キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
8813
閲覧回数
5
いいね!
0
コメント
Taisuke Nakamura
Cisco Employee
Cisco Employee


はじめに

本ドキュメントでは いわゆる永続ライセンスである、Permanent License Reservation (PLR) の FPR4100/FPR9300シリーズへの適用と動作確認方法について紹介します。PLRを利用することで、ASAのライセンスを永続的に有効化が可能です。

本ドキュメントは、FPR4110モデルの FXOSバージョン 2.6(1.157)、ASAバージョン 9.12(2)9を用いて確認、作成しております。

 

 

FPR4100/FPR9300 ASA PLR 有効化と確認方法

PLRの有効化は以下の手順で実施します。順々に説明します。

  1. FXOSで Smart License Reservationの有効化と Reservation Request Code発行
  2. CSSMで Reservation Authorization Code発行
  3. FXOSで Reservation Authorization Code入力とPLR有効化
  4. ASAで StandardとContext機能の有効化

 

FXOSでPLRの有効化

システム > ライセンス > 永久ライセンス から、予約要求コードの生成ボタンをクリックし コードを発行

FPR4100-ASA-FXOS-enabling-PLR-01.JPG


CSSMにアクセスし、「ライセンスの予約」をクリック

FPR4100-ASA-FXOS-enabling-PLR-02.JPG


以下ポップアップがあるため、予約要求コードをペーストし次へ

FPR4100-ASA-FXOS-enabling-PLR-03.JPG

 

即座に承認コードが発行されるため、承認コードをコピー

※何等か理由で承認コードを失念時は、CSSMに登録されたプロダクトインスタンスの対象デバイスの概要タブから予約承認コードは何時でもダウンロード可能

FPR4100-ASA-FXOS-enabling-PLR-04.JPG

   

要求コード入力後は その製品に対応するPLRライセンスが1つ利用される

FPR4100-ASA-FXOS-enabling-PLR-05.JPG

  

FCMに戻り 承認コード欄に、発行された承認コードを入力した後、インストールをクリック

FPR4100-ASA-FXOS-enabling-PLR-06.JPG

  

以下画面に遷移し スマートライセンス登録が完了

FPR4100-ASA-FXOS-enabling-PLR-07.JPG

   

ASAで機能有効化と設定保存

FXOSから ASAアプリケーションにアクセス

FXOS# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.

CISCO Serial Over LAN:
Close Network Connection to Exit

Firepower-module1> connect asa
Connecting to asa(ASA) console... hit Ctrl + A + D  to return to bootCLI

  --- 略 ---

3300 bytes copied in 0.130 secs
Cryptochecksum: 844bad9b c7f87270 9a94bf07 2cb9ff82

3407 bytes copied in 0.130 secs

asa>
asa> enable
Password: ********
asa#

 

show versionを実施し 暗号機能が有効化を確認。なお、暗号機能はPLR適用後 自動で有効化される

asa# show version

Cisco Adaptive Security Appliance Software Version 9.12(2)9
Firepower Extensible Operating System Version 2.6(1.133)
Device Manager Version 7.12(2)

Compiled on Mon 30-Sep-19 13:33 PDT by builders
System image file is "disk0:/fxos-lfbff-k8.2.6.1.133.SPA"
Config file at boot was "startup-config"

asa up 41 mins 24 secs

SSP Slot Number: 1

Hardware:   FPR4K-SM-12, 56193 MB RAM, CPU Xeon E5 series 2200 MHz, 1 CPU (24 cores)

Encryption hardware device : Cisco FP Crypto on-board accelerator (revision 0x1)
                             Boot microcode        : CN35x-MC-Boot-0001
                             SSL/IKE microcode     : CNN35x-MC-SSL-0014
                             IPSec microcode       : CNN35x-MC-IPSEC-0005
                             Number of accelerators: 1

4099: Int: Internal-Data0/0    : address is 0015.a500.01bf, irq 11
4101: Int: Internal-Data0/1    : address is 0015.a500.01ff, irq 10
4102: Int: Internal-Data0/2    : address is 0000.0001.0003, irq 0

