Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
機能のライセンスの管理
機能のライセンスの管理
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

機能のライセンスの管理

モデルごとにサポートされている機能のライセンス

モデルごとのライセンス

ライセンスの注釈

機能のライセンスに関する情報

事前インストールされているライセンス

一時ライセンス、VPN Flex ライセンス、および評価ライセンス

一時ライセンス タイマーの動作

複数ライセンスの相互作用

フェールオーバーと一時ライセンス

共有ライセンス

共有ライセンスのサーバと参加システムに関する情報

参加システムとサーバの間の通信に関する問題

共有ライセンス バックアップ サーバに関する情報

フェールオーバーと共有ライセンス

参加システムの最大数

ライセンスの FAQ

ガイドラインと制限事項

現在のライセンスの表示

アクティベーション キーの取得

新しいアクティベーション キーの入力

フェールオーバー ペア用ライセンスのアップグレード

フェールオーバー用ライセンスのアップグレード(リロードが不要な場合)

フェールオーバー用ライセンスのアップグレード(リロードが必要な場合)

共有ライセンスの設定

共有ライセンス サーバの設定

共有ライセンス バックアップ サーバの設定(オプション)

共有ライセンス参加システムの設定

共有ライセンスの監視

ライセンスの機能履歴

機能のライセンスの管理

ライセンスでは、特定の適応型セキュリティ アプライアンス上でイネーブルにするオプションを指定します。ライセンスは、160 ビット(32 ビットのワードが 5 個、または 20 バイト)値であるアクティベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)とイネーブルになる機能とを符号化します。

この章では、アクティベーション キーを取得してアクティブにする方法について説明します。また、各モデルに使用できるライセンスについても説明します。この章には、次の項があります。

「モデルごとにサポートされている機能のライセンス」

「機能のライセンスに関する情報」

「ガイドラインと制限事項」

「現在のライセンスの表示」

「アクティベーション キーの取得」

「新しいアクティベーション キーの入力」

「フェールオーバー ペア用ライセンスのアップグレード」

「共有ライセンスの設定」

「ライセンスの機能履歴」

モデルごとにサポートされている機能のライセンス

この項では、各モデルに使用できるライセンスと、ライセンスに関する特記事項について説明します。この項は、次の内容で構成されています。

「モデルごとのライセンス」

「ライセンスの注釈」

モデルごとのライセンス

この項では、各モデルに使用できる機能のライセンスを示します。

ASA 5505、表 3-1

ASA 5510、表 3-2

ASA 5520、表 3-3

ASA 5540、表 3-4

ASA 5550、表 3-5

ASA 5580、表 3-6

イタリック体で示された項目は、基本ライセンスまたは Security Plus ライセンスと置換できる、個別のオプション ライセンスです。ライセンスは、混合し組み合せることができます。たとえば、10 セキュリティ コンテキスト ライセンスと Strong Encryption ライセンス、500 Clientless SSL VPN ライセンスと GTP/GPRS ライセンス、または 4 つのライセンスを同時に使用することができます。

 

表 3-1 ASA 5505 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5505
基本ライセンス
Security Plus
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの一時ライセンス:使用可能

ディセーブル

オプションの一時ライセンス:使用可能

ファイアウォールの接続、同時

10 K

25 K

GTP/GPRS

サポートしない

サポートしない

Unified Comm.セッション1

2

オプション ライセンス:24

2

オプション ライセンス:24

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

IPSec セッション1

10(最大 25 の組み合せた IPSec と SSL VPN)

25(最大 25 の組み合せた IPSec と SSL VPN)

プレミアム SSL VPN セッション1

2

オプションの永続ライセンス:

2

オプションの永続ライセンス:

10

25

10

25

VPN ロードバランシング

サポートしない

サポートしない

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

サポートしない

Active/Standby(ステートフル フェールオーバーなし)

セキュリティ コンテキスト

サポートしない

サポートしない

ユーザ、同時2

103

オプション ライセンス:

103

オプション ライセンス:

50

制限なし

50

制限なし

VLAN/ゾーン、最大

3(2 つの正規ゾーンと 1 つの制限ゾーン)

20

VLAN トランク、最大

サポートしない

8 トランク

1.「ライセンスの注釈」の項を参照してください。

2.ルーテッド モードでは、内部(ビジネス VLAN およびホーム VLAN)のホストでは、それらが外部(インターネット VLAN)と通信する場合にだけ、制限に対してカウントされます。インターネット ホストは制限に対してカウントされません。ビジネスとホーム間のトラフィックを開始するホストも制限に対してカウントされません。デフォルトのルートと関連付けられているインターフェイスは、インターネット インターフェイスであると見なされます。デフォルトのルートがない場合、すべてのインターフェイス上のホストは制限に対してカウントされます。トランスペアレント モードでは、ホストの数が最小のインターフェイスがホストの制限に対してカウントされます。ホストの制限を表示するには、show local-host コマンドを参照してください。

3.10 ユーザ ライセンスの場合、最大 DHCP クライアント数は 32 です。50 ユーザの場合、最大数 は 128 です。ユーザ制限なしの場合、最大数 は 250 です。これは、他のモデルの最大数です。

 

表 3-2 ASA 5510 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5510
基本ライセンス
Security Plus
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの一時ライセンス:使用可能

ディセーブル

オプションの一時ライセンス:使用可能

ファイアウォールの接続、同時

50 K

130 K

GTP/GPRS

サポートしない

サポートしない

Unified Comm.セッション4

2

オプション ライセンス:

2

オプション ライセンス:

24

50

100

24

50

100

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

IPSec セッション1

250(最大 250 の組み合せた IPSec と SSL VPN)

250(最大 250 の組み合せた IPSec と SSL VPN)

プレミアム SSL VPN セッション1

2

オプションの永続ライセンス:

2

オプションの永続ライセンス:

10

25

50

100

250

10

25

50

100

250

オプションの共有ライセンス、クライアントまたはサーバ。サーバの場合: 1

オプションの共有ライセンス、クライアントまたはサーバ。サーバの場合: 1

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

オプションの VPN Flex ライセンス:250

オプションの VPN Flex ライセンス:250

VPN ロードバランシング

サポートしない

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

サポートしない

Active/Standby または Active/Active1

セキュリティ コンテキスト

サポートしない

2

オプション ライセンス:

5

VLAN、最大

50

100

4.「ライセンスの注釈」の項を参照してください。

 

表 3-3 ASA 5520 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5520
基本ライセンス
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの一時ライセンス:使用可能

ファイアウォールの接続、同時

280 K

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Unified Communications Proxy セッション5

2

オプション ライセンス:

24

50

100

250

500

750

1000

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

IPSec セッション1

750(最大 750 の組み合せた IPSec と SSL VPN)

プレミアム SSL VPN セッション1

2

オプションの永続ライセンス:

10

25

50

100

250

500

750

オプションの共有ライセンス、クライアントまたはサーバ。サーバの場合: 1

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

オプションの VPN Flex ライセンス:

250

750

VPN ロードバランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

VLAN、最大

150

5.「ライセンスの注釈」の項を参照してください。

 

表 3-4 ASA 5540 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5540
基本ライセンス
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの一時ライセンス:使用可能

ファイアウォールの接続、同時

400 K

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Unified Communications Proxy セッション6

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

IPSec セッション1

5000(最大 5000 の組み合せた IPSec と SSL VPN)

プレミアム SSL VPN セッション1

2

オプションの永続ライセンス:

10

25

50

100

250

500

750

1000

2500

オプションの共有ライセンス、クライアントまたはサーバ。サーバの場合: 1

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

オプションの VPN Flex ライセンス:

250

750

1000

2500

VPN ロードバランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VLAN、最大

200

6.「ライセンスの注釈」の項を参照してください。

 

表 3-5 ASA 5550 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5550
基本ライセンス
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの一時ライセンス:使用可能

