2019-12-19 09:36 PM 2023-01-18 12:41 PM 更新
本ドキュメントでは いわゆる永続ライセンスである、Permanent License Reservation (PLR) の FPR4100/FPR9300シリーズへの適用と動作確認方法について紹介します。PLRを利用することで、ASAのライセンスを永続的に有効化が可能です。
本ドキュメントは、FPR4110モデルの FXOSバージョン 2.6(1.157)、ASAバージョン 9.12(2)9を用いて確認、作成しております。
PLRの有効化は以下の手順で実施します。順々に説明します。
システム > ライセンス > 永久ライセンス から、予約要求コードの生成ボタンをクリックし コードを発行
CSSMにアクセスし、「ライセンスの予約」をクリック
以下ポップアップがあるため、予約要求コードをペーストし次へ
即座に承認コードが発行されるため、承認コードをコピー
※何等か理由で承認コードを失念時は、CSSMに登録されたプロダクトインスタンスの対象デバイスの概要タブから予約承認コードは何時でもダウンロード可能
要求コード入力後は その製品に対応するPLRライセンスが1つ利用される
FCMに戻り 承認コード欄に、発行された承認コードを入力した後、インストールをクリック
以下画面に遷移し スマートライセンス登録が完了
FXOSから ASAアプリケーションにアクセス
FXOS# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1> connect asa Connecting to asa(ASA) console... hit Ctrl + A + D to return to bootCLI --- 略 --- 3300 bytes copied in 0.130 secs Cryptochecksum: 844bad9b c7f87270 9a94bf07 2cb9ff82 3407 bytes copied in 0.130 secs asa> asa> enable Password: ******** asa#
show versionを実施し 暗号機能が有効化を確認。なお、暗号機能はPLR適用後 自動で有効化される
asa# show version Cisco Adaptive Security Appliance Software Version 9.12(2)9 Firepower Extensible Operating System Version 2.6(1.133) Device Manager Version 7.12(2) Compiled on Mon 30-Sep-19 13:33 PDT by builders System image file is "disk0:/fxos-lfbff-k8.2.6.1.133.SPA" Config file at boot was "startup-config" asa up 41 mins 24 secs SSP Slot Number: 1 Hardware: FPR4K-SM-12, 56193 MB RAM, CPU Xeon E5 series 2200 MHz, 1 CPU (24 cores) Encryption hardware device : Cisco FP Crypto on-board accelerator (revision 0x1) Boot microcode : CN35x-MC-Boot-0001 SSL/IKE microcode : CNN35x-MC-SSL-0014 IPSec microcode : CNN35x-MC-IPSEC-0005 Number of accelerators: 1 4099: Int: Internal-Data0/0 : address is 0015.a500.01bf, irq 11 4101: Int: Internal-Data0/1 : address is 0015.a500.01ff, irq 10 4102: Int: Internal-Data0/2 : address is 0000.0001.0003, irq 0 License mode: Smart Licensing Licensed features for this platform: Maximum Physical Interfaces : Unlimited Maximum VLANs : 1024 Inside Hosts : Unlimited Failover : Active/Active Encryption-DES : Enabled Encryption-3DES-AES : Enabled <--- 暗号機能が有効化 Security Contexts : 10 <--- Contextはデフォルト10個のみ有効 Carrier : Disabled AnyConnect Premium Peers : 10000 AnyConnect Essentials : Disabled Other VPN Peers : 10000 Total VPN Peers : 10000 AnyConnect for Mobile : Enabled AnyConnect for Cisco VPN Phone : Enabled Advanced Endpoint Assessment : Enabled Shared License : Disabled Total TLS Proxy Sessions : 10000 Cluster : Enabled Serial Number: xxxxxxxxxx Configuration last modified by enable_15 at 19:43:49.869 JST Thu Dec 19 2019
以下の設定を実行し、Standard ライセンス (※他の機能を有効化するのに必要) と、残りコンテキストを手動で割り当てる。FPR4100シリーズでは セキュリティコンテキストの最大利用可能数は250であり デフォルトで 既に10個のコンテキストが有効のため、残りの240個の要求を行う
[ASAで実行コマンド]
license smart feature tier standard feature context 240
以下は実際の設定例。 設定変更後は必ず write memoryコマンドで設定の保存を行うこと
asa# configure terminal asa(config)# license smart INFO: License(s) corresponding to an entitlement will be activated only after an entitlement request has been authorized. asa(config-smart-lic)# asa(config-smart-lic)# feature tier standard asa(config-smart-lic)# feature context 240 asa(config-smart-lic)# end asa# write memory Building configuration... Cryptochecksum: c6d6d069 80b79d56 ccea51ee 2ab28fa6 3536 bytes copied in 0.130 secs [OK] asa#
