Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
機能のライセンスの管理
機能のライセンスの管理
発行日;2012/02/01 | 英語版ドキュメント(2011/08/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

機能のライセンスの管理

モデルごとにサポートされている機能のライセンス

モデルごとのライセンス

ライセンスの注釈

VPN ライセンスと機能の互換性

機能のライセンスに関する情報

事前インストールされているライセンス

永続ライセンス

時間ベース ライセンス

時間ベース ライセンス アクティベーションのガイドライン

時間ベース ライセンス タイマーの動作

永続ライセンスと時間ベース ライセンスの結合

時間ベース ライセンスのスタッキング

時間ベース ライセンスの有効期限

共有 SSL VPN ライセンス

共有ライセンスのサーバと参加システムに関する情報

参加システムとサーバの間の通信に関する問題

共有ライセンス バックアップ サーバに関する情報

フェールオーバーと共有ライセンス

参加システムの最大数

フェールオーバー ライセンス

フェールオーバー ライセンスの要件

フェールオーバー ライセンスの結合方法

フェールオーバー装置間の通信の中断

フェールオーバー ペアのアップグレード

ライセンスの FAQ

ガイドラインと制限事項

現在のライセンスの表示

アクティベーション キーの取得

キーのアクティブ化および非アクティブ化

共有ライセンスの設定

共有ライセンス サーバの設定

共有ライセンス バックアップ サーバの設定(オプション)

共有ライセンス参加システムの設定

共有ライセンスのモニタリング

ライセンスの機能履歴

機能のライセンスの管理

ライセンスでは、特定の適応型セキュリティ アプライアンス上でイネーブルにするオプションを指定します。このマニュアルでは、ライセンス アクティベーション キーの取得方法とアクティベーションの方法について説明します。また、各モデルに使用できるライセンスについても説明します。


) この章では、バージョン 8.3 のライセンシングについて説明します。その他のバージョンについては、次の URL でお使いのバージョンに該当するライセンシング マニュアルを参照してください。

http://www.cisco.com/en/US/products/ps6120/products_licensing_information_listing.html


この章には、次の項があります。

「モデルごとにサポートされている機能のライセンス」

「機能のライセンスに関する情報」

「ガイドラインと制限事項」

「現在のライセンスの表示」

「アクティベーション キーの取得」

「キーのアクティブ化および非アクティブ化」

「共有ライセンスの設定」

「ライセンスの機能履歴」

モデルごとにサポートされている機能のライセンス

この項では、各モデルに使用できるライセンスと、ライセンスに関する特記事項について説明します。この項は、次の内容で構成されています。

「モデルごとのライセンス」

「ライセンスの注釈」

「VPN ライセンスと機能の互換性」

モデルごとのライセンス

この項では、各モデルに使用できる機能のライセンスを示します。

ASA 5505、表 3-1

ASA 5510、表 3-2

ASA 5520、表 3-3

ASA 5540、表 3-4

ASA 5550、表 3-5

ASA 5580、表 3-6

イタリック体で示された項目は、基本ライセンスまたは Security Plus ライセンスと置換できる、個別のオプション ライセンスです。ライセンスは、混合し組み合せることができます。たとえば、10 セキュリティ コンテキスト ライセンスと Strong Encryption ライセンス、500 Clientless SSL VPN ライセンスと GTP/GPRS ライセンス、または 4 つのライセンスを同時に使用することができます。

表 3-1 に ASA 5505 のライセンスを示します。

 

表 3-1 ASA 5505 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5505
基本ライセンス
Security Plus
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

10 K

25 K

GTP/GPRS

サポートしない

サポートしない

Intercompany Media Engine1

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Unified Comm.セッション1

2

オプション ライセンス:24

2

オプション ライセンス:24

VPN ライセンス2

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

共有プレミアム SSL VPN(セッション)1

2

オプションのパラメータまたは時間ベース ライセンス

2

オプションのパラメータまたは時間ベース ライセンス

10

25

10

25

IPSec VPN(セッション)1

10(最大 25 の組み合せた IPSec と SSL VPN)

25(最大 25 の組み合せた IPSec と SSL VPN)

VPN ロードバランシング

サポートしない

サポートしない

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

サポートしない

Active/Standby(ステートフル フェールオーバーなし)

セキュリティ コンテキスト

サポートしない

サポートしない

ユーザ、同時3

104

オプション ライセンス:

