Cisco Firepower でのスマートライセンス対応方法【オフライン/PLR】

ファイアウォール(UTM)

動作確認環境

  • Firepower 2100 シリーズ
    • ASA OS 9.16.x

Firepower におけるスマートライセンス対応

Firepower もスマートライセンスでのライセンス管理を行う必要があります。

Cisco の他機種と同様にオンライン、オフラインの両方式がありますが、Firepower で使用する OS が ASA か FTD かによっても方法が異なるため注意が必要です。

なお、2023年3月時点では、他機種で主流の Smart Licensing Using Policy には対応していないため、基本的に旧式のスマートライセンス方式になります。

以下では、次の条件の Firepower におけるスマートライセンス対応方法について記載します。

  • OS として ASA を使用している
  • オフライン方式を採用する

Firepower(ASA OS) におけるオフライン方式について

Cisco の他機種において、旧式のスマートライセンス方式におけるオフライン方式といえばライセンス予約方式(SLR: Specific License Reservation)でした。

ただ、Firepower(ASA OS) では、SLR は使用できません。

代わりに PLR(Permanent License Reservation)という方式での対応が必要となります。

PLR を採用するためには、特別なライセンスが必要になります。そのため、この方式を採用する場合は該当のライセンスが購入されていることを確認する必要があります。

なお、PLRのご利用は非常にセキュアな環境など何等か理由のある場合のみ可能となり、利用には審査/申請や別途ライセンスの購入が必要となるため、詳しく情報に関しては弊社アカウントチーム(営業)にご相談ください。

ASAv/FPR1000/FPR2100:PLR の有効化方法およびshow license allステータスの遷移

PLR 対応の流れ

No.項目対応者
1機器で Smart License Reservation の有効化(設定)構築担当
2機器で Reservation Request Code の発行構築担当
3CSSM で Reservation Authorization Code の発行顧客
4機器で Reservation Authorization Code の入力構築担当
5機器で機能の有効化(設定)構築担当

PLR 対応手順詳細

① 機器で Smart License Reservation の有効化(設定)

グローバルコンフィグモードで以下のコマンドで設定を行い、Smart License Reservation を有効化します。

  • ciscoasa(config)# license smart reservation

② 機器で Reservation Request Code の発行

特権モードで以下コマンドを実行してリクエストコードを発行します。

  • ciscoasa# license smart reservation request universal

実行例:

ciscoasa# license smart reservation request universal
Enter this request code in the Cisco Smart Software Manager portal:
UDI: PID:FPR-2100,SN:JADxxxxxxxx
    Request code: CB-ZFPR-1010:JADxxxxxxxx-BhfSxxxxx-xx

上記 Request code: の部分が Reservation Request Code です。

③ CSSM で Reservation Authorization Code の発行

手順②で発行した Reservation Request Code を顧客に展開します。

そして顧客に、CSSM 上で Reservation Request Code を投入して Reservation Authorization Code を取得してもらうよう依頼します。

④ 機器で Reservation Authorization Code の入力

顧客より Reservation Authorization Code を受領後、以下のコマンドを実行します。

  • ciscoasa# license smart reservation install <Reservation Authorization Code>

コードの投入に成功すれば、ログ出力は特に何もなくプロンプトが戻ってきます。

この時点のライセンス状態を show license all コマンドで確認します。

ciscoasa# show license all

Smart Licensing Status
======================

Smart Licensing is ENABLED
License Reservation is ENABLED

Registration:
Status: REGISTEREDUNIVERSAL LICENSE RESERVATION
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Feb 10 2022 12:34:56 UTC

License Authorization:
Status: AUTHORIZEDRESERVED on Feb 10 2022 12:34:56 UTC

—-省略—-

License Usage
======================

No licenses in use

⑤ 機器で機能の有効化(設定)

ここでは標準の Tier Standard ライセンスのみを有効化する例を記載します。

機種や使用する機能によって追加の設定が必要な場合もあるため、詳しくは公式マニュアル等を確認してください。

以下のコマンドで設定を行います。

  1. ciscoasa(config)# license smart
  2. ciscoasa(config-smart-lic)# feature tier standard
  3. ciscoasa(config-smart-lic)# end

以上で PLR 対応は完了です。

ライセンス状態確認

show license all コマンドで状態を確認します。

ciscoasa# show license all

Smart Licensing Status
======================

Smart Licensing is ENABLED
License Reservation is ENABLED

Registration:
Status: REGISTEREDUNIVERSAL LICENSE RESERVATION
Export-Controlled Functionality: ALLOWED
Initial Registration: SUCCEEDED on Feb 10 2022 12:34:56 UTC

License Authorization:
Status: AUTHORIZEDRESERVED on Feb 10 2022 12:34:56 UTC

—-省略—-

License Usage
======================

(FIREPOWER_2100_ASA_STANDARD): <—— ライセンス情報が表示される
Description:
Count: 1
Version: 1.0
Status: AUTHORIZED
Export status: NOT RESTRICTED
Reservation:
Reservation status: UNIVERSAL INSTALLED]

—-省略—-

Failover 冗長化構成の場合、Standby 側の機器では License Usage が No licenses in use 表示となりますが、Active に切り替わると License Usage にライセンス情報が表示されます。

参考資料

CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.16 - Licenses: Smart Software Licensing [Cisco Secure Firewall ASA]
Licenses: Smart Software Licensing
ASAv/FPR1000/FPR2100:PLR の有効化方法およびshow license allステータスの遷移
はじめに ASA CLIで Smart License Reservationの有効化 Reservation Request Code発行 CSSMで Reservation Authorization Code発行  Reservation Authorization Code入力とPLR有効化 Standardと...
Ciscoファイアウォール製品入門!第3回:ライセンスの種類と提供形態について
Cisco Secure Firewallの入門者向け記事として、3回に分けて製品の全体的な情報を整理してお届けしております。第3回となる今回はライセンスの種類と提供形態についてご紹介したいと思います。

タイトルとURLをコピーしました