【注意】FortiGate ver.7.4.5 からすべてのモデルでファームウェア自動更新機能がデフォルト有効になりました> Membership

Cisco Firepower(ASA) スマートライセンス認証マニュアル (Online)

目次

本記事について

本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、オンライン方式でスマートライセンス認証を行う方法について記載します。オンライン方式とは、Firepower がインターネットに接続できることを前提に Firepower が Cisco SSM に直接接続して認証を行う方式のことを指します。

なお、Firepower にはファイアウォール機能の使用を目的とした ASA OS と、UTM機能の使用を目的とした FTD OS がありますが、ここでは ASA OS がインストールされた Firepower を対象とします。

対象環境

本記事の内容は、以下の機器にて動作確認した結果に基づいて作成しています。

  • FPR-1010
    • ASA Version 9.18(3)56

オンライン方式での対応手順

オンライン方式の対応手順
  1. エンドユーザの Cisco スマートアカウントのスマートソフトウェアマネージャ(SSM)で登録用トークンを発行する
  2. Firepower でスマートライセンス用の設定を行う
  3. Firepower に SSM で発行したトークンを登録する

登録用トークンの発行

エンドユーザの Cisco アカウントで Cisco Software Central にログインし、スマートソフトウェアマネージャを開きます。

以下画面の「ライセンスの管理」をクリックします。

スマートソフトウェアライセンス画面にて「インベントリ > 全般」タブを開き、「新しいトークン」をクリックします。

以下のメッセージが表示されるため「Proceed」をクリックします。

以下の登録トークン作成画面が表示されるため、「最大使用数」に数値を入力します。これは作成するトークンを何回再利用できるかを意味する値です。例では 3 としています。その後、「トークンの作成」をクリックします。

以下のようにトークンが追加されたことを確認します。

このトークン文字列はFirepower の CLI で入力して使用します。そのためにトークン情報を取得します。

トークンリスト内の対象トークン行のアクション欄の「アクション」をクリックします。表示されるメニューの「コピー」または「ダウンロード」をクリックします。

  • コピー:クリップボードにトークン文字列がコピーされます
  • ダウンロード:トークン文字列情報を含むテキストファイルをダウンロードできます

Firepower でのスマートライセンス用の設定

オンライン認証のために、Firepower はインターネット接続できる必要があります。そのために以下の設定を行います。

インターネット接続用設定
  • IP アドレス設定
  • ルーティング設定(インターネットへのルートがあること)
  • 名前解決用 DNS サーバ設定
  • dns domain-lookup 設定(インターフェースのDNSクエリ出力有効化)
  • NTP サーバ設定(システム時刻が正確であること)

上記設定後、ping tools.cisco.com を実行して名前解決及び Cisco サーバにアクセス可能なことを確認しておきます。

ciscoasa# ping tools.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 72.163.4.38, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 160/180/250 ms

(オプション) プロキシ設定

Firepower がインターネット接続するために HTTP プロキシを使用する環境の場合は Call-Home に対して以下の設定を行います。

プロキシ環境の場合の設定
  • call-home
  • http-proxy <プロキシアドレス> port <プロキシポート>
ciscoasa(config)# call-home
ciscoasa(cfg-call-home)# http-proxy 10.20.30.40 port 443

使用ライセンスの設定

Firepower で ASA OS を使用する場合は、標準ライセンスの「standard」を必ず使用するため以下の設定で standard を有効にします。

standard ライセンスの有効化
  • license smart
  • feature tier standard
ciscoasa(config)# license smart
INFO: License(s) corresponding to an entitlement will be activated only after an entitlement request has been authorized.
ciscoasa(config-smart-lic)# feature tier standard

◆オプション(1)

マルチコンテキストを使用する場合は、コンテキストの最大数を増加するライセンスを使用する場合があります。(FPR-1010 は非対応)

マルチコンテキストライセンス設定
  • license smart
  • feature context <コンテキスト数>
    • 指定するコンテキスト数はデフォルトで使用可能な数 2 からの増分にします
      例: 25 コンテキストを使用するためには 23 と指定

◆オプション(2)

FPR-1010 の場合で、アクティブ/スタンバイ フェールオーバーを使用するための Security Plus ライセンスを使用する場合は以下を設定します。

フェールオーバーライセンス設定
  • license smart
  • feature security-plus

◆オプション(3)

強力な暗号化を使用する場合は以下の設定を行います。

強力な暗号化ライセンス設定
  • license smart
  • feature strong-encryption

強力な暗号化ライセンス「strong-encryption」は古いライセンスであり、現在は設定する必要が無いといわれています。Cisco SSM にて登録トークン発行時に「輸出規制」のチェックが ON になっていれば(デフォルト設定で ON)強力な暗号化機能は自動で有効化されます。

ライセンス使用状況の確認

ライセンスを設定後、show license usage コマンドでライセンス使用状況を確認できます。

ciscoasa# show license usage

License Authorization:
  Status: EVAL MODE
  Evaluation Period Remaining: 89 days, 23 hours, 46 minutes, 40 seconds

(FIREPOWER_1000_ASA_STANDARD):
  Description:
  Count: 1
  Version: 1.0
  Status: EVAL MODE
  Export status: NOT RESTRICTED

