Hướng dẫn cấu hình Smart License trên Firewall Cisco FPR Series

Trong bài viết này, mình sẽ hướng dẫn các bạn active license trên các dòng firewall Cisco Firepower FPR Series chạy phiên bản firmware FTD. Tất cả các dòng FTD đều có chung cách cấu hình, do vậy thì các bạn có thể áp dụng cho tất cả các mã sản phẩm, miễn sao các bạn đã cấu hình cho cổng MGMT của firewall có internet là được.

Tổng quan về Smart License của firewall Cisco FTD

Các dòng Firewall Cisco FPR1000, FPR2100, FPR3100, FPR4100… phiên bản FTD hiện nay đều sử dụng cách cấp phép thông minh của Cisco, gọi là Smart licensing, cho phép chúng ta mua và quản lý tập trung nhiều license trên 1 tài khoản. Không giống như cách cấp phép cũ dựa trên license file, giấy phép thông minh sẽ không bị ràng buộc với số serial cụ thể, nghĩa là các bạn có thể active license cho bất cứ thiết bị nào sử dụng được license đó. Các license sẽ được quản lý trên 1 tài khoản Smart Account của Cisco.

Khi các bạn mua giấy phép thông minh cho Firewall, license sẽ được đẩy về 1 Smart account cụ thể. Smart account này có thể là của các bạn hoặc nhà phân phối. Nếu các bạn không có Cisco Smart Account thì license có thể đẩy về tài khoản của parter hoặc nhà phân phối, khi đó chúng ta chỉ cần xin họ Token key để active license là được. Trên smart account chúng ta cũng chỉ xem được tình trạng sử dụng license và thời gian hết hạn thôi, không có gì nhiều.

Firewall Cisco hiện nay có 1 số loại license cơ bản là Threat Defense, URL Filtering, và Malware, và có 1 số kiểu kết hợp như trong bảng bên dưới, mã TMC sẽ bao gồm đầy đủ các tính năng, các bạn lựa chọn tùy nhu cầu. Tuy nhiên thì mã license kết hợp như TMC thường giá sẽ thấp hơn khi các bạn mua 3 loại license riêng lẻ.

Các ký tự cột bên trái là ký tự trong mã đặt hàng license, ví dụ các bạn mua license Threat + URL Filtering + Malware cho dòng FPR1010, thì mã license sẽ là FPR1010T-TMC. Các tính năng này chúng ta sẽ phải mua theo năm, có các tùy chọn là 1, 3 hoặc 5 năm tùy nhu cầu.

Mặc định trên Firewall sẽ là Base License vĩnh viễn, các bạn sẽ sử dụng các tính năng liên quan đế Switching, Routing, Policing hoặc VPN Site to Site bình thường.

Riêng phần Remote Access VPN thì chúng ta sẽ cần mua thêm license Any Connect theo số lượng người dùng kết nối VPN, license tối thiểu sẽ là 25 máy trở lên, các bạn có thể lựa chọn mã tùy theo số lượng thiết bị kết nối.

License Remote Access VPN này cũng được cung cấp theo 2 kiểu:

• License Advantage, ngoài các tính năng VPN, thì người dùng của các bạn cũng được bảo vệ bởi các nền tảng bảo mật tiên tiến của Cisco như Cloud Web Security, Cisco Umbrella,  Cisco Secure Endpoint… License Advantage sẽ có 2 tùy chọn là mua theo năm hoặc mua vĩnh viễn.
• License VPN only, loại này sẽ là license vĩnh viễn, và các bạn chỉ sử dụng để kết nối VPN remote access được thôi.

Về cơ bản thì Cisco sẽ có 1 số loại license này, và tất cả sẽ được quản lý trên Smart account. Do vậy nếu các bạn mua license nhiều lần, thì các license này cần phải được đẩy về 1 tài khoản Cisco Smart Account thì chúng ta mới active được. Tài khoản đó có thể là của công ty hoặc của nhà phân phối, miễn sao là chung 1 tài khoản.

Cấu hình cổng MGMT trên Firewall

Do các Firewall sẽ sử dụng cổng MGMT để kết nối lên Cloud, do vậy các bạn bắt buộc phải cấu hình cho cổng này truy cập Internet. Có 2 trường hợp kết nối: có VLAN quản trị riêng hoặc không.

Nếu các bạn có VLAN quản trị riêng, thì chúng ta chỉ cần kết nối cổng MGMT trên firewall vào switch quản trị. Sau đó cấu hình IP cùng dải với VLAN quản trị, bao gồm cả gateway là được. VLAN quản trị sẽ cần phải có policy để cho phép firewall kết nối lên cloud.

Trong trường hợp không có VLAN quản trị riêng, các bạn sẽ kết nối cổng MGMT vào 1 trong các cổng LAN của firewall. Ví dụ trên dòng FPR1010, các cổng từ 2 đến 8 mặc định sẽ thuộc VLAN 1, nên các bạn có thể cắm vào 1 trong các cổng này. Khi đó cổng MGMT sẽ nhận IP thuộc dải Inside và truy cập Internet thông qua policy của cổng Inside này.