ファイアウォールの接続、同時

650 K

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Unified Communications Proxy セッション7

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

IPSec セッション1

5000(最大 5000 の組み合せた IPSec と SSL VPN)

プレミアム SSL VPN セッション1

2

オプションの永続ライセンス:

10

25

50

100

250

500

750

1000

2500

5000

オプションの共有ライセンス、クライアントまたはサーバ。サーバの場合: 1

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

オプションの VPN Flex ライセンス:

250

750

1000

2500

5000

VPN ロードバランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VLAN、最大

250

7.「ライセンスの注釈」の項を参照してください。

 

表 3-6 ASA 5580 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5580
基本ライセンス
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの一時ライセンス:使用可能

ファイアウォールの接続、同時

650 K

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Unified Communications Proxy セッション8

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

5000

100009

VPN ライセンス

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

VPN ロードバランシング

サポート対象

IPSec セッション1

5000(最大 5000 の組み合せた IPSec と SSL VPN)

プレミアム SSL VPN セッション1

2

オプションの永続ライセンス:

10

25

50

100

250

500

750

1000

2500

5000

オプションの共有ライセンス、クライアントまたはサーバ。サーバの場合: 1

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

オプションの VPN Flex ライセンス:

250

750

1000

2500

5000

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VLAN、最大

250

8.「ライセンスの注釈」の項を参照してください。

9.10,000 セッション ライセンスの場合、組み合せたセッション数は合計 10,000 までですが、Phone Proxy セッションの最大数は 5000 です。

ライセンスの注釈

 

表 3-7 ライセンスの注釈

ライセンス

AnyConnect Essentials

AnyConnect Essentials では、 基本の AnyConnect クライアント機能を使用でき、プラットフォームの制限値までの SSL VPN セッションがサポートされます。このライセンスは、Windows Mobile 5.0、6.0、および 6.1 を実行しているタッチスクリーン デバイスでの SSL VPN へのアクセスを提供します。CSD やクライアントレス SSL VPN など、一部の高度な機能はサポートされません。AnyConnect Essentials ライセンスは、プレミアム SSL VPN ライセンス、プレミアム SSL VPN 共有ライセンス、VPN Flex プレミアム SSL VPN ライセンス、および Advanced Endpoint Assessment ライセンスとは互換性がありません。デフォルトでは、上記のライセンスの代わりに AnyConnect Essentials ライセンスが使用されますが、 no anyconnect-essentials コマンドを使用することで、コンフィギュレーションで AnyConnect Essentials ライセンスをディセーブルにし、他のライセンスの使用を復元することができます。

AnyConnect Mobile

AnyConnect Mobile ライセンスは、AnyConnect Essentials と同様に、Windows Mobile 5.0、6.0、および 6.1 を実行しているタッチスクリーン デバイスでの SSL VPN へのアクセスを提供します。AnyConnect 2.3 へのモバイル アクセスのサポートが必要で、AnyConnect Essentials と互換性のないライセンスを使用している場合は、このライセンスの使用をお勧めします。このライセンスは、プレミアム SSL VPN ライセンスと互換性があります。このライセンスと AnyConnect Essentials はモバイル アクセス機能が重複するため、同時に使用することはお勧めしません。ただし、AnyConnect 2.3 では、これら 2 つのライセンスに互換性があります。

Active/Active フェールオーバー

Active/Active フェールオーバーと VPN は同時に使用できません。VPN を使用する必要がある場合は、Active/Standby フェールオーバーを使用します。

Unified Communications Proxy セッション

Phone Proxy、Mobility Proxy、Presence Federation Proxy、および TLS Proxy は、すべて UC Proxy 傘下でライセンスされ、混合や組み合せが可能です。たとえば、プライマリとバックアップの Cisco Unified Communications Manager を電話に設定した場合は、TLS/SRTP 接続が 2 つあるため、UC Proxy セッションも 2 つ使用されます。

IPSec と SSL VPN セッション

IPSec セッションと SSL VPN セッションの最大数の合計が、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、適応型セキュリティ アプライアンスをオーバーロードして、ネットワークのサイズを適切にすることができます。合計の限界のセッション構成を決定する場合、SSL VPN セッションの数はライセンスが与えられている SSL VPN セッション セキュリティ アプライアンスの数(デフォルトでは 2)を超えることはできません。

クライアントレス SSL VPN セッションを開始した後、ポータルから AnyConnect クライアント セッションを開始した場合は、合計 1 つのセッションが使用されています。これに対して、最初に AnyConnect クライアントを(スタンドアロン クライアントなどから)開始した後、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが使用されています。

共有 プレミアム SSL VPN セッション

共有ライセンスによって、適応型セキュリティ アプライアンスは複数のクライアントの適応型セキュリティ アプライアンスの共有ライセンス サーバとして機能します。共有ライセンス プールは大規模ですが、個々の適応型セキュリティ アプライアンスによって使用されるセッションの最大数は、永続的なライセンスで指定される最大数を超えることはできません。

 

機能のライセンスに関する情報

ライセンスでは、特定の適応型セキュリティ アプライアンス上でイネーブルにするオプションを指定します。ライセンスは、160 ビット(32 ビットのワードが 5 個、または 20 バイト)値であるアクティベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)とイネーブルになる機能とを符号化します。

この項は、次の内容で構成されています。

「事前インストールされているライセンス」

「一時ライセンス、VPN Flex ライセンス、および評価ライセンス」

「共有ライセンス」

「ライセンスの FAQ」

事前インストールされているライセンス

デフォルトでは、適応型セキュリティ アプライアンスの出荷時にライセンスが事前インストールされています。このライセンスは、発注内容や、ベンダーによるインストール内容によって異なります。基本ライセンスがインストールされていて、さらにライセンスを追加する必要がある場合もあれば、すでにすべてのライセンスがインストールされている場合もあります。インストールされているライセンスを特定するには、「現在のライセンスの表示」を参照してください。

一時ライセンス、VPN Flex ライセンス、および評価ライセンス

永続ライセンスに加えて、一時ライセンスを購入したり、時間制限のある評価ライセンスを入手したりできます。たとえば、SSL VPN の同時ユーザの短期増加に対処するために VPN Flex ライセンスを購入したり、1 年間有効なボットネット トラフィック フィルタ一時ライセンスを注文したりできます。

この項は、次の内容で構成されています。

「一時ライセンス タイマーの動作」

「複数ライセンスの相互作用」

「フェールオーバーと一時ライセンス」

一時ライセンス タイマーの動作

一時ライセンスのタイマーは、適応型セキュリティ アプライアンス上でライセンスをアクティブにした時点でカウントダウンを開始します。

永続ライセンスや別の一時ライセンスのアクティブ化などによって、タイムアウト前に一時ライセンスの使用を中止すると、タイマーが停止します。一時ライセンスを再度アクティブ化すると、タイマーが再開します。

一時ライセンスがアクティブになっているときに適応型セキュリティ アプライアンスをシャットダウンしても、タイマーはカウントダウンを続行します。適応型セキュリティ アプライアンスを長期にわたってシャットダウンしたままにする場合、一時ライセンスを維持するためには、シャットダウンする前に永続ライセンスをアクティブにする必要があります。

一時ライセンスの有効期限が切れると、次に適応型セキュリティ アプライアンスをリロードした際に永続ライセンスが使用されます。期限が切れた時点ですぐにリロードする必要はありません。


) 一時ライセンスをインストールした後は、システム クロックを変更しないことをお勧めします。システム クロックを先の日付に進めてからリロードした場合、適応型セキュリティ アプライアンスではクロックが元のインストール日時と比較され、実際よりも長い使用時間が経過したものと見なされます。システム クロックを遅らせて、元のインストール日時との時間差よりも実際の実行時間が長くなった場合は、リロード直後にライセンスが無効になります。


