ASA CX および Cisco Prime Security Manager 9.2 ユーザ ガイド
システム ライセンスの管理
システム ライセンスの管理
発行日;2014/01/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

システム ライセンスの管理

CX デバイスと PRSM マルチ デバイス モード サーバの両方に、ライセンスが必要です。 ここでは、ライセンス管理について説明します。

CX 機能と PRSM ライセンス

CX 機能と PRSM マルチ デバイス モードは個別のライセンスを使用しますが、PRSM サーバを使用して CX システム上で使用される機能ライセンスを管理できます。 ここでは、各タイプのライセンスについて説明します。

機能ライセンス

CX デバイスの多くの機能は、特別なライセンスなしで利用できます。 ただし、ライセンスの対象となるサービスを取得するには、次のライセンスをインストールする必要があります。
  • Application Visibility and Control ライセンス:このサブスクリプション ベースのライセンスでは、アプリケーション ベースでのアクセス制御の使用が許可されます。 具体的には、アプリケーションまたはアプリケーション サービス ポリシー オブジェクトを含めて、アプリケーションまたはアプリケーションのタイプに基づくアクセス ポリシーを作成する場合に、このライセンスが必要です。
  • Web Security Essentials ライセンス:このサブスクリプション ベースのライセンスでは、URL フィルタリングの使用と、Web レピュテーション ベースのポリシーの使用が許可されます。 具体的には、ポリシーで URL オブジェクトまたは Web レピュテーション プロファイルを使用する場合に、このライセンスが必要です。
  • Next Generation IPS ライセンス:このサブスクリプション ベースのライセンスでは、Next Generation IPS フィルタリングの使用が許可されます。 特に、NG IPS プロファイルを適用するアクセス ポリシーを作成する場合に、このライセンスが必要です。このポリシーは、脅威を識別し、IPS(侵入防御システム)脅威に基づいてドロップまたはモニタリングの決定を適用できます。
  • 3DES/AES(K9)ライセンス:製品で使用される暗号化アルゴリズムの相対的な強度を決定します。 ライセンスは(シリアル番号によって)ハードウェアに直接対応付けられ、永続的なライセンスであるため更新が不要です。 ライセンスは無料ですが、輸出規制の法律によって制限されるため、すべてのユーザが使用できるわけではありません。 3DES/AES(K9)ライセンスをダウンロードできるかどうかを判断するには Cisco.com を参照してください。

ライセンスは、特定のデバイス モデルでのみ有効です。 使用しているデバイス モデルの正しいライセンスを購入する必要があります。

CX デバイスには、デバイスで設定できる各機能の評価サブスクリプション ライセンスが含まれています。 これらのライセンスは、60 日間有効です。 評価ライセンスは、1 回更新して期間を 60 日間延長できます。 PRSM サーバにも、最大 2 台のデバイスに対するこれらの評価ライセンスが含まれています。

Cisco Prime Security Manager のライセンス

Cisco Prime Security Manager マルチ デバイス モードにはライセンスが必要です。 ライセンスにより、PRSM サーバを使用して管理できるデバイス数が決まります。

PRSM には、新しい評価ライセンスを取得してアップロードすることによって一度更新できる、デバイス数の制限がない 90 日間のライセンスが含まれます。 評価ライセンスを使用できる残り期間は、[Pending Changes] リンクの横にあるメニュー バーに表示されます。

評価ライセンスが期限切れになると、変更をデバイスに展開できません。

十分なデバイス数のライセンスを購入し、アップロードするようにします。

機能ライセンスがポリシー設定にどのように影響するか

ポリシーを作成する場合、機能ライセンスによって制御されるオプションを使用できます。 これらのポリシーを実行するには、デバイスに有効で適切な機能ライセンスが必要です。