104

オプション ライセンス:

50

制限なし

50

制限なし

VLAN/ゾーン、最大

3(2 つの正規ゾーンと 1 つの制限ゾーン)

20

VLAN トランク、最大

サポートしない

8 トランク

1.「ライセンスの注釈」を参照してください。

2.「VPN ライセンスと機能の互換性」を参照してください。

3.ルーテッド モードでは、内部(ビジネス VLAN およびホーム VLAN)のホストでは、それらが外部(インターネット VLAN)と通信する場合にだけ、制限に対してカウントされます。インターネット ホストは制限に対してカウントされません。ビジネスとホーム間のトラフィックを開始するホストも制限に対してカウントされません。デフォルトのルートと関連付けられているインターフェイスは、インターネット インターフェイスであると見なされます。デフォルトのルートがない場合、すべてのインターフェイス上のホストは制限に対してカウントされます。トランスペアレント モードでは、ホストの数が最小のインターフェイスがホストの制限に対してカウントされます。ホストの制限を表示するには、show local-host コマンドを参照してください。

4.10 ユーザ ライセンスの場合、最大 DHCP クライアント数は 32 です。50 ユーザの場合、最大数 は 128 です。ユーザ制限なしの場合、最大数 は 250 です。これは、他のモデルの最大数です。

表 3-2 に ASA 5510 のライセンスを示します。

 

表 3-2 ASA 5510 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5510
基本ライセンス
Security Plus
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

50 K

130 K

GTP/GPRS

サポートしない

サポートしない

Intercompany Media Engine5

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Unified Comm.セッション1

2

オプション ライセンス:

2

オプション ライセンス:

24

50

100

24

50

100

VPN ライセンス6

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

共有プレミアム SSL VPN(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

10

25

50

100

250

オプションの共有ライセンス:Participant または Server。サーバの場合、これらのライセンスは使用可能です。 1

オプションの共有ライセンス:Participant または Server。サーバの場合、これらのライセンスは使用可能です。 1

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

IPSec VPN(セッション)1

250(最大 250 の組み合せた IPSec と SSL VPN)

250(最大 250 の組み合せた IPSec と SSL VPN)

VPN ロードバランシング

サポートしない

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

サポートしない

Active/Standby または Active/Active1

インターフェイス速度

すべて:ファスト イーサネット

Ethernet 0/0 および 0/1:ギガビット イーサネット7

Ethernet 0/2、0/3、0/4(およびその他):ファスト イーサネット

セキュリティ コンテキスト

サポートしない

2

オプション ライセンス:

5

VLAN、最大

50

100

5.「ライセンスの注釈」を参照してください。

6.「VPN ライセンスと機能の互換性」を参照してください。

7.Ethernet 0/0 および 0/1 ポートはギガビット イーサネットですが、ソフトウェアでは現在も「イーサネット」として識別されます。

表 3-3 に ASA 5520 のライセンスを示します。

 

表 3-3 ASA 5520 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5520
基本ライセンス
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

280 K

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine8

ディセーブル

オプション ライセンス:使用可能

Unified Communications Proxy セッション1

2

オプション ライセンス:

24

50

100

250

500

750

1000

VPN ライセンス9

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

共有プレミアム SSL VPN(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

オプションの共有ライセンス:Participant または Server。サーバの場合、これらのライセンスは使用可能です。 1

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

IPSec VPN(セッション)1

750(最大 750 の組み合せた IPSec と SSL VPN)

VPN ロードバランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

VLAN、最大

150

8.「ライセンスの注釈」を参照してください。

9.「VPN ライセンスと機能の互換性」を参照してください。

表 3-4 に ASA 5540 のライセンスを示します。

 

表 3-4 ASA 5540 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5540
基本ライセンス
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

400 K

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine10

ディセーブル

オプション ライセンス:使用可能

Unified Communications Proxy セッション1

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

VPN ライセンス11

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

共有プレミアム SSL VPN(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

オプションの共有ライセンス:Participant または Server。サーバの場合、これらのライセンスは使用可能です。 1

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

IPSec VPN(セッション)1

5000(最大 5000 の組み合せた IPSec と SSL VPN)

VPN ロードバランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VLAN、最大

200

10.「ライセンスの注釈」を参照してください。

11.「VPN ライセンスと機能の互換性」を参照してください。

表 3-5 に ASA 5550 のインターフェイスを示します。

 