複数ライセンスの相互作用

一時ライセンスをアクティブにすると、永続ライセンスと一時ライセンスに含まれる機能を組み合せた実行ライセンスが作成されます。適応型セキュリティ アプライアンスでは、それぞれのライセンスから各機能に対する最高値が使用されます。ライセンス間で解決された競合があれば、一時アクティベーション キーの入力時に表示されます。まれに、一時ライセンスに永続ライセンスよりも低い機能が含まれていた場合は、永続ライセンスの値が使用されます。

永続ライセンスをアクティブにすると、現在実行されている永続ライセンスと一時ライセンスが上書きされ、アクティブにしたライセンスが実行ライセンスになります。


) 新しくインストールした永続ライセンスが一時ライセンスからのダウングレードである場合、一時ライセンスをディセーブルにして永続ライセンスを復元するには、適応型セキュリティ アプライアンスをリロードする必要があります。リロードするまでは、一時ライセンスのカウントダウンが続行されます。

すでにインストールされている永続ライセンスを再度アクティブにした場合は、適応型セキュリティ アプライアンスをリロードする必要がありません。一時ライセンスのカウントダウンは続行されず、トラフィックの中断もありません。


後で永続ライセンスをアクティブにした場合、一時ライセンスの機能を再度イネーブルにするには、一時アクティベーション キーを再度入力します。ライセンス アップグレードの際は、リロードする必要がありません。

別の一時ライセンスに切り替えるには、新しいアクティベーション キーを入力します。古い一時ライセンスの代わりに新しいライセンスが使用され、永続ライセンスと組み合せた新しい実行ライセンスが作成されます。適応型セキュリティ アプライアンスには複数の一時ライセンスをインストールできますが、常に 1 つだけがアクティブになります。

次の図に、永続アクティベーション キーおよび VPN Flex アクティベーション キーの例と、それらの相互作用について示します。

図 3-1 永続アクティベーション キーと VPN Flex アクティベーション キー

 

1. 上記の図の例 1 では、25 SSL セッションの一時キーを適用しています。VPN Flex 値が永続キー値の 10 セッションよりも大きいため、VPN Flex 値の 25 セッションを使用したマージ キーが実行キーになります。

2. 上記の例 2 では、例 1 のマージ キーが永続キーに置き換えられ、VPN Flex ライセンスがディセーブルになります。実行キーは、デフォルトの永続キー値の 10 セッションに戻ります。

3. 上記の例 3 では、50 コンテキストの評価ライセンスを永続キーに適用しています。その結果、永続キーのすべての機能に加えて 50 コンテキスト ライセンスを含むマージ キーが実行キーになります。

4. 上記の例 4 では、例 3 のマージ キーに VPN Flex キーを適用しています。適応型セキュリティ アプライアンスで使用できる一時キーは常に 1 つだけなので、評価キーが VPN Flex キーに置き換えられ、最終結果は例 1 のマージ キーと同じになります。

フェールオーバーと一時ライセンス

フェールオーバーには、同内容の複数のライセンスが必要です。フェールオーバーの目的上、一時ライセンスと永続ライセンスが同一と見なされるため、一方の装置に永続ライセンスを、もう一方の装置に一時ライセンスを使用できます。この機能性は緊急時に役立ちます。たとえば、いずれかの装置に障害が発生した場合に予備の装置があれば、一方の修理中に予備の装置をインストールできます。予備の装置で SSL VPN を通常使用しなければ、一方の修理中の解決策として VPN Flex ライセンスが最適です。

一時ライセンスは、フェールオーバー装置でアクティブになっている限りカウントダウンし続けるため、永続的なフェールオーバー インストールに使用することはお勧めしません。一時ライセンスの有効期限が切れると、フェールオーバーが機能しなくなります。

共有ライセンス

共有ライセンスを使用すると、購入した多数の SSL VPN セッションを、適応型セキュリティ アプライアンスのグループ間で必要に応じて共有できます。そのためには、いずれかの適応型セキュリティ アプライアンスを共有ライセンス サーバとして、残りを共有ライセンス参加システムとして設定します。この項では、共有ライセンスのしくみについて説明します。次の項目を取り上げます。

「共有ライセンスのサーバと参加システムに関する情報」

「参加システムとサーバの間の通信に関する問題」

「共有ライセンス バックアップ サーバに関する情報」

「フェールオーバーと共有ライセンス」

「参加システムの最大数」

共有ライセンスのサーバと参加システムに関する情報

次の手順では、共有ライセンスの使用方法を示します。

1. 共有ライセンス サーバにする適応型セキュリティ アプライアンスを決定し、そのデバイスのシリアル番号を使用して共有ライセンス サーバ ライセンスを購入します。

2. 共有ライセンス参加システム(共有ライセンス バックアップ サーバを含む)にする適応型セキュリティ アプライアンスを決定し、それらのデバイスのシリアル番号を使用して、デバイスごとに共有ライセンス参加ライセンスを取得します。

3. (オプション)2 番目の適応型セキュリティ アプライアンスを共有ライセンス バックアップ サーバとして指定します。バックアップ サーバとして指定できるのは 1 台だけです。


) 共有ライセンス バックアップ サーバに必要なライセンスは参加ライセンスだけです。


4. 共有ライセンス サーバで共有秘密を設定します。この共有秘密を持つ参加システムが、共有ライセンスを使用できます。

5. 適応型セキュリティ アプライアンスを参加システムとして設定する際は、ローカル ライセンスやモデル情報を含むシステム情報を送信することによって、共有ライセンス サーバに登録します。


) 参加システムは、IP ネットワーク経由でサーバと通信できる必要があります。サーバと同じサブネット上にある必要はありません。


6. 参加システムがサーバをポーリングする頻度に関する情報が、共有ライセンス サーバから返されます。

7. 参加システムがローカル ライセンスのセッションを使い果たすと、追加セッションの要求を 50 セッション単位で共有ライセンス サーバに送信します。

8. 共有ライセンスが共有ライセンス サーバから返されます。参加システムが使用できる合計セッション数は、そのプラットフォーム モデルの最大セッション数を超えることができません。


) 共有ライセンス サーバは、共有ライセンス プールに参加することもできます。参加時には参加ライセンスもサーバ ライセンスも必要ありません。


a. 参加システム用に十分な数のセッションが共有ライセンス プールに残っていない場合は、使用できる限りのセッション数がサーバから返されます。

b. 参加システムは、サーバで要求が完全に満たされるまで、さらにセッションを要求するリフレッシュ メッセージを送信し続けます。

9. 参加システムにおける負荷が減少した場合は、メッセージをサーバに送信して共有セッションを解放します。


) 適応型セキュリティ アプライアンスでは、サーバと参加システムの間のすべての通信が SSL で暗号化されます。


参加システムとサーバの間の通信に関する問題

参加システムとサーバの間の通信に関する問題については、次のガイドラインを参照してください。

参加システムがリフレッシュを送信することなくリフレッシュ間隔の 3 倍の時間が経過した場合は、サーバがセッションを解放して共有ライセンス プールに戻します。

参加システムがリフレッシュを送信しようとしてもライセンス サーバに到達できない場合、参加システムは、サーバから取得した共有ライセンスを最長 24 時間使用し続けることができます。

24 時間の経過後も参加システムがライセンス サーバと通信できない場合、参加システムは、引き続きセッションを必要としていても共有ライセンスを解放します。参加システムの既存の接続は確立されたままですが、ライセンス制限を超えて新しい接続を受け入れることはできません。

24 時間が経過する前に参加システムがサーバに再接続できたが、すでにサーバによって参加システムのセッションが無効にされていた場合、参加システムは新しいセッション要求を送信する必要があります。その参加システムに再割り当てできる限りのセッション数が、サーバから返されます。