ただし、機能は次のカテゴリに分類され、ライセンスの問題の影響はそれらに基づいて異なります。

  • ハードな適用:トラフィック一致基準で使用されるすべてのライセンス対象機能はハードに適用されます。 これは、ライセンスがない場合(ライセンスを適用していない、またはライセンスの期限が切れている場合)、機能を使用することや、機能を使用するポリシーを編集することができないことを意味します。 ハードに適用された機能には、すべてのアプリケーションまたはアプリケーション タイプの指定(AVC ライセンスが必要)および URL フィルタリング(つまり、ポリシーの宛先基準での URL オブジェクトの使用(WSE ライセンスが必要))が含まれます。

    (注)  


    ライセンスの期限が切れた、ハードに適用された機能を使用するポリシーは、それらがデバイスでにすでに設定されている場合は引き続き機能します。 ただし、デバイスはその機能に関連する更新を受信しなくなります。 たとえば、あるデバイス上で Web Security Essentials ライセンスが期限切れとなると、そのデバイスは URL カテゴリ更新のダウンロードを停止します。 デバイスをライセンスなしで動作する期間が長いほど、ポリシーによって使用されるシグニチャと現在のシグニチャ状態との違いが大きくなります。


  • ソフトな適用:プロファイル オブジェクトを使用して設定するすべてのライセンス機能はソフトに適用されます。 これは、いつでもプロファイルを作成して、ポリシーに適用できますが、有効なライセンスがデバイスに割り当てられている場合にだけプロファイルが実装されることを意味します。

ハードとソフトの適用の違いの理由は、ハードに適用された機能はポリシーを適用するトラフィックを実際に定義するためです。 関連付けられているライセンスが使用可能でないときにシステムがこれらの基準を無視する場合、ポリシーは別の意味を持ち、トラフィックが許可または拒否される方法に対して不要な変更が行われる可能性があります。 一方、ソフトに適応された機能は、どのトラフィックがポリシーに一致するかを変更しませんが、潜在的に有害なトラフィックであるかについてそのトラフィックをスキャンするかどうかは変更するので、必要なライセンスがない場合にはこれらを安全に無視できます。

ライセンス適用の詳細

機能のライセンスには有効期限があるため、ライセンスの期限が切れていないことも確認する必要があります。 ライセンスの期限切れが近づくと、期限が迫っていることを警告されます。また、期限切れ後には、新しいライセンスをアップロードするために 60 日間の猶予期間が与えられます。 [Pending Changes] リンクの横にあるメニュー バーにリンクが表示され、期限切れライセンスの数が表示されます。 評価ライセンスには猶予期間がありません、

ライセンスの問題は、注意アイコンまたはメッセージによって示されます。 アイコンの上にマウスを置くと、問題を正確に説明するメッセージが表示されます。 メッセージには、[Licensing] ページへのリンク、またはポリシー リストをフィルタリングして影響を受けるポリシーを表示するリンクが含まれることがあります。

ライセンスの適用には、次の内容が含まれます。

  • デバイスを PRSM インベントリにインポートする場合は、ハードに適用される機能の十分なライセンスが必要です。そうでない場合は、インポートが失敗します。 ライセンスは、デバイス(インポートされる)の非評価ライセンスでも、PRSM で使用可能なライセンスでも構いません。
  • ポリシーを共有する場合は、ハードに適用される機能を使用するポリシーに必要なライセンスがないデバイスを選択できません。 ただし、ソフトに適用される機能は共有できます。
  • 特定の機能ライセンスがない 1 つ以上のデバイスにポリシーが割り当てられている場合、そのポリシーを編集して、ライセンスのないハードに適用される機能を必要とするオプションを選択することはできません。 そのポリシーに対してライセンスのないデバイスを除外するか、機能を実行する別のポリシーを作成するか、ライセンスのないデバイスにライセンスを適用するかします。
  • 割り当てられたライセンスの期限が 30 日以内に切れる場合、有効期限によって影響されるデバイスまたはポリシーに対する警告アイコンでポリシー リストが散乱します。
  • 割り当てられたライセンスは期限切れになったけれども、60 日の猶予期間内にある場合は、期限切れが近づいているライセンスの場合と同じ警告アイコンが表示されます。 ただし、ポリシー作成および編集はデバイスにライセンスがないように機能します。 このデバイスと共有されているポリシーのライセンスを必要とするハードに適用されるオプションを追加できません。
  • 割り当てられたライセンスが期限切れになり、猶予期間の範囲外にある場合、同じ警告アイコンが表示されますが、デバイスと共有される、ライセンスのないハードに適用される機能を使用するポリシーを編集できません。 これらのポリシーを削除することは可能です。 ダッシュボード データがこれらのポリシーに対して生成されないことに注意してください。