表 3-5 ASA 5550 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5550
基本ライセンス
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

650 K

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine12

ディセーブル

オプション ライセンス:使用可能

Unified Communications Proxy セッション1

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

VPN ライセンス13

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

共有プレミアム SSL VPN(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

オプションの共有ライセンス:Participant または Server。サーバの場合、これらのライセンスは使用可能です。 1

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

IPSec VPN(セッション)1

5000(最大 5000 の組み合せた IPSec と SSL VPN)

VPN ロードバランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VLAN、最大

250

12.「ライセンスの注釈」を参照してください。

13.「VPN ライセンスと機能の互換性」を参照してください。

表 3-6 に ASA 5580 のライセンスを示します。

 

表 3-6 ASA 5580 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5580
基本ライセンス
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

5580-20:1,000 K

5580-40:2,000 K

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine14

ディセーブル

オプション ライセンス:使用可能

Unified Communications Proxy セッション1

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

5000

1000015

VPN ライセンス16

Adv.Endpoint Assessment

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials1

ディセーブル

オプション ライセンス:使用可能

AnyConnect Mobile1

ディセーブル

オプション ライセンス:使用可能

共有プレミアム SSL VPN(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

オプションの共有ライセンス:Participant または Server。サーバの場合、これらのライセンスは使用可能です。 1

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

IPSec VPN(セッション)1

5000(最大 5000 の組み合せた IPSec と SSL VPN)

VPN ロードバランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VLAN、最大

250

14.「ライセンスの注釈」を参照してください。

15.10,000 セッション ライセンスの場合、組み合せたセッション数は合計 10,000 までですが、Phone Proxy セッションの最大数は 5000 です。

16.「VPN ライセンスと機能の互換性」を参照してください。

ライセンスの注釈

表 3-7 に、「モデルごとのライセンス」の複数の表で共有される一般的な補足説明を示します。

 

表 3-7 ライセンスの注釈

ライセンス

Active/Active フェールオーバー

Active/Active フェールオーバーと VPN は同時に使用できません。VPN を使用する必要がある場合は、Active/Standby フェールオーバーを使用します。

AnyConnect Essentials

このライセンスにより、AnyConnect VPN クライアントは適応型セキュリティ アプライアンスへのアクセスが可能になります。このライセンスは、ブラウザベース(クライアントレス)の SSL VPN アクセスまたは Cisco Secure Desktop はサポートしていません。これらの機能に対しては、AnyConnect Essentials ライセンスの代わりに共有プレミアム SSL VPN ライセンスがアクティブ化されます。

(注) AnyConnect Essentials ライセンスを所有する VPN ユーザは、Web ブラウザを使用してログインし、AnyConnect クライアントをダウンロードおよび起動(WebLaunch)することができます。

このライセンスと共有プレミアム SSL VPN ライセンスのいずれでイネーブル化されたかには関係なく、AnyConnect クライアント ソフトウェアには同じクライアント機能のセットが装備されています。

特定の適応型セキュリティ アプライアンスでは、共有プレミアム SSL VPN ライセンス(全タイプ)または Advanced Endpoint Assessment ライセンスを、AnyConnect Essentials ライセンスと同時にアクティブにすることはできません。ただし、同じネットワーク内の異なる適応型セキュリティ アプライアンスで、AnyConnect Essentials ライセンスと共有プレミアム SSL VPN ライセンスを実行することは可能です。

デフォルトでは、適応型セキュリティ アプライアンスは AnyConnect Essentials ライセンスを使用しますが、 no anyconnect-essentials コマンドを使用すると、AnyConnect Essentials ライセンスをディセーブルにして他のライセンスを使用できます。

AnyConnect Mobile

このライセンスは、Windows Mobile 5.0、6.0、および 6.1 を実行しているタッチスクリーン モバイル デバイスでの AnyConnect クライアントへのアクセスを提供します。AnyConnect 2.3 以降のバージョンへのモバイル アクセスをサポートする場合は、このライセンスを使用することをお勧めします。このライセンスでは、AnyConnect Essentials または共有プレミアム SSL VPN のいずれかのライセンスをアクティブにして、許可される SSL VPN セッションの合計数を指定する必要があります。