共有ライセンス バックアップ サーバに関する情報

共有ライセンス バックアップ サーバは、バックアップの役割を引き受ける前に、メインの共有ライセンス サーバに正しく登録する必要があります。登録時に、メインの共有ライセンス サーバのサーバ設定と共有ライセンス情報がバックアップに同期されます。同期内容には、登録されている参加システムの一覧や、現在のライセンス使用状況が含まれます。メイン サーバとバックアップ サーバのデータは、10 秒間隔で同期されます。最初の同期の後は、バックアップ サーバでバックアップ処理を正しく実行できるようになります。これはリロードしても変わりません。

メイン サーバがダウンした場合は、バックアップ サーバがサーバの動作を引き継ぎます。バックアップ サーバが機能するのは、最長で連続 30 日間です。その後、バックアップ サーバは参加システムに対するセッションの発行を停止し、既存のセッションはタイムアウトします。必ず、この 30 日間以内にメイン サーバを再適用してください。15 日目と 30 日目に、重大度が critical の syslog メッセージが送信されます。

メイン サーバが復旧すると、バックアップ サーバと同期した後、サーバの動作を引き継ぎます。

アクティブになっていないバックアップ サーバは、メインの共有ライセンス サーバに対する通常の参加システムとして機能します。


) メインの共有ライセンス サーバを初めて起動した時点では、バックアップ サーバが独立して動作できるのは 5 日間だけです。この動作制限は、毎日 1 日ずつ、30 日間に達するまで延長されます。一方、メイン サーバがダウンした場合は、バックアップ サーバの動作制限が毎日 1 日ずつ短縮されます。メイン サーバが復旧すると、バックアップ サーバの動作制限は再度、毎日 1 日ずつ延長され始めます。たとえば、メイン サーバが 20 日間停止している間にバックアップ サーバがアクティブであった場合、バックアップ サーバに残された動作制限は 10 日間だけです。その後、バックアップ サーバが非アクティブなバックアップとして 20 日間「充電」されると、最長の 30 日間に戻ります。この充電機能の実装により、共有ライセンスの悪用を防ぎます。


フェールオーバーと共有ライセンス

この項では、共有ライセンスとフェールオーバーの相互作用について説明します。次の項目を取り上げます。

「フェールオーバーと共有ライセンス サーバ」

「フェールオーバーと共有ライセンス参加システム」

フェールオーバーと共有ライセンス サーバ

この項では、メイン サーバおよびバックアップ サーバと、フェールオーバーとの相互作用について説明します。共有ライセンス サーバでは、VPN ゲートウェイやファイアウォールなど、適応型セキュリティ アプライアンスとしての通常機能も実行されます。このため、メインとバックアップの共有ライセンス サーバにフェールオーバーを設定して、信頼性を高めることをお勧めします。


) バックアップ サーバ メカニズムとフェールオーバーは異なりますが、両者には互換性があります。

共有ライセンスはシングルコンテキスト モードでだけサポートされるため、Active/Active フェールオーバーはサポートされません。


フェールオーバー ペアとなるメイン共有ライセンス サーバ装置の両方に、同じライセンスが必要です。したがって、メイン サーバのプライマリ装置用に 10,000 セッションの共有ライセンスを購入する場合は、メイン サーバのスタンバイ装置用にも 10,000 セッションの共有ライセンスを購入する必要があります。スタンバイ状態にあるスタンバイ装置はトラフィックを通過させないため、この場合の合計セッション数は、両方を足した 20,000 セッション ではなく 、10,000 セッションです。

Active/Standby フェールオーバーでは、プライマリ装置がメインの共有ライセンス サーバとして機能し、フェールオーバー後はスタンバイ装置がメインの共有ライセンス サーバとして機能します。両方の装置に同じライセンスが必要であるため、どちらの装置もメイン ライセンス サーバとして機能できます。スタンバイ装置は、バックアップの共有ライセンス サーバとしては機能 しません 。必要に応じて、バックアップ サーバとして機能する装置のペアを追加します。

たとえば、2 組のフェールオーバー ペアがあるネットワークを使用するとします。ペア #1 にはメインのライセンス サーバが含まれます。ペア #2 にはバックアップ サーバが含まれます。ペア #1 のプライマリ装置がダウンすると、ただちに、スタンバイ装置が新しくメイン ライセンス サーバになります。ペア #2 のバックアップ サーバが使用されることはありません。ペア #1 の装置が両方ともダウンした場合だけ、ペア #2 のバックアップ サーバが共有ライセンス サーバとして使用されるようになります。ペア #1 がダウンしたままで、ペア #2 のプライマリ装置もダウンした場合は、ペア #2 のスタンバイ装置が共有ライセンス サーバとして使用されるようになります(図 3-2 を参照)。

図 3-2 フェールオーバーと共有ライセンス サーバ

 

スタンバイ バックアップ サーバは、プライマリ バックアップ サーバと同じ動作制限を共有します。スタンバイ装置がアクティブになると、その時点からプライマリ装置のカウントダウンを引き継ぎます。詳細については、「共有ライセンス バックアップ サーバに関する情報」を参照してください。

フェールオーバーと共有ライセンス参加システム

参加システムのペアについては、両方の装置を共有ライセンス サーバに登録します。登録時には、個別の参加システム ID を使用します。アクティブ装置の参加システム ID は、スタンバイ装置と同期されます。スタンバイ装置は、アクティブに切り替わるときに、この ID を使用して転送要求を生成します。この転送要求によって、以前にアクティブだった装置から新しくアクティブになる装置に共有セッションが移動します。

参加システムの最大

適応型セキュリティ アプライアンスでは、共有ライセンスの参加システム数に制限がありません。ただし、共有ネットワークの規模が非常に大きいと、ライセンス サーバのパフォーマンスに影響する場合があります。この場合は、参加システムのリフレッシュ間隔を長くするか、共有ネットワークを 2 つ作成することをお勧めします。

ライセンスの FAQ

Q. VPN Flex とボットネット トラフィック フィルタのように、複数の一時ライセンスをアクティブにできますか。

A. いいえ。一度に使用できる一時ライセンスは 1 つだけです。最後にアクティブにしたライセンスが使用されます。複数の機能が 1 つのアクティベーション キーにグループ化された評価ライセンスの場合は、一度に複数の機能がサポートされます。ただし、シスコが販売する一時ライセンスの場合は、1 つのアクティベーション キーでサポートされる機能が 1 つに限られます。

Q. 複数の一時ライセンスを「スタック」して、時間制限が切れると自動的に次のライセンスが使用されるようにできますか。

A. いいえ。複数の一時ライセンスをインストールすることはできますが、アクティブなのは最後にアクティブにしたライセンスだけです。アクティブなライセンスの有効期限が切れたら、新しいライセンスを手動でアクティブにする必要があります。機能が失われないように、古いライセンスの有効期限が切れる少し にアクティブにしてください (古いライセンスの残り時間は、未使用のまま残ります。たとえば、12 か月ライセンスを 10 か月間使用してから、新しい 12 か月ライセンスをアクティブにした場合、最初のライセンスに残っている 2 か月は、後でこのライセンスを再度アクティブにしない限り使用されません。ライセンスを最大限に使用するため、古いライセンスの期限終了直前に新しいライセンスをアクティブにすることをお勧めします)。

Q. アクティブな一時ライセンスを維持しながら、新しい永続ライセンスをインストールできますか。

A. いいえ。永続ライセンスを適用すると、一時ライセンスは非アクティブになります。新しい永続ライセンスを一時ライセンスと並行して使用するには、永続ライセンスをアクティブにした後、一時ライセンスを再度アクティブにする必要があります。このため、一時ライセンスに依存する機能は一時的に失われます。

