Firepower System: FMCのスマートライセンスの強制登録解除方法

Taisuke Nakamura · ‎2019-10-04

はじめに
解除方法
参考情報

はじめに

何等か理由で FMCでスマートライセンス登録の解除(deregister)ボタンをクリックしても、以下の方法でFMCからの対象デバイス登録の強制削除が可能です。

なお、当手順は、GUIからのスマートライセンスの登録解除ができず、以下ドキュメントを参考にFMCを再起動しても問題が改善せず同じエラーが発生する場合のみ、実施を検討してください。通常のスマートライセンス登録と解除方法について詳しくは、FMC: Smart License 有効化方法とトラブルシューティングを参照してください。

解除方法

1. FMCにSSHなどでCLIアクセスし Rootに切り替えを行う

Last login: Fri Oct  4 05:33:36 2019 from dhcp-tmt-data24f-64-104-24-43.cisco.com

Copyright 2004-2019, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.

Cisco Fire Linux OS v6.4.0 (build 2)
Cisco Firepower Management Center for VMWare v6.4.0.4 (build 34)

admin@firepower:~$ sudo su -
Password:
root@firepower:~#

2. 以下ファイルやフォルダ内のファイルの確認とバックアップを行う
・/etc/sf/.health_monitor.data
・/etc/sf/smart_license/ フォルダ内のファイル全て (※バージョンによるフォルダ内ファイルが異なることがあります)

[health_monitor.dataのバックアップ]
root@firepower:~#
root@firepower:~# ls /etc/sf/.health_monitor.data*
-rw-rw-r-- 1 www  www  60 Oct  3 23:56 /etc/sf/.health_monitor.data
root@firepower:~#
root@firepower:~# cp /etc/sf/.health_monitor.data /etc/sf/.health_monitor.data.bak
root@firepower:~#
root@firepower:~# ls -l /etc/sf/.health_monitor.data*
-rw-rw-r-- 1 www  www  60 Oct  3 23:56 /etc/sf/.health_monitor.data
-rw-r--r-- 1 root root 60 Oct  4 06:18 /etc/sf/.health_monitor.data.bak

[/etc/sf/smart_license/内ファイルの確認とのバックアップ]
root@firepower:~# ls -l /etc/sf/smart_license/
total 16
-rw-r--r-- 1 root root  656 Sep 20 09:41 sanosync.data
-rw-r--r-- 1 root root 6304 Sep 20 09:41 sapiidsync.data
-rw-r--r-- 1 root root 1216 Oct  4 06:26 satimeflagsync.data
root@firepower:~#
root@firepower:~#
root@firepower:~# cp /etc/sf/smart_license/sanosync.data /etc/sf/smart_license/sanosync.data.bak
root@firepower:~#
root@firepower:~# cp /etc/sf/smart_license/sapiidsync.data /etc/sf/smart_license/sapiidsync.data.bak
root@firepower:~#
root@firepower:~# cp /etc/sf/smart_license/satimeflagsync.data /etc/sf/smart_license/satimeflagsync.data.bak
root@firepower:~#
root@firepower:~# ls -l /etc/sf/smart_license/
total 32
-rw-r--r-- 1 root root  656 Sep 20 09:41 sanosync.data
-rw-r--r-- 1 root root  656 Oct  4 06:27 sanosync.data.bak
-rw-r--r-- 1 root root 6304 Sep 20 09:41 sapiidsync.data
-rw-r--r-- 1 root root 6304 Oct  4 06:28 sapiidsync.data.bak
-rw-r--r-- 1 root root 1216 Oct  4 06:28 satimeflagsync.data
-rw-r--r-- 1 root root 1216 Oct  4 06:28 satimeflagsync.data.bak

3. Smart License Agent (SLA) のプロセス停止とステータス確認

root@firepower:~# pmtool disablebyid sla
root@firepower:~#
root@firepower:~# pmtool status | grep sla
Required by: sla
sla (normal) - User Disabled
PID File: /var/sf/run/sla.pid
root@firepower:~#

4. バックアップしたスマートライセンス関係のファイルと SOCKの削除

root@firepower:~# rm /etc/sf/.health_monitor.data
root@firepower:~#
root@firepower:~# rm /etc/sf/smart_license/sanosync.data
root@firepower:~#
root@firepower:~# rm /etc/sf/smart_license/sapiidsync.data
root@firepower:~#
root@firepower:~# rm /etc/sf/smart_license/satimeflagsync.data
root@firepower:~#
root@firepower:~# rm /var/sf/run/smart_agent.sock
root@firepower:~#

5. Smart License Agent (SLA) のプロセス起動とステータス確認

root@firepower:~# pmtool enablebyid sla
root@firepower:~#
root@firepower:~# pmtool status | grep sla
Required by: sla
sla (normal) - Running 9911
PID File: /var/sf/run/sla.pid
root@firepower:~#

※仮にSLAがRunningにならない場合は、何等か別の処理がSLAの起動を妨げている可能性があるため、FMCの再起動を実施。詳しくは、Firepower System: FMCと FTDと FirePOWER Moduleの再起動手順を参照

6. System > License > Smart Licenses にアクセスし、登録前状態に戻っている事を確認します。

7. FMCのネットワーク設定(例：IP情報やProxy利用有無とそのProxyでFMCからの通信を許可しているか、等)を再確認した後、新規に発行したTokenIDを用いて再度スマートライセンス登録を実施してください。CSSMへのスマートライセンス登録方法について詳しくは、FMC: Smart License 有効化方法とトラブルシューティングを参照してください。

8. スマートライセンス再登録により、削除したファイルと同じ名前のファイルが生成されていることを確認し、削除前した同じファイルが生成されていることを確認します。

root@firepower:~# ls -l /etc/sf/.health_monitor.data*
-rw-rw-r-- 1 www  www  40 Oct  4 06:39 /etc/sf/.health_monitor.data
-rw-r--r-- 1 root root 60 Oct  4 06:18 /etc/sf/.health_monitor.data.bak
root@firepower:~#
root@firepower:~# ls -l /etc/sf/smart_license/
total 32
-rw-r--r-- 1 root root  656 Oct  4 06:34 sanosync.data
-rw-r--r-- 1 root root  656 Oct  4 06:27 sanosync.data.bak
-rw-r--r-- 1 root root 6304 Oct  4 06:38 sapiidsync.data
-rw-r--r-- 1 root root 6304 Oct  4 06:28 sapiidsync.data.bak
-rw-r--r-- 1 root root 1168 Oct  4 06:39 satimeflagsync.data
-rw-r--r-- 1 root root 1216 Oct  4 06:28 satimeflagsync.data.bak
root@firepower:~#
root@firepower:~# ls -l /var/sf/run/smart_agent.sock
srwxrwxrwx 1 www www 0 Oct  4 06:34 /var/sf/run/smart_agent.sock
root@firepower:~#

なお、デバイス管理にFMCvを利用時の場合のみ、上記の強制登録解除と再登録を実施した場合、登録デバイスの処理の関係上から FMCv上の Firepower MCv Device License の利用表示数が若干多めに出力されることがあります。表示上の問題のため運用影響はありませんが、出力を修正するには再度 GUIからの本来の手順でスマートライセンスの登録解除と再登録を行う事で、内部カウンタがリセットされ、Firepower MCv Device License の出力数は正しい数に戻ります。

参考情報

Firepower System and FTDトラブルシューティング