共有プレミアム SSL VPN 共有

共有ライセンスによって、適応型セキュリティ アプライアンスは複数のクライアントの適応型セキュリティ アプライアンスの共有ライセンス サーバとして機能します。共有ライセンス プールは大規模ですが、個々の適応型セキュリティ アプライアンスによって使用されるセッションの最大数は、永続的なライセンスで指定される最大数を超えることはできません。

組み合せた IPSec と SSL VPN セッション

IPSec セッションと SSL VPN セッションの最大数の合計が、VPN セッションの最大数よりも多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、適応型セキュリティ アプライアンスをオーバーロードして、ネットワークのサイズを適切にすることができます。

クライアントレス SSL VPN セッションを開始した後、ポータルから AnyConnect クライアント セッションを開始した場合は、合計 1 つのセッションが使用されています。これに対して、最初に AnyConnect クライアントを(スタンドアロン クライアントなどから)開始した後、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが使用されています。

Intercompany Media Engine

Intercompany Media Engine(IME)ライセンスをイネーブルにすると、TLS プロキシ セッションをプラットフォームの制限数まで使用できます。Unified Communications(UC)ライセンスもインストールすると、UC で使用できるセッションは IME セッションでも使用可能になります。たとえば、プラットフォームの制限が 1000 TLS プロキシ セッションの場合、750 セッションの UC ライセンスを購入すると、最初の 250 IME セッションまでは、UC に使用可能なセッション数に影響を与えません。IME に 250 を超えるセッションが必要になると、プラットフォームの制限の残りの 750 セッションが UC と IME によって先着順に使用されます。

「K8」で終わるライセンス製品番号の場合、TLS プロキシ セッションは 1000 までに制限されます。

「K9」で終わるライセンス製品番号の場合、TLS プロキシ制限は、使用する設定とプラットフォーム モデルに依存します。TLS プロキシの制限を設定するには、 tls-proxy maximum-sessions コマンドを使用します。モデルの制限を表示するには、 tls-proxy maximum-sessions ? コマンドを入力します。

(注) K8 と K9 は、エクスポートについてそのライセンスが制限されるかどうかを示します。K8 は制限されず、K9 は制限されます。

接続には、SRTP 暗号化セッションを使用する場合もあります。

K8 ライセンスの場合、SRTP セッションは 250 までに制限されます。

K9 ライセンスの場合、制限はありません。

(注) メディアの暗号化/復号化を必要とするコールだけが、SRTP 制限に対してカウントされます。コールに対してパススルーが設定されている場合は、両方のレッグが SRTP であっても、SRTP 制限に対してカウントされません。

Unified Communications Proxy セッション

Phone Proxy、Presence Federation Proxy、および Encrypted Voice Inspection アプリケーションでは、それらの接続に TLS プロキシ セッションが使用されます。各 TLS プロキシ セッションは、UC ライセンスの制限に対してカウントされます。これらのアプリケーションは、すべて UC Proxy として包括的にライセンスされるので、混在させたり、組み合せたりできます。アプリケーションによっては、1 つの接続に複数のセッションを使用する場合があります。たとえば、プライマリとバックアップの Cisco Unified Communications Manager を電話に設定した場合は、TLS プロキシ接続が 2 つあるため、UC Proxy セッションも 2 つ使用されます。

(注) Mobility Advantage Proxy にライセンスは必要ありません。このアプリケーションの TLS プロキシ セッションは、UC ライセンスの制限に対してカウントされません。

使用可能な UC セッションの最大数も、TLS プロキシ セッションの制限値に依存します。

「K8」で終わるライセンス製品番号(たとえばユーザ数が 250 未満のライセンス)では、TLS プロキシ セッション数は 1000 までに制限されます。

「K9」で終わるライセンス製品番号(たとえばユーザ数が 250 以上のライセンス)では、TLS プロキシの制限はコンフィギュレーションとプラットフォーム モデルに依存します。TLS プロキシの制限を設定するには、tls-proxy maximum-sessions コマンドを使用します。モデルの制限を表示するには、tls-proxy maximum-sessions ? コマンドを入力します。

(注) 注:K8 および K9 は、ライセンスのエクスポートが制限されているかどうかを示します。K8 は制限なし、K9 は制限ありです。

接続には、SRTP 暗号化セッションを使用する場合もあります。

K8 ライセンスでは、SRTP セッション数は 250 までに制限されます。

K9 ライセンスに制限はありません。

(注) メディアの暗号化/復号化を必要とするコールだけが、SRTP 制限に対してカウントされます。コールに対してパススルーが設定されている場合は、両方のレッグが SRTP であっても、SRTP 制限に対してカウントされません。

