本記事について
本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、オンライン方式でスマートライセンス認証を行う方法について記載します。オンライン方式とは、Firepower がインターネットに接続できることを前提に Firepower が Cisco SSM に直接接続して認証を行う方式のことを指します。
なお、Firepower にはファイアウォール機能の使用を目的とした ASA OS と、UTM機能の使用を目的とした FTD OS がありますが、ここでは ASA OS がインストールされた Firepower を対象とします。
対象環境
本記事の内容は、以下の機器にて動作確認した結果に基づいて作成しています。
- FPR-1010
- ASA Version 9.18(3)56
オンライン方式での対応手順
- エンドユーザの Cisco スマートアカウントのスマートソフトウェアマネージャ(SSM)で登録用トークンを発行する
- Firepower でスマートライセンス用の設定を行う
- Firepower に SSM で発行したトークンを登録する
登録用トークンの発行
エンドユーザの Cisco アカウントで Cisco Software Central にログインし、スマートソフトウェアマネージャを開きます。
以下画面の「ライセンスの管理」をクリックします。
スマートソフトウェアライセンス画面にて「インベントリ > 全般」タブを開き、「新しいトークン」をクリックします。
以下のメッセージが表示されるため「Proceed」をクリックします。
以下の登録トークン作成画面が表示されるため、「最大使用数」に数値を入力します。これは作成するトークンを何回再利用できるかを意味する値です。例では 3 としています。その後、「トークンの作成」をクリックします。
以下のようにトークンが追加されたことを確認します。
このトークン文字列はFirepower の CLI で入力して使用します。そのためにトークン情報を取得します。
トークンリスト内の対象トークン行のアクション欄の「アクション」をクリックします。表示されるメニューの「コピー」または「ダウンロード」をクリックします。
- コピー:クリップボードにトークン文字列がコピーされます
- ダウンロード:トークン文字列情報を含むテキストファイルをダウンロードできます
Firepower でのスマートライセンス用の設定
オンライン認証のために、Firepower はインターネット接続できる必要があります。そのために以下の設定を行います。
- IP アドレス設定
- ルーティング設定(インターネットへのルートがあること)
- 名前解決用 DNS サーバ設定
- dns domain-lookup 設定(インターフェースのDNSクエリ出力有効化)
- NTP サーバ設定(システム時刻が正確であること)
上記設定後、ping tools.cisco.com を実行して名前解決及び Cisco サーバにアクセス可能なことを確認しておきます。
ciscoasa# ping tools.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 72.163.4.38, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 160/180/250 ms(オプション) プロキシ設定
Firepower がインターネット接続するために HTTP プロキシを使用する環境の場合は Call-Home に対して以下の設定を行います。
call-homehttp-proxy <プロキシアドレス> port <プロキシポート>
ciscoasa(config)# call-home
ciscoasa(cfg-call-home)# http-proxy 10.20.30.40 port 443使用ライセンスの設定
Firepower で ASA OS を使用する場合は、標準ライセンスの「standard」を必ず使用するため以下の設定で standard を有効にします。
license smartfeature tier standard
ciscoasa(config)# license smart
INFO: License(s) corresponding to an entitlement will be activated only after an entitlement request has been authorized.
ciscoasa(config-smart-lic)# feature tier standard◆オプション(1)
マルチコンテキストを使用する場合は、コンテキストの最大数を増加するライセンスを使用する場合があります。(FPR-1010 は非対応)
license smartfeature context <コンテキスト数>- 指定するコンテキスト数はデフォルトで使用可能な数 2 からの増分にします
例: 25 コンテキストを使用するためには 23 と指定
- 指定するコンテキスト数はデフォルトで使用可能な数 2 からの増分にします
◆オプション(2)
FPR-1010 の場合で、アクティブ/スタンバイ フェールオーバーを使用するための Security Plus ライセンスを使用する場合は以下を設定します。
license smartfeature security-plus
◆オプション(3)
強力な暗号化を使用する場合は以下の設定を行います。
license smartfeature strong-encryption
ライセンス使用状況の確認
ライセンスを設定後、show license usage コマンドでライセンス使用状況を確認できます。
ciscoasa# show license usage
License Authorization:
Status: EVAL MODE
Evaluation Period Remaining: 89 days, 23 hours, 46 minutes, 40 seconds
(FIREPOWER_1000_ASA_STANDARD):
Description:
Count: 1
Version: 1.0
Status: EVAL MODE
Export status: NOT RESTRICTED上記の通り、Standard ライセンスが評価モードで使用されていることが分かります(Status: EVAL MODE)。
また評価モードの期間は 90 日間であることも分かります。90 日以内に認証を行う必要があります。
show license status コマンドも確認してみます。
ciscoasa# show license status
Smart Licensing is ENABLED
Utility:
Status: DISABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
Registration:
Status: UNREGISTERED
Export-Controlled Functionality: NOT ALLOWED
License Authorization:
Status: EVAL MODE
Evaluation Period Remaining: 89 days, 23 hours, 44 minutes, 55 seconds
Export Authorization Key:
Features Authorized:
<none>
Miscellaneus:
Custom Id: <empty>Registration: の部分で Status: UNREGISTERED となっており未認証であることが分かります。
Firepower にトークンを登録
Firepower でライセンスの設定ができたら Cisco SSM で発行したトークンを登録します。トークンを登録すると Firepower はインターネット上の Cisco SSM への接続を試みるため、この作業は Firepower がインターネット接続できる状態で実施します。
特権モードで以下コマンドにてトークンを登録します。
license smart register idtoken <トークン文字列>
ciscoasa# license smart register idtoken NTg3...