License mode: Smart Licensing

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited
Maximum VLANs                     : 1024
Inside Hosts                      : Unlimited
Failover                          : Active/Active
Encryption-DES                    : Enabled
Encryption-3DES-AES               : Enabled     <--- 暗号機能が有効化
Security Contexts                 : 10          <--- Contextはデフォルト10個のみ有効
Carrier                           : Disabled
AnyConnect Premium Peers          : 10000       
AnyConnect Essentials             : Disabled
Other VPN Peers                   : 10000
Total VPN Peers                   : 10000
AnyConnect for Mobile             : Enabled
AnyConnect for Cisco VPN Phone    : Enabled
Advanced Endpoint Assessment      : Enabled
Shared License                    : Disabled
Total TLS Proxy Sessions          : 10000
Cluster                           : Enabled

Serial Number: xxxxxxxxxx
Configuration last modified by enable_15 at 19:43:49.869 JST Thu Dec 19 2019

 

以下の設定を実行し、Standard ライセンス (※他の機能を有効化するのに必要) と、残りコンテキストを手動で割り当てる。FPR4100シリーズでは セキュリティコンテキストの最大利用可能数は250であり デフォルトで 既に10個のコンテキストが有効のため、残りの240個の要求を行う

[ASAで実行コマンド]
license smart feature tier standard feature context 240

 

以下は実際の設定例。 設定変更後は必ず write memoryコマンドで設定の保存を行うこと

asa# configure terminal
asa(config)# license smart
INFO: License(s) corresponding to an entitlement will be activated only after an entitlement request has been authorized.
asa(config-smart-lic)# 
asa(config-smart-lic)# feature tier standard
asa(config-smart-lic)# feature context 240
asa(config-smart-lic)# end
asa# write memory
Building configuration...
Cryptochecksum: c6d6d069 80b79d56 ccea51ee 2ab28fa6

3536 bytes copied in 0.130 secs
[OK]
asa#

 

ASAとFXOSで動作確認

ASAと FXOSの両方で、機能の有効化、及び ライセンスの有効化を確認する。まずは、ASA側で show versionshow license allコマンドを実行し、機能の有効化と ライセンス認可状況の確認を行う

asa# show version

Cisco Adaptive Security Appliance Software Version 9.12(2)9
Firepower Extensible Operating System Version 2.6(1.133)
Device Manager Version 7.12(2)

Compiled on Mon 30-Sep-19 13:33 PDT by builders
System image file is "disk0:/fxos-lfbff-k8.2.6.1.133.SPA"
Config file at boot was "startup-config"

asa up 51 mins 18 secs

SSP Slot Number: 1

Hardware:   FPR4K-SM-12, 56193 MB RAM, CPU Xeon E5 series 2200 MHz, 1 CPU (24 cores)

Encryption hardware device : Cisco FP Crypto on-board accelerator (revision 0x1)
                             Boot microcode        : CN35x-MC-Boot-0001
                             SSL/IKE microcode     : CNN35x-MC-SSL-0014
                             IPSec microcode       : CNN35x-MC-IPSEC-0005
                             Number of accelerators: 1

4099: Int: Internal-Data0/0    : address is 0015.a500.01bf, irq 11
4101: Int: Internal-Data0/1    : address is 0015.a500.01ff, irq 10
4102: Int: Internal-Data0/2    : address is 0000.0001.0003, irq 0

License mode: Smart Licensing

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited
Maximum VLANs                     : 1024
Inside Hosts                      : Unlimited
Failover                          : Active/Active
Encryption-DES                    : Enabled
Encryption-3DES-AES               : Enabled   <--- 暗号機能が有効
Security Contexts                 : 250       <--- Contextが最大値(250)まで割り当てを確認
Carrier                           : Disabled
AnyConnect Premium Peers          : 10000
AnyConnect Essentials             : Disabled
Other VPN Peers                   : 10000
Total VPN Peers                   : 10000
AnyConnect for Mobile             : Enabled
AnyConnect for Cisco VPN Phone    : Enabled
Advanced Endpoint Assessment      : Enabled
Shared License                    : Disabled
Total TLS Proxy Sessions          : 10000
Cluster                           : Enabled