Để cấu hình cổng MGMT, các bạn vào menu Management Interface.

• Trong phần MANAGEMENT GATEWAY, các bạn chọn Use Unique Gateways for the Management Interface.
• Trong phần Configure IPv4, các bạn chọn Type là DHCP hoặc Static tùy theo quy hoạch rồi đặt IP cho cổng này.

Mở các port dịch vụ cho Smart License

Do firewall sẽ kết nối tới trang tools.cisco.com sử dụng HTTPS port 443 để active license, nên các bạn cần cấu hình các policy để firewall có thể truy cập được tới Smart Accounts. Dưới đây là 1 số Ports Layer 4 và domain các bạn cần permit trên edge firewall (nếu có).

Cấu hình DNS Server

Các bạn cần cấu hình DNS Server trên Firewall để Firewall có thể phân giải được tên miền khi kết nối tới Smart Account của Cisco. Các bạn vào menu Objects > DNS Groups. Nhấn dấu + để tạo 1 DNS group, mình sẽ tạo DNS là 8.8.8.8 của google.

Quay lại menu Device: firepower, các bạn vào menu DNS Server. Trong phần Data Interface, tích chọn dấu + và chọn các cổng sẽ sử dụng DNS group vừa tạo, mình sẽ chọn cả cổng Inside, Outside và management. DNS Group chọn group đã tạo.

Tương tự với Management Interface, các bạn cũng chọn DNS Group đã tạo.

Sau đó deploy cấu hình xuống firewall.

Cấu hình Smart License trên Firewall Cisco

Khi các bạn cấu hình ban đầu thì firewall cho chúng ta dùng license Evaluation trong 90 ngày. Tuy nhiên thì license này là cho các tính năng cần mua license như Threat, Malware, URL, hay Remote access VPN thôi. Còn mặc định Base License là vĩnh viễn, nên nếu các bạn không sử dụng các dịch vụ trên thì sau 90 ngày cũng không ảnh hưởng gì đến hoạt động của firewall.

Chúng ta sẽ cần có Token Key để kết nối lên cloud. Nếu License do Nhà phân phối quản lý thì các bạn liên hệ để xin họ token key. Còn nếu license đã được đẩy về tài khoản của các bạn, thì các bạn vào trang software.cisco.com, chọn Manage licenses > chuyển sang tab Inventory.

Nếu có nhiều Virtual Account thì các bạn cần chọn virtual account đang chứa license của Firewall. Mặc định thì chỉ có virtual Account Default. Virtual account này đơn giản là các bạn có nhiều license cho các hệ thống khác nhau, ví dụ như công ty có nhiều chi nhánh, thì các bạn có thể tạo nhiều virutal account cho các chi nhánh đó, và chuyển license của các thiết bị thuộc chi nhánh vào virutal account của chi nhánh đó để quản trị, và tránh tường hợp active nhầm thôi, do smart license không bị ràng buộc bởi serial.

Nhấn New Token > Proceed.

Sau đó nhập các thông tin cho Token:

• Expire After: là thời gian để chúng ta sử dụng Token này, khi hết thời hạn thì chúng ta sẽ không dùng Token này để đăng ký được nữa. Mình sẽ để 30 ngày
• Max Number of User: là số lượng tối đa thiết bị có thể sử dụng token này. Trong hệ thống của các bạn có 10 thiết bị sử dụng smart license với chung Virtual Account thì chúng ta sẽ nhập 10 hoặc hơn.
• Nhấn Create Token.

Cisco sẽ tạo 1 token ở phía dưới, các bạn vào cột Actions và chọn Copy để copy lại Token này.

Quay lại giao diện web của firewall. Các bạn vào menu Device: firepower > Smart License.

Nhấn Register Device để kết nối firewall với Smart account. Dán token mà chúng ta vừa copy vào ô Token, các mục khác các bạn để mặc định và nhấn Register device.

Các bạn chờ 1 lát firewall báo Connected là chúng ta đã kết nối thành công lên Smart account.

Trong trường hợp kết nối bị lỗi, thì các bạn chỉ cần kiểm tra cổng MGMT và policy xem policy có chặn các port cloud của cisco hay không thôi. Các bạn sẽ cần mở các port 443, 80, 8443 và cho phép truy cập tới 1 số domain của Cisco. Thông thường sẽ là tools.cisco.com port 443.

Bây giờ thì các bạn có thể enable các tính năng mà các bạn đã mua license như Threat Defense, URL Filtering, Malware và RA VPN để cấu hình. Trong trường hợp không có license mà các bạn vẫn Enable tính năng đó lên, thì Firewall sẽ hiển thị thông báo lỗi Insufficient Licenses. Chúng ta sẽ cần disable tính năng đó đi, hoặc mua license để sử dụng.

OK như vậy là mình đã hướng dẫn các bạn cấu hình Smart License và kích hoạt license trên các dòng firewall Cisco FPR chạy phiên bản firmware FTD. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!