされません。 内部に認証情報などを持つため、各FMCvはユニークです。 複数の Firepower Management Center virtual (FMCv)を構築する時は、1つ1つ OVFファイルから作成するようにしてください。 詳しくは、Cisco Firepower Management Center Virtual for VMware Deployment Quick Start Guide を参照してください。

[Deployment Quick Start Guideの Guidelines and Limitationsより抜粋]
The following limitations exist when deploying for VMware:
・Cisco Firepower Management Center Virtual appliances do not have serial numbers. 
The System>Configuration page will show either None or Not Specified depending on the virtual platform.
・Cloning a virtual machine is not supported.
・Restoring a virtual machine with snapshot is not supported. 
・Restoring a backup is not supported.

   

   

よくある質問

スマートライセンスの登録状況をコマンドラインで確認できますか

可能です。 FMCにSSHなどでアクセスし、tail -n 300 /var/log/sam.log を実行してください。  以下は FMCv 6.2.3の出力例ですが、ライセンス登録や認可状況、更新予定日、デバイスの利用状況、UDI、PIDなどを確認できます。

admin@nakamura-FMC:~$ tail -n 300 /var/log/sam.log
  --- snip ---
Smart Licensing Tech Support info

Smart Licensing Status
======================

Smart Licensing is ENABLED

Registration:
  Status: REGISTERED
  Smart Account: Security Cisco Systems, Inc.
  Virtual Account: xxxxxxxxxx
  Export-Controlled Functionality: Allowed
  Initial Registration: SUCCEEDED on Feb 22 09:34:15 2018 UTC
  Last Renewal Attempt: SUCCEEDED on Mar 13 09:44:03 2018 UTC
  Next Renewal Attempt: Sep 09 09:44:03 2018 UTC
  Registration Expires: Mar 13 09:38:00 2019 UTC

License Authorization:
  Status: OUT OF COMPLIANCE on Apr 22 11:47:42 2018 UTC
  Last Communication Attempt: SUCCEEDED  on Apr 25 13:56:45 2018 UTC
  Next Communication Attempt: Apr 26 01:56:44 2018 UTC
  Communication Deadline: Jul 24 13:50:43 2018 UTC

Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Callhome

Evaluation Period:
  Evaluation Mode: Not In Use
  Evaluation Period Remaining: 90 days, 0 hours, 0 minutes, 0 seconds

License Usage
=============
Handle: 1
  License: ASA5516 Threat Defense Threat Protection
  Entitlement Tag: regid.2015-07.com.cisco.ASA5516TD-TP,2.0_3c2e4fa2-675d-4335-b959-xxxxxxxxxxxx
  Description: ASA5516 Threat Defense Threat Protection
  Count: 1
  Version: 1.0
  Status: OUT OF COMPLIANCE(4)
  Status time: Sun Apr 22 13:56:30.000 UTC
  Request Time: Apr 22 13:56:24 2018 UTC

  --- snip ---

Product Information
===================
UDI: PID:FS-VMW-SW-K9,SN:3,UUID:6e6f0fd2-9063-11e6-xxxxxxxxxxxx

 

FTDを冗長構成で利用時 デバイスのライセンスはいくつ必要ですか

FTD 2台を 冗長構成 (High Availability)で利用時は、各デバイスにスマートライセンス割当てが必要です。 つまり、冗長ペアの場合、デバイスのライセンスが2つ必要です。

  

FTDデバイス登録後に デバイスのライセンス数が正しくFMC側で表示されません

FTDデバイスをFMC(物理/Virtual含む)に登録時は デバイスの数だけ自動でベースライセンスが、管理デバイスをFMCvに登録時は Firepower MCv Device Licenseが管理デバイスの分だけ使用されます。稀に何らかの理由でこのライセンスがデバイス数が正常に消費されない場合があり、殆どの場合、管理デバイスの一旦FMCからの登録解除→再登録で問題は改善します。

    

 

参考情報

Firepower Management Center Configuration Guide, Version 6.2.2
https://www.cisco.com/c/en/us/td/docs/security/firepower/622/configuration/guide/fpmc-config-guide-v622/licensing_firepower_system.html

Cisco Firepower System Feature Licenses
https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-licenseroadmap.html

Cisco Smart Software Licensing Frequently Asked Questions (FAQs)
https://supportforums.cisco.com/t5/-/-/ta-p/3165637

FirePOWER Threat Defense - Smart Licensing FAQ's
https://supportforums.cisco.com/t5/-/-/td-p/2894669

Cisco Secure Firewall (FTD) - how to  ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782

Firepower System / Firepower Threat Defense (FTD) トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736