[Licenses] ページの概要

ライセンスは、使用できる機能、または管理できるデバイスの数(PRSM マルチ デバイス モードの場合)を決定します。 [Licenses] ページには、システムに現在インストールされているライセンスが表示されます。 ライセンスごとに、対象とするデバイスの最大数、ライセンスを使用しているデバイスの数、デバイス割り当てとして残っているライセンスの使用可能な数、およびライセンスの有効期限(存在する場合)が表示されます。 このページからライセンスをアップロードし、他のライセンス管理アクティビティを実行できます。

[Licenses] ページを開くには、[Administration] > [Licenses] を選択します。 メニュー バーにあるライセンス通知リンクをクリックすることによっても、このページを開くことができます。評価ライセンスを使用している場合、またはライセンスが失効している場合、このリンクは [Pending Changes] リンクの横に表示されます。

[Licenses] ページには、次の項目が含まれています。

I Want To

次のコマンドが含まれます。

  • [Upload License File]:ライセンス ファイルを追加します。 シングル デバイス モードでは、新しいライセンスの有効期限が現在使用しているライセンスよりも長い場合、ライセンスをアップロードすると、そのライセンスが自動的にデバイスに適用されます。
  • [Renew Evaluation Licenses]:すべての評価ライセンスを更新します。 新しいライセンスを購入する前に、評価ライセンスを 1 回更新できます。 このコマンドは、すでにライセンスが更新されている場合、またはすでに機能ライセンスがアップロードされている場合(シングル デバイス モードの場合)は使用できません。
List of Licenses

システムで使用可能な各ライセンスを表示します。 各ライセンスには、そのライセンスを使用しているデバイスのリストも含まれています。 ハイ アベイラビリティ(HA)用に設定されているデバイスは、ペアの論理名を使用して、同時に表示されます。 HA デバイスは、ペアあたり 1 つのライセンスを使用します。

関連するコマンドを表示するには、ライセンスまたはデバイスを選択するか、その上にマウスを置きます。 使用可能なコマンドは次のとおりです。

  • [Apply License]:(ライセンス コマンド)。現在、このタイプのライセンスを持っていないデバイスにライセンスを割り当てます。 適用する使用可能なライセンスがない場合、このコマンドは表示されません。
  • [Renew License]:(ライセンス コマンド)。このライセンスを使用しているデバイスに、新しい別のライセンスを割り当てます。 期限切れライセンスの場合は、猶予期間が切れる前に、このコマンドを使用して新しいライセンスを割り当てたことを確認します。 このコマンドは、そのライセンスを使用するデバイスが存在しない場合は表示されません。
  • [Delete License]:(ライセンス コマンド)。不要になったライセンスを削除します。 未使用の場合のみライセンスを削除できます。
  • [Revoke License]:(デバイス コマンド)。このデバイスからライセンスを削除します。 ライセンスを取り消すことができるのは、デバイスに割り当てられたポリシーがライセンスの対象となるハード適用されるサービスを使用しない場合だけです。 ライセンスを取り消す目的は、そのライセンスを解放して、別のデバイスで使用することです。