Q. フェールオーバーのプライマリ装置として共有ライセンス サーバを、セカンダリ装置として共有ライセンス バックアップ サーバを使用できますか。

A. いいえ。セカンダリ装置も共有ライセンス サーバ ライセンスを持っている必要があります。参加ライセンスを持っているバックアップ サーバは、2 台のバックアップ サーバからなる別のフェールオーバー ペアに使用できます。

Q. フェールオーバー ペアのセカンダリ装置用に、同じライセンスを購入する必要がありますか。共有ライセンス サーバの場合でも同様ですか。

A. はい。両方の装置に同じライセンスが必要です。共有ライセンス サーバの場合は、どちらの装置にも同じ共有ライセンス サーバ ライセンスを購入する必要があります。 注: Active/Standby フェールオーバーで、セッション数が指定されたライセンスを使用する場合、両方の装置のセッション数が互いに加算されることはありません。アクティブ装置のセッション数だけを使用できます。たとえば、共有 SSL VPN ライセンスで、アクティブ装置とスタンバイ装置の両方に 10,000 ユーザ セッションを購入する必要がある場合、合計セッション数は、両方を足した 20,000 ではなく 、10,000 です。

Q. 共有 SSL VPN ライセンスに加えて、VPN Flex ライセンスや永続 SSL VPN ライセンスを使用できますか。

A. はい。ローカルにインストールされたライセンス(VPN Flex ライセンスや永続ライセンス)のセッション数を使い果たした後、共有ライセンスが使用されます。 :共有ライセンス サーバでは、永続 SSL VPN ライセンスは使用されません。ただし、共有ライセンス サーバ ライセンスと同時に VPN Flex ライセンスを使用することはできます。この場合、VPN Flex ライセンスのセッションは、ローカル SSL VPN セッションにだけ使用できます。共有ライセンス プールに追加して参加システムに使用することはできません。

ガイドラインと制限事項

アクティベーション キーについては、次のガイドラインを参照してください。

コンテキスト モードのガイドライン

マルチコンテキスト モードでは、アクティベーション キーをシステム実行スペースに適用します。

共有ライセンスは、マルチコンテキスト モードではサポートされません。

ファイアウォール モードのガイドライン

ルーテッド モードとトランスペアレント モードの両方で、すべてのライセンス タイプを使用できます。

フェールオーバーのガイドライン

プライマリ装置とセカンダリ装置で同じライセンスをアクティブにする必要があります。


) フェールオーバーの目的上、2 つの装置の機能セットが同じである限り、永続ライセンスと一時ライセンスが区別されません。詳細については、「フェールオーバーと一時ライセンス」を参照してください。


共有ライセンスは、Active/Active モードではサポートされません。詳細については、「フェールオーバーと共有ライセンス」を参照してください。

アップグレードのガイドライン

バージョン 8.2 以降にアップグレードした場合も、その後ダウングレードした場合も、アクティベーション キーには互換性があります。アップグレードした後、 8.2 よりも前 に導入された機能のライセンスを追加でアクティブにした場合は、以前のバージョンにダウングレードしても、アクティベーション キーに互換性があります。ただし、 8.2 以降 に導入された機能のライセンスをアクティブにした場合は、アクティベーション キーに下位互換性がありません。互換性のないライセンス キーを持っている場合は、次のガイドラインを参照してください。

以前のバージョンでアクティベーション キーを入力したことがある場合は、適応型セキュリティ アプライアンスによってそのキーが使用されます(バージョン 8.2 以降でアクティブにした新しいライセンスは使用されません)。

システムが新しく、以前のアクティベーション キーがない場合は、以前のバージョンと互換性のあるアクティベーション キーを新しく要求する必要があります。

その他のガイドラインと制限事項

アクティベーション キーは、設定ファイルには保存されません。隠しファイルとしてフラッシュ メモリに保存されます。

アクティベーション キーはデバイスのシリアル番号に結び付けられます。機能のライセンスはデバイス間で転送できません(ハードウェア障害時は除きます)。ハードウェア障害が発生して、デバイスを交換する必要がある場合は、既存のライセンスを新しいシリアル番号に転送するように、シスコ ライセンス チームに依頼してください。シスコ ライセンス チームは、Product Authorization Key の参照番号と既存のシリアル番号をお尋ねします。

ライセンス購入後の返金や、アップグレードされたライセンスとの交換はできません。

同一機能の 2 つのライセンスを足し合せることはできません。たとえば、25 セッションの SSL VPN ライセンスを購入した後、50 セッションのライセンスを購入しても、75 セッションを使用することはできません。使用できるのは最大 50 セッションです。

すべてのライセンス タイプをアクティブにできますが、マルチコンテキスト モードと VPN などのように、一部の機能には互換性がありません。AnyConnect Essentials ライセンスは、フル SSL VPN ライセンス、共有 SSL VPN ライセンス、および Advanced Endpoint Assessment ライセンスとは互換性がありません。デフォルトでは、上記のライセンスの代わりに AnyConnect Essentials ライセンスが使用されますが、 no anyconnect-essentials コマンドを使用することで、コンフィギュレーションで AnyConnect Essentials ライセンスをディセーブルにし、他のライセンスの使用を復元することができます。

現在のライセンスの表示

この項では、現在のライセンスと、一時アクティベーション キーの残り時間を表示する方法について説明します。

詳細な手順

 

コマンド
目的

show activation-key detail

 

例:

hostname# show activation-key detail

一時ライセンスに関する情報も含めて、インストールされているライセンスを表示します。

次に、 show activation-key detail コマンドの出力例を示します。これには、2 SSL VPN ピアの永続アクティブ化ライセンス(太字部分)、5000 SSL VPN ピアのアクティブな一時ライセンス(太字部分)、一時ライセンスの SSL VPN ピア数が採用されたマージ後の実行ライセンス(太字部分)、および非アクティブな一時ライセンスのアクティベーション キーが表示されています。

hostname# show activation-key detail

 
Serial Number: JMX0916L0Z4
 
Permanent Flash Activation Key: 0xf412675d 0x48a446bc 0x8c532580 0xb000b8c4 0xcc21f48e
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 200
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : 2
SSL VPN Peers : 2
Total VPN Peers : 250
Shared License : Enabled
Shared SSL VPN Peers : 5000
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
AnyConnect Essentials : Disabled
Advanced Endpoint Assessment : Disabled
UC Phone Proxy Sessions : 24
Total UC Proxy Sessions : 24
Botnet Traffic Filter : Enabled
 
Temporary Flash Activation Key: 0xcb0367ce 0x700dd51d 0xd57b98e3 0x6ebcf553 0x0b058aac
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 200
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
SSL VPN Peers : 5000
Total VPN Peers : 250
Shared License : Enabled
Shared SSL VPN Peers : 10000
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
AnyConnect Essentials : Disabled
Advanced Endpoint Assessment : Disabled
UC Phone Proxy Sessions : 24
Total UC Proxy Sessions : 24
Botnet Traffic Filter : Enabled
 
This is a time-based license that will expire in 27 day(s).
 
Running Activation Key: 0xcb0367ce 0x700dd51d 0xd57b98e3 0x6ebcf553 0x0b058aac
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 200
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
SSL VPN Peers : 5000
Total VPN Peers : 250
Shared License : Enabled
Shared SSL VPN Peers : 10000
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
AnyConnect Essentials : Disabled
Advanced Endpoint Assessment : Disabled
UC Phone Proxy Sessions : 24
Total UC Proxy Sessions : 24
Botnet Traffic Filter : Enabled
 
 
This platform has an ASA 5540 VPN Premium license.
This is a Shared SSL VPN License server.
 
This is a time-based license that will expire in 27 day(s).
 
The flash activation key is the SAME as the running key.
 