Serial Number: xxxxxxxx
Configuration last modified by enable_15 at 20:34:38.749 JST Thu Dec 19 2019
asa#
asa# show license all

Smart licensing enabled: Yes

Compliance status: In compliance      <--- ライセンスが準拠状態

Overall licensed status: Authorized (3)    <--- ライセンスが全て認可済み

Entitlement(s):

Feature tier:
        Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_STANDARD,1.0_7d7f5ee2-1398-4b0e-aced-b3f7fb1cacfc
        Version: 1.0
        Enforcement mode: Authorized        <--- standard機能が認可済み
        Handle: 1
        Requested time: Thu, 19 Dec 2019 20:34:34 JST
        Requested count: 1
        Request status: Complete

Context:
        Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_CONTEXT,1.0_7432feee-56bc-4512-b5eb-9bf914615cf5
        Version: 1.0
        Enforcement mode: Authorized        <--- Contest追加が認可済み
        Handle: 2
        Requested time: Thu, 19 Dec 2019 20:34:38 JST
        Requested count: 240
        Request status: Complete

Serial Number:  xxxxxxxxxx

License mode: Smart Licensing

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited
Maximum VLANs                     : 1024
Inside Hosts                      : Unlimited
Failover                          : Active/Active
Encryption-DES                    : Enabled
Encryption-3DES-AES               : Enabled
Security Contexts                 : 250
Carrier                           : Disabled
AnyConnect Premium Peers          : 10000
AnyConnect Essentials             : Disabled
Other VPN Peers                   : 10000
Total VPN Peers                   : 10000
AnyConnect for Mobile             : Enabled
AnyConnect for Cisco VPN Phone    : Enabled
Advanced Endpoint Assessment      : Enabled
Shared License                    : Disabled
Total TLS Proxy Sessions          : 10000
Cluster                           : Enabled

 

FXOS側の動作確認のため、"Ctrl + A + D"を押して セキュリティモジュールに戻ったあと、さらに ~ と quit を入力し FXOS CLIまで戻る

asa#      <--- Ctrl + A + D を入力
Disconnected from asa(ASA) console!
Firepower-module1>
Firepower-module1>      <--- ~ を入力
telnet> quit
Connection closed.
FXOS#

 

show license allを実行し、PLRと輸出規制機能(※)が有効であること、想定のライセンスがFXOS側でも使用されていることを確認 (※Strong-encryptionの自動有効化に必要)

FXOS# show license all

Smart Licensing Status
======================

Smart Licensing is ENABLED
License Reservation is ENABLED

Registration:
  Status: REGISTERED - UNIVERSAL LICENSE RESERVATION     <--- PLRが有効
  Export-Controlled Functionality: Allowed               <--- 輸出規制機能が有効
  Initial Registration: SUCCEEDED on Dec 19 20:19:03 2019 JST

License Authorization:
  Status: AUTHORIZED - RESERVED on Dec 19 20:19:03 2019 JST

License Usage
==============

(FIREPOWER_4100_ASA_STANDARD):    <--- FXOS側でも同様にStandardとContextが使用
  Description:
  Count: 1
  Version: 1.0
  Status: AUTHORIZED

(FIREPOWER_4100_ASA_CONTEXT):     <--- FXOS側でも同様にStandardとContextが使用
  Description:
  Count: 240
  Version: 1.0
  Status: AUTHORIZED

Product Information
===================
UDI: PID:FPR-4110-SUP,SN:xxxxxxx

Agent Version
=============
Smart Agent for Licensing: 3.2.1_rel/11

Last Configuration Error
=========================
Command : install xxxxxxxxxxxxxxxxxxxxx-M6Vq4X-DsJqD7-VoJK
Error : Smart Agent reservation code is already installed