システム ライセンスの設定

ここでは、システム ライセンスの設定に関する基本的な手順について説明します。

評価ライセンスの使用

CX デバイスおよび PRSM サーバには、サブスクリプション機能ライセンスの評価版が含まれています。 評価ライセンスは、マルチ デバイス モードでは 2 つのデバイスに適用され、シングル デバイス モードではそのデバイスだけに適用されます。 PRSM サーバには、サーバに対する追加の評価ライセンスが含まれており、無制限の数のデバイスを管理できます。

  • 機能評価ライセンスは、60 日間有効です。 評価ライセンスを 1 回更新して 60 日間追加できるため、合計 120 日間の評価を行うことができます。 評価ライセンスの期限切れ時には猶予期間はありません。 次の手順では、これらのライセンスを更新する方法について説明します。
  • PRSM サーバ ライセンスは、90 日間有効です。 ライセンスを更新するには、Cisco.com から新しい評価ライセンスを取得し、ファイルをアップロードします。
手順
    ステップ 1   [Administration] > [Licenses] を選択します。
    ステップ 2   [I want to] > [Renew Evaluation Licenses] を選択します。

    更新の説明の入力を要求され、両方の評価ライセンスの更新を確認するよう求められます。 更新をすでに使い果たした場合は、そのように表示されます。

    ステップ 3   [Yes] をクリックしてライセンスを更新します。

    ライセンス ファイルのアップロード

    ライセンスを取得するときには、ファイル拡張子 .lic を持つライセンス ファイルを取得します。 そのファイルをシステムにアップロードする必要があります。 ライセンスのアップロード方法はシングル デバイス モードマルチ デバイス モードで同じですが、実行しているモードに基づいて正しいタイプのライセンスをアップロードしていることを確認する必要があります。

    次に説明される方法のほか、古いライセンスを更新しているときにも、ライセンスをアップロードできます。

    手順
      ステップ 1   [Administration] > [Licenses] を選択します。
      ステップ 2   [I want to] > [Upload License File] を選択します。
      ステップ 3   [Upload License Files] ボックスにライセンス ファイルを追加します。

      システムからボックスにファイルをドラッグするか(サポートされている場合)、ボックスをクリックしてファイル セレクタを開きます。

      そのライセンスがライセンスのリストに追加され、それ以降のアクションは、次のように実行しているモードに基づいたものになります。

      • シングル デバイス モード:変更をコミットすると、ライセンスはすぐに適用され、アクティブにされます あるタイプのライセンスが複数存在する場合、残りの有効期間が最も長いライセンスが使用され、その他のライセンスは使用されません。 ライセンスが正しいデバイス タイプ用である必要があります。 評価ライセンスはすべて削除されます。
      • マルチ デバイス モードCX ライセンス:ライセンスを使用できます。 デバイスにライセンスを適用する必要があります。 ただし、3DES/AES(K9)ライセンスは該当するデバイスに自動的に適用されます。 3DES/AES(K9)ライセンスは、シリアル番号に基づいて特定のデバイスと対応付けられています。正しいシリアル番号を持つデバイスがインベントリに存在する場合、ライセンスは自動的に適用されます。 正しいデバイスがインベントリに存在する必要があり、そうでない場合はアップロードがブロックされます。
      • マルチ デバイス モードPRSM ライセンス:ライセンスは、評価ライセンスが存在する場合は、その評価ライセンスを置き換えます。 複数のライセンスをアップロードした場合は、ライセンス数が加算されます(たとえば、5 デバイスのライセンスに 10 デバイスのライセンスを加算すると、15 デバイスのライセンスになります)。
      ステップ 4   [Close] をクリックして、ライセンス リストに戻ります。

      機能ライセンスの割り当て

      サブスクリプション ベースの機能を使用する各デバイスには、その機能のライセンスが必要です。

      CX デバイスにライセンス ファイルをアップロードすると、自動的に適用されます。 ただし、PRSM マルチ デバイス モード モードでは、ライセンスをデバイスに明示的に割り当てる必要があります。 シングル デバイス モード では、ライセンスを取り消してしまった場合にも、ライセンスを割り当てることできます。 どちらのモードでも、ライセンスが有効になる前に変更をコミットする必要があります。

      機能ライセンスが期限切れになると、交換(ライセンスの「更新」と呼ばれます)しない限り、ライセンスによって制御される機能を使用できません。 ライセンスを置き換えるための猶予期間があります。

      ライセンスの適用

      次の手順で、現在ライセンスがないか、ライセンスの有効期限が切れているデバイスに、使用可能なライセンス数のある機能ライセンスを適用する方法について説明します。

      手順
        ステップ 1   [Administration] > [Licenses] を選択します。
        ステップ 2   適用するライセンスを選択し、[Apply License] をクリックします。

        これによって、[Apply License] ウィンドウが開き、ライセンスのタイプ、デバイス モデル、および、割り当てにまだ使用できるライセンスの数が表示されます。

        ステップ 3   このライセンスが必要なデバイスを選択します。

        デバイス セレクタには、まだ有効なライセンスがない適切なモデルのデバイスだけが表示されます。 使用可能なライセンス数より多いデバイスを選択できません。

        ハイ アベイラビリティ用に設定されているデバイスは、ペアの論理名を使用して、同時に表示されます。 これらのペアは 2 つではなく、1 つのライセンスを使用します。

        ステップ 4   [Apply] をクリックします。

        ライセンスの更新

        次の手順では、別の未使用の機能ライセンスに置き換えることによってライセンスを更新する方法について説明します。 これは、通常、購入ライセンスを取得したときに、期限が切れたライセンスまたは評価ライセンスに対して行います。

        手順
          ステップ 1   [Administration] > [Licenses] を選択します。
          ステップ 2   交換するライセンスを選択し、[Renew License] をクリックします。

          これによって、ライセンスのタイプとデバイス モデルが表示される [Renew License] ウィンドウを開きます。 [Selected Devices] ボックスには、現在このライセンスを使用しているすべてのデバイスが含まれます。 特定のデバイスのライセンスを交換したくない場合は、このリストからデバイスを削除できます。

          [Select Available License Files] リストには、このライセンスを置き換えるために使用できるすべての未使用のライセンスが表示されます。機能とモデルに基づき使用可能なライセンスがない場合、リストは表示されません。 ライセンスは最近の有効期限を最上部にソートされます。

          ライセンス、または使用したいライセンスがない場合、このウィンドウでライセンス ファイルをアップロードできます。 システムからボックスにファイルをドラッグするか(サポートされている場合)、ボックスをクリックしてファイル セレクタを開きます。

          ステップ 3   十分な数のライセンスを選択するまで、適用するライセンスをクリックします。

          使用可能なライセンスがある場合、必要な数(選択したすべてのデバイス)と一致するようにあらかじめ選択されています。 選択を変更できます。 選択したライセンスをクリックすると、選択が解除されます。

          ハイ アベイラビリティ ペアは、2 つではなく、ペアで 1 つのライセンスを使用します。

          必要な数のライセンスを選択するまで続行できません。

          ステップ 4   [Renew] をクリックします。

          強力な暗号化のための 3DES/AES(K9)ライセンスの取得およびインストール

          K9 ライセンスとも呼ばれる 3DES/AES ライセンスは、強力な暗号化に必要です。 K9 ライセンスがない場合、強力な暗号化が必要なサーバでの復号化処理が失敗します。 アクセス ポリシーに関係なく、デバイスで実行できない復号化を必要とするすべてのフローが拒否されます。 K9 ライセンスは無料ですが、アベイラビリティは輸出規制によって制限されます。

          K9 ライセンスを使用できない場合は、実稼働ネットワーク上で復号化を有効にする前に、要件を満たしていることを確認するために制御環境で復号化処理をテストする必要があります。 K9 ライセンスなしで適切なトラフィックがブロックされないようにするには、復号化ポリシーを注意深くテストし、調整する必要があります。

