Cisco ASA シリーズ CLI コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5580、ASA5585-X、および ASA サービス モジュール用ソフトウェア バージョン 9.0
機能のライセンスの管理
機能のライセンスの管理
発行日;2013/04/17 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

機能のライセンスの管理

モデルごとにサポートされている機能のライセンス

モデルごとのライセンス

ライセンスの注釈

VPN ライセンスと機能の互換性

機能のライセンスに関する情報

事前インストールされているライセンス

永続ライセンス

時間ベース ライセンス

時間ベース ライセンス アクティベーションのガイドライン

時間ベース ライセンス タイマーの動作

永続ライセンスと時間ベース ライセンスの結合

時間ベース ライセンスのスタッキング

時間ベース ライセンスの有効期限

AnyConnect Premium(共有)ライセンス

共有ライセンスのサーバと参加システムに関する情報

参加システムとサーバの間の通信に関する問題

共有ライセンス バックアップ サーバに関する情報

フェールオーバーと共有ライセンス

参加システムの最大数

フェールオーバーまたは ASA クラスタ ライセンス

フェールオーバー ライセンスの要件および例外

ASA クラスタ ライセンスの要件および例外

フェールオーバーまたは ASA クラスタ ライセンスの結合方法

フェールオーバーまたは ASA クラスタ ユニット間の通信の途絶

フェールオーバー ペアのアップグレード

ペイロード暗号化機能のないモデル

ライセンスの FAQ

ガイドラインと制限事項

ライセンスの設定

アクティベーション キーの取得

キーのアクティブ化および非アクティブ化

共有ライセンスの設定

共有ライセンス サーバの設定

共有ライセンス バックアップ サーバの設定(任意)

共有ライセンス参加システムの設定

ライセンスのモニタリング

現在のライセンスの表示

共有ライセンスのモニタリング

ライセンスの機能履歴

機能のライセンスの管理

ライセンスでは、特定のASA上でイネーブルにするオプションを指定します。このマニュアルでは、ライセンス アクティベーション キーの取得方法とアクティベーションの方法について説明します。また、各モデルに使用できるライセンスについても説明します。


) この章では、バージョン 9.0 のライセンシングについて説明します。その他のバージョンについては、次の URL でお使いのバージョンに該当するライセンシング マニュアルを参照してください。

http://www.cisco.com/en/US/products/ps6120/products_licensing_information_listing.html


この章は、次の項で構成されています。

「モデルごとにサポートされている機能のライセンス」

「機能のライセンスに関する情報」

「ガイドラインと制限事項」

「ライセンスの設定」

「ライセンスのモニタリング」

「ライセンスの機能履歴」

モデルごとにサポートされている機能のライセンス

この項では、各モデルに使用できるライセンスと、ライセンスに関する特記事項について説明します。この項は、次の内容で構成されています。

「モデルごとのライセンス」

「ライセンスの注釈」

「VPN ライセンスと機能の互換性」

モデルごとのライセンス

この項では、各モデルに使用できる機能のライセンスを示します。

「ASA 5505」

「ASA 5510」

「ASA 5520」

「ASA 5540」

「ASA 5550」

「ASA 5580」

「ASA 5512-X」

「ASA 5515-X」

「ASA 5525-X」

「ASA 5545-X」

「ASA 5555-X」

「ASA 5585-X(SSP-10)」

「ASA 5585-X(SSP-20)」

「ASA 5585-X(SSP-40 および -60)」

「ASA サービス モジュール」

イタリック体で示された項目は、基本ライセンスまたは Security Plus ライセンスと置換できる、個別のオプション ライセンスです。ライセンスは組み合わせることができます。たとえば、24 ユニファイド コミュニケーション ライセンスと Strong Encryption ライセンス、500 AnyConnect Premium ライセンスと GTP/GPRS ライセンス、または 4 つのライセンスをすべて同時に使用することができます。

ライセンスの詳細については、「ライセンスの注釈」を参照してください。

ASA 5505

 

表 4-1 ASA 5505 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
説明(Security Plus ライセンス、 プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプション 時間ベース ライセンス:使用可能

ディセーブル

オプション 時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

10,000

25,000

GTP/GPRS

サポートなし

サポートなし

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:24

2

オプション ライセンス:24

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(25 セッション)

ディセーブル

オプション ライセンス:使用可能(25 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

2

オプションのパラメータまたは時間ベース ライセンス

10

25

他の VPN(セッション)

10

25

合計 VPN(セッション)。全タイプの合計

最大 251

最大 25

VPN ロード バランシング

サポートなし

サポートなし

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

サポートなし

アクティブ/スタンバイ(ステートフル フェールオーバーなし)

全タイプのインターフェイス、最大。

52

120

セキュリティ コンテキスト

サポートなし

サポートなし

クラスタリング

サポートなし

サポートなし

内部ホスト、同時2

103

オプション ライセンス:

50

Unlimited

103

オプション ライセンス:

50

Unlimited

VLAN、最大

ルーテッド モード:3(2 標準と 1 制限)
トランスペアレント モード:2

ルーテッド モード:20
トランスペアレント モード:3(2 つの標準と 1 つのフェールオーバー)

VLAN トランク、最大

サポートなし

8 トランク

1.ライセンスに応じた、VPN セッションの総数。AnyConnect Essentials をイネーブルにしている場合、合計はモデルの最大数の 25 です。AnyConnect Premium をイネーブルにしている場合、合計は AnyConnect Premium 値にその他の VPN 値を加えた、25 セッションを超えないものとなります。

2.ルーテッド モードの場合、内部(ビジネス VLAN およびホーム VLAN)のホストでは、それらが外部(インターネット VLAN)と通信する場合(内部が外部への接続を開始した場合、および外部が内部への接続を開始した場合を含む)にだけ、制限に対してカウントされます。外部が内部への接続を開始した場合でも、外部ホストは制限に対してカウントされず、内部ホストだけがカウントされることに注意してください。ビジネスとホーム間のトラフィックを開始するホストも制限に対してカウントされません。デフォルト ルートに関連付けられたインターフェイスは、外部インターネット インターフェイスと見なされます。デフォルト ルートがない場合、すべてのインターフェイス上のホストが制限値にカウントされます。トランスペアレント モードでは、ホスト数が最小のインターフェイスがホスト制限値にカウントされます。show local-host コマンドを使用して、ホストの制限を表示します。

3.10 ユーザ ライセンスの場合、最大 DHCP クライアント数は 32 です。50 ユーザの場合、最大数 は 128 です。ユーザ制限なしの場合、最大数 は 250 です。これは、 他のモデルの最大数です。

ASA 5510

 

表 4-2 ASA 5510 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
説明(Security Plus ライセンス、 プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

50,000

130,000

GTP/GPRS

サポートなし

サポートなし

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

2

オプション ライセンス:

24

50

100

24

50

100

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(250 セッション)

ディセーブル

オプション ライセンス:使用可能(250 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションの永続 または時間ベースのライセンス:

2

オプションの永続 または時間ベースのライセンス:

10

25

50

100

250

10

25

50

100

250

オプションの共有ライセンス:Participant または Server。サーバの場合:

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

250

250

他の VPN(セッション)

250

250

VPN ロード バランシング

サポートなし

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

サポートなし

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

240

440

Interface Speed

すべて:ファスト イーサネット

Ethernet 0/0 および 0/1:ギガビット イーサネット4
Ethernet 0/2、0/3、0/4(およびその他):ファスト イーサネット

セキュリティ コンテキスト

サポートなし

2

オプション ライセンス:

5

クラスタリング

サポートなし

サポートなし

VLAN、最大

50

100

4.Ethernet 0/0 および 0/1 ポートはギガビット イーサネットですが、ソフトウェアでは現在も「イーサネット」として識別されます。

ASA 5520

 

表 4-3 ASA 5520 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

280,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(750 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

750

他の VPN(セッション)

750

VPN ロード バランシング

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

640

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

クラスタリング

サポートなし

VLAN、最大

150

ASA 5540

 

表 4-4 ASA 5540 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

400,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(2500 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

5000

他の VPN(セッション)

5000

VPN ロード バランシング

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

840

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

クラスタリング

サポートなし

VLAN、最大

200

ASA 5550

 

表 4-5 ASA 5550 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

650,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(5000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

5000

他の VPN(セッション)

5000

VPN ロード バランシング

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

1640

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

100

クラスタリング

サポートなし

VLAN、最大

400

ASA 5580

 

表 4-6 ASA 5580 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

5580-20:2,000,000

5580-40:4,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

5000

10,0005

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(10000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

10,000

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

10,000

他の VPN(セッション)

10,000

VPN ロード バランシング

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

4176

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

100

250

クラスタリング

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

1024

5.10,000 セッション UC ライセンスの場合、組み合わせたセッション数は合計 10,000 までですが、電話プロキシ セッションの最大数は 5000 です。

ASA 5512-X

ペイロード暗号化機能のないモデルの場合は、次に示す機能の一部がサポートされません。サポートされない機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-7 ASA 5512-X ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
説明(Security Plus ライセンス、 プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

100,000

250,000

GTP/GPRS

サポートなし

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

2

オプション ライセンス:

24

50

100

250

500

24

50

100

250

500

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(250 セッション)

ディセーブル

オプション ライセンス:使用可能(250 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションの永続 または時間ベースのライセンス:

2

オプションの永続 または時間ベースのライセンス:

10

25

50

100

250

10

25

50

100

250

オプションの共有ライセンス:Participant または Server。サーバの場合:

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

250

250

他の VPN(セッション)

250

250

VPN ロード バランシング

サポートなし

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

サポートなし

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

328

528

セキュリティ コンテキスト

サポートなし

2

オプション ライセンス:

5

IPS モジュール

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

50

100

ASA 5515-X

ペイロード暗号化機能のないモデルの場合は、次に示す機能の一部がサポートされません。サポートされない機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-8 ASA 5515-X ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

250,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(250 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

250

他の VPN(セッション)

250

VPN ロード バランシング

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

528

セキュリティ コンテキスト

2

オプション ライセンス:

5

クラスタリング

サポートなし

IPS モジュール

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

100

ASA 5525-X

ペイロード暗号化機能のないモデルの場合は、次に示す機能の一部がサポートされません。サポートされない機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-9 ASA 5525-X ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

500,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(750 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

750

他の VPN(セッション)

750

VPN ロード バランシング

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

928

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

クラスタリング

サポートなし

IPS モジュール

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

200

ASA 5545-X

ペイロード暗号化機能のないモデルの場合は、次に示す機能の一部がサポートされません。サポートされない機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-10 ASA 5545-X ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

750,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(2500 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

2500

他の VPN(セッション)

2500

VPN ロード バランシング

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

1328

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

クラスタリング

サポートなし

IPS モジュール

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

300

ASA 5555-X

ペイロード暗号化機能のないモデルの場合は、次に示す機能の一部がサポートされません。サポートされない機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-11 ASA 5555-X ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

1,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(5000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

5000

他の VPN(セッション)

5000

VPN ロード バランシング

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

2128

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

100

クラスタリング

サポートなし

IPS モジュール

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

500

ASA 5585-X(SSP-10)

ペイロード暗号化機能のないモデルの場合は、次に示す機能の一部がサポートされません。サポートされない機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-12 ASA 5585-X(SSP-10)ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
説明(Security Plus ライセンス、プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプション 時間ベース ライセンス:使用可能

ディセーブル

オプション 時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

1,000,000

1,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

2

オプション ライセンス:

24

50

100

250

500

24

50

100

250

500

750

1000

2000

3000

750

1000

2000

3000

VPN ライセンス6

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(5000 セッション)

ディセーブル

オプション ライセンス:使用可能(5000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプション 永続的または時間ベースのライセンス:

2

オプション 永続的または時間ベースのライセンス:

10

25

50

100

250

10

25

50

100

250

500

750

1000

2500

5000

500

750

1000

2500

5000

オプションの共有ライセンス:Participant または Server。サーバの場合:

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

5000

5000

他の VPN(セッション)

5000

5000

VPN ロード バランシング

サポートあり

サポートあり

一般ライセンス

10 GE I/O

ディセーブル。ファイバ インターフェイスは 1 GE で動作

イネーブル。ファイバ インターフェイスは 10 GE で動作

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

4176

4176

セキュリティ コンテキスト

2

オプション ライセンス:

2

オプション ライセンス:

5

10

20

50

100

5

10

20

50

100

クラスタリング

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

1024

1024

6.「VPN ライセンスと機能の互換性」を参照してください。

ASA 5585-X(SSP-20)

ペイロード暗号化機能のないモデルの場合は、次に示す機能の一部がサポートされません。サポートされない機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-13 ASA 5585-X(SSP-20)ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
説明(Security Plus ライセンス、 プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプション 時間ベース ライセンス:使用可能

ディセーブル

オプション 時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

2,000,000

2,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

2

オプション ライセンス:

24

50

100

250

500

750

1000

100

250

500

750

1000

2000

3000

5000

10,000 7

2000

3000

5000

10,0001

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(10,000 セッション)

ディセーブル

オプション ライセンス:使用可能(10,000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

50

100

250

500

750

1000

2500

5000

10,000

1000

2500

5000

10,000

オプションの共有ライセンス:Participant または Server。サーバの場合:

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

10,000

10,000

他の VPN(セッション)

10,000

10,000

VPN ロード バランシング

サポートあり

サポートあり

一般ライセンス

10 GE I/O

ディセーブル。ファイバ インターフェイスは 1 GE で動作

イネーブル。ファイバ インターフェイスは 10 GE で動作

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

4176

4176

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

2

オプション ライセンス:

5

10

20

50

100

250

20

50

100

250

クラスタリング

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

1024

1024

7.10,000 セッション UC ライセンスの場合、組み合わせたセッション数は合計 10,000 までですが、電話プロキシ セッションの最大数は 5000 です。

ASA 5585-X(SSP-40 および -60)

ペイロード暗号化機能のないモデルの場合は、次に示す機能の一部がサポートされません。サポートされない機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。


) SSP-40 および SSP-60 の場合、同じシャーシでレベルが同じ 2 つの SSP を使用できます。レベルが混在した SSP はサポートされていません(たとえば、SSP-40 と SSP-60 の組み合わせはサポートされていません)。各 SSP は個別のコンフィギュレーションおよび管理を持つ独立したデバイスとして動作します。必要に応じて 2 つの SSP をフェールオーバー ペアとして使用できます。2 個の SSP をシャーシで使用する場合、VPN はサポートされません。しかし、VPN がディセーブルになっていないことに注意してください。


 

表 4-14 ASA 5585-X(SSP-40 および -60)ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

5585-X(SSP-40):4,000,000

5585-X(SSP-60):10,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

5000

10,0008

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(10,000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

10,000

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

10,000

他の VPN(セッション)

10,000

VPN ロード バランシング

サポートあり

一般ライセンス

10 GE I/O

イネーブル。ファイバ インターフェイスは 10 GE で動作

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

4176

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

100

250

クラスタリング

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

1024

8.10,000 セッション UC ライセンスの場合、組み合わせたセッション数は合計 10,000 までですが、電話プロキシ セッションの最大数は 5000 です。

ASA サービス モジュール

ペイロード暗号化機能のないモデルの場合は、次に示す機能の一部がサポートされません。サポートされない機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-15 ライセンス機能ASASM

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

10,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

5000

10,0009

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

Cisco VPN Phone 用の AnyConnect

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(10,000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

10,000

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)。全タイプの合計

10,000

他の VPN(セッション)

10,000

VPN ロード バランシング

サポートあり

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

全タイプのインターフェイス、最大。

4224

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

100

250

クラスタリング

サポートなし

VLAN、最大

1024

9.10,000 セッション UC ライセンスの場合、組み合わせたセッション数は合計 10,000 までですが、電話プロキシ セッションの最大数は 5000 です。

ライセンスの注釈

表 4-16 に、「モデルごとのライセンス」の複数の表で共有される一般的な補足説明を示します。

 

表 4-16 ライセンスの注釈

ライセンス
注釈

AnyConnect Essentials

AnyConnect Essentials セッションには、次の VPN タイプが含まれています。

SSL VPN

IKEv2 を使用した IPsec リモート アクセス

このライセンスは、ブラウザベース(クライアントレス)の SSL VPN アクセスまたは Cisco Secure Desktop はサポートしていません。これらの機能に対しては、AnyConnect Essentials ライセンスの代わりに AnyConnect Premium ライセンスがアクティブ化されます。

(注) AnyConnect Essentials ライセンスを所有する VPN ユーザは、Web ブラウザを使用してログインし、AnyConnect クライアントをダウンロードおよび起動(WebLaunch)することができます。

このライセンスと AnyConnect Premium ライセンスのいずれでイネーブル化されたかには関係なく、AnyConnect クライアント ソフトウェアには同じクライアント機能のセットが装備されています。

特定の ASA では、AnyConnect Premium ライセンス(全タイプ)または Advanced Endpoint Assessment ライセンスを、AnyConnect Essentials ライセンスと同時にアクティブにすることはできません。ただし、同じネットワーク内の異なる ASAで、AnyConnect Essentials ライセンスと AnyConnect Premium ライセンスを実行することは可能です。

デフォルトでは、ASA は AnyConnect Essentials ライセンスを使用しますが、 no anyconnect-essentials コマンドまたは ASDM で [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials] ペインを使用すると、AnyConnect Essentials ライセンスをディセーブルにして他のライセンスを使用できます。

「VPN ライセンスと機能の互換性」も参照してください。

Cisco VPN Phone 用の AnyConnect

このライセンスを AnyConnect Premium ライセンスとともに使用すると、AnyConnect の互換性に組み込まれているハードウェア IP 電話からアクセスできます。

AnyConnect for Mobile

このライセンスは、Windows Mobile 5.0、6.0、および 6.1 を実行しているタッチスクリーン モバイル デバイスでの AnyConnect クライアントへのアクセスを提供します。AnyConnect 2.3 以降のバージョンへのモバイル アクセスをサポートする場合は、このライセンスを使用することをお勧めします。このライセンスを使用する場合は、AnyConnect Essentials または AnyConnect Premium のいずれかのライセンスをアクティブにする必要があります。これは、許可される SSL VPN セッションの合計数を指定するためです。

Mobile Posture サポート

リモート アクセス コントロールを適用し、モバイル デバイスからポスチャ データを収集するには、AnyConnect Mobile ライセンスと、AnyConnect Essentials または AnyConnect Premium ライセンスのいずれかが ASA にインストールされている必要があります。インストールしたライセンスに基づいて、次の機能を使用できます。

AnyConnect Premium ライセンス機能

DAP 属性およびその他の既存のエンドポイント属性に基づいて、サポート対象モバイル デバイスに DAP ポリシーを適用します。これには、モバイル デバイスからのリモート アクセスの許可または拒否が含まれます。

AnyConnect Essentials ライセンス機能

モバイル デバイス アクセスをグループ単位でイネーブルまたはディセーブルにします。この機能を、ASDM を使用して設定します。

CLI または ASDM を使用して接続モバイル デバイスに関する情報を表示します(ただし、DAP ポリシーを適用したり、これらのモバイル デバイスへのリモート アクセスを拒否/許可したりする機能はありません)。

AnyConnect Premium

AnyConnect Premium セッションには、次の VPN タイプが含まれています。

SSL VPN

クライアントレス SSL VPN

IKEv2 を使用した IPsec リモート アクセス

AnyConnect Premium Shared

共有ライセンスによって、ASAは複数のクライアントのASAの共有ライセンス サーバとして機能します。共有ライセンス プールは大規模ですが、個々のASAによって使用されるセッションの最大数は、永続的なライセンスで指定される最大数を超えることはできません。

ボットネット トラフィック フィルタ

ダイナミック データベースをダウンロードするには、高度暗号化(3DES/AES)ライセンスが必要です。

暗号化

DES ライセンスはディセーブルにできません。3DES のライセンスがインストールされている場合は、DES を引き続き使用できます。強力な暗号化だけを使用したい場合に DES の使用を防止するには、強力な暗号化だけを使用するようにすべての関連コマンドを設定する必要があります。

フェールオーバー、アクティブ/アクティブ

アクティブ/アクティブ フェールオーバーと VPN は同時に使用できません。VPN を使用する必要がある場合は、アクティブ/スタンバイ フェールオーバーを使用します。

Intercompany Media Engine

Intercompany Media Engine(IME)ライセンスをイネーブルにすると、TLS プロキシ セッションを設定された TLS プロキシの制限まで使用できます。また、Unified Communications(UC; ユニファイド コミュニケーション)ライセンスがインストールされており、その制限数がデフォルトの TLS プロキシの制限数より多い場合、お使いのモデルに応じて、ASA が UC ライセンスの制限数にまでセッション数を加えた制限を設定します。TLS プロキシの制限は、 tls-proxy maximum-sessions コマンドまたは ASDM で [Configuration] > [Firewall] > [Unified Communications] > [TLS Proxy] ペインを使用して手動で設定できます。モデルの制限を表示するには、 tls-proxy maximum-sessions ? コマンドを入力します。UC ライセンスもインストールすると、UC で使用できる TLS プロキシ セッションは IME セッションでも使用可能になります。たとえば、設定された制限が 1000 TLS プロキシ セッションの場合、750 セッションの UC ライセンスを購入すると、最初の 250 IME セッションまでは、UC に使用可能なセッション数に影響を与えません。IME に 250 を超えるセッションが必要になると、プラットフォームの制限の残りの 750 セッションが UC と IME によって先着順に使用されます。

「K8」で終わるライセンス製品番号の場合、TLS プロキシ セッションは 1000 までに制限されます。

「K9」で終わるライセンス製品番号の場合、TLS プロキシ制限は、使用する設定とプラットフォーム モデルに依存します。

(注) K8 と K9 は、エクスポートについてそのライセンスが制限されるかどうかを示します。K8 は制限されず、K9 は制限されます。

接続には、SRTP 暗号化セッションを使用する場合もあります。

K8 ライセンスの場合、SRTP セッションは 250 までに制限されます。

K9 ライセンスの場合、制限はありません。

(注) メディアの暗号化/復号化を必要とするコールだけが、SRTP 制限に対してカウントされます。コールに対してパススルーが設定されている場合は、両方のレッグが SRTP であっても、SRTP 制限に対してカウントされません。

全タイプのインターフェイス、最大。

VLAN、物理、冗長、ブリッジ グループ、および EtherChannel インターフェイスなど、すべてを合わせたインターフェイスの最大数。

 

IPS モジュール

フェールオーバー ペアの場合、両方の装置に IPS モジュール ライセンスが必要です。

その他の VPN

その他の VPN セッションには、次の VPN タイプが含まれています。

IKEv1 を使用した IPsec リモート アクセス VPN

IKEv1 を使用した IPsec サイトツーサイト VPN

IKEv2 を使用した IPsec サイトツーサイト VPN

このライセンスは基本ライセンスに含まれています。

合計 VPN(セッション)。全タイプの合計

VPN セッションの最大数の合計が、VPN AnyConnect とその他の VPN セッションの最大数よりも多くなっても、組み合わせたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、ASAをオーバーロードして、ネットワークのサイズを適切にすることができます。

クライアントレス SSL VPN セッションを開始した後、ポータルから AnyConnect クライアント セッションを開始した場合は、合計 1 つのセッションが使用されています。これに対して、最初に AnyConnect クライアントを(スタンドアロン クライアントなどから)開始した後、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが使用されています。

UC 電話プロキシ セッション

次のアプリケーションでは、接続時に TLS プロキシ セッションを使用します。これらのアプリケーションで使用される各 TLS プロキシ セッション(およびこれらのアプリケーションのみ)は UC ライセンスの制限に対してカウントされます。

電話プロキシ

プレゼンス フェデレーション プロキシ

暗号化音声インスペクション

TLS プロキシ セッションを使用するその他のアプリケーション(ライセンスが不要な Mobility Advantage Proxy、個別の IME ライセンスが必要な IME など)では、UC 制限に対してカウントしません。

UC アプリケーションによっては、1 つの接続に複数のセッションを使用する場合があります。たとえば、プライマリとバックアップの Cisco Unified Communications Manager を電話に設定した場合は、TLS プロキシ接続が 2 つあるため、UC Proxy セッションも 2 つ使用されます。

TLS プロキシの制限は、 tls-proxy maximum-sessions コマンドまたは ASDM で [Configuration] > [Firewall] > [Unified Communications] > [TLS Proxy] ペインを使用して個別に設定できます。モデルの制限を表示するには、 tls-proxy maximum-sessions ? コマンドを入力します。デフォルトの TLS プロキシ制限よりも高い UC ライセンスを適用する場合、ASA では、その UC 制限に一致するように TLS プロキシの制限が自動的に設定されます。UC ライセンスの制限よりも TLS プロキシ制限が優先されます。TLS プロキシ制限を UC ライセンスよりも少なく設定すると、UC ライセンスですべてのセッションを使用できません。

コマンドが自動的に生成され、セカンダリ装置に警告メッセージが表示されることがあります。コンフィギュレーションの同期によりプライマリ装置の TLS プロキシ制限の設定が復元されるため、この警告は無視できます。

接続には、SRTP 暗号化セッションを使用する場合もあります。

K8 ライセンスでは、SRTP セッション数は 250 までに制限されます。

K9 ライセンスに制限はありません。

(注) メディアの暗号化/復号化を必要とするコールだけが、SRTP 制限に対してカウントされます。コールに対してパススルーが設定されている場合は、両方のレッグが SRTP であっても、SRTP 制限に対してカウントされません。

VPN ロード バランシング

VPN ロード バランシングには、強力な暗号化(3DES/AES)ライセンスが必要です。

VPN ライセンスと機能の互換性

表 4-17 に、VPN ライセンスと機能を組み合わせる方法を示します。

AnyConnect Essentials ライセンスおよび AnyConnect Premium ライセンスでサポートされている機能の詳細なリストについては、『 AnyConnect Secure Mobility Client Features, Licenses, and OSs 』を参照してください。

バージョン 3.1:
http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect31/feature/guide/anyconnect31features.html

バージョン 3.0:
http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect30/feature/guide/anyconnect30features.html

バージョン 2.5:
http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect25/feature/guide/anyconnect25features.html

 

表 4-17 VPN ライセンスと機能の互換性

サポートする機能
次のいずれかのライセンスをイネーブルにします。10
AnyConnect Essentials
AnyConnect Premium

Cisco VPN Phone 用の AnyConnect

No

Yes

AnyConnect for Mobile11

Yes

Yes

Advanced Endpoint Assessment

No

Yes

AnyConnect Premium Shared

No

Yes

クライアントベースの SSL VPN

Yes

Yes

ブラウザベース(クライアントレス)の SSL VPN

No

Yes

IPsec VPN

Yes

Yes

VPN ロード バランシング

Yes

Yes

Cisco Secure Desktop

No

Yes

10.AnyConnect Essentials ライセンスまたは AnyConnect Premium ライセンスのいずれか一方のライセンス タイプだけをアクティブにできます。デフォルトでは、ASAには 2 セッション用の AnyConnect Premium ライセンスが組み込まれています。AnyConnect Essentials ライセンスをインストールすると、それがデフォルトで使用されます。プレミアム ライセンスのイネーブル化については、no anyconnect-essentials コマンドを参照してください。

11.Mobile Posture サポートは、AnyConnect Essentials の場合と AnyConnect Premium ライセンスの場合とでは異なります。詳細については、表 4-16を参照してください。

機能のライセンスに関する情報

ライセンスでは、特定のASA上でイネーブルにするオプションを指定します。ライセンスは、160 ビット(32 ビットのワードが 5 個、または 20 バイト)値であるアクティベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)とイネーブルになる機能とを符号化します。

この項は、次の内容で構成されています。

「事前インストールされているライセンス」

「永続ライセンス」

「時間ベース ライセンス」

「AnyConnect Premium(共有)ライセンス」

「フェールオーバーまたは ASA クラスタ ライセンス」

「ペイロード暗号化機能のないモデル」

「ライセンスの FAQ」

事前インストールされているライセンス

デフォルトでは、ASAは、ライセンスがインストールされた状態で出荷されます。このライセンスは、注文した内容およびベンダーがインストールした内容に応じて、ライセンスを追加できる基本ライセンスの場合と、すべてのライセンスがすでにインストールされている場合があります。インストールされているライセンスを特定するには、「ライセンスのモニタリング」を参照してください。

永続ライセンス

永続アクティベーション キーを 1 つインストールできます。永続アクティベーション キーは、1 つのキーにすべてのライセンス機能を格納しています。時間ベース ライセンスもインストールすると、ASAは永続ライセンスと時間ベース ライセンスを 1 つの実行ライセンスに結合します。ASAがライセンスを結合する方法については、「永続ライセンスと時間ベース ライセンスの結合」を参照してください。

時間ベース ライセンス

永続ライセンスに加えて、時間ライセンスを購入したり、時間制限のある評価ライセンスを入手したりできます。たとえば、SSL VPN の同時ユーザの短期増加に対処するために時間ベースの AnyConnect Premium ライセンスを購入したり、1 年間有効なボットネット トラフィック フィルタ時間ベース ライセンスを注文したりできます。

この項は、次の内容で構成されています。

「時間ベース ライセンス アクティベーションのガイドライン」

「時間ベース ライセンス タイマーの動作」

「永続ライセンスと時間ベース ライセンスの結合」

「時間ベース ライセンスのスタッキング」

「時間ベース ライセンスの有効期限」

時間ベース ライセンス アクティベーションのガイドライン

複数の時間ベース ライセンスをインストールし、同じ機能に複数のライセンスを組み込むことができます。ただし、一度に アクティブ化 できる時間ベース ライセンスは、1 機能につき 1 つだけです。非アクティブのライセンスはインストールされたままで、使用可能な状態です。たとえば、1000 セッション AnyConnect Premium ライセンスと 2500 セッション AnyConnect Premium ライセンスをインストールした場合、これらのライセンスのうちいずれか 1 つだけをアクティブにできます。

キーの中に複数の機能を持つ評価ライセンスをアクティブにした場合、そこに含まれている機能のいずれかに対応する時間ベース ライセンスを同時にアクティブ化することはできません。たとえば、評価ライセンスにボットネット トラフィック フィルタと 1000 セッション AnyConnect Premium ライセンスが含まれる場合、スタンドアロンの時間ベース 2500 セッション AnyConnect Premium ライセンスをこの評価ライセンスと同時にアクティブ化することはできません。

時間ベース ライセンス タイマーの動作

時間ベース ライセンスのタイマーは、ASA上でライセンスをアクティブにした時点でカウント ダウンを開始します。

タイムアウト前に時間ベース ライセンスの使用を中止すると、タイマーが停止します。時間ベース ライセンスを再度アクティブ化すると、タイマーが再開します。

時間ベース ライセンスがアクティブになっているときにASAをシャットダウンしても、タイマーはカウント ダウンを続行します。ASAを長期にわたってシャットダウンしたままにする場合は、シャットダウンする前に時間ベース ライセンスを非アクティブにする必要があります。


) 時間ベース ライセンスをインストールした後は、システム クロックを変更しないことをお勧めします。システム クロックを先の日付に進めてからリロードした場合、ASAではクロックが元のインストール日時と比較され、実際よりも長い使用時間が経過したものと見なされます。システム クロックを遅らせて、元のインストール日時との時間差よりも実際の実行時間が長くなった場合は、リロード直後にライセンスが無効になります。


永続ライセンスと時間ベース ライセンスの結合

時間ベース ライセンスをアクティブにすると、永続ライセンスと時間ベース ライセンスに含まれる機能を組み合わせた実行ライセンスが作成されます。永続ライセンスと時間ベース ライセンスの組み合わせ方は、ライセンスのタイプに依存します。 表 4-18 に、各機能ライセンスの組み合わせルールを示します。


) 永続ライセンスが使用されていても、時間ベース ライセンスがアクティブな場合はカウント ダウンが続行されます。


 

表 4-18 時間ベース ライセンスの組み合わせルール

時間べース機能
結合されたライセンスのルール

AnyConnect Premium(セッション)

時間ベース ライセンスまたは永続ライセンスのうち、値の高い方が使用されます。たとえば、永続ライセンスが 1000 セッション、時間ベース ライセンスが 2500 セッションの場合、2500 セッションがイネーブルになります。通常は、永続ライセンスよりも機能の低い時間ベース ライセンスをインストールすることはありませんが、そのようなインストールが行われた場合は永続ライセンスが使用されます。

Unified Communications Proxy セッション

時間ベース ライセンスのセッションは、プラットフォームの制限数まで永続セッションに追加されます。たとえば、永続ライセンスが 2500 セッション、時間ベース ライセンスが 1000 セッションの場合、時間ベース ライセンスがアクティブである限り、3500 セッションがイネーブルになります。

セキュリティ コンテキスト

時間ベース ライセンスのコンテキストは、プラットフォームの制限数まで永続コンテキストに追加されます。たとえば、永続ライセンスが 10 コンテキスト、時間ベース ライセンスが 20 コンテキストの場合、時間ベース ライセンスがアクティブである限り、30 コンテキストがイネーブルになります。

ボットネット トラフィック フィルタ

使用可能な永続ボットネット トラフィック フィルタ ライセンスはありません。時間ベース ライセンスが使用されます。

その他

時間ベース ライセンスまたは永続ライセンスのうち、値の高い方が使用されます。ライセンスのステータスがイネーブルまたはディセーブルの場合、イネーブル ステータスのライセンスが使用されます。数値ティアを持つライセンスの場合、高い方の値が使用されます。通常は、永続ライセンスよりも機能の低い時間ベース ライセンスをインストールすることはありませんが、そのようなインストールが行われた場合は永続ライセンスが使用されます。

結合されたライセンスを表示するには、「ライセンスのモニタリング」を参照してください。

時間ベース ライセンスのスタッキング

多くの場合、時間ベース ライセンスは更新の必要があり、旧ライセンスから新しいライセンスへシームレスに移行する必要があります。時間ベース ライセンスだけで使用される機能では、新しいライセンスが適用される前に、ライセンスの有効期限が切れてしまわないことが特に重要です。ASAでは時間ベース ライセンスを スタック できるので、ライセンスの有効期限が切れたり、新しいライセンスを早めにインストールしたために時間が無駄になったりする心配はありません。

すでにインストールされているのと同じ時間ベース ライセンスをインストールすると、それらのライセンスは結合され、有効期間は両者を合わせた期間になります。

例:

1. 52 週のボットネット トラフィック フィルタ ライセンスをインストールし、このライセンスを 25 週間使用します(残り 27 週)。

2. 次に、別の 52 週ボットネット トラフィック フィルタ ライセンスを購入します。2 つめのライセンスをインストールすると、ライセンスが結合され、有効期間は 79 週(52 + 27 週)になります。

同様の例を示します。

1. 8 週 1000 セッションの AnyConnect Premium ライセンスをインストールし、これを 2 週間使用します(残り 6 週)。

2. 次に、別の 8 週 1000 セッションのライセンスをインストールすると、これらのライセンスは結合され、14 週(8 + 6 週)1000 セッションのライセンスになります。

これらのライセンスが同一でない場合(たとえば、1000 セッション AnyConnect Premium ライセンスと ライセンスが同じでない場合(たとえば 1000 セッション SSL VPN ライセンスと 2500 セッション ライセンス)、それらのライセンスは結合 されません 。1 つの機能につき時間ベース ライセンスを 1 つだけアクティブにできるので、ライセンスのうちいずれか 1 つだけをアクティブにすることができます。ライセンスのアクティブ化の詳細については、「キーのアクティブ化および非アクティブ化」を参照してください。

同一でないライセンスは結合されませんが、現在のライセンスの有効期限が切れた場合、同じ機能のインストール済みライセンスが使用可能であれば、ASAはそのライセンスを自動的にアクティブにします。詳細については、「時間ベース ライセンスの有効期限」を参照してください。

時間ベース ライセンスの有効期限

機能に対応する現在のライセンスが期限切れになると、同じ機能のインストール済みライセンスが使用可能であれば、ASAはそのライセンスを自動的にアクティブにします。その機能に使用できる時間ベース ライセンスが他にない場合は、永続ライセンスが使用されます。

その機能に対して複数の時間ベース ライセンスを追加でインストールした場合、ASAは最初に検出されたライセンスを使用します。どのライセンスを使用するかは、ユーザが設定することはできず、内部動作に依存します。ASAがアクティブ化したライセンスとは別の時間ベース ライセンスを使用するには、目的のライセンスを手動でアクティブにする必要があります。「キーのアクティブ化および非アクティブ化」を参照してください。

たとえば、2500 セッションの時間ベース AnyConnect Premium ライセンス(アクティブ)、1000 セッションの時間ベース AnyConnect Premium ライセンス(非アクティブ)、500 セッションの永続 AnyConnect Premium ライセンスを所有しているとします。2500 セッション ライセンスの有効期限が切れると、ASAは 1000 セッション ライセンスをアクティブにします。1000 セッション ライセンスの有効期限が切れると、ASAは 500 セッションの永続ライセンスを使用します。

AnyConnect Premium(共有)ライセンス

AnyConnect Premium(共有)を使用すると、多数の AnyConnect Premium セッションを購入し、それらのセッションを ASA のグループ間で必要に応じて共有できます。そのためには、いずれかの ASA を共有ライセンス サーバとして、残りを共有ライセンス参加システムとして設定します。この項では、共有ライセンスのしくみについて説明します。次の項目を取り上げます。

「共有ライセンスのサーバと参加システムに関する情報」

「参加システムとサーバの間の通信に関する問題」

「共有ライセンス バックアップ サーバに関する情報」

「フェールオーバーと共有ライセンス」

「参加システムの最大数」

共有ライセンスのサーバと参加システムに関する情報

次に、共有ライセンスの動作手順を示します。

1. いずれのASAを共有ライセンス サーバとするかを決定し、デバイス シリアル番号を使用する共有ライセンス サーバのライセンスを購入します。

2. いずれのASAを共有ライセンス バックアップ サーバを含む共有ライセンス参加者とするかを決定し、各デバイス シリアル番号を使用して各デバイスに対して共有ライセンス参加ライセンスを取得します。

3. (任意)別のASAを共有ライセンス バックアップ サーバとして指定します。バックアップ サーバには 1 台のみ指定できます。


) 共有ライセンス バックアップ サーバに必要なのは参加ライセンスのみです。


4. 共有ライセンス サーバ上に共有秘密を設定します。共有秘密を保持する参加者であればいずれも共有ライセンスを使用できます。

5. ASAを参加者として設定する場合、ローカル ライセンスおよびモデル情報を含む自身の情報を送信することで共有ライセンス サーバに登録します。


) 参加者は IP ネットワークを経由してサーバと通信できる必要がありますが、同じサブネット上にある必要はありません。


6. 共有ライセンス サーバは、参加者がサーバにポーリングするべき頻度の情報で応答します。

7. 参加者がローカル ライセンスのセッションを使い果たした場合、参加者は共有ライセンス サーバに 50 セッション単位で追加セッションの要求を送信します。

8. 共有ライセンス サーバは、共有ライセンスで応答します。1 台の参加者が使用する合計セッション数は、プラットフォーム モデルの最大セッション数を超えられません。


) 共有ライセンス サーバは、共有ライセンス プールに参加することもできます。参加には参加ライセンスもサーバ ライセンスも必要ありません。


a. 参加者に対して共有ライセンス プールに十分なセッションがない場合、サーバは使用可能な限りのセッション数で応答します。

b. 参加者はさらなるセッションを要求するリフレッシュ メッセージの送信をサーバが要求に適切に対応できるまで続けます。

9. 参加者の負荷が減少した場合、参加者はサーバに共有セッションを解放するようにメッセージを送信します。


) ASAは、サーバと参加者間のすべての通信の暗号化に SSL を使用します。


参加システムとサーバの間の通信に関する問題

参加者とサーバ間の通信問題については、次のガイドラインを参照してください。

参加者が更新の送信に失敗して更新間隔 3 倍の時間が経過した後で、サーバはセッションを解放して共有ライセンス プールに戻します。

参加者が更新を送信するためにライセンス サーバに到達できない場合、参加者はサーバから受信した共有ライセンスを最大 24 時間使用し続けられます。

24 時間を経過しても参加者がまだライセンス サーバと通信できない場合、参加者はセッションがまだ必要であっても共有ライセンスを解放します。参加者は既存の確立している接続を維持しますが、ライセンス制限を超えて新しい接続を受け入れられません。

参加者が 24 時間経過前にサーバに再接続したが、サーバが参加セッションを期限切れにした後である場合、参加者はセッションに対する新しい要求を送信する必要があります。サーバは、参加者に再割り当てできる限りのセッション数で応答します。

共有ライセンス バックアップ サーバに関する情報

共有ライセンス バックアップ サーバは、バックアップの役割を実行する前にメインの共有ライセンス サーバへの登録に成功している必要があります。登録時には、メインの共有ライセンス サーバは共有ライセンス情報に加えてサーバ設定もバックアップと同期します。情報には、登録済み参加者の一覧および現在のライセンス使用状況が含まれます。メイン サーバとバックアップ サーバは、10 秒間隔でデータを同期します。初回同期の後で、バックアップ サーバはリロード後でもバックアップの役割を実行できます。

メイン サーバがダウンすると、バックアップ サーバがサーバ動作を引き継ぎます。バックアップ サーバは継続して最大 30 日間動作できます。30 日を超えると、バックアップ サーバは参加者へのセッション発行を中止し、既存のセッションはタイムアウトします。メイン サーバをこの 30 日間中に確実に復旧するようにします。クリティカル レベルの syslog メッセージが 15 日めに送信され、30 日めに再送信されます。

メイン サーバが復旧した場合、メイン サーバはバックアップ サーバと同期してから、サーバ動作を引き継ぎます。

バックアップ サーバがアクティブでないときは、メインの共有ライセンス サーバの通常の参加者として動作します。


) メインの共有ライセンス サーバの初回起動時には、バックアップ サーバは独立して 5 日間のみ動作できます。動作制限は 30 日に到達するまで日ごとに増加します。また、メイン サーバがその後短時間でもダウンした場合、バックアップ サーバの動作制限は日ごとに減少します。メイン サーバが復旧した場合、バックアップ サーバは再び日ごとに増加を開始します。たとえば、メイン サーバが 20 日間ダウンしていて、その期間中バックアップ サーバがアクティブであった場合、バックアップ サーバには、10 日間の制限のみが残っています。バックアップ サーバは、非アクティブなバックアップとしてさらに 20 日間が経過した後で、最大の 30 日間まで「充電」されます。この充電機能は共有ライセンスの誤使用を防ぐために実装されています。


フェールオーバーと共有ライセンス

この項では、共有ライセンスとフェールオーバーの相互作用について説明します。次の項目を取り上げます。

「フェールオーバーと共有ライセンス サーバ」

「フェールオーバーと共有ライセンス参加システム」

フェールオーバーと共有ライセンス サーバ

この項では、メイン サーバおよびバックアップ サーバと、フェールオーバーとの相互作用について説明します。共有ライセンス サーバでは、VPN ゲートウェイやファイアウォールなど、ASAとしての通常機能も実行されます。このため、メインとバックアップの共有ライセンス サーバにフェールオーバーを設定して、信頼性を高めることをお勧めします。


) バックアップ サーバ メカニズムとフェールオーバーは異なりますが、両者には互換性があります。

共有ライセンスはシングル コンテキスト モードでだけサポートされるため、アクティブ/アクティブ フェールオーバーはサポートされません。


アクティブ/スタンバイ フェールオーバーでは、プライマリ装置が主要な共有ライセンス サーバとして機能し、スタンバイ装置はフェールオーバー後に主要な共有ライセンス サーバとして機能します。スタンバイ装置は、バックアップの共有ライセンス サーバとしては機能 しません 。必要に応じて、バックアップ サーバとして機能する装置のペアを追加します。

たとえば、2 組のフェールオーバー ペアがあるネットワークを使用するとします。ペア #1 にはメインのライセンス サーバが含まれます。ペア #2 にはバックアップ サーバが含まれます。ペア #1 のプライマリ装置がダウンすると、ただちに、スタンバイ装置が新しくメイン ライセンス サーバになります。ペア #2 のバックアップ サーバが使用されることはありません。ペア #1 の装置が両方ともダウンした場合だけ、ペア #2 のバックアップ サーバが共有ライセンス サーバとして使用されるようになります。ペア #1 がダウンしたままで、ペア #2 のプライマリ装置もダウンした場合は、ペア #2 のスタンバイ装置が共有ライセンス サーバとして使用されるようになります。

スタンバイ バックアップ サーバは、プライマリ バックアップ サーバと同じ動作制限を共有します。スタンバイ装置がアクティブになると、その時点からプライマリ装置のカウントダウンを引き継ぎます。詳細については、「共有ライセンス バックアップ サーバに関する情報」を参照してください。

フェールオーバーと共有ライセンス参加システム

参加システムのペアについては、両方の装置を共有ライセンス サーバに登録します。登録時には、個別の参加システム ID を使用します。アクティブ装置の参加システム ID は、スタンバイ装置と同期されます。スタンバイ装置は、アクティブに切り替わるときに、この ID を使用して転送要求を生成します。この転送要求によって、以前にアクティブだった装置から新しくアクティブになる装置に共有セッションが移動します。

参加システムの最大

ASAでは、共有ライセンスの参加システム数に制限がありません。ただし、共有ネットワークの規模が非常に大きいと、ライセンス サーバのパフォーマンスに影響する場合があります。この場合は、参加システムのリフレッシュ間隔を長くするか、共有ネットワークを 2 つ作成することをお勧めします。

フェールオーバーまたは ASA クラスタ ライセンス

いくつかの例外を除き、フェールオーバーおよびクラスタ ユニットは、各ユニット上で同一のライセンスを必要としません。以前のバージョンについては、お使いのバージョンに該当するライセンシング マニュアルを参照してください。

この項は、次の内容で構成されています。

「フェールオーバー ライセンスの要件および例外」

「ASA クラスタ ライセンスの要件および例外」

「フェールオーバーまたは ASA クラスタ ライセンスの結合方法」

「フェールオーバーまたは ASA クラスタ ユニット間の通信の途絶」

「フェールオーバー ペアのアップグレード」

フェールオーバー ライセンスの要件および例外

フェールオーバー ユニットは、各ユニット上で同一のライセンスを必要としません。

旧バージョンのASA ソフトウェアは、各ユニット上のライセンスが一致する必要がありました。バージョン 8.3(1) から、同一のライセンスをインストールする必要がなくなりました。通常、ライセンスをプライマリ ユニット専用に購入します。アクティブ/スタンバイ フェールオーバーでは、セカンダリ ユニットがアクティブになるとプライマリ ライセンスを継承します。両方のユニット上にライセンスがある場合、これらのライセンスは単一の実行フェールオーバー クラスタ ライセンスに結合されます。

このルールの例外は次のとおりです。

ASA 5505、5510、および 5512-X の Security Plus ライセンスの場合:基本ライセンスはフェールオーバーをサポートしないため、基本ライセンスのみを保持するスタンバイ ユニットではフェールオーバーをイネーブルにできません。

ASA 5500-X の IPS モジュール ライセンスの場合:他のモデルで各装置のハードウェア モジュールを購入する必要があるのと同様、各装置用の IPS モジュール ライセンスを購入する必要があります。

暗号化ライセンス:両方のユニットに同じ暗号化ライセンスが必要です。


) 有効な永続キーが必要です。まれに、認証キーを削除できることもあります。キーがすべて 0 の場合は、フェールオーバーをイネーブルにするには有効な認証キーを再インストールする必要があります。


ASA クラスタ ライセンスの要件および例外

クラスタ ユニットは、各ユニット上で同一のライセンスを必要としません。一般的には、マスター ユニット用のライセンスのみを購入します。スレーブ ユニットはマスターのライセンスを継承します。複数のユニットにライセンスがある場合は、これらが結合されて単一の実行 ASA クラスタ ライセンスとなります。

このルールの例外は次のとおりです。

クラスタリング ライセンス:各ユニットにクラスタリング ライセンスが必要です。

暗号化ライセンス:各ユニットに同じ暗号化ライセンスが必要です。

フェールオーバーまたは ASA クラスタ ライセンスの結合方法

フェールオーバー ペアまたは ASA クラスタでは、各ユニットのライセンスが結合されて 1 つの実行クラスタ ライセンスとなります。ユニットごとに別のライセンスを購入した場合は、結合されたライセンスには次のルールが使用されます。

数値ティアを持つライセンスの場合は(セッション数など)、各ユニットのライセンスの値が合計されます。ただし、プラットフォームの制限を上限とします。使用されているライセンスがすべて時間ベースの場合は、ライセンスのカウント ダウンは同時に行われます。

たとえば、フェールオーバーの場合は次のようになります。

10 AnyConnect Premium セッションの ASA を 2 つ所有しています。ライセンスは結合され、合計で 20 AnyConnect Premium セッションになります。

500 AnyConnect Premium セッションの ASA 5520 ASA が 2 つある場合、プラットフォーム制限は 750 であるため、結合されたライセンスでは 750 AnyConnect Premium セッションが可能です。


) 上記の例で、AnyConnect Premium ライセンスが時間ベースの場合、いずれか 1 つのライセンスをディセーブルにすると、プラットフォーム制限のために 500 セッションのライセンスで 250 セッションしか使用できないという「無駄」が生じることはありません。


2 つの ASA 5540 ASA があり、一方は 20 コンテキスト、もう一方は 10 コンテキストである場合、結合されたライセンスでは 30 コンテキストを使用できます。アクティブ/アクティブ フェールオーバーの場合は、コンテキストが 2 つのユニットに分配されます。たとえば、一方のユニットが 18 コンテキストを使用し、他方が 12 コンテキストを使用します(合計 30 の場合)。

たとえば、ASA クラスタリングの場合は次のようになります。

3 つのユニットそれぞれに 50 コンテキストがあり、別の 1 つのユニットにデフォルトの 2 コンテキストがあります。ライセンスを結合すると、152 コンテキストを 4 つのクラスタ メンバに分配できます。したがって、マスター ユニット上で最大 38 コンテキストを設定できます。各スレーブ ユニットも、コンフィギュレーションの複製を介して 38 コンテキストを持つことになります。

ライセンスのステータスがイネーブルまたはディセーブルの場合、イネーブル ステータスのライセンスが使用されます。

イネーブルまたはディセーブル状態(かつ数値ティアを持たない)の時間ベース ライセンスの場合、有効期間はすべてのライセンスの期間の合計となります。最初にプライマリ/マスター ユニットのライセンスがカウント ダウンされ、期限切れになると、セカンダリ/スレーブ ユニットのライセンスのカウント ダウンが開始し、以下も同様です。このルールは、アクティブ/アクティブ フェールオーバーと ASA クラスタリングにも適用されます(すべてのユニットがアクティブに動作していても適用されます)。

たとえば、2 つのユニットのボットネット トラフィック フィルタ ライセンスの有効期間が 48 週残っている場合は、結合された有効期間は 96 週です。

結合されたライセンスを表示するには、「ライセンスのモニタリング」を参照してください。

フェールオーバーまたは ASA クラスタ ユニット間の通信の途絶

ユニットの通信が途絶えてからの期間が 30 日を超えた場合は、各ユニットにはローカルにインストールされたライセンスが適用されます。30 日の猶予期間中は、結合された実行ライセンスが引き続きすべてのユニットで使用されます。

30 日間の猶予期間中に通信が復旧した場合は、時間ベース ライセンスについては、経過した時間がプライマリ/マスター ライセンスから差し引かれます。プライマリ/マスター ライセンスが期限切れになるまでは、セカンダリ/スレーブ ライセンスのカウント ダウンが開始することはありません。

30 日間の期間が終了しても通信が復旧しなかった場合は、時間ベース ライセンスについては、その時間がすべてのユニットのライセンスから差し引かれます(インストールされている場合)。これらはそれぞれ別のライセンスとして扱われ、ライセンスの結合によるメリットはありません。経過時間には 30 日の猶予期間も含まれます。

例:

1. 52 週のボットネット トラフィック フィルタ ライセンスが 2 つのユニットにインストールされています。結合された実行ライセンスでは、合計期間は 104 週になります。

2. これらのユニットが、1 つのフェールオーバー ユニット/ASA クラスタとして 10 週間動作すると、結合ライセンスの期間の残りは 94 週となります(プライマリ/マスターに 42 週、セカンダリ/スレーブに 52 週)。

3. ユニットの通信が途絶えた場合(たとえば、プライマリ/マスター ユニットが停止した場合)は、セカンダリ/スレーブ ユニットは結合されたライセンスを引き続き使用し、94 週からカウント ダウンを続行します。

4. 時間ベース ライセンスの動作は、通信がいつ復元されるかによって次のように異なります。

30 日以内:経過した時間がプライマリ/マスター ユニットのライセンスから差し引かれます。この場合、通信は 4 週間後に復元されます。したがって、4 週がプライマリ/マスター ライセンスから差し引かれて、残りは合計 90 週となります(プライマリに 38 週、セカンダリに 52 週)。

30 日経過以降:経過時間が両方の装置から差し引かれます。この場合、通信は 6 週間後に復元されます。したがって、6 週がプライマリ/マスターとセカンダリ/スレーブの両方のライセンスから差し引かれて、残りは合計 84 週となります(プライマリ/マスターに 36 週、セカンダリ/スレーブに 46 週)。

フェールオーバー ペアのアップグレード

フェールオーバー ペアでは、両方の装置に同一のライセンスがインストールされている必要はないので、ダウンタイムなしに各装置に新しいライセンスを適用できます。リロードが必要な永続ライセンス(表 4-19を参照)を適用する場合、リロード中に他の装置へのフェールオーバーを実行できます。両方の装置でリロードが必要な場合は、各装置を個別にリロードするとダウンタイムは発生しません。

ペイロード暗号化機能のないモデル

ペイロード暗号化機能のないモデルを購入することができます。輸出先の国によっては、Cisco ASA シリーズでペイロード暗号化をイネーブルにできません。ASA ソフトウェアは、ペイロード暗号化なしモデルを検出し、次の機能をディセーブルにします。

ユニファイド コミュニケーション

VPN

このモデルでも管理接続用に高度暗号化(3DES/AES)ライセンスをインストールできます。たとえば、ASDM HTTPS/SSL、SSHv2、Telnet、および SNMPv3 を使用できます。ボットネット トラフィック フィルタ(SSL を使用)用のダイナミック データベースをダウンロードすることもできます。

ライセンスを表示すると(「ライセンスのモニタリング」を参照)、VPN およびユニファイド コミュニケーションのライセンスはリストに示されません。

ライセンスの FAQ

Q. AnyConnect Premium とボットネット トラフィック フィルタなど、複数の時間ベース ライセンスをアクティブにできますか。

A. はい。一度に使用できる時間ベース ライセンスは、1 機能につき 1 つです。

Q. 複数の時間ベース ライセンスを「スタック」し、時間制限が切れると自動的に次のライセンスが使用されるようにできますか。

A. はい。ライセンスが同一の場合は、複数の時間ベース ライセンスをインストールすると、時間制限が結合されます。ライセンスが同一でない場合(1000 セッション AnyConnect Premium ライセンスと 2500 セッション ライセンスなど)、ASA はその機能に対して検出された次の時間ベース ライセンスを自動的にアクティブにします。

Q. アクティブな時間ベース ライセンスを維持しながら、新しい永続ライセンスをインストールできますか。

A. はい。永続ライセンスをアクティブ化しても、時間ベース ライセンスには影響しません。

Q. フェールオーバーのプライマリ装置として共有ライセンス サーバを、セカンダリ装置として共有ライセンス バックアップ サーバを使用できますか。

A. No.セカンダリ装置は、プライマリ装置と同じ実行ライセンスを使用します。共有ライセンス サーバには、サーバ ライセンスが必要です。バックアップ サーバには、参加ライセンスが必要です。バックアップ サーバは、2 つのバックアップ サーバの別々のフェールオーバー ペアに配置できます。

Q. フェールオーバー ペアのセカンダリ装置用に、同じライセンスを購入する必要がありますか。

A. No.バージョン 8.3(1) から、両方の装置に同一のライセンスをインストールする必要はなくなりました。一般的に、ライセンスはプライマリ装置で使用するために購入されます。セカンダリ装置は、アクティブになるとプライマリ ライセンスを継承します。セカンダリ装置に別のライセンスを持っている場合は(たとえば、8.3 よりも前のソフトウェアに一致するライセンスを購入した場合)、ライセンスは実行フェールオーバー クラスタ ライセンスに結合されます。ただし、モデルの制限が最大数になります。

Q. AnyConnect Premium(共有)ライセンスに加えて、時間ベースまたは永続の AnyConnect Premium ライセンスを使用できますか。

A. はい。ローカルにインストールされたライセンス(時間ベース ライセンスまたは永続ライセンス)のセッション数を使い果たした後、共有ライセンスが使用されます。 :共有ライセンス サーバでは、永続 AnyConnect Premium ライセンスは使用されません。ただし、共有ライセンス サーバ ライセンスと同時に時間ベース ライセンスを使用することはできます。この場合、時間ベース ライセンスのセッションは、ローカルの AnyConnect Premium セッションにだけ使用できます。共有ライセンス プールに追加して参加システムで使用することはできません。

ガイドラインと制限事項

アクティベーション キーについては、次のガイドラインを参照してください。

コンテキスト モードのガイドライン

マルチ コンテキスト モードでシステム実行スペース内にアクティベーション キーを適用します。

共有ライセンスは、マルチ コンテキスト モードではサポートされていません。

ファイアウォール モードのガイドライン

ルーテッド モードとトランスペアレント モードの両方で、すべてのライセンス タイプを使用できます。

フェールオーバーのガイドライン

共有ライセンスは、アクティブ/アクティブ モードではサポートされていません。詳細については、「フェールオーバーと共有ライセンス」を参照してください。

フェールオーバー ユニットは、各ユニット上で同一のライセンスを必要としません。

旧バージョンのASA ソフトウェアは、各ユニット上のライセンスが一致する必要がありました。バージョン 8.3(1) から、同一のライセンスをインストールする必要がなくなりました。通常、ライセンスをプライマリ ユニット専用に購入します。アクティブ/スタンバイ フェールオーバーでは、セカンダリ ユニットがアクティブになるとプライマリ ライセンスを継承します。両方のユニット上にライセンスがある場合、これらのライセンスは単一の実行フェールオーバー クラスタ ライセンスに結合されます。


) フェールオーバー装置の場合、両方の装置で同一の RAM を使用する必要があります。


ASA 5505 および 5510 では、両方の装置に Security Plus ライセンスが必要です。基本ライセンスはフェールオーバーをサポートしないため、基本ライセンスのみを保持するスタンバイ装置ではフェールオーバーをイネーブルにできません。

アップグレードとダウングレードのガイドライン

任意の旧バージョンから最新バージョンにアップグレードした場合、アクティベーション キーの互換性は存続します。ただし、ダウングレード機能の維持には問題が生じる場合があります。

バージョン 8.1 以前にダウングレードする場合:アップグレード後に、 8.2 よりも前 に導入された機能のライセンスを追加でアクティブ化すると、ダウングレードした場合でも旧バージョンに対するアクティベーション キーの互換性は存続します。ただし、 8.2 以降 で導入された機能ライセンスをアクティブ化した場合は、アクティベーション キーの下位互換性がなくなります。互換性のないライセンス キーがある場合は、次のガイドラインを参照してください。

旧バージョンでアクティベーション キーを入力した場合は、そのキーがASAで使用されます(バージョン 8.2 以降でアクティブ化した新しいライセンスがない場合)。

新しいシステムで、以前のアクティベーション キーがない場合は、旧バージョンと互換性のある新しいアクティベーション キーを要求する必要があります。

バージョン 8.2 以前にダウングレードする場合:バージョン 8.3 では、よりロバストな時間ベース キーの使用およびフェールオーバー ライセンスの変更が次のとおり導入されました。

複数の時間ベースのアクティベーション キーがアクティブな場合、ダウングレード時には一番最近アクティブ化された時間ベース キーのみがアクティブになれます。他のキーはすべて非アクティブ化されます。最後の時間ベース ライセンスが 8.3 で導入された機能に対応している場合、そのライセンスは旧バージョンでの使用はできなくても、アクティブ ライセンスのままです。永続キーまたは有効な時間ベース キーを再入力してください。

フェールオーバー ペアに不一致のライセンスがある場合、ダウングレードによりフェールオーバーはディセーブルになります。キーが一致した場合でも、使用するライセンスは、結合されたライセンスではなくなります。

1 つの時間ベース ライセンスをインストールしているが、それが 8.3 で導入された機能に対応している場合、ダウングレードの実行後、その時間ベース ライセンスはアクティブなままです。この時間ベース ライセンスをディセーブルにするには、永続キーを再入力する必要があります。

その他のガイドラインと制限事項

アクティベーション キーは、コンフィギュレーション ファイルには保存されません。隠しファイルとしてフラッシュ メモリに保存されます。

アクティベーション キーは、デバイスのシリアル番号に関連付けられます。機能ライセンスは、デバイス間で転送できません(ハードウェア障害の発生時を除く)。ハードウェア障害が発生したためにデバイスを交換する必要があり、このことが Cisco TAC によってカバーされている場合は、シスコのライセンス チームに連絡して、既存のライセンスを新しいシリアル番号に転送するよう依頼してください。シスコのライセンス チームから、製品認証キーの参照番号と既存のシリアル番号を求められます。

購入後に、返金またはアップグレードしたライセンスのためにライセンスを返却できません。

1 つのユニット上で、同じ機能の 2 つの別個のライセンスを加算することはできません。たとえば、25 セッション SSL VPN ライセンスを購入した後で 50 セッション ライセンスを購入しても、75 個のセッションを使用できるわけではなく、使用できるのは最大 50 個のセッションです。(アップグレード時に、数を増やしたライセンスを購入できることがあります。たとえば 25 セッションから 75 セッションへの増加です。このタイプのアップグレードは、2 つのライセンスの加算とは別のものです)。

すべてのライセンス タイプをアクティブ化できますが、機能によっては、機能どうしの組み合わせができないものがあります。AnyConnect Essentials ライセンスの場合、次のライセンスとは互換性がありません。AnyConnect Premium ライセンス、AnyConnect Premium(共有)ライセンス、および Advanced Endpoint Assessment ライセンス。デフォルトでは、上記のライセンスの代わりに AnyConnect Essentials ライセンスが使用されますが、 no anyconnect-essentials コマンドを使用することで、コンフィギュレーションで AnyConnect Essentials ライセンスをディセーブルにし、他のライセンスの使用を復元することができます。

ライセンスの設定

この項は、次の内容で構成されています。

「アクティベーション キーの取得」

「キーのアクティブ化および非アクティブ化」

「共有ライセンスの設定」

アクティベーション キーの取得

アクティベーション キーを取得するには、シスコの代理店から購入できる製品認証キーが必要です。機能ライセンスごとに個別の製品アクティベーション キーを購入する必要があります。たとえば、基本ライセンスがある場合は、Advanced Endpoint Assessment 用と追加の AnyConnect Premium セッション用に別々のキーを購入する必要があります。

Product Authorization Key を取得したら、次の手順を実行して Cisco.com にそれらのキーを登録します。

手順の詳細


ステップ 1 次のコマンドを入力して、ASAのシリアル番号を取得します。

hostname# show activation-key
 

ステップ 2 Cisco.com に登録する準備が整っていない場合は、アカウントを作成します。

ステップ 3 次のライセンス Web サイトに移動します。

 

ステップ 4 プロンプトが表示されたら、次の情報を入力します。

Product Authorization Key(キーが複数ある場合は、まず 1 つを入力します。キーごとに個別のプロセスとして入力する必要があります)

ASAのシリアル番号

電子メール アドレス

アクティベーション キーが自動的に生成され、指定した電子メール アドレスに送信されます。このキーには、永続ライセンス用にそれまでに登録した機能がすべて含まれています。時間ベース ライセンスの場合は、ライセンスごとに個別のアクティベーション キーがあります。

ステップ 5 Product Authorization Key がさらにある場合は、Product Authorization Key ごとにステップ 4 を繰り返します。すべての Product Authorization Key を入力した後、最後に送信されるアクティベーション キーには、登録した永続機能がすべて含まれています。


 

キーのアクティブ化および非アクティブ化

この項では、新しいアクティベーション キーの入力と、時間ベース キーのアクティブ化および非アクティブ化の方法について説明します。

前提条件

すでにマルチ コンテキスト モードに入っている場合は、システム実行スペースにこのアクティベーション キーを入力します。

一部の永続ライセンスでは、アクティブ化後にASAをリロードする必要があります。 表 4-19 に、リロードが必要なライセンスを示します。

 

表 4-19 永続ライセンスのリロード要件

モデル
リロードが必要なライセンス アクション

ASA 5505、5510

基本ライセンスと Security Plus ライセンスの切り替え

すべてのモデル

暗号化ライセンスの変更

すべてのモデル

永続ライセンスのダウングレード(たとえば、10 個のコンテキストから 2 個のコンテキストへ)。

制限事項

任意の旧バージョンから最新バージョンにアップグレードした場合、アクティベーション キーの互換性は存続します。ただし、ダウングレード機能の維持には問題が生じる場合があります。

バージョン 8.1 以前にダウングレードする場合:アップグレード後に、 8.2 よりも前 に導入された機能のライセンスを追加でアクティブ化すると、ダウングレードした場合でも旧バージョンに対するアクティベーション キーの互換性は存続します。ただし、 8.2 以降 で導入された機能ライセンスをアクティブ化した場合は、アクティベーション キーの下位互換性がなくなります。互換性のないライセンス キーがある場合は、次のガイドラインを参照してください。

旧バージョンでアクティベーション キーを入力した場合は、そのキーがASAで使用されます(バージョン 8.2 以降でアクティブ化した新しいライセンスがない場合)。

新しいシステムで、以前のアクティベーション キーがない場合は、旧バージョンと互換性のある新しいアクティベーション キーを要求する必要があります。

バージョン 8.2 以前にダウングレードする場合:バージョン 8.3 では、よりロバストな時間ベース キーの使用およびフェールオーバー ライセンスの変更が次のとおり導入されました。

複数の時間ベースのアクティベーション キーがアクティブな場合、ダウングレード時には一番最近アクティブ化された時間ベース キーのみがアクティブになれます。他のキーはすべて非アクティブ化されます。

フェールオーバー ペアに不一致のライセンスがある場合、ダウングレードによりフェールオーバーはディセーブルになります。キーが一致した場合でも、使用するライセンスは、結合されたライセンスではなくなります。

手順の詳細

 

コマンド
目的

ステップ 1

activation-key key [ activate | deactivate ]

 

 

hostname# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490

アクティベーション キーをASAに適用します。 キー は、5 つのエレメントからなる 16 進文字列です。各エレメントは 1 つのスペースで区切られます。先頭の 0x 指定子は任意です。すべての値が 16 進数と見なされます。

1 つの永続キーおよび複数の時間ベース キーをインストールできます。新しい永続キーを入力した場合、すでにインストール済みのキーが上書きされます。

activate および deactivate キーワードは、時間ベース キーだけに使用できます。値を入力しない場合は、 activate がデフォルトです。特定の機能に対して最後にアクティブ化した時間ベース キーがアクティブになります。アクティブな時間ベース キーを非アクティブにするには、 deactivate キーワードを入力します。キーの初回入力時で、 deactivate を指定した場合、キーはASAに非アクティブ ステートでインストールされます。詳細については、「時間ベース ライセンス」を参照してください。

ステップ 2

(場合によって必須)

reload

 

 

hostname# reload

ASAをリロードします。永続ライセンスによっては、新しいアクティベーション キーの入力後にASAをリロードする必要があります。リロードが必要なライセンスの一覧については、表 4-19 を参照してください。リロードが必要な場合は、次のメッセージが表示されます。

WARNING: The running activation key was not updated with the requested key. The flash activation key was updated with the requested key, and will become active after the next reload.

共有ライセンスの設定

この項では、共有ライセンス サーバと参加システムを設定する方法について説明します。共有ライセンスの詳細については、「AnyConnect Premium(共有)ライセンス」を参照してください。

この項では、次のトピックについて取り上げます。

「共有ライセンス サーバの設定」

「共有ライセンス バックアップ サーバの設定(任意)」

「共有ライセンス参加システムの設定」

共有ライセンス サーバの設定

この項では、ASAを共有ライセンス サーバとして設定する方法について説明します。

前提条件

サーバが共有ライセンス サーバ キーを持っている必要があります。

手順の詳細

 

コマンド
目的

ステップ 1

license-server secret secret

 

 

hostname(config)# license-server secret farscape

共有秘密を 4 ~ 128 文字の ASCII 文字のストリングで設定します。この秘密を持つ参加システムが、ライセンス サーバを使用できます。

ステップ 2

(任意)

license-server refresh-interval seconds

 

 

hostname(config)# license-server refresh-interval 100

10 ~ 300 秒のリフレッシュ間隔を設定します。この値が、サーバと通信する頻度として参加システムに設定されます。デフォルトは 30 秒です。

ステップ 3

(任意)

license-server port port

 

 

hostname(config)# license-server port 40000

参加ユニットからの SSL 接続をサーバがリッスンするポート(1 ~ 65535)を設定します。デフォルトは、TCP ポート 50554 です。

ステップ 4

(任意)

license-server backup address backup-id serial_number [ ha-backup-id ha_serial_number ]

 

 

hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3

バックアップ サーバの IP アドレスとシリアル番号を指定します。バックアップ サーバがフェールオーバー ペアの一部である場合は、スタンバイ装置のシリアル番号も指定します。1 つのバックアップ サーバとそのオプションのスタンバイ ユニットのみを指定できます。

ステップ 5

license-server enable interface_name

 

 

hostname(config)# license-server enable inside

この装置を共有ライセンス サーバとしてイネーブルにします。参加システムがサーバと通信するインターフェイスを指定します。このコマンドは必要なインターフェイスの数だけ繰り返せます。

次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび dmz インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

hostname(config)# license-server secret farscape

hostname(config)# license-server refresh-interval 100
hostname(config)# license-server port 40000
hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3
hostname(config)# license-server enable inside
hostname(config)# license-server enable dmz
 

共有ライセンス バックアップ サーバの設定(任意)

この項では、共有ライセンスのメイン サーバがダウンした場合にバックアップ サーバとして機能する参加システムをイネーブルにします。

前提条件

バックアップ サーバには、共有ライセンス参加キーが必要です。

手順の詳細

 

コマンド
目的

ステップ 1

license-server address address secret secret [ port port ]

 

 

hostname(config)# license-server address 10.1.1.1 secret farscape

共有ライセンス サーバの IP アドレスと共有秘密を指定します。デフォルト ポートをサーバ コンフィギュレーションで変更した場合は、同じポートをバックアップ サーバにも設定します。

ステップ 2

license-server backup enable interface_name

 

 

hostname(config)# license-server backup enable inside

この装置を共有ライセンス バックアップ サーバとしてイネーブルにします。参加システムがサーバと通信するインターフェイスを指定します。このコマンドは必要なインターフェイスの数だけ繰り返せます。

次に、ライセンス サーバと共有秘密を指定し、このユニットを内部インターフェイスと dmz インターフェイス上のバックアップ共有ライセンス サーバとしてイネーブルにする例を示します。

hostname(config)# license-server address 10.1.1.1 secret farscape

hostname(config)# license-server backup enable inside
hostname(config)# license-server backup enable dmz
 

次の作業

「共有ライセンス参加システムの設定」を参照してください。

共有ライセンス参加システムの設定

この項では、共有ライセンス サーバと通信する共有ライセンス参加システムを設定します。

前提条件

参加システムが共有ライセンス参加キーを持っている必要があります。

手順の詳細

 

コマンド
目的

ステップ 1

license-server address address secret secret [ port port ]

 

 

hostname(config)# license-server address 10.1.1.1 secret farscape

共有ライセンス サーバの IP アドレスと共有秘密を指定します。デフォルト ポートをサーバ コンフィギュレーションで変更した場合は、同じポートを参加システムにも設定します。

ステップ 2

(任意)

license-server backup address address

 

 

hostname(config)# license-server backup address 10.1.1.2

バックアップ サーバを設定した場合は、バックアップ サーバのアドレスを入力します。

次に、ライセンス サーバの IP アドレスおよび共有秘密、ならびにバックアップ ライセンス サーバの IP アドレスの設定例を示します。

hostname(config)# license-server address 10.1.1.1 secret farscape

hostname(config)# license-server backup address 10.1.1.2

 

ライセンスのモニタリング

この項では、次のトピックについて取り上げます。

「現在のライセンスの表示」

「共有ライセンスのモニタリング」

現在のライセンスの表示

この項では、現在のライセンスと、時間ベース アクティベーション キーの残り時間を表示する方法について説明します。

ガイドライン

ペイロード暗号化機能のないモデルでライセンスを表示すると、VPN および Unified Communications ライセンスは一覧に示されません。詳細については、「ペイロード暗号化機能のないモデル」を参照してください。

手順の詳細

 

コマンド
目的

show activation-key [ detail ]

 

 

hostname# show activation-key detail

このコマンドは、永続ライセンス、アクティブな時間ベース ライセンス、および実行ライセンスを表示します。実行ライセンスとは、永続ライセンスとアクティブな時間ベース ライセンスの組み合わせです。 detail キーワードを使用すると、非アクティブな時間ベース ライセンスも表示されます。

フェールオーバー ユニットでは、このコマンドによって、プライマリおよびセカンダリ装置の結合キーである、「フェールオーバー クラスタ」ライセンスも表示されます。

例 4-1 show activation-key コマンドのスタンドアロン ユニットの出力

次に、実行ライセンス(永続ライセンスと時間ベース ライセンスの組み合わせ)、およびアクティブな各時間ベース ライセンスを示す、スタンドアロン ユニットの show activation-key コマンドの出力例を示します。

hostname# show activation-key

 
Serial Number: JMX1232L11M
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Running Timebased Activation Key: 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 10 perpetual
GTP/GPRS : Enabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 750 perpetual
Total VPN Peers : 750 perpetual
Shared License : Enabled perpetual
Shared AnyConnect Premium Peers : 12000 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 12 62 days
Total UC Proxy Sessions : 12 62 days
Botnet Traffic Filter : Enabled 646 days
Intercompany Media Engine : Disabled perpetual
 
This platform has a Base license.
The flash permanent activation key is the SAME as the running permanent key.
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter : Enabled 646 days
0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2
Total UC Proxy Sessions : 10 62 days
 

例 4-2 show activation-key detail のスタンドアロン ユニットの出力

次に、実行ライセンス(永続ライセンスと時間ベース ライセンスの組み合わせ)、および永続ライセンスとインストールされている各時間ベース ライセンス(アクティブおよび非アクティブ)を示す、スタンドアロン ユニットの show activation-key detail コマンドの出力例を示します。

hostname# show activation-key detail

 
Serial Number: 88810093382
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
 
Licensed features for this platform:
Maximum Physical Interfaces : 8 perpetual
VLANs : 20 DMZ Unrestricted
Dual ISPs : Enabled perpetual
VLAN Trunk Ports : 8 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Standby perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 25 perpetual
Total VPN Peers : 25 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Enabled 39 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5505 Security Plus license.
 
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
 
Licensed features for this platform:
Maximum Physical Interfaces : 8 perpetual
VLANs : 20 DMZ Unrestricted
Dual ISPs : Enabled perpetual
VLAN Trunk Ports : 8 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Standby perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 25 perpetual
Total VPN Peers : 25 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Enabled 39 days
Intercompany Media Engine : Disabled perpetual
The flash permanent activation key is the SAME as the running permanent key.
 
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter : Enabled 39 days
 
Inactive Timebased Activation Key:
0xyadayada3 0xyadayada3 0xyadayada3 0xyadayada3 0xyadayada3
AnyConnect Premium Peers : 25 7 days
 

例 4-3 show activation-key detail のフェールオーバー ペアのプライマリ ユニットの出力

次に、プライマリ フェールオーバー ユニットの show activation-key detail コマンドの出力例を示します。

プライマリ ユニット ライセンス(永続ライセンスと時間ベース ライセンスの組み合わせ)。

プライマリおよびセカンダリ装置のライセンスの組み合わせである、「フェールオーバー クラスタ」ライセンス。これは、ASAで実際に実行されているライセンスです。プライマリおよびセカンダリ ライセンスの組み合わせを反映したこのライセンスの値は、太字になっています。

プライマリ ユニットの永続ライセンス。

プライマリ ユニットのインストール済みの時間ベース ライセンス(アクティブおよび非アクティブ)。

hostname# show activation-key detail

 
Serial Number: P3000000171
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 12 perpetual
GTP/GPRS : Enabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 750 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Enabled 33 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
 
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 12 perpetual
GTP/GPRS : Enabled perpetual
AnyConnect Premium Peers : 4 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 750 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 4 perpetual
Total UC Proxy Sessions : 4 perpetual
Botnet Traffic Filter : Enabled 33 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 750 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
The flash permanent activation key is the SAME as the running permanent key.
 
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter : Enabled 33 days
 
Inactive Timebased Activation Key:
0xyadayad3 0xyadayad3 0xyadayad3 0xyadayad3 0xyadayad3
Security Contexts : 2 7 days
AnyConnect Premium Peers : 100 7 days
 
0xyadayad4 0xyadayad4 0xyadayad4 0xyadayad4 0xyadayad4
Total UC Proxy Sessions : 100 14 days
 

例 4-4 show activation-key detail のフェールオーバー ペアのセカンダリ ユニットの出力

次に、セカンダリ フェールオーバー ユニットの show activation-key detail コマンドの出力例を示します。

セカンダリ ユニット ライセンス(永続ライセンスと時間ベース ライセンスの組み合わせ)。

プライマリおよびセカンダリ装置のライセンスの組み合わせである、「フェールオーバー クラスタ」ライセンス。これは、ASAで実際に実行されているライセンスです。プライマリおよびセカンダリ ライセンスの組み合わせを反映したこのライセンスの値は、太字になっています。

セカンダリ ユニットの永続ライセンス。

セカンダリのインストール済みの時間ベース ライセンス(アクティブおよび非アクティブ)。このユニットには時間ベース ライセンスはないため、この出力例には何も表示されません。

hostname# show activation-key detail

 
Serial Number: P3000000011
Running Activation Key: 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 750 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 10 perpetual
GTP/GPRS : Enabled perpetual
AnyConnect Premium Peers : 4 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 750 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 4 perpetual
Total UC Proxy Sessions : 4 perpetual
Botnet Traffic Filter : Enabled 33 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
 
Running Permanent Activation Key: 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 750 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
 
The flash permanent activation key is the SAME as the running permanent key.
 

例 4-5 show activation-key のフェールオーバー ペアでの ASA サービス モジュール プライマリ ユニットの出力

次に、プライマリ フェールオーバー ユニットの show activation-key コマンドの出力例を示します。

プライマリ ユニット ライセンス(永続ライセンスと時間ベース ライセンスの組み合わせ)。

プライマリおよびセカンダリ装置のライセンスの組み合わせである、「フェールオーバー クラスタ」ライセンス。これは、ASAで実際に実行されているライセンスです。プライマリおよびセカンダリ ライセンスの組み合わせを反映したこのライセンスの値は、太字になっています。

プライマリ ユニットのインストール済みの時間ベース ライセンス(アクティブおよび非アクティブ)。

hostname# show activation-key

 
erial Number: SAL144705BF
Running Permanent Activation Key: 0x4d1ed752 0xc8cfeb37 0xf4c38198 0x93c04c28 0x4a1c049a
Running Timebased Activation Key: 0xbc07bbd7 0xb15591e0 0xed68c013 0xd79374ff 0x44f87880
 
Licensed features for this platform:
Maximum Interfaces : 1024 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
DES : Enabled perpetual
3DES-AES : Enabled perpetual
Security Contexts : 25 perpetual
GTP/GPRS : Enabled perpetual
Botnet Traffic Filter : Enabled 330 days
 
This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.
 
 
Failover cluster licensed features for this platform:
Maximum Interfaces : 1024 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
DES : Enabled perpetual
3DES-AES : Enabled perpetual
Security Contexts : 50 perpetual
GTP/GPRS : Enabled perpetual
Botnet Traffic Filter : Enabled 330 days
 
This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.
 
The flash permanent activation key is the SAME as the running permanent key.
 
Active Timebased Activation Key:
0xbc07bbd7 0xb15591e0 0xed68c013 0xd79374ff 0x44f87880
Botnet Traffic Filter : Enabled 330 days
 

例 4-6 show activation-key のフェールオーバー ペアでの ASA サービス モジュール セカンダリ ユニットの出力

次に、セカンダリ フェールオーバー ユニットの show activation-key コマンドの出力例を示します。

セカンダリ ユニット ライセンス(永続ライセンスと時間ベース ライセンスの組み合わせ)。

プライマリおよびセカンダリ装置のライセンスの組み合わせである、「フェールオーバー クラスタ」ライセンス。これは、ASAで実際に実行されているライセンスです。プライマリおよびセカンダリ ライセンスの組み合わせを反映したこのライセンスの値は、太字になっています。

セカンダリのインストール済みの時間ベース ライセンス(アクティブおよび非アクティブ)。このユニットには時間ベース ライセンスはないため、この出力例には何も表示されません。

hostname# show activation-key detail

 
Serial Number: SAD143502E3
Running Permanent Activation Key: 0xf404c46a 0xb8e5bd84 0x28c1b900 0x92eca09c 0x4e2a0683
 
Licensed features for this platform:
Maximum Interfaces : 1024 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
DES : Enabled perpetual
3DES-AES : Enabled perpetual
Security Contexts : 25 perpetual
GTP/GPRS : Disabled perpetual
Botnet Traffic Filter : Disabled perpetual
 
This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.
 
 
Failover cluster licensed features for this platform:
Maximum Interfaces : 1024 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
DES : Enabled perpetual
3DES-AES : Enabled perpetual
Security Contexts : 50 perpetual
GTP/GPRS : Enabled perpetual
Botnet Traffic Filter : Enabled 330 days
This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.
 
The flash permanent activation key is the SAME as the running permanent key.
 

例 4-7 クラスタでの show activation-key の出力

hostname# show activation-key
Serial Number: JMX1504L2TD
Running Permanent Activation Key: 0x4a3eea7b 0x54b9f61a 0x4143a90c 0xe5849088 0x4412d4a9
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
Cluster : Enabled perpetual
 
This platform has an ASA 5510 Security Plus license.
 
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 4 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 4 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 4 perpetual
Total UC Proxy Sessions : 4 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
Cluster : Enabled perpetual
 
This platform has an ASA 5510 Security Plus license.
 
The flash permanent activation key is the SAME as the running permanent key.

共有ライセンスのモニタリング

共有ライセンスをモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show shared license [ detail | client [ hostname ] | backup ]

共有ライセンス統計情報を表示します。オプション キーワードはライセンス サーバだけに使用できます。 detail キーワードを使用すると、参加システムごとの統計情報が表示されます。表示内容を 1 台の参加システムに限定するには、 client キーワードを使用します。 backup キーワードを使用すると、バックアップ サーバに関する情報が表示されます。

共有ライセンスの統計情報をクリアするには、 clear shared license コマンドを入力します。

show activation-key

ASAにインストールされているライセンスを表示します。 show version コマンドでもライセンス情報が表示されます。

show vpn-sessiondb

VPN セッションのライセンス情報を表示します。

次に、ライセンス参加ユニットでの show shared license コマンドの出力例を示します。

hostname> show shared license
Primary License Server : 10.3.32.20
Version : 1
Status : Inactive
 
Shared license utilization:
SSLVPN:
Total for network : 5000
Available : 5000
Utilized : 0
This device:
Platform limit : 250
Current usage : 0
High usage : 0
Messages Tx/Rx/Error:
Registration : 0 / 0 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
 

次に、ライセンス サーバ上での show shared license detail コマンドの出力例を示します。

hostname> show shared license detail
Backup License Server Info:
 
Device ID : ABCD
Address : 10.1.1.2
Registered : NO
HA peer ID : EFGH
Registered : NO
Messages Tx/Rx/Error:
Hello : 0 / 0 / 0
Sync : 0 / 0 / 0
Update : 0 / 0 / 0
 
Shared license utilization:
SSLVPN:
Total for network : 500
Available : 500
Utilized : 0
This device:
Platform limit : 250
Current usage : 0
High usage : 0
Messages Tx/Rx/Error:
Registration : 0 / 0 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
 
 
Client Info:
 
Hostname : 5540-A
Device ID : XXXXXXXXXXX
SSLVPN:
Current usage : 0
High : 0
Messages Tx/Rx/Error:
Registration : 1 / 1 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
...

ライセンスの機能履歴

表 4-20 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 4-20 ライセンスの機能履歴

機能名
プラットフォーム リリース
機能情報

接続数と VLAN 数の増加

7.0(5)

次の制限値が増加されました。

ASA5510 Base ライセンス接続は 32000 から 5000 に、VLAN は 0 から 10 に増加。

ASA5510 Security Plus ライセンス接続は 64000 から 130000 に、VLAN は 10 から 25 に増加。

ASA5520 接続は 130000 から 280000 に、VLAN は 25 から 100 に増加。

ASA5540 接続は 280000 から 400000 に、VLAN は 100 から 200 に増加。

SSL VPN ライセンス

7.1(1)

SSL VPN ライセンスが導入されました。

SSL VPN ライセンスの追加

7.2(1)

5000 ユーザの SSL VPN ライセンスが ASA 5550 以降に対して導入されました。

ASA 5510 上の基本ライセンスに対する増加したインターフェイス

7.2(2)

ASA 5510 上の基本ライセンスについて、最大インターフェイス数が 3 プラス管理インターフェイスから無制限のインターフェイスに増加しました。

VLAN 数の増加

7.2(2)

ASA 5505 上の Security Plus ライセンスに対する VLAN 最大数が、5(3 つのフル機能インターフェイス、1 つのフェールオーバー インターフェイス、1 つのバックアップ インターフェイスに制限されるインターフェイス)から 20 のフル機能インターフェイスに増加されました。また、トランク ポート数も 1 から 8 に増加されました。フル機能のインターフェイスの数が 20 になり、バックアップ ISP インターフェイスを停止するために backup interface コマンドを使用する必要がなくなりました。つまり、バックアップ ISP インターフェイス用にフル機能のインターフェイスを使用できるようになりました。backup interface コマンドは、これまでどおり Easy VPN 設定用に使用できます。

VLAN の制限値も変更されました。ASA 5510 の基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 では 100 から 150 に、ASA 5550 では 200 から 250 に増えています。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 は、Security Plus ライセンスを使用する Ethernet 0/0 および 0/1 ポート用にギガビット イーサネット(1000 Mbps)をサポートしています。基本ライセンスでは、これらのポートは引き続きファスト イーサネット(100 Mbps)ポートとして使用されます。いずれのライセンスに対しても、Ethernet 0/2、0/3、および 0/4 はファスト イーサネット ポートのままです。

(注) インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。

speed コマンドを使用してインターフェイスの速度を変更します。また、 show interface コマンドを使用して各インターフェイスの現在の設定速度を確認します。

Advanced Endpoint Assessment ライセンス

8.0(2)

Advanced Endpoint Assessment ライセンスが導入されました。Cisco AnyConnect またはクライアントレス SSL VPN 接続の条件としてリモート コンピュータでスキャン対象となる、アンチウイルス アプリケーションやアンチスパイウェア アプリケーション、ファイアウォール、オペレーティング システム、および関連アップデートの種類が、大幅に拡張されました。また、任意のレジストリ エントリ、ファイル名、およびプロセス名を指定してスキャン対象にすることもできます。スキャン結果をASAに送信します。ASAは、ユーザ ログイン クレデンシャルとコンピュータ スキャン結果の両方を使用して、Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を割り当てます。

Advanced Endpoint Assessment ライセンスを使用すると、バージョン要件を満たすように非準拠コンピュータのアップデートを試行する機能を設定して、Host Scan を拡張できます。

シスコは、Host Scan でサポートされるアプリケーションとバージョンの一覧に、Cisco Secure Desktop とは異なるパッケージで、タイムリーなアップデートを提供できます。

ASA 5510 の VPN ロード バランシング

8.0(2)

VPN ロード バランシングが ASA 5510 Security Plus ライセンスでサポートされるようになりました。

AnyConnect for Mobile ライセンス

8.0(3)

AnyConnect for Mobile ライセンスが導入されました。これにより Windows モバイル デバイスは AnyConnect クライアントを使用してASAに接続できます。

時間ベース ライセンス

8.0(4)/8.1(2)

時間ベース ライセンスがサポートされるようになりました。

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 上でサポートされる VLAN 数が 100 から 250 に増加されました。

Unified Communications Proxy セッション ライセンス

8.0(4)

UC Proxy セッション ライセンスが導入されました。電話プロキシ、Presence Federation Proxy、および Encrypted Voice Inspection アプリケーションでは、それらの接続に TLS プロキシ セッションが使用されます。各 TLS プロキシ セッションは、UC ライセンスの制限に対してカウントされます。これらのアプリケーションは、すべて UC Proxy として包括的にライセンスされるので、混在させたり、組み合わせたりできます。

この機能は、バージョン 8.1 では使用できません。

ボットネット トラフィック フィルタ ライセンス

8.2(1)

ボットネット トラフィック フィルタ ライセンスが導入されました。ボットネット トラフィック フィルタでは、既知の不正なドメインや IP アドレスに対する接続を追跡して、マルウェア ネットワーク アクティビティから保護します。

AnyConnect Essentials ライセンス

8.2(1)

AnyConnect Essentials ライセンスが導入されました。このライセンスにより、AnyConnect VPN クライアントはASAへのアクセスが可能になります。このライセンスでは、ブラウザベースの SSL VPN アクセスまたは Cisco Secure Desktop はサポートされていません。これらの機能に対しては、AnyConnect Essentials ライセンスの代わりに AnyConnect Premium ライセンスがアクティブ化されます。

(注) AnyConnect Essentials ライセンスを所有する VPN ユーザは、Web ブラウザを使用してログインし、AnyConnect クライアントをダウンロードおよび起動(WebLaunch)することができます。

このライセンスと AnyConnect Premium ライセンスのいずれでイネーブル化されたかには関係なく、AnyConnect クライアント ソフトウェアには同じクライアント機能のセットが装備されています。

特定の ASA では、AnyConnect Premium ライセンス(全タイプ)または Advanced Endpoint Assessment ライセンスを、AnyConnect Essentials ライセンスと同時にアクティブにすることはできません。ただし、同じネットワーク内の異なる ASAで、AnyConnect Essentials ライセンスと AnyConnect Premium ライセンスを実行することは可能です。

デフォルトでは、ASAは AnyConnect Essentials ライセンスを使用しますが、 no anyconnect-essentials コマンドを使用すると、AnyConnect Essentials ライセンスをディセーブルにして他のライセンスを使用できます。

SSL VPN ライセンスの AnyConnect Premium SSL VPN Edition ライセンスへの変更

8.2(1)

SSL VPN ライセンスの名前が AnyConnect Premium SSL VPN Edition ライセンスに変更されました。

SSL VPN の共有ライセンス

8.2(1)

SSL VPN の共有ライセンスが導入されました。複数のASAで、SSL VPN セッションのプールを必要に応じて共有できます。

モビリティ プロキシ アプリケーションでの Unified Communications Proxy ライセンス不要化

8.2(2)

モビリティ プロキシに UC Proxy ライセンスが必要なくなりました。

ASA 5585-X(SSP-20)用 10 GE I/O ライセンス

8.2(3)

ASA 5585-X(SSP-20)の 10 GE I/O ライセンスを導入し、ファイバ ポートでの 10 ギガビット イーサネットの速度をイネーブルにしました。SSP-60 は、デフォルトで 10 ギガビット イーサネットの速度をサポートします。

(注) ASA 5585-X は 8.3(x) ではサポートされていません。

ASA 5585-X(SSP-10)用 10 GE I/O ライセンス

8.2(4)

ASA 5585-X(SSP-10)の 10 GE I/O ライセンスを導入し、ファイバ ポートでの 10 ギガビット イーサネットの速度をイネーブルにしました。SSP-40 は、デフォルトで 10 ギガビット イーサネットの速度をサポートします。

(注) ASA 5585-X は 8.3(x) ではサポートされていません。

同一でないフェールオーバー ライセンス

8.3(1)

フェールオーバー ライセンスが各ユニット上で同一である必要がなくなりました。両方のユニットで使用するライセンスは、プライマリ ユニットおよびセカンダリ ユニットからの結合されたライセンスです。

show activation-key および show version の各コマンドが変更されました。

スタック可能な時間ベース ライセンス

8.3(1)

時間ベース ライセンスがスタッカブルになりました。多くの場合、時間ベース ライセンスは更新の必要があり、旧ライセンスから新しいライセンスへシームレスに移行する必要があります。時間ベース ライセンスだけで使用される機能では、新しいライセンスが適用される前に、ライセンスの有効期限が切れてしまわないことが特に重要です。ASAでは時間ベース ライセンスを スタック できるので、ライセンスの有効期限が切れたり、新しいライセンスを早めにインストールしたために時間が無駄になったりする心配はありません。

Intercompany Media Engine ライセンス

8.3(1)

IME ライセンスが導入されました。

複数の時間ベース ライセンスの同時アクティブ化

8.3(1)

時間ベース ライセンスを複数インストールできるようになり、同時に機能ごとに 1 つのアクティブなライセンスを保持できるようになりました。

show activation-key および show version の各コマンドが変更されました。

時間ベース ライセンスのアクティブ化と非アクティブ化の個別化

8.3(1)

コマンドを使用して、時間ベース ライセンスをアクティブ化または非アクティブ化できるようになりました。

activation-key [ activate | deactivate ] コマンドが変更されました。

AnyConnect Premium SSL VPN Edition ライセンスの AnyConnect Premium SSL VPN ライセンスへの変更

8.3(1)

AnyConnect Premium SSL VPN Edition ライセンスの名前が AnyConnect Premium SSL VPN ライセンスに変更されました。

輸出用のペイロード暗号化なしイメージ

8.3(2)

ASA 5505 ~ 5550 にペイロード暗号化機能のないソフトウェアをインストールした場合、Unified Communications、強力な暗号化 VPN、強力な暗号化管理プロトコルをディセーブルにします。

(注) この特殊なイメージは 8.3(x) でのみサポートされます。8.4(1) 以降で暗号化機能のないソフトウェアをサポートするには、ASA の特別なハードウェア バージョンを購入する必要があります。

ASA 5550、5580、および 5585-X でのコンテキストの増加

8.4(1)

ASA 5550 および ASA 5585-X(SSP-10)では、コンテキストの最大数が 50 から 100 に引き上げられました。ASA 5580 および 5585-X(SSP-20)以降では、コンテキストの最大数が 50 から 250 に引き上げられました。

ASA 5580 および 5585-X での VLAN 数の増加

8.4(1)

ASA 5580 および ASA 5585-X では、VLAN の最大数が 250 から 1024 に引き上げられました。

ASA 5580 および 5585-X での接続数の増加

8.4(1)

ファイアウォール接続の最大数が次のように引き上げられました。

ASA 5580-20:1,000,000 から 2,000,000 へ。

ASA 5580-40:2,000,000 から 4,000,000 へ。

ASA 5585-X with SSP-10:750,000 から 1,000,000 へ。

ASA 5585-X with SSP-20:1,000,000 から 2,000,000 へ。

ASA 5585-X with SSP-40:2,000,000 から 4,000,000 へ。

ASA 5585-X with SSP-60:2,000,000 から 10,000,000 へ。

AnyConnect Premium SSL VPN ライセンスの AnyConnect Premium ライセンスへの変更

8.4(1)

AnyConnect Premium SSL VPN ライセンスの名前が AnyConnect Premium ライセンスに変更されました。ライセンス情報の表示が、「SSL VPN ピア」から「AnyConnect Premium ピア」に変更されました。

ASA 5580 での AnyConnect VPN セッション数の増加

8.4(1)

AnyConnect VPN セッションの最大数が 5,000 から 10,000 に引き上げられました。

ASA 5580 での AnyConnect 以外の VPN セッション数の増加

8.4(1)

AnyConnect 以外の VPN セッションの最大数が 5,000 から 10,000 に引き上げられました。

IKEv2 を使用した IPsec リモート アクセス

8.4(1)

AnyConnect Essentials ライセンスおよび AnyConnect Premium ライセンスに IKEv2 を使用した IPsec リモート アクセス VPN が追加されました。

Other VPN ライセンス(以前の IPsec VPN)には IKEv2 サイトツーサイト セッションが追加されました。Other VPN ライセンスは基本ライセンスに含まれています。

輸出用のペイロード暗号化なしハードウェア

8.4(1)

ペイロード暗号化機能のないモデルでは(ASA 5585-X など)、ASA ソフトウェアは ASA で特定の国にエクスポートできるようにして、Unified Communications と VPN 機能をディセーブルにします。

デュアル SSP(SSP-20 および SSP-40)

8.4(2)

SSP-40 および SSP-60 の場合、同じシャーシでレベルが同じ 2 つの SSP を使用できます。レベルが混在した SSP はサポートされていません(たとえば、SSP-40 と SSP-60 の組み合わせはサポートされていません)。各 SSP は個別のコンフィギュレーションおよび管理を持つ独立したデバイスとして動作します。必要に応じて 2 つの SSP をフェールオーバー ペアとして使用できます。2 個の SSP をシャーシで使用する場合、VPN はサポートされません。しかし、VPN がディセーブルになっていないことに注意してください。

ASA 5555-X を介した ASA 5512-X の IPS モジュールのライセンス

8.6(1)

ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X および ASA 5555-X の IPS SSP ソフトウェア モジュールには、IPS モジュールのライセンスが必要です。

ASA 5580 および ASA 5585-X のクラスタリング ライセンス。

9.0(1)

クラスタリング ライセンスが ASA 5580 および ASA 5585-X に対して追加されました。

ASASM での VPN のサポート

9.0(1)

ASASM は、すべての VPN 機能をサポートするようになりました。

ASASM でのユニファイド コミュニケーションのサポート

9.0(1)

ASASM は、すべてのユニファイド コミュニケーション機能をサポートするようになりました。