Non-active temporary keys: Time left
------------------------------------------------------------------
0x2a53d6 0xfc087bfe 0x691b94fb 0x73dc8bf3 0xcc028ca2 28 day(s)
0xa13a46c2 0x7c10ec8d 0xad8a2257 0x5ec0ab7f 0x86221397 27 day(s)
 

アクティベーション キーの取得

アクティベーション キーを取得するには、シスコの代理店から購入できる Product Authorization Key が必要になります。機能のライセンスごとに個別の Product Activation Key を購入する必要があります。たとえば、基本ライセンスを持っている場合に、Advanced Endpoint Assessment のキーや、追加の SSL VPN セッションのキーを、別途購入できます。


) フェールオーバー ペアには、装置ごとに個別のアクティベーション キーが必要です。キーに含まれるライセンスが、両方の装置に対して同じであることを確認してください。


Product Authorization Key を取得したら、次の手順を実行して Cisco.com に登録します。


ステップ 1 次のコマンドを入力して、適応型セキュリティ アプライアンスのシリアル番号を取得します。

hostname# show activation-key
 

ステップ 2 次のいずれかの URL にアクセスします。

Cisco.com の登録ユーザの場合は、次の Web サイトを使用します。

http://www.cisco.com/go/license
 

Cisco.com の登録ユーザ以外の場合は、次の Web サイトを使用します。

http://www.cisco.com/go/license/public
 

ステップ 3 プロンプトが表示されたら、次の情報を入力します。

Product Authorization Key(キーが複数ある場合は、まず 1 つを入力します。キーごとに個別のプロセスとして入力する必要があります。)

適応型セキュリティ アプライアンスのシリアル番号

電子メール アドレス

アクティベーション キーが自動的に生成され、指定した電子メール アドレスに送信されます。このキーには、永続ライセンス用にそれまでに登録した機能がすべて含まれています。VPN Flex ライセンスの場合は、ライセンスごとに個別のアクティベーション キーがあります。

ステップ 4 Product Authorization Key がさらにある場合は、Product Authorization Key ごとにステップ 3 を繰り返します。すべての Product Authorization Key を入力した後、最後に送信されるアクティベーション キーには、登録した永続機能がすべて含まれています。


 

新しいアクティベーション キーの入力

この項では、新しいアクティベーション キーを入力する方法について説明します。

前提条件

アクティベーション キーを入力する前に、show activation-key コマンドを入力して、フラッシュ メモリ内のイメージと実行イメージが同一であることを確認します。これは、適応型セキュリティ アプライアンスをリロードしてからアクティベーション キーを入力することで確認できます。

すでにマルチコンテキスト モードに入っている場合は、システム実行スペースにこのアクティベーション キーを入力します。

ライセンスによっては、アクティブにした後に適応型セキュリティ アプライアンスをリロードする必要があります。 表 3-8 に、リロードが必要なライセンスを示します。

 

表 3-8 ライセンスのリロード要件

モデル
リロードが必要なライセンス アクション

ASA 5505 および ASA 5510

基本ライセンスと Security Plus ライセンスの間の切り替え。

すべてのモデル

暗号化ライセンスの変更。

すべてのモデル

ライセンスのダウングレード(10 コンテキストから 2 コンテキストへの変更など)。

(注) 一時ライセンスの有効期限が切れ、永続ライセンスがダウングレードに当たる場合は、適応型セキュリティ アプライアンスをすぐにリロードする必要がありません。次回リロードした際に、永続ライセンスが復元します。

制限事項

バージョン 8.2 以降にアップグレードした場合も、その後ダウングレードした場合も、アクティベーション キーには互換性があります。アップグレードした後、 8.2 よりも前 に導入された機能のライセンスを追加でアクティブにした場合は、以前のバージョンにダウングレードしても、アクティベーション キーに互換性があります。ただし、 8.2 以降 に導入された機能のライセンスをアクティブにした場合は、アクティベーション キーに下位互換性がありません。互換性のないライセンス キーを持っている場合は、次のガイドラインを参照してください。

以前のバージョンでアクティベーション キーを入力したことがある場合は、適応型セキュリティ アプライアンスによってそのキーが使用されます(バージョン 8.2 以降でアクティブにした新しいライセンスは使用されません)。

システムが新しく、以前のアクティベーション キーがない場合は、以前のバージョンと互換性のあるアクティベーション キーを新しく要求する必要があります。

詳細な手順

 

コマンド
目的

ステップ 1

activation-key key

 

例:

hostname# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490

適応型セキュリティ アプライアンスにアクティベーション キーを適用します。キーは、5 つのエレメントからなる 16 進文字列です。各エレメントは 1 つのスペースで区切られます。先頭部分の 0x 指定子は省略できます。値は、すべて 16 進数であると見なされます。

1 つの永続キーと複数の一時キーを入力できます。最後に入力した一時キーがアクティブになります。詳細については、「一時ライセンス、VPN Flex ライセンス、および評価ライセンス」を参照してください。実行アクティベーション キーを変更するには、 activation-key コマンドと新しいキー値を入力します。

ステップ 2

reload

 

例:

hostname# reload

(場合によって必須)適応型セキュリティ アプライアンスをリロードします。ライセンスによっては、新しいアクティベーション キーの入力後に適応型セキュリティ アプライアンスをリロードする必要があります。リロードが必要なライセンスの一覧については、表 3-8 を参照してください。リロードが必要な場合は、次のメッセージが表示されます。

WARNING: The running activation key was not updated with the requested key. The flash activation key was updated with the requested key, and will become active after the next reload.

フェールオーバー ペア用ライセンスのアップグレード

フェールオーバー ペアのライセンスをアップグレードする場合、そのライセンスにリロードが必要かどうかによって、ダウンタイムが発生する場合があります。リロードが必要なライセンスの詳細については、表 3-8 を参照してください。この項は、次の内容で構成されています。

「フェールオーバー用ライセンスのアップグレード(リロードが不要な場合)」

「フェールオーバー用ライセンスのアップグレード(リロードが必要な場合)」

フェールオーバー用ライセンスのアップグレード(リロードが不要な場合)

新しいライセンスにリロードの必要がない場合は、次の手順を使用します。リロードが必要なライセンスの詳細については、表 3-8 を参照してください。この手順ではダウンタイムが発生しません。

前提条件

ライセンスのアップグレード前に、両方の装置が正常に動作していること、Failover LAN インターフェイスが実行中であること、差し迫ったフェールオーバー イベントがないこと(監視対象インターフェイスが正常に動作しているなど)を確認します。

各装置で show failover コマンドを入力して、フェールオーバー ステータスと監視対象インターフェイスのステータスを表示します。

詳細な手順

 

コマンド
目的

アクティブ装置で次のコマンドを入力します。

ステップ 1

no failover

 

例:

active(config)# no failover

アクティブ装置でフェールオーバーをディセーブルにします。スタンバイ装置は擬似スタンバイ状態のままです。アクティブ装置でフェールオーバーを非アクティブにすると、ライセンスが一致しない間は、スタンバイ装置のアクティブ化が試行されません。

ステップ 2

activation-key key

 

例:

active(config)# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490

アクティブ装置に新しいライセンスをインストールします。このライセンスがアクティブ装置のシリアル番号用であることを確認してください。

スタンバイ装置で次のコマンドを入力します。

ステップ 3

activation-key key

 

例:

standby# activation-key 0xc125727f 0x903de1ee 0x8c838928 0x92dc84d4 0x003a2ba0

スタンバイ装置に新しいライセンスをインストールします。このライセンスがスタンバイ装置のシリアル番号用であることを確認してください。

アクティブ装置で次のコマンドを入力します。

ステップ 4

failover

 

例:

active(config)# failover

フェールオーバーを再度イネーブルにします。

フェールオーバー用ライセンスのアップグレード(リロードが必要な場合)

新しいライセンスにリロードが必要な場合は、次の手順を使用します。リロードが必要なライセンスの詳細については、表 3-8 を参照してください。フェールオーバー ペアをリロードすると、リロード中は接続が失われます。

前提条件

ライセンスのアップグレード前に、両方の装置が正常に動作していること、Failover LAN インターフェイスが実行中であること、差し迫ったフェールオーバー イベントがないこと(監視対象インターフェイスが正常に動作しているなど)を確認します。

各装置で show failover コマンドを入力して、フェールオーバー ステータスと監視対象インターフェイスのステータスを表示します。

詳細な手順

 

コマンド
目的

アクティブ装置で次のコマンドを入力します。

ステップ 1

no failover

 

例:

active(config)# no failover

アクティブ装置でフェールオーバーをディセーブルにします。スタンバイ装置は擬似スタンバイ状態のままです。アクティブ装置でフェールオーバーを非アクティブにすると、ライセンスが一致しない間は、スタンバイ装置のアクティブ化が試行されません。

ステップ 2

activation-key key

 

例:

active(config)# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490

アクティブ装置に新しいライセンスをインストールします。

リロードが必要な場合は、次のメッセージが表示されます。

WARNING: The running activation key was not updated with the requested key. The flash activation key was updated with the requested key, and will become active after the next reload.
 