          手順
            ステップ 1   ASA CX デバイスのシリアル番号(SN)を取得します。 この番号は、次の方法を使用して取得できます。
            • PRSM でデバイスを管理している場合は、デバイス インベントリ ページにシリアル番号が表示されます。
            • ASA CX がすでに動作している場合は、CLI にログインして、show platform hardware info コマンドを使用できます。PCB SN が必要な番号です。
            • ASA CX ハードウェア モジュールが ASA 5585-X アプライアンスに搭載されている場合は、show module 1 details コマンドを使用して ASA CLI から番号を取得できます。
            • ASA CX ソフトウェア モジュールが ASA 5500-X シリーズ アプライアンスにインストールされている場合、ASA CX および ASA は同じシリアル番号を共有します。 番号を取得するには、ASA CLI から show version コマンドを使用します。 ASA CX が動作している場合、ASA CLI から show module cxsc details コマンドも使用できます。
            ステップ 2   http:/​/​www.cisco.com/​go/​license にアクセスし、新しい K9 暗号ライセンスを取得します。 [Get New] > [IPS, Crypto, or Other License] を選択し、セキュリティ製品の下で [Cisco ASA CX 3DES/AES License] を選択します。 ウィザードの指示に従って、ライセンスを取得します。 (このマニュアルの発行後に、この手順が変更される場合があることに注意してください)
            ステップ 3   ASA CX/PRSM Web インターフェイスで、[Administration] > [Licenses]、次に [I want to] > [Upload license file] を選択し、K9 ライセンスをアップロードします。 ライセンスは SN に関連付けられているので、ライセンスの SN がデバイスと一致する限り、即座に適用されます。 マルチ デバイス モードでは、デバイスはすでにインベントリ内にある必要があります。
            ステップ 4   復号化ポリシーをすでにイネーブルしているか、または使用する場合は、復号ポリシーが使用するデバイス証明書を再生成します。 復号ポリシーを使用しない場合は、次の手順は必要ではありません。
            1. Configurations > Policies/Settings を選択し、[Decryption Settings][Decryption Settings]を開きます。
            2. イネーブルになっていない場合は、復号化をイネーブルにします。
            3. 新しい証明書を生成するか、既存の証明書をアップロードするかを選択します。 強力な暗号化をサポートする証明書をすでにアップロードした場合は、新しい証明書をアップロードまたは生成する必要はありません。

              新しい証明書を生成するときは、必要な情報を入力し、[Save] をクリックします。

              新しい証明書を生成した場合は、このページからダウンロードし、クライアント ブラウザで使用できるようにする必要があります。


            ライセンスの取り消し

            ライセンスの対象となる機能を使用する必要がなくなった場合、デバイスからライセンスを取り消すことができます。 ライセンスを取り消すと、そのライセンスが解放され、他のデバイスで使用できるようになります。

            ライセンスを必要とするハード適用される機能をデバイスが使用している場合は、ライセンスを取り消すことはできません。 たとえば、デバイスがアプリケーション ベースのルールを含むポリシー セットを使用している場合、Application Visibility and Control ライセンスを取り消すことはできません。 ただし、ライセンスを必要とする機能がソフト適用される機能だけの場合は、ライセンスを取り消すことができます。

            3DES/AES(K9)ライセンスを取り消すことはできません。

            手順
              ステップ 1   [Administration] > [Licenses] を選択します。
              ステップ 2   取り消すライセンス内のデバイスを選択し、[Revoke License] をクリックします。

              失効の確認が求められます。


              ライセンスの削除

              ライセンスがデバイスに割り当てられていない場合は、削除できます。 期限切れライセンスへのすべてのデバイス割り当てを削除したら、期限切れライセンスを削除する必要があります。

              手順
                ステップ 1   [Administration] > [Licenses] を選択します。
                ステップ 2   削除するライセンスを選択し、[Delete License] をクリックします。