 

  

トラブルシューティング

FXOSの show license all内の「Last Configuration Error」を確認することで、トラブル原因の把握と対処を円滑に行うことができます。以下は、Last Configuration Errorの 出力例と その理由や対応例です。

Last Configuration Error
=========================
Command: enable reservation
Error: Smart Agent already registered

CSSMに既に登録済みの状態のため、一旦 Deregisterしてから 再度 reservationを実施

Last Configuration Error
=========================
Command: request universal
Error: Smart Agent is not in reservation mode

Reservationが有効でない

Last Configuration Error
=========================
Command: install abc
Error: Smart Agent Error: invalid authorization code

誤ったAuthorization Codeが入力されている。正しいCodeの再確認を

Last Configuration Error
=========================
Command: deregister
Error: Smart Agent is already in reservation mode

ライセンスクラウドを用いたスマートライセンス認証を Reservation Modeで実行している疑い

Last Configuration Error
=========================
Command: install xxxxxxxxxxxx-bD1hDA-rEQU
Error: The reservation authorization code does not match the reservation request code

Reservation Request Codeと Reservation Authorization Codeがマッチしない。 既にCSSM上で その登録が無効化されていないか確認を

Codeの入力ミスがなく、再登録を試しても改善しない場合は、Cisco-TACに問い合わせを

Last Configuration Error
=========================
Command : request universal
Error : Licensing internal error(68)

FXOSのシステム名に"FPR"や"FP"など Product IDの一部のみを利用時に発生する制限。詳しくは CSCvn78002 を参照。CSCvn78002の修正バージョンにて当制限は除外予定

 

問題解決が困難な場合は、以下ドキュメントの「詳細調査に利用できるshowコマンドやデバッグ」のログを"問題操作発生前後"で取得をしてから、ログや実施した内容とその手順などの情報とともに テクニカルサポートに問い合わせを検討してください。
https://community.cisco.com/t5/-/-/ta-p/3328615#toc-hId-671617307

  

 

よくある質問

PLRを利用したいのですが どのように発注しますか

PLRの利用には審査が必要のため、申請方法などについて詳しくは、ご利用のスマートアカウント情報と PLR利用が必要な理由とともに、弊社アカウントチームまでご相談ください。なお、非常にセキュアな環境を除き、基本はライセンスクラウドによるスマートライセンス認証の利用が弊社推奨です。

 

当手順でFTDアプリケーション利用時も永続利用ができますか

FTDはSLRに対応しているため、SLRの利用を検討してください。SLRの利用申請はJapanTACにすることができます。詳しくはSpecific License Reservation (SLR) 概要を参照してください。

(追記) 2020年10月から、スマートアカウントでSLRの利用がデフォルト可能になりました。

 

ASAvや FPR2100-ASAのPLRを有効化したいのですが当手順は利用可能ですか

いえ、当手順はFPR4100/9300シリーズ専用です。 ASAvや FPR2100-ASAを利用時は、以下ドキュメントの手順などを参考にしてください。 ASAvや FPR2100-ASAは、ASA側でPLRの有効を行います。

ASAv/FPR1000/FPR2100:PLR の有効化方法およびshow license allステータスの遷移
https://community.cisco.com/t5/-/-/ta-p/4542315

ASAvの場合 (version 9.8利用時):
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/asa-98-general-config_chapter_0100.html#task_F75E57CA632647309246DC13AA5C9DA3

FPR2100-ASAの場合 (version 9.8利用時):
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/asa-98-general-config_chapter_0100.html#task_xdg_pyr_y1b

スマートライセンス~基本動作・設定とトラブルシューティング  ※51P以降を参照
https://community.cisco.com/t5/-/-/ta-p/3215381#toc-hId-350062366

 

  

参考情報

FPR4100/9300-ASA: Smart License 有効化方法とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3328615

スマートライセンス~基本動作・設定とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3215381#toc-hId-350062366

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします