Cisco セキュリティ アプライアンス コマンドライン コンフィギュレーション ガイド v.8.0
機能ライセンスの管理
機能ライセンスの管理
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 20MB) | フィードバック

目次

機能ライセンスの管理

モデルごとのサポートされる機能ライセンス

機能ライセンスに関する情報

事前にインストールされているライセンス

VPN Flex ライセンスと評価ライセンス

一時ライセンスのタイマーの機能方法

複数のライセンスが相互作用するしくみ

フェールオーバーと一時ライセンス

ガイドラインと制限事項

現在のライセンスの表示

アクティベーション キーの取得

新しいアクティベーション キーの入力

フェールオーバー ペアのライセンスのアップグレード

フェールオーバーのライセンスのアップグレード(リロードは不要)

フェールオーバーのライセンスのアップグレード(リロードが必要)

ライセンスの機能履歴

機能ライセンスの管理

ライセンスは、特定のセキュリティ アプライアンスでイネーブルになっているオプションを指定します。これは、160 ビット(5 つの 32 ビットの単語または 20 バイト)値のアクティベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)とイネーブルになっている機能を符号化します。

この章では、アクティベーション キーを取得してアクティブ化する方法について説明します。また、モデルごとに使用可能なライセンスについても説明します。この章は、次の項で構成されています。

この資料は、次の項で構成されています。

「モデルごとのサポートされる機能ライセンス」

「機能ライセンスに関する情報」

「ガイドラインと制限事項」

「現在のライセンスの表示」

「アクティベーション キーの取得」

「新しいアクティベーション キーの入力」

「フェールオーバー ペアのライセンスのアップグレード」

「ライセンスの機能履歴」

モデルごとのサポートされる機能ライセンス

ここでは、モデルごとに使用可能な機能ライセンスをリストします。

ASA 5505、表 3-1

ASA 5510、表 3-2

ASA 5520、表 3-3

ASA 5540、表 3-4

ASA 5550、表 3-5

PIX 515/515E、表 3-6

PIX 525、表 3-7

PIX 535、表 3-8


) ASA 5580 はバージョン 8.0 ではサポートされません。ASA 5580 については、バージョン 8.1 以降のライセンス資料を参照してください。

PIX 500 シリーズのセキュリティ アプライアンスでは、一時ライセンスはサポートされません。


イタリック体で示された項目は、基本ライセンスまたは Security Plus ライセンスと置換できる個別のオプション ライセンスです。ライセンスは組み合せることができます。たとえば、10 セキュリティ コンテキスト ライセンスと Strong Encryption ライセンス、500 SSL VPNライセンスと GTP/GPRS ライセンス、または 4 つのライセンスをすべて同時に使用することができます。

 

表 3-1 ASA 5505 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5505
基本ライセンス
Security Plus

ユーザ、同時1

102

オプション ライセンス:

102

オプション ライセンス:

50

制限なし

50

制限なし

セキュリティ コンテキスト

サポートしない

サポートしない

VPN セッション3

25 の組み合せた IPSec と SSL VPN

25 の組み合せた IPSec と SSL VPN

最大 IPSec セッション

10

25

最大 SSL VPN セッション

2

オプション ライセンス:

2

オプション ライセンス:

10

25

10

25

VPN ロード バランシング

サポートしない

サポートしない

Advanced Endpoint Assessment

なし

オプション ライセンス:イネーブル

なし

オプション ライセンス:イネーブル

ユニファイド コミュニケーション プロキシ セッション4

2

オプション ライセンス:24

2

オプション ライセンス:24

フェールオーバー

サポートしない

Active/Standby(ステートフル フェールオーバーなし)

GTP/GPRS

サポートしない

サポートしない

最大 VLAN/ゾーン

3(2 つの正規ゾーンともう 1 つの制限ゾーンだけが他の 1 つのゾーンと通信可能)

20

最大 VLAN トランク

サポートしない

8 トランク

ファイアウォールの同時接続

10 K

25 K

最大 物理インターフェイス

制限なし、VLAN/ゾーンに割り当て済み

制限なし、VLAN/ゾーンに割り当て済み

暗号化

基本(DES)

オプション ライセンス:
強化(3DES/AES)

基本(DES)

オプション ライセンス:
強化(3DES/AES)

最小 RAM

256 MB(デフォルト)

256 MB(デフォルト)

1.ルーテッド モードでは、内部(ビジネス VLAN およびホーム VLAN)のホストでは、それらのホストが外部(インターネット VLAN)と通信する場合だけ、制限に対してカウントされます。インターネット ホストは制限に対してカウントされません。ビジネスとホーム間のトラフィックを開始するホストも制限に対してカウントされません。デフォルトのルートと関連付けられているインターフェイスは、インターネット インターフェイスであると見なされます。デフォルトのルートがない場合、すべてのインターフェイス上のホストは制限に対してカウントされます。透過モードでは、ホストの数が最小のインターフェイスがホストの制限に対してカウントされます。ホストの制限を表示するには、show local-host コマンドを参照してください。

2.10 ユーザ ライセンスの場合、最大の DHCP クライアントは 32 です。50 ユーザの場合、最大は 128 です。無制限のユーザの場合、最大は 250 です。これは、他のモデルでの 最大です。

3.IPSec セッションと SSL VPN セッションの最大数の合計は、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、セキュリティ アプライアンスをオーバーロードして、ネットワークのサイズを適切にすることができます。合計制限値のセッションの構成を判別する際に、SSL VPN セッション数が、セキュリティ アプライアンスでライセンスを取得した SSL VPN セッション数(デフォルトでは 2)を超えることはできません。

4.フォン プロキシ、モビリティ プロキシ、プレゼンス フェデレーション プロキシ、および Transport Layer Security(TLS)プロキシはすべて、UC プロキシのもとでライセンスされ、組み合せることが可能です。たとえば、プライマリとバックアップ Cisco Unified Communications Manager を使用して電話機を設定する場合は、2 つの TLS/SRTP 接続があるため、2 つの UC プロキシ セッションが使用されます。このライセンスは、バージョン 8.0(4) で導入されました。前のバージョンでは、SIP 検査と Skinny 検査の TLS プロキシは、基本ライセンスに組み込まれていました。

 

表 3-2 ASA 5510 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5510
基本ライセンス
Security Plus

ユーザ、同時

制限なし

制限なし

セキュリティ コンテキスト

サポートしない

2

オプション ライセンス:

5

VPN セッション5

250 の組み合せた IPSec と SSL VPN

250 の組み合せた IPSec と SSL VPN

最大 IPSec セッション

250

250

最大 SSL VPN セッション

2

オプション ライセンス:

2

オプション ライセンス:

10

25

50

100

250

10

25

50

100

250

オプションの VPN Flex ライセンス:6 250

オプションの VPN Flex ライセンス:250

VPN ロード バランシング

サポートしない

サポート対象

Advanced Endpoint Assessment

なし

オプション ライセンス:イネーブル

なし

オプション ライセンス:イネーブル

ユニファイド コミュニケーション プロキシ セッション7(8.0(4) で導入)

2

オプション ライセンス

2

オプション ライセンス

24

50

100

24

50

100

フェールオーバー

サポートしない

Active/Standby または Active/Active8

GTP/GPRS

サポートしない

サポートしない

最大 VLAN

50

100

ファイアウォールの同時接続

50 K

130 K

最大 物理インターフェイス

制限なし

制限なし

インターフェイスの速度

すべて:ファスト イーサネット

イーサネット 0/0 および 0/1:ギガビット イーサネット9

イーサネット 0/2、0/3、および 0/4:ファスト イーサネット

暗号化

基本(DES)

オプション ライセンス:
強化(3DES/AES)

基本(DES)

オプション ライセンス:
強化(3DES/AES)

最小の RAM

256 MB(デフォルト)

256 MB(デフォルト)

5.IPSec セッションと SSL VPN セッションの最大数の合計は、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、セキュリティ アプライアンスをオーバーロードして、ネットワークのサイズを適切にすることができます。合計制限値のセッションの構成を判別する際に、SSL VPN セッション数が、セキュリティ アプライアンスでライセンスを取得した SSL VPN セッション数(デフォルトでは 2)を超えることはできません。

6.バージョン 8.0(4) 以降で使用可能です。

7.フォン プロキシ、モビリティ プロキシ、プレゼンス フェデレーション プロキシ、および Transport Layer Security(TLS)プロキシはすべて、UC プロキシのもとでライセンスされ、組み合せることが可能です。たとえば、プライマリとバックアップ Cisco Unified Communications Manager を使用して電話機を設定する場合は、2 つの TLS/SRTP 接続があるため、2 つの UC プロキシ セッションが使用されます。このライセンスは、バージョン 8.0(4) で導入されました。前のバージョンでは、SIP 検査と Skinny 検査の TLS プロキシは、基本ライセンスに組み込まれていました。

8.Active/Active フェールオーバーと VPN は使用できません。VPN を使用する場合は、Active/Standby フェールオーバーを使用してください。

9.イーサネット 0/0 ポートおよび 0/1 ポートはギガビット イーサネットですが、ソフトウェアでは引き続き「イーサネット」として識別されます。

 

表 3-3 ASA 5520 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5520
基本ライセンス

ユーザ、同時

制限なし

制限なし

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

VPN セッション10

750 の組み合せた IPSec と SSL VPN

最大 IPSec セッション

750

最大 SSL VPN セッション

2

オプション ライセンス:

10

25

50

100

250

500

750

オプションの VPN Flex ライセンス:11

250

750

VPN ロード バランシング

サポート対象

Advanced Endpoint Assessment

なし

オプション ライセンス:イネーブル

ユニファイド コミュニケーション プロキシ セッション12

2

オプション ライセンス

24

50

100

250

500

750

1000

フェールオーバー

Active/Standby または Active/Active13

GTP/GPRS

なし

オプション ライセンス:イネーブル

最大 VLAN

150

ファイアウォールの同時接続

280 K

最大 物理インターフェイス

制限なし

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

最小の RAM

512 MB(デフォルト)

10.IPSec セッションと SSL VPN セッションの最大数の合計は、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、セキュリティ アプライアンスをオーバーロードして、ネットワークのサイズを適切にすることができます。合計制限値のセッションの構成を判別する際に、SSL VPN セッション数が、セキュリティ アプライアンスでライセンスを取得した SSL VPN セッション数(デフォルトでは 2)を超えることはできません。

11.バージョン 8.0(4) 以降で使用可能です。

12.フォン プロキシ、モビリティ プロキシ、プレゼンス フェデレーション プロキシ、および Transport Layer Security(TLS)プロキシはすべて、UC プロキシのもとでライセンスされ、組み合せることが可能です。たとえば、プライマリとバックアップ Cisco Unified Communications Manager を使用して電話機を設定する場合は、2 つの TLS/SRTP 接続があるため、2 つの UC プロキシ セッションが使用されます。このライセンスは、バージョン 8.0(4) で導入されました。前のバージョンでは、SIP 検査と Skinny 検査の TLS プロキシは、基本ライセンスに組み込まれていました。

13.Active/Active フェールオーバーと VPN は使用できません。VPN を使用する場合は、Active/Standby フェールオーバーを使用してください。

 

表 3-4 ASA 5540 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5540
基本ライセンス

ユーザ、同時

制限なし

制限なし

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VPN セッション14

5000 の組み合せた IPSec と SSL VPN

最大 IPSec セッション

5000

最大 SSL VPN セッション

2

オプション ライセンス:

10

25

50

100

250

500

750

1000

2500

オプションの VPN Flex ライセンス:15

250

750

1000

2500

VPN ロード バランシング

サポート対象

Advanced Endpoint Assessment

なし

オプション ライセンス:イネーブル

ユニファイド コミュニケーション プロキシ セッション16

2

オプション ライセンス

24

50

100

250

500

750

1000

2000

フェールオーバー

Active/Standby または Active/Active17

GTP/GPRS

なし

オプション ライセンス:イネーブル

最大 VLAN

200

ファイアウォールの同時接続

400 K

最大 物理インターフェイス

制限なし

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

最小の RAM

1 GB(デフォルト)

14.IPSec セッションと SSL VPN セッションの最大数の合計は、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、セキュリティ アプライアンスをオーバーロードして、ネットワークのサイズを適切にすることができます。合計制限値のセッションの構成を判別する際に、SSL VPN セッション数が、セキュリティ アプライアンスでライセンスを取得した SSL VPN セッション数(デフォルトでは 2)を超えることはできません。このライセンスは、バージョン 8.0(4) で導入されました。前のバージョンでは、SIP 検査と Skinny 検査の TLS プロキシは、基本ライセンスに組み込まれていました。

15.バージョン 8.0(4) 以降で使用可能です。

16.フォン プロキシ、モビリティ プロキシ、プレゼンス フェデレーション プロキシ、および Transport Layer Security(TLS)プロキシはすべて、UC プロキシのもとでライセンスされ、組み合せることが可能です。たとえば、プライマリとバックアップ Cisco Unified Communications Manager を使用して電話機を設定する場合は、2 つの TLS/SRTP 接続があるため、2 つの UC プロキシ セッションが使用されます。8.0(4) よりも前では、TLS プロキシだけが使用可能でした。

17.Active/Active フェールオーバーと VPN は使用できません。VPN を使用する場合は、Active/Standby フェールオーバーを使用してください。

 

表 3-5 ASA 5550 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5550
基本ライセンス

ユーザ、同時

制限なし

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VPN セッション18

5000 の組み合せた IPSec と SSL VPN

最大 IPSec セッション

5000

最大 SSL VPN セッション

2

オプション ライセンス:

10

25

50

100

250

500

750

1000

2500

5000

オプションの VPN Flex ライセンス:19

250

750

1000

2500

5000

VPN ロード バランシング

サポート対象

Advanced Endpoint Assessment

なし

オプション ライセンス:イネーブル

ユニファイド コミュニケーション プロキシ セッション20

2

オプション ライセンス

24

50

100

250

500

750

1000

2000

3000

フェールオーバー

Active/Standby または Active/Active21

GTP/GPRS

なし

オプション ライセンス:イネーブル

最大 VLAN

250

ファイアウォールの同時接続

650 K

最大 物理インターフェイス

制限なし

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

最小の RAM

4 GB(デフォルト)

18.IPSec セッションと SSL VPN セッションの最大数の合計は、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、セキュリティ アプライアンスをオーバーロードして、ネットワークのサイズを適切にすることができます。合計制限値のセッションの構成を判別する際に、SSL VPN セッション数が、セキュリティ アプライアンスでライセンスを取得した SSL VPN セッション数(デフォルトでは 2)を超えることはできません。このライセンスは、バージョン 8.0(4) で導入されました。前のバージョンでは、SIP 検査と Skinny 検査の TLS プロキシは、基本ライセンスに組み込まれていました。

19.バージョン 8.0(4) 以降で使用可能です。

20.フォン プロキシ、モビリティ プロキシ、プレゼンス フェデレーション プロキシ、および Transport Layer Security(TLS)プロキシはすべて、UC プロキシのもとでライセンスされ、組み合せることが可能です。たとえば、プライマリとバックアップ Cisco Unified Communications Manager を使用して電話機を設定する場合は、2 つの TLS/SRTP 接続があるため、2 つの UC プロキシ セッションが使用されます。

21.Active/Active フェールオーバーと VPN は使用できません。VPN を使用する場合は、Active/Standby フェールオーバーを使用してください。

 

表 3-6 PIX 515/515E セキュリティ アプライアンス ライセンスの機能

PIX 515/515E
R(制限付き)
UR(制限なし)
FO(フェールオーバー)22
FO-AA(フェールオーバー Active/Active) 1

Advanced Endpoint Assessment

サポートしない

サポートしない

サポートしない

サポートしない

暗号化

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

基本(DES)

強化(3DES/
AES)

基本(DES)

強化(3DES/
AES)

基本(DES)

強化(3DES/
AES)

基本(DES)

強化(3DES/
AES)

フェールオーバー

サポートしない

Active/Standby
Active/Active

Active/Standby

Active/Standby
Active/Active

ファイアウォールの接続、同時

48 K

130 K

130 K

130 K

GTP/GPRS

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

IPSec セッション

2000

2000

2000

2000

物理インターフェイス、最大

3

6

6

6

RAM、最小

64 MB(デフォルト)

128 MB

128 MB

128 MB

セキュリティ コンテキスト

サポートしない

2

オプション ライセンス:5

2

オプション ライセンス:5

2

オプション ライセンス:5

SSL VPN セッション

サポートしない

サポートしない

サポートしない

サポートしない

ユニファイド コミュニケーション プロキシ セッション

サポートしない

サポートしない

サポートしない

サポートしない

ユーザ、同時

制限なし

制限なし

制限なし

制限なし

VLAN、最大

10

25

25

25

VPN ロード バランシング

サポートしない

サポートしない

サポートしない

サポートしない

22.このライセンスは、UR ライセンスを持つ別の装置とのフェールオーバー ペアだけで使用できます。どちらの装置も同じモデルである必要があります。

 

表 3-7 PIX 525 セキュリティ アプライアンス ライセンスの機能

PIX 525
R(制限付き)
UR(制限なし)
FO(フェールオーバー)23
FO-AA(フェールオーバー Active/Active) 1

Advanced Endpoint Assessment

サポートしない

サポートしない

サポートしない

サポートしない

暗号化

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

基本(DES)

強化(3DES/
AES)

基本(DES)

強化(3DES/
AES)

基本(DES)

強化(3DES/
AES)

基本(DES)

強化(3DES/
AES)

フェールオーバー

サポートしない

Active/Standby
Active/Active

Active/Standby

Active/Standby
Active/Active

ファイアウォールの接続、同時

140 K

280 K

280 K

280 K

GTP/GPRS

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

IPSec セッション

2000

2000

2000

2000

物理インターフェイス、最大

6

10

10

10

RAM、最小

128 MB(デフォルト)

256 MB

256 MB

256 MB

セキュリティ コンテキスト

サポートしない

2

オプション ライセンス:

2

オプション ライセンス:

2

オプション ライセンス:

5

10

20

50

5

10

20

50

5

10

20

50

SSL VPN セッション

サポートしない

サポートしない

サポートしない

サポートしない

ユニファイド コミュニケーション プロキシ セッション

サポートしない

サポートしない

サポートしない

サポートしない

ユーザ、同時

制限なし

制限なし

制限なし

制限なし

VLAN、最大

25

100

100

100

VPN ロード バランシング

サポートしない

サポートしない

サポートしない

サポートしない

23.このライセンスは、UR ライセンスを持つ別の装置とのフェールオーバー ペアだけで使用できます。どちらの装置も同じモデルである必要があります。

 

表 3-8 PIX 535 セキュリティ アプライアンス ライセンスの機能

PIX 535
R(制限付き)
UR(制限なし)
FO(フェールオーバー)24
FO-AA(フェールオーバー Active/Active) 1

Advanced Endpoint Assessment

サポートしない

サポートしない

サポートしない

サポートしない

暗号化

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

なし

オプション ライセンス:

基本(DES)

強化(3DES/
AES)

基本(DES)

強化(3DES/
AES)

基本(DES)

強化(3DES/
AES)

基本(DES)

強化(3DES/
AES)

フェールオーバー

サポートしない

Active/Standby
Active/Active

Active/Standby

Active/Standby
Active/Active

ファイアウォールの接続、同時

250 K

500 K

500 K

500 K

GTP/GPRS

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

なし

オプション ライセンス:
イネーブル

IPSec セッション

2000

2000

2000

2000

物理インターフェイス、最大

8

14

14

14

RAM、最小

512 MB(デフォルト)

1024 MB

1024 MB

1024 MB

セキュリティ コンテキスト

サポートしない

2

オプション ライセンス:

2

オプション ライセンス:

2

オプション ライセンス:

5

10

20

50

5

10

20

50

5

10

20

50

SSL VPN セッション

サポートしない

サポートしない

サポートしない

サポートしない

ユニファイド コミュニケーション プロキシ セッション

サポートしない

サポートしない

サポートしない

サポートしない

ユーザ、同時

制限なし

制限なし

制限なし

制限なし

VLAN、最大

50

150

150

150

VPN ロード バランシング

サポートしない

サポートしない

サポートしない

サポートしない

24.このライセンスは、UR ライセンスを持つ別の装置とのフェールオーバー ペアだけで使用できます。どちらの装置も同じモデルである必要があります。

機能ライセンスに関する情報

ライセンスは、特定のセキュリティ アプライアンスでイネーブルになっているオプションを指定します。これは、160 ビット(5 つの 32 ビットの単語または 20 バイト)値のアクティベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)とイネーブルになっている機能を符号化します。

この項は、次の内容で構成されています。

「事前にインストールされているライセンス」

「VPN Flex ライセンスと評価ライセンス」

事前にインストールされているライセンス

デフォルトでは、セキュリティ アプライアンスは、ライセンスがすでにインストールされた状態で出荷されます。このライセンスは、他のライセンスを追加する必要のある基本ライセンスか、お客様が発注した製品およびベンダーでインストールした製品によってはすべてのライセンスがすでにインストールされています。インストールしたライセンスを確認するには、「現在のライセンスの表示」を参照してください。

VPN Flex ライセンスと評価ライセンス


) PIX 500 シリーズのセキュリティ アプライアンスでは、一時ライセンスはサポートされません。


永続ライセンスに加えて、一時的な VPN Flex ライセンスを購入するか、有効期限がある評価ライセンスを受け取ることができます。たとえば、短期間の同時 SSL VPN ユーザ数の急増に対処するには、VPN Flex ライセンスを購入できます。

この項は、次の内容で構成されています。

「一時ライセンスのタイマーの機能方法」

「複数のライセンスが相互作用するしくみ」

「フェールオーバーと一時ライセンス」

一時ライセンスのタイマーの機能方法

一時ライセンスのタイマーは、セキュリティ アプライアンスでライセンスをアクティブにするとカウントダウンを開始します。

一時ライセンスがタイムアウトになる前に使用を停止する(たとえば、永続ライセンスまたは別の一時ライセンスをアクティブにする)と、タイマーは停止します。タイマーは、一時ライセンスを再度アクティブにした場合だけ再び開始されます。

一時ライセンスがアクティブになっているときにセキュリティ アプライアンスをシャットダウンすると、タイマーは引き続きカウントダウンします。セキュリティ アプライアンスを長期間シャットダウン状態にしておく場合は、一時ライセンスを保存するために、シャットダウン前に永続ライセンスをアクティブにする必要があります。

一時ライセンスの期限が切れると、次回セキュリティ アプライアンスをリロードしたときに、永続ライセンスが使用されます。ライセンスの期限が切れたときに、リロードを即時に実行するよう強制されません。


) 一時ライセンスのインストール後は、システム クロックを変更しないことをお勧めします。クロックを後の日付に設定してからリロードすると、セキュリティ アプライアンスは、システム クロックを元のインストール時刻と照合して、実際に使用したよりも多くの時間が経過したと想定します。クロックを元の時間に設定した場合に、実際の実行時間が、元のインストール時刻とシステム クロックの間の時間よりも長いと、リロード後にライセンスは即時に期限切れになります。


複数のライセンスが相互作用するしくみ

一時ライセンスをアクティブにすると、実行中ライセンスを作成するために、永続ライセンスと一時ライセンスの両方の機能が組み合されます。セキュリティ アプライアンスは、機能ごとに各ライセンスの最大値を使用し、一時アクティベーション キーの入力時にライセンス間の解決された競合を表示します。一時ライセンスの能力が永続ライセンスよりも低いようなまれな状況では、永続ライセンスの値が使用されます。

永続ライセンスをアクティブにすると、現在実行中の永続ライセンスと一時ライセンスが上書きされ、実行中ライセンスになります。


) 永続ライセンスが一時ライセンスからのダウングレードである場合は、一時ライセンスをディセーブルにして永続ライセンスを復元するために、セキュリティ アプライアンスをリロードする必要があります。一時ライセンスは、リロードまで引き続きカウントダウンします。

暫定リリース 8.0(4.16) には、すでにインストールされている永続ライセンスを再度アクティブにした後でセキュリティ アプライアンスをリロードせずにすむような拡張機能が組み込まれています。この拡張機能は、トラフィックを中断することなく、一時ライセンスでカウントダウンし続けないようにします。


永続ライセンスを後でアクティブにした場合に一時ライセンスの機能を再度イネーブルにするには、単純に一時アクティベーション キーを再入力します。ライセンスのアップグレードでは、リロードは不要です。

別の一時ライセンスに切り替えるには、その新しいアクティベーション キーを入力します。古い一時ライセンスの代わりに新規ライセンスが使用され、新しい実行中ライセンスを作成するために永続ライセンスと組み合されます。セキュリティ アプライアンスには、複数の一時ライセンスをインストールできますが、任意の時点でアクティブになるのは 1 つだけです。

永続アクティベーション キーと VPN Flex アクティベーション キーの例、およびこれらのアクティベーション キーが相互作用する方法については、次の図を参照してください。

図 3-1 永続アクティベーション キーと VPN Flex アクティベーション キー

 

フェールオーバーと一時ライセンス

一時ライセンスは、フェールオーバー装置ではアクティブになっている限りカウントダウンを続けるため、一時ライセンスを短期間だけアクティブにするような緊急時を除き、フェールオーバー状態での一時ライセンスの使用はお勧めしません。この場合は、永続ライセンスと一時ライセンス間で機能が同等であれば、ある装置が永続ライセンスを使用して、別の装置が一時ライセンスを使用できます。この機能は、装置でハードウェアが故障した場合に、代わりの装置が到着するまで短期間その装置を交換する必要がある場合に役立ちます。

ガイドラインと制限事項

アクティベーション キーの次のガイドラインを参照してください。

コンテキスト モードのガイドライン

マルチ コンテキスト モードでは、システム実行スペースでアクティベーション キーを適用します。

ファイアウォール モードのガイドライン

アクティベーション キーは、ルーテッド モードと透過モードの両方で使用可能です。

フェールオーバーのガイドライン

一時ライセンスは、フェールオーバー装置ではアクティブになっている限りカウントダウンを続けるため、一時ライセンスを短期間だけアクティブにするような緊急時を除き、フェールオーバー状態での一時ライセンスの使用はお勧めしません。この場合は、永続ライセンスと一時ライセンス間で機能が同等であれば、ある装置が永続ライセンスを使用して、別の装置が一時ライセンスを使用できます。この機能は、装置でハードウェアが故障した場合に、代わりの装置が到着するまで短期間その装置を交換する必要がある場合に役立ちます。

追加のガイドラインと制限事項

アクティベーション キーは、コンフィギュレーション ファイルには保存されません。これは、フラッシュ メモリに隠しファイルとして保存されます。

アクティベーション キーはデバイスのシリアル番号に結び付けられます。機能ライセンスはデバイス間で転送できません(ハードウェアの故障の場合を除く)。ハードウェアの故障が原因でデバイスを交換する必要がある場合は、既存のライセンスを新しいシリアル番号に転送するためにシスコのライセンス チームにお問い合せください。シスコのライセンス チームは、Product Authorization Key の参照番号と既存のシリアル番号を尋ねます。

購入後に、返金またはアップグレードしたライセンスのためにライセンスを返却することはできません。

同じ機能の 2 つの別個のライセンスを一緒に追加することはできません。たとえば、25 セッション SSL VPN ライセンスを購入し、後から 50 セッション ライセンスを購入しても、75 個のセッションを使用できるわけではなく、使用できるのは最大 50 個のセッションです。

現在のライセンスの表示

ここでは、現在のライセンスを表示する方法と、一時アクティベーション キーについてライセンスの残り時間を表示する方法について説明します。

手順の詳細

 

コマンド
目的
show activation-key detail
 
例:
hostname# show activation-key detail

一時ライセンスに関する情報を含む、インストール済みのライセンスを表示します。

次に、 show activation-key detail コマンドの出力例を示します。このコマンドは、永続アクティベーション ライセンス、アクティブな一時ライセンス、マージされた実行中ライセンス、および非アクティブな一時ライセンスのアクティベーション キーを表示します。

 

hostname# show activation-key detail
 
Serial Number: JMX0916L0Z4
 
Permanent Flash Activation Key: 0xf412675d 0x48a446bc 0x8c532580 0xb000b8c4 0xcc21f48e
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 200
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : 5000
WebVPN Peers : 2
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled
UC Proxy Sessions: : 2
 
Temporary Flash Activation Key: 0xcb0367ce 0x700dd51d 0xd57b98e3 0x6ebcf553 0x0b058aac
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 200
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Disabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : 5000
WebVPN Peers : 500
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled
UC Proxy Sessions: : 2
This is a time-based license that will expire in 27 day(s).
 
Running Activation Key: 0xcb0367ce 0x700dd51d 0xd57b98e3 0x6ebcf553 0x0b058aac
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 200
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : 5000
WebVPN Peers : 500
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Disabled
UC Proxy Sessions: : 2
 
 
This platform has an ASA 5540 VPN Premium license.
This is a time-based license that will expire in 27 day(s).
 
The flash activation key is the SAME as the running key.
 
Non-active temporary keys: Time left
------------------------------------------------------------------
0x2a53d6 0xfc087bfe 0x691b94fb 0x73dc8bf3 0xcc028ca2 28 day(s)
0xa13a46c2 0x7c10ec8d 0xad8a2257 0x5ec0ab7f 0x86221397 27 day(s)

アクティベーション キーの取得

アクティベーション キーを取得するには、シスコの代理店から購入できる Product Authorization Key が必要になります。機能ライセンスごとに別個の Product Activation Key を購入する必要があります。たとえば、基本ライセンスがある場合は、Advanced Endpoint Assessment と追加の SSL VPN セッション用に別のキーを購入できます。


) フェールオーバー ペアの場合は、装置ごとに別個のアクティベーション キーが必要です。キーに含まれているライセンスは、両方の装置で同じにしてください。


Product Authorization Key の取得後に、次の手順に従って Cisco.com に登録します。


ステップ 1 次のコマンドを入力して、セキュリティ アプライアンスのシリアル番号を取得します。

hostname# show activation-key
 

ステップ 2 次のいずれかの URL にアクセスします。

Cisco.com の登録ユーザの場合は、次の Web サイトを使用します。

http://www.cisco.com/go/license

Cisco.com の登録ユーザ以外の場合は、次の Web サイトを使用します。

http://www.cisco.com/go/license/public

ステップ 3 プロンプトが表示されたら、次の情報を入力します。

Product Authorization Key(複数のキーがある場合は、そのうちの 1 つを最初に入力します。キーごとに別プロセスで入力する必要があります)

セキュリティ アプライアンスのシリアル番号

電子メール アドレス

アクティベーション キーが自動的に生成され、指定した電子メール アドレスに送信されます。このキーには、永続ライセンスについて今までに登録したすべての機能が含まれています。VPN Flex ライセンスの場合は、ライセンスごとに別個のアクティベーション キーがあります。

ステップ 4 追加の Product Authorization Key がある場合は、Product Authorization Key ごとにステップ 3 を繰り返します。Product Authorization Key をすべて入力すると、指定した最後のアクティベーション キーに、登録したすべての永続機能が含められます。


 

新しいアクティベーション キーの入力

アクティベーション キーを入力する前に、フラッシュ メモリ内のイメージと実行イメージが同一であることを確認します。これは、セキュリティ アプライアンスをリロードしてから新しいアクティベーション キーを入力することで確認できます。

前提条件

すでにマルチ コンテキスト モードに入っている場合は、システム実行スペースにアクティベーション キーを入力します。

一部のライセンスでは、アクティブにした後でセキュリティ アプライアンスをリロードする必要があります。 表 3-9 に、リロードが必要なライセンスをリストします。

 

表 3-9 ライセンスのリロード要件

モデル
リロードが必要なライセンス アクション

ASA 5505 と ASA 5510

基本ライセンスと Security Plus ライセンス間の切り替え。

PIX 500 シリーズ

R、UR、FO、および FO-AA の各ライセンス間の切り替え。

すべてのモデル

Encryption ライセンスの変更。

すべてのモデル

ライセンスのダウングレード(たとえば、10 個のコンテキストから 2 個のコンテキストへ)。

(注) 一時ライセンスの期限が切れた場合に、永続ライセンスがダウングレードであるときは、セキュリティ アプライアンスを即時にリロードする必要はありません。次回のリロード時に、永続ライセンスが復元されます。

手順の詳細

 

 
コマンド
目的

ステップ 1

activation-key key

 

例:

hostname(config)# activation-key
0xd11b3d48 0xa80a4c0a 0x48e0fd1c
0xb0443480 0x843fc490

アクティベーション キーをセキュリティ アプライアンスに適用します。キーは、5 つのエレメントからなる 16 進文字列です。各エレメントは 1 つのスペースで区切られます。先頭部分の 0x 指定子は省略できます。値は、すべて 16 進数であると見なされます。

1 つの永続キーと複数の一時キーを入力できます。入力した最後の一時キーがアクティブなキーになります。詳細については、「VPN Flex ライセンスと評価ライセンス」を参照してください。実行中のアクティベーション キーを変更するには、新しいキー値とともに activation-key コマンドを入力します。

ステップ 2

reload
 
例:
hostname(config)# reload

(必要になる可能性があります)セキュリティ アプライアンスをリロードします。一部のライセンスでは、新しいアクティベーション キーの入力後にセキュリティ アプライアンスをリロードする必要があります。リロードが必要なライセンスのリストについては、表 3-9 を参照してください。リロードする必要がある場合は、次のメッセージが表示されます。

WARNING: The running activation key was not updated with the requested key. The flash activation key was updated with the requested key, and will become active after the next reload.

フェールオーバー ペアのライセンスのアップグレード

フェールオーバー ペアでライセンスをアップグレードする必要がある場合は、ライセンスがリロードを必要とするかどうかに応じて、ある程度のダウンタイムが発生することがあります。リロードが必要なライセンスの詳細については、表 3-9 を参照してください。この項は、次の内容で構成されています。

「フェールオーバーのライセンスのアップグレード(リロードは不要)」

「フェールオーバーのライセンスのアップグレード(リロードが必要)」

フェールオーバーのライセンスのアップグレード(リロードは不要)

新しいライセンスでリロードが必要ない場合は、次の手順を使用してください。リロードが必要なライセンスの詳細については、表 3-9 を参照してください。この手順では、ダウンタイムは発生しません。

手順の詳細

 

 
コマンド
目的

 

アクティブ装置の場合:

ステップ 1

no failover

 

例:

active(config)# no failover

アクティブ装置でフェールオーバーをディセーブルにします。スタンバイ装置はスタンバイ モードになったままになります。

ステップ 2

activation-key key

 

例:

active(config)# activation-key 0xd11b3d48

0xa80a4c0a 0x48e0fd1c 0xb0443480

0x843fc490

アクティブ装置に新しいライセンスをインストールします。

 

スタンバイ装置の場合:

ステップ 3

activation-key key

 

例:

standby(config)# activation-key 0xc125727f

0x903de1ee 0x8c838928 0x92dc84d4

0x003a2ba0

スタンバイ装置に新しいライセンスをインストールします。

 

アクティブ装置の場合:

ステップ 4

failover

 

例:

active(config)# failover

フェールオーバーを再度イネーブルにします。

フェールオーバーのライセンスのアップグレード(リロードが必要)

新しいライセンスでリロードが必要な場合は、次の手順を使用してください。リロードが必要なライセンスの詳細については、表 3-9 を参照してください。フェールオーバー ペアをリロードすると、リロード中に接続が失われます。

手順の詳細

 

 
コマンド
目的

 

アクティブ装置の場合:

ステップ 1

no failover

 

例:

active(config)# no failover

アクティブ装置でフェールオーバーをディセーブルにします。スタンバイ装置はスタンバイ モードになったままになります。

ステップ 2

activation-key key

 

例:

active(config)# activation-key 0xd11b3d48

0xa80a4c0a 0x48e0fd1c 0xb0443480

0x843fc490

アクティブ装置に新しいライセンスをインストールします。

リロードする必要がある場合は、次のメッセージが表示されます。

WARNING: The running activation key was not updated with
the requested key. The flash activation key was updated
with the requested key, and will become active after the
next reload.
 

リロードする必要がない場合は、この手順の代わりに「フェールオーバーのライセンスのアップグレード(リロードは不要)」に従ってください。

 

スタンバイ装置の場合:

ステップ 3

activation-key key

 

例:

standby(config)# activation-key 0xc125727f

0x903de1ee 0x8c838928 0x92dc84d4

0x003a2ba0

スタンバイ装置に新しいライセンスをインストールします。

ステップ 4

reload

 

例:

standby(config)# reload

スタンバイ装置をリロードします。

 

アクティブ装置の場合:

ステップ 5

reload

 

例:

active(config)# reload

アクティブ装置をリロードします。リロード前に設定を保存するようプロンプトが表示されたら、 No と応答します。これは、アクティブ装置が復旧したときに、フェールオーバーが引き続きイネーブルになることを意味します。

ライセンスの機能履歴

表 3-10 に、この機能のリリース履歴をリストします。

 

表 3-10 ライセンスの機能履歴

機能名
リリース
機能の情報

増加した接続と VLAN

7.0(5)

次の制限値が増えました。

ASA5510 基本ライセンスの接続が 32000 から 5000 に、VLAN が 0 から 10 に増加。

ASA5510 Security Plus ライセンスの接続が 64000 から 130000 に、VLAN が 10 から 25 に増加。

ASA5520 の接続が 130000 から 280000 に、VLAN が 25 から 100 に増加。

ASA5540 の接続が 280000 から 400000 に、VLAN が 100 から 200 に増加。

ASA 5500 シリーズの SSL VPN ライセンス

7.1(1)

SSL VPN ライセンスが導入されました。この機能は、Cisco PIX 500 シリーズではサポートされません。

SSL VPN ライセンスの増加

7.2(1)

ASA 5550 以降で 5000 ユーザ SSL VPN ライセンスが導入されました。

増加した VLAN

7.2(2)

ASA 5505 における Security Plus ライセンスの VLAN の最大数が、5(完全に機能するものが 3 個、1 個のフェールオーバー、バックアップ インターフェイスに制限されたものが 1 個)から 20 個の完全に機能するインターフェイスに増えました。さらに、トランク ポートの数が 1 から 8 に増えました。完全に機能するインターフェイスが 20 個になったため、バックアップ ISP インターフェイスを無効にするために backup interface コマンドを使用する必要はありません。完全に機能するインターフェイスを使用できます。Easy VPN の設定では、引き続き backup interface コマンドが役に立ちます。

VLAN の制限も、ASA 5510(基本ライセンスでは 10 から 50、Security Plus ライセンスでは 25 から 100)、ASA 5520(100 から 150)、ASA 5550(200 から 250)で増えました。

ASA 5510 Security Plus ライセンスのギガビット イーサネット サポート

7.2(3)

ASA 5510 セキュリティ アプライアンスでは、Security Plus ライセンスでイーサネット 0/0 ポートおよび 0/1 ポートのギガビット イーサネット(1000 Mbps)がサポートされるようになりました。基本ライセンスでは、引き続きファスト イーサネット(100 Mbps)ポートとして使用されます。イーサネット 0/2、0/3、および 0/4 は、どちらのライセンスでもファスト イーサネット ポートのままです。

(注) インターフェイス名はイーサネット 0/0 とイーサネット 0/1 のままになります。

インターフェイスの速度を変更するには speed コマンドを使用し、インターフェイスごとに現在設定されている速度を確認するには show interface コマンドを使用します。

ASA 5500 シリーズの Advanced Endpoint Assessment ライセンス

8.0(2)

Advanced Endpoint Assessment ライセンスが導入されました。Cisco AnyConnect またはクライアントレス SSL VPN 接続の完了の条件として、リモート コンピュータは、アンチウイルス アプリケーションとアンチスパイウェア アプリケーション、ファイアウォール、オペレーティング システム、および関連する更新の大幅に拡張されたコレクションをスキャンします。また、ユーザが指定したレジストリ エントリ、ファイル名、およびプロセス名もスキャンします。スキャン結果は適応型セキュリティ アプライアンスに送信されます。セキュリティ アプライアンスは、ユーザ ログイン クレデンシャルとコンピュータのスキャン結果の両方を使用して、ダイナミック アクセス ポリシー(DAP)を割り当てます。

Advanced Endpoint Assessment ライセンスを使用して、ホスト スキャンを拡張し、互換性のないコンピュータを、バージョン要件を満たすように更新することができます。

ホスト スキャンがサポートするアプリケーションとバージョンのリストに対し、タイムリーな更新を Cisco Secure Desktop とは別のパッケージで提供します。

この機能は、PIX 500 シリーズではサポートされません。

ASA 5510 の VPN ロード バランシング

8.0(2)

VPN ロード バランシングが、ASA 5510 Security Plus ライセンスでサポートされるようになりました。

ASA 5500 シリーズの VPN Flex ライセンスと一時ライセンス

8.0(4)

一時ライセンスのサポートが導入されました。この機能は、PIX 500 シリーズではサポートされません。

ASA 5500 シリーズのユニファイド コミュニケーション プロキシ セッション ライセンス

8.0(4)

UC プロキシ セッション ライセンスが導入されました。この機能はバージョン 8.1 では使用できません。この機能は、PIX 500 シリーズではサポートされません。