VPN ライセンスと機能の互換性

表 3-8 に、VPN ライセンスと機能を組み合わせる方法を示します。

 

表 3-8 VPN ライセンスと機能の互換性

サポートする機能
次のいずれかのライセンスをイネーブルにします。17
AnyConnect Essentials
共有プレミアム SSL VPN

AnyConnect Mobile

あり

あり

Advanced Endpoint Assessment

なし

あり

共有プレミアム SSL VPN 共有

なし

あり

クライアントベースの SSL VPN

あり

あり

ブラウザベース(クライアントレス)の SSL VPN

なし

あり

IPsec VPN

あり

あり

VPN ロードバランシング

あり

あり

Cisco Secure Desktop

なし

あり

17.AnyConnect Essentials ライセンスまたは共有プレミアム ライセンスのいずれか一方のライセンス タイプだけをアクティブにできます。デフォルトでは、適応型セキュリティ アプライアンスには 2 セッション用の共有プレミアム ライセンスが組み込まれています。AnyConnect Essentials ライセンスをインストールすると、それがデフォルトで使用されます。プレミアム ライセンスのイネーブル化については、no anyconnect-essentials コマンドを参照してください。

機能のライセンスに関する情報

ライセンスでは、特定の適応型セキュリティ アプライアンス上でイネーブルにするオプションを指定します。ライセンスは、160 ビット(32 ビットのワードが 5 個、または 20 バイト)値であるアクティベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)とイネーブルになる機能とを符号化します。

この項は、次の内容で構成されています。

「事前インストールされているライセンス」

「永続ライセンス」

「時間ベース ライセンス」

「共有 SSL VPN ライセンス」

「フェールオーバー ライセンス」

「ライセンスの FAQ」

事前インストールされているライセンス

デフォルトでは、適応型セキュリティ アプライアンスの出荷時にライセンスが事前インストールされています。このライセンスは、発注内容や、ベンダーによるインストール内容によって異なります。基本ライセンスがインストールされていて、さらにライセンスを追加する必要がある場合もあれば、すでにすべてのライセンスがインストールされている場合もあります。インストールされているライセンスを特定するには、「現在のライセンスの表示」を参照してください。

永続ライセンス

永続アクティベーション キーを 1 つインストールできます。永続アクティベーション キーは、1 つのキーにすべてのライセンス機能を格納しています。時間ベース ライセンスもインストールすると、適応型セキュリティ アプライアンスは永続ライセンスと時間ベース ライセンスを 1 つの実行ライセンスに結合します。適応型セキュリティ アプライアンスがライセンスを結合する方法については、「永続ライセンスと時間ベース ライセンスの結合」を参照してください。

時間ベース ライセンス

永続ライセンスに加えて、時間ライセンスを購入したり、時間制限のある評価ライセンスを入手したりできます。たとえば、SSL VPN の同時ユーザの短期増加に対処するために時間ベースの SSL VPN ライセンスを購入したり、1 年間有効なボットネット トラフィック フィルタ時間ベース ライセンスを注文したりできます。

この項は、次の内容で構成されています。

「時間ベース ライセンス アクティベーションのガイドライン」

「時間ベース ライセンス タイマーの動作」

「永続ライセンスと時間ベース ライセンスの結合」

「時間ベース ライセンスのスタッキング」

「時間ベース ライセンスの有効期限」

時間ベース ライセンス アクティベーションのガイドライン

複数の時間ベース ライセンスをインストールし、同じ機能に複数のライセンスを組み込むことができます。ただし、一度に アクティブ化 できる時間ベース ライセンスは、1 機能につき 1 つだけです。非アクティブのライセンスはインストールされたままで、使用可能な状態です。たとえば、1000 セッション SSL VPN ライセンスと 2500 セッション SSL VPN ライセンスをインストールした場合、これらのライセンスのうちいずれか 1 つだけをアクティブにできます。

キーの中に複数の機能を持つ評価ライセンスをアクティブにした場合、そこに含まれている機能のいずれかに対応する時間ベース ライセンスを同時にアクティブ化することはできません。たとえば、評