ciscoasa#トークン登録が成功した場合特に何もメッセージは表示されません。
トークン登録後 show license status を確認します。
◆Registration: 欄
Registration:
Status: REGISTERED
Smart Account: XXXXXXXXX
Virtual Account: DEFAULT
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Mar 18 2024 22:41:11 JST
Last Renewal Attempt: None
Next Renewal Attempt: Sep 14 2024 22:41:11 JST
Registration Expires: Mar 18 2025 22:36:10 JST認証に成功するとStatus: REGISTERED と表示され、Cisco アカウント情報なども表示されます。
◆License Authorization: 欄
License Authorization:
Status: AUTHORIZED on Mar 18 2024 22:41:23 JST
Last Communication Attempt: SUCCEEDED on Mar 18 2024 22:41:23 JST
Next Communication Attempt: Apr 17 2024 22:41:22 JST
Communication Deadline: Jun 16 2024 22:36:22 JST認証に成功するとStatus: AUTHORIZED となります。
Cisco SSM 上での製品登録確認
Cisco SSM ではインベントリの「製品インスタンス」タブに機器情報が追加されます。
また「ライセンス」タブでは使用しているライセンスの「使用中」の値がカウントアップされます。
認証を解除して Cisco SSM から製品情報を削除する
Firepower にトークンを登録して認証を行った後、Firepower 側から認証を解除してライセンスを開放することができます。
認証解除のためには、Firepower をインターネットに接続した状態で、特権モードで以下コマンドを実行します。
license smart deregister
ciscoasa# license smart deregisterこのコマンドを実行後は、ライセンスの状態は以下のようにトークン登録する前の状態に戻ります。
ciscoasa# show license status
Smart Licensing is ENABLED
Utility:
Status: DISABLED
Data Privacy:
Sending Hostname: yes
Callhome hostname privacy: DISABLED
Smart Licensing hostname privacy: DISABLED
Version privacy: DISABLED
Transport:
Type: Callhome
Registration:
Status: UNREGISTERED
Export-Controlled Functionality: NOT ALLOWED
License Authorization:
Status: EVAL MODE
Evaluation Period Remaining: 89 days, 23 hours, 40 minutes, 23 seconds
Export Authorization Key:
Features Authorized:
<none>
Miscellaneus:
Custom Id: <empty>【参考】Firepower の Standard ライセンスの仕様について
Firepower を使用する上で必須・無料ライセンスである Standard ライセンスについては、以下のような仕様のライセンスとなっています。
- 機器を購入しただけではスマートアカウントにライセンスが振り込まれない
- 機器をスマートアカウントに登録(オンライン認証実施)後、96時間以内にスマートアカウントにライセンスが振り込まれる
上記仕様のため、機器をスマートアカウントに登録してから数日はスマートアカウント上では一時的にライセンス不足状態(コンプライアンス違反状態)となります。また機器側でライセンス状態を確認するとコンプライアンス違反の状態となります。
機器登録後は96時間以内にライセンスが振り込まれコンプライアンス違反の状態は解消されるため、特に対処は不要となります。
ただし、機器登録後96時間以上が経過してもスマートアカウントにライセンスが振り込まれない場合は Cisco TAC に問い合わせをしてください。
このライセンス仕様は Web 上の Cisco ドキュメントでは公開されていません。Cisco TAC に問い合わせた結果この仕様が判明しました。
コメント