上記の通り、Standard ライセンスが評価モードで使用されていることが分かります(Status: EVAL MODE)。
また評価モードの期間は 90 日間であることも分かります。90 日以内に認証を行う必要があります。

show license status コマンドも確認してみます。

ciscoasa# show license status

Smart Licensing is ENABLED

Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Callhome

Registration:
  Status: UNREGISTERED
  Export-Controlled Functionality: NOT ALLOWED

License Authorization:
  Status: EVAL MODE
  Evaluation Period Remaining: 89 days, 23 hours, 44 minutes, 55 seconds

Export Authorization Key:
  Features Authorized:
    <none>

Miscellaneus:
  Custom Id: <empty>

Registration: の部分で Status: UNREGISTERED となっており未認証であることが分かります。

Firepower にトークンを登録

Firepower でライセンスの設定ができたら Cisco SSM で発行したトークンを登録します。トークンを登録すると Firepower はインターネット上の Cisco SSM への接続を試みるため、この作業は Firepower がインターネット接続できる状態で実施します。

Firepower が認証試行時にインターネットに接続できない場合の再認証試行までの間隔は16 分程度と間隔が長いため注意してください。

特権モードで以下コマンドにてトークンを登録します。

トークン登録
  • license smart register idtoken <トークン文字列>
ciscoasa# license smart register idtoken NTg3...
ciscoasa#

トークン登録が成功した場合特に何もメッセージは表示されません。

トークン登録後 show license status を確認します。

◆Registration: 欄

Registration:
  Status: REGISTERED
  Smart Account: XXXXXXXXX
  Virtual Account: DEFAULT
  Export-Controlled Functionality: ALLOWED
  Initial Registration: SUCCEEDED on Mar 18 2024 22:41:11 JST
  Last Renewal Attempt: None
  Next Renewal Attempt: Sep 14 2024 22:41:11 JST
  Registration Expires: Mar 18 2025 22:36:10 JST

認証に成功するとStatus: REGISTERED と表示され、Cisco アカウント情報なども表示されます。

◆License Authorization: 欄

License Authorization:
  Status: AUTHORIZED on Mar 18 2024 22:41:23 JST
  Last Communication Attempt: SUCCEEDED on Mar 18 2024 22:41:23 JST
  Next Communication Attempt: Apr 17 2024 22:41:22 JST
  Communication Deadline: Jun 16 2024 22:36:22 JST

認証に成功するとStatus: AUTHORIZED となります。

Cisco SSM 上での製品登録確認

Cisco SSM ではインベントリの「製品インスタンス」タブに機器情報が追加されます。

また「ライセンス」タブでは使用しているライセンスの「使用中」の値がカウントアップされます。

認証を解除して Cisco SSM から製品情報を削除する

Firepower にトークンを登録して認証を行った後、Firepower 側から認証を解除してライセンスを開放することができます。

認証解除のためには、Firepower をインターネットに接続した状態で、特権モードで以下コマンドを実行します。

ライセンス認証の解除
  • license smart deregister
ciscoasa# license smart deregister

このコマンドを実行後は、ライセンスの状態は以下のようにトークン登録する前の状態に戻ります。

ciscoasa# show license status

Smart Licensing is ENABLED

Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Callhome

Registration:
  Status: UNREGISTERED
  Export-Controlled Functionality: NOT ALLOWED

License Authorization:
  Status: EVAL MODE
  Evaluation Period Remaining: 89 days, 23 hours, 40 minutes, 23 seconds

Export Authorization Key:
  Features Authorized:
    <none>

Miscellaneus:
  Custom Id: <empty>

【参考】Firepower の Standard ライセンスの仕様について

Firepower を使用する上で必須・無料ライセンスである Standard ライセンスについては、以下のような仕様のライセンスとなっています。

  • 機器を購入しただけではスマートアカウントにライセンスが振り込まれない
  • 機器をスマートアカウントに登録(オンライン認証実施)後、96時間以内にスマートアカウントにライセンスが振り込まれる

上記仕様のため、機器をスマートアカウントに登録してから数日はスマートアカウント上では一時的にライセンス不足状態(コンプライアンス違反状態)となります。また機器側でライセンス状態を確認するとコンプライアンス違反の状態となります。

機器登録後は96時間以内にライセンスが振り込まれコンプライアンス違反の状態は解消されるため、特に対処は不要となります。

ただし、機器登録後96時間以上が経過してもスマートアカウントにライセンスが振り込まれない場合は Cisco TAC に問い合わせをしてください。

このライセンス仕様は Web 上の Cisco ドキュメントでは公開されていません。Cisco TAC に問い合わせた結果この仕様が判明しました。

あわせて読みたい
Cisco Firepower(ASA) 構築者向け初期設定マニュアル 本記事について 本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、どのような案件でも設定するであろう一般的な設定項目についての設...
あわせて読みたい
【極秘】Cisco Firepower 設計構築マニュアル 基礎知識 https://shadowgarden.org/cisco-firepower-init/ スマートライセンス https://shadowgarden.org/cisco-firepower-license-online/ バージョンアップ https://...

参考資料

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次