リロードの必要がない場合は、この手順ではなく、「フェールオーバー用ライセンスのアップグレード(リロードが不要な場合)」を参照してください。

スタンバイ装置で次のコマンドを入力します。

ステップ 3

activation-key key

 

例:

standby# activation-key 0xc125727f 0x903de1ee 0x8c838928 0x92dc84d4 0x003a2ba0

スタンバイ装置に新しいライセンスをインストールします。

ステップ 4

reload

 

例:

standby# reload

スタンバイ装置をリロードします。

アクティブ装置で次のコマンドを入力します。

ステップ 5

reload

 

例:

active(config)# reload

アクティブ装置をリロードします。リロード前に設定を保存するように求められたら、 No と入力します。これによって、アクティブ装置の復旧時に、フェールオーバーがイネーブルになった状態が維持されます。

共有ライセンスの設定

この項では、共有ライセンス サーバと参加システムを設定する方法について説明します。共有ライセンスの詳細については、「共有ライセンス」を参照してください。

この項は、次の内容で構成されています。

「共有ライセンス サーバの設定」

「共有ライセンス バックアップ サーバの設定(オプション)」

「共有ライセンス参加システムの設定」

「共有ライセンスの監視」

共有ライセンス サーバの設定

この項では、適応型セキュリティ アプライアンスを共有ライセンス サーバとして設定する方法について説明します。

前提条件

サーバが共有ライセンス サーバ キーを持っている必要があります。

詳細な手順

 

コマンド
目的

ステップ 1

license-server secret secret

 

例:

hostname(config)# license-server secret farscape

共有秘密として 4 ~ 128 文字の ASCII 文字列を設定します。この秘密を持つ参加システムが、ライセンス サーバを使用できます。

ステップ 2

(オプション)

license-server refresh-interval seconds

 

例:

hostname(config)# license-server refresh-interval 100

10 ~ 300 秒のリフレッシュ間隔を設定します。この値が、サーバと通信する頻度として参加システムに設定されます。デフォルトは、30 秒です。

ステップ 3

(オプション)

license-server port port

 

例:

hostname(config)# license-server port 40000

サーバが参加システムからの SSL 接続をリスンするポートを、1 ~ 65535 の間で設定します。デフォルトは、TCP ポート 50554 です。

ステップ 4

(オプション)

license-server backup address backup-id serial_number [ ha-backup-id ha_serial_number ]

 

例:

hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3

バックアップ サーバの IP アドレスとシリアル番号を指定します。バックアップ サーバがフェールオーバー ペアの一部である場合は、スタンバイ装置のシリアル番号も指定します。指定できるのは、バックアップ サーバ 1 台と、そのスタンバイ装置(使用する場合)だけです。

ステップ 5

license-server enable interface_name

 

例:

hostname(config)# license-server enable inside

この装置を共有ライセンス サーバとしてイネーブルにします。参加システムがサーバと通信するインターフェイスを指定します。必要なインターフェイスの数に応じて、このコマンドを繰り返します。

次の例では、共有秘密を設定し、リフレッシュ間隔とポートを変更し、バックアップ サーバを設定し、この装置を内部インターフェイス上と dmz インターフェイス上で共有ライセンス サーバとしてイネーブルにしています。

hostname(config)# license-server secret farscape

hostname(config)# license-server refresh-interval 100
hostname(config)# license-server port 40000
hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3
hostname(config)# license-server enable inside
hostname(config)# license-server enable dmz
 

共有ライセンス バックアップ サーバの設定(オプション)

この項では、共有ライセンスのメイン サーバがダウンした場合にバックアップ サーバとして機能する参加システムをイネーブルにします。

前提条件

バックアップ サーバが共有ライセンス参加キーを持っている必要があります。

詳細な手順

 

コマンド
目的

ステップ 1

license-server address address secret secret [ port port ]

 

例:

hostname(config)# license-server address 10.1.1.1 secret farscape

共有ライセンス サーバの IP アドレスと共有秘密を指定します。デフォルト ポートをサーバ コンフィギュレーションで変更した場合は、同じポートをバックアップ サーバにも設定します。

ステップ 2

license-server backup enable interface_name

 

例:

hostname(config)# license-server backup enable inside

この装置を共有ライセンス バックアップ サーバとしてイネーブルにします。参加システムがサーバと通信するインターフェイスを指定します。必要なインターフェイスの数に応じて、このコマンドを繰り返します。

次の例では、ライセンス サーバと共有秘密を指定し、この装置を内部インターフェイス上と dmz インターフェイス上で共有ライセンス バックアップ サーバとしてイネーブルにしています。

hostname(config)# license-server address 10.1.1.1 secret farscape

hostname(config)# license-server backup enable inside
hostname(config)# license-server backup enable dmz
 

次の作業

「共有ライセンス参加システムの設定」を参照してください。

共有ライセンス参加システムの設定

この項では、共有ライセンス サーバと通信する共有ライセンス参加システムを設定します。

前提条件

参加システムが共有ライセンス参加キーを持っている必要があります。

詳細な手順

 

コマンド
目的

ステップ 1

license-server address address secret secret [ port port ]

 

例:

hostname(config)# license-server address 10.1.1.1 secret farscape

共有ライセンス サーバの IP アドレスと共有秘密を指定します。デフォルト ポートをサーバ コンフィギュレーションで変更した場合は、同じポートを参加システムにも設定します。

ステップ 2

(オプション)

license-server backup address address

 

例:

hostname(config)# license-server backup address 10.1.1.2

バックアップ サーバを設定した場合は、バックアップ サーバのアドレスを入力します。

次の例では、ライセンス サーバの IP アドレスと共有秘密に加えて、バックアップのライセンス サーバの IP アドレスも設定しています。

hostname(config)# license-server address 10.1.1.1 secret farscape

hostname(config)# license-server backup address 10.1.1.2

 

共有ライセンスの監視

共有ライセンスを監視するには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show shared license [ detail | client [ hostname ] | backup ]

共有ライセンスの統計情報を表示します。オプション キーワードはライセンス サーバだけに使用できます。 detail キーワードを使用すると、参加システムごとの統計情報が表示されます。表示内容を 1 台の参加システムに限定するには、 client キーワードを使用します。 backup キーワードを使用すると、バックアップ サーバに関する情報が表示されます。

共有ライセンスの統計情報をクリアするには、 clear shared license コマンドを入力します。

show activation-key

適応型セキュリティ アプライアンスにインストールされているライセンスを表示します。 show version コマンドでもライセンス情報が表示されます。

show vpn-sessiondb

VPN セッションに関するライセンス情報を表示します。

次に、ライセンス参加システムでの show shared license コマンドの出力例を示します。

hostname> show shared license
Primary License Server : 10.3.32.20
Version : 1
Status : Inactive
 
Shared license utilization:
SSLVPN:
Total for network : 5000
Available : 5000
Utilized : 0
This device:
Platform limit : 250
Current usage : 0
High usage : 0
Messages Tx/Rx/Error:
Registration : 0 / 0 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
 

次に、ライセンス サーバでの show shared license detail コマンドの出力例を示します。

hostname> show shared license detail
Backup License Server Info:
 
Device ID : ABCD
Address : 10.1.1.2
Registered : NO
HA peer ID : EFGH
Registered : NO
Messages Tx/Rx/Error:
Hello : 0 / 0 / 0
Sync : 0 / 0 / 0
Update : 0 / 0 / 0
 
Shared license utilization:
SSLVPN:
Total for network : 500
Available : 500
Utilized : 0
This device:
Platform limit : 250
Current usage : 0
High usage : 0
Messages Tx/Rx/Error:
Registration : 0 / 0 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
 
 
Client Info:
 
Hostname : 5540-A
Device ID : XXXXXXXXXXX
SSLVPN:
Current usage : 0
High : 0
Messages Tx/Rx/Error:
Registration : 1 / 1 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
...

ライセンスの機能履歴

表 3-9 に、この機能のリリース履歴の一覧を示します。

 

表 3-9 ライセンスの機能履歴

機能名
リリース
機能情報

接続数と VLAN 数の増加

7.0(5)

次の制限値が変更されました。

ASA5510 基本ライセンスの接続数が 32000 から 5000 に、VLAN 数が 0 から 10 に増えました。

ASA5510 Security Plus ライセンスの接続数が 64000 から 130000 に、VLAN 数が 10 から 25 に増えました。

ASA5520 の接続数が 130000 から 280000 に、VLAN 数が 25 から 100 に増えました。

ASA5540 の接続数が 280000 から 400000 に、VLAN 数が 100 から 200 に増えました。

SSL VPN ライセンス

7.1(1)

SSL VPN ライセンスが導入されました。

SSL VPN ライセンスの追加

7.2(1)

ASA 5550 以降のモデル用に 5000 ユーザの SSL VPN ライセンスが導入されました。

VLAN 数の増加

7.2(2)

ASA 5505 適応型セキュリティ アプライアンスの Security Plus ライセンスに対する VLAN の最大数が 5(3 つはフル機能用、1 つはフェールオーバー用で、バックアップ インターフェイス用は 1 つに制限されています)から 20(フル機能のインターフェイス)に増えました。さらに、トランク ポート数が 1 から 8 に増えました。フル機能のインターフェイスの数が 20 になり、バックアップ ISP インターフェイスを停止するために backup interface コマンドを使用する必要がなくなりました。つまり、バックアップ ISP インターフェイス用にフル機能のインターフェイスを使用できるようになりました。backup interface コマンドは、これまでどおり Easy VPN 設定用に使用できます。

VLAN の制限値も変更されました。ASA 5510 適応型セキュリティ アプライアンスの基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 では 100 から 150 に、ASA 5550 では 200 から 250 に増えています。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 適応型セキュリティ アプライアンスの Security Plus ライセンスで、ポート 0 と 1 に対する Gigabit Ethernet(GE; ギガビット イーサネット)がサポートされるようになりました。基本ライセンスから Security Plus ライセンスにアップグレードすると、外部の Ethernet0/0 ポートと Ethernet0/1 ポートのキャパシティが元の Fast Ethernet(FE; ファスト イーサネット)(100 Mbps)から GE(1000 Mbps)に増えます。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままになります。インターフェイスの速度を変更するには speed コマンドを使用し、インターフェイスごとに現在設定されている速度を確認するには show interface コマンドを使用します。

Advanced Endpoint Assessment ライセンス

8.0(2)

Advanced Endpoint Assessment ライセンスが導入されました。Cisco AnyConnect またはクライアントレス SSL VPN 接続の条件としてリモート コンピュータでスキャン対象となる、ウイルス対策アプリケーションやスパイウェア対策アプリケーション、ファイアウォール、オペレーティング システム、および関連アップデートの種類が、大幅に拡張されました。また、任意のレジストリ エントリ、ファイル名、およびプロセス名を指定してスキャン対象にすることもできます。スキャン結果は適応型セキュリティ アプライアンスに送信されます。適応型セキュリティ アプライアンスは、ユーザ ログイン クレデンシャルとコンピュータ スキャン結果の両方を使用して、Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を割り当てます。

Advanced Endpoint Assessment ライセンスを使用すると、バージョン要件を満たすように非準拠コンピュータのアップデートを試行する機能を設定して、Host Scan を拡張できます。

シスコは、Host Scan でサポートされるアプリケーションとバージョンの一覧に、Cisco Secure Desktop とは異なるパッケージで、タイムリーなアップデートを提供できます。

ASA 5510 の VPN ロードバランシング

8.0(2)

ASA 5510 Security Plus ライセンスで VPN ロードバランシングがサポートされるようになりました。

AnyConnect for Mobile ライセンス

8.0(3)

AnyConnect for Mobile ライセンスでは、Windows モバイル デバイスで AnyConnect クライアントを使用して適応型セキュリティ アプライアンスに接続できます。

VPN Flex ライセンスと評価ライセンス

8.0(4)/8.1(2)

一時ライセンスがサポートされるようになりました。VPN Flex ライセンスでは、使用できる SSL VPN セッション数が一時的に増加します。

ASA 5510 基本ライセンスに対するギガビット イーサネット サポート

7.2(4)/8.0(4)

ASA 5510 適応型セキュリティ アプライアンスの基本ライセンスで、ポート 0 と 1 に対する GE(ギガビット イーサネット)がサポートされるようになりました(Security Plus ライセンスに対するサポートはすでに追加されています)。外部の Ethernet0/0 ポートと Ethernet0/1 ポートのキャパシティが、元の FE(ファスト イーサネット)(100 Mbps)から GE(1000 Mbps)に増えています。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままになります。インターフェイスの速度を変更するには speed コマンドを使用し、インターフェイスごとに現在設定されている速度を確認するには show interface コマンドを使用します。

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 でサポートされる VLAN 数が 100 から 250 に増えました。

Unified Communications Proxy セッション ライセンス

8.0(4)

UC Proxy セッション ライセンスが導入されました。この機能は、バージョン 8.1 では使用できません。

ボットネット トラフィック フィルタ ライセンス

8.2(1)

ボットネット トラフィック フィルタ ライセンスが導入されました。ボットネット トラフィック フィルタでは、既知の不正なドメインや IP アドレスに対する接続を追跡して、マルウェア ネットワーク アクティビティから保護します。

AnyConnect Essentials ライセンス

8.2(1)

AnyConnect Essentials ライセンスを使用すると、SSL VPN セッションのプラットフォームの制限をサポートしながら、AnyConnect クライアントの 基本的な 機能を使用することができます。たとえば、ASA 5540 では 2500 セッションを使用できますが、IPv6、CSD、自動セッション再開、ダイナミック アップデート、クライアントレス SSL VPN、WebLaunch などの多くの高度な機能はサポートされません。

AnyConnect Essentials ライセンスは、フル SSL VPN ライセンス、共有 SSL VPN ライセンス、Advanced Endpoint Connection ライセンスとは互換性がありません。デフォルトでは、上記のライセンスの代わりに AnyConnect Essentials ライセンスが使用されますが、 no anyconnect-essentials コマンドを使用することで、コンフィギュレーションで AnyConnect Essentials ライセンスをディセーブルにし、他のライセンスの使用を復元することができます。

SSL VPN の共有ライセンス

8.2(1)

SSL VPN の共有ライセンスが導入されました。複数の適応型セキュリティ アプライアンスで、SSL VPN セッションのプールを必要に応じて共有できます。