ASAと FXOSの両方で、機能の有効化、及び ライセンスの有効化を確認する。まずは、ASA側で show versionと show license allコマンドを実行し、機能の有効化と ライセンス認可状況の確認を行う
asa# show version Cisco Adaptive Security Appliance Software Version 9.12(2)9 Firepower Extensible Operating System Version 2.6(1.133) Device Manager Version 7.12(2) Compiled on Mon 30-Sep-19 13:33 PDT by builders System image file is "disk0:/fxos-lfbff-k8.2.6.1.133.SPA" Config file at boot was "startup-config" asa up 51 mins 18 secs SSP Slot Number: 1 Hardware: FPR4K-SM-12, 56193 MB RAM, CPU Xeon E5 series 2200 MHz, 1 CPU (24 cores) Encryption hardware device : Cisco FP Crypto on-board accelerator (revision 0x1) Boot microcode : CN35x-MC-Boot-0001 SSL/IKE microcode : CNN35x-MC-SSL-0014 IPSec microcode : CNN35x-MC-IPSEC-0005 Number of accelerators: 1 4099: Int: Internal-Data0/0 : address is 0015.a500.01bf, irq 11 4101: Int: Internal-Data0/1 : address is 0015.a500.01ff, irq 10 4102: Int: Internal-Data0/2 : address is 0000.0001.0003, irq 0 License mode: Smart Licensing Licensed features for this platform: Maximum Physical Interfaces : Unlimited Maximum VLANs : 1024 Inside Hosts : Unlimited Failover : Active/Active Encryption-DES : Enabled Encryption-3DES-AES : Enabled <--- 暗号機能が有効 Security Contexts : 250 <--- Contextが最大値(250)まで割り当てを確認 Carrier : Disabled AnyConnect Premium Peers : 10000 AnyConnect Essentials : Disabled Other VPN Peers : 10000 Total VPN Peers : 10000 AnyConnect for Mobile : Enabled AnyConnect for Cisco VPN Phone : Enabled Advanced Endpoint Assessment : Enabled Shared License : Disabled Total TLS Proxy Sessions : 10000 Cluster : Enabled Serial Number: xxxxxxxx Configuration last modified by enable_15 at 20:34:38.749 JST Thu Dec 19 2019 asa# asa# show license all Smart licensing enabled: Yes Compliance status: In compliance <--- ライセンスが準拠状態 Overall licensed status: Authorized (3) <--- ライセンスが全て認可済み Entitlement(s): Feature tier: Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_STANDARD,1.0_7d7f5ee2-1398-4b0e-aced-b3f7fb1cacfc Version: 1.0 Enforcement mode: Authorized <--- standard機能が認可済み Handle: 1 Requested time: Thu, 19 Dec 2019 20:34:34 JST Requested count: 1 Request status: Complete Context: Tag: regid.2015-10.com.cisco.FIREPOWER_4100_ASA_CONTEXT,1.0_7432feee-56bc-4512-b5eb-9bf914615cf5 Version: 1.0 Enforcement mode: Authorized <--- Contest追加が認可済み Handle: 2 Requested time: Thu, 19 Dec 2019 20:34:38 JST Requested count: 240 Request status: Complete Serial Number: xxxxxxxxxx License mode: Smart Licensing Licensed features for this platform: Maximum Physical Interfaces : Unlimited Maximum VLANs : 1024 Inside Hosts : Unlimited Failover : Active/Active Encryption-DES : Enabled Encryption-3DES-AES : Enabled Security Contexts : 250 Carrier : Disabled AnyConnect Premium Peers : 10000 AnyConnect Essentials : Disabled Other VPN Peers : 10000 Total VPN Peers : 10000 AnyConnect for Mobile : Enabled AnyConnect for Cisco VPN Phone : Enabled Advanced Endpoint Assessment : Enabled Shared License : Disabled Total TLS Proxy Sessions : 10000 Cluster : Enabled
FXOS側の動作確認のため、"Ctrl + A + D"を押して セキュリティモジュールに戻ったあと、さらに ~ と quit を入力し FXOS CLIまで戻る
asa# <--- Ctrl + A + D を入力 Disconnected from asa(ASA) console! Firepower-module1> Firepower-module1> <--- ~ を入力 telnet> quit Connection closed. FXOS#
show license allを実行し、PLRと輸出規制機能(※)が有効であること、想定のライセンスがFXOS側でも使用されていることを確認 (※Strong-encryptionの自動有効化に必要)
FXOS# show license all Smart Licensing Status ====================== Smart Licensing is ENABLED License Reservation is ENABLED Registration: Status: REGISTERED - UNIVERSAL LICENSE RESERVATION <--- PLRが有効 Export-Controlled Functionality: Allowed <--- 輸出規制機能が有効 Initial Registration: SUCCEEDED on Dec 19 20:19:03 2019 JST License Authorization: Status: AUTHORIZED - RESERVED on Dec 19 20:19:03 2019 JST License Usage ============== (FIREPOWER_4100_ASA_STANDARD): <--- FXOS側でも同様にStandardとContextが使用 Description: Count: 1 Version: 1.0 Status: AUTHORIZED (FIREPOWER_4100_ASA_CONTEXT): <--- FXOS側でも同様にStandardとContextが使用 Description: Count: 240 Version: 1.0 Status: AUTHORIZED Product Information =================== UDI: PID:FPR-4110-SUP,SN:xxxxxxx Agent Version ============= Smart Agent for Licensing: 3.2.1_rel/11 Last Configuration Error ========================= Command : install xxxxxxxxxxxxxxxxxxxxx-M6Vq4X-DsJqD7-VoJK Error : Smart Agent reservation code is already installed
FXOSの show license all内の「Last Configuration Error」を確認することで、トラブル原因の把握と対処を円滑に行うことができます。以下は、Last Configuration Errorの 出力例と その理由や対応例です。
Last Configuration Error |
CSSMに既に登録済みの状態のため、一旦 Deregisterしてから 再度 reservationを実施 |
Last Configuration Error |
Reservationが有効でない |
Last Configuration Error |
誤ったAuthorization Codeが入力されている。正しいCodeの再確認を |
Last Configuration Error |
ライセンスクラウドを用いたスマートライセンス認証を Reservation Modeで実行している疑い |
Last Configuration Error |
Reservation Request Codeと Reservation Authorization Codeがマッチしない。 既にCSSM上で その登録が無効化されていないか確認を Codeの入力ミスがなく、再登録を試しても改善しない場合は、Cisco-TACに問い合わせを |
Last Configuration Error |
FXOSのシステム名に"FPR"や"FP"など Product IDの一部のみを利用時に発生する制限。詳しくは CSCvn78002 を参照。CSCvn78002の修正バージョンにて当制限は除外予定 |
問題解決が困難な場合は、以下ドキュメントの「詳細調査に利用できるshowコマンドやデバッグ」のログを"問題操作発生前後"で取得をしてから、ログや実施した内容とその手順などの情報とともに テクニカルサポートに問い合わせを検討してください。
https://community.cisco.com/t5/-/-/ta-p/3328615#toc-hId-671617307
PLRの利用には審査が必要のため、申請方法などについて詳しくは、ご利用のスマートアカウント情報と PLR利用が必要な理由とともに、弊社アカウントチームまでご相談ください。なお、非常にセキュアな環境を除き、基本はライセンスクラウドによるスマートライセンス認証の利用が弊社推奨です。
FTDはSLRに対応しているため、SLRの利用を検討してください。SLRの利用申請はJapanTACにすることができます。詳しくはSpecific License Reservation (SLR) 概要を参照してください。
(追記) 2020年10月から、スマートアカウントでSLRの利用がデフォルト可能になりました。
いえ、当手順はFPR4100/9300シリーズ専用です。 ASAvや FPR2100-ASAを利用時は、以下ドキュメントの手順などを参考にしてください。 ASAvや FPR2100-ASAは、ASA側でPLRの有効を行います。
ASAv/FPR1000/FPR2100:PLR の有効化方法およびshow license allステータスの遷移
https://community.cisco.com/t5/-/-/ta-p/4542315
ASAvの場合 (version 9.8利用時):
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/asa-98-general-config_chapter_0100.html#task_F75E57CA632647309246DC13AA5C9DA3
FPR2100-ASAの場合 (version 9.8利用時):
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/asa-98-general-config_chapter_0100.html#task_xdg_pyr_y1b
スマートライセンス~基本動作・設定とトラブルシューティング ※51P以降を参照
https://community.cisco.com/t5/-/-/ta-p/3215381#toc-hId-350062366
FPR4100/9300-ASA: Smart License 有効化方法とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3328615
スマートライセンス~基本動作・設定とトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3215381#toc-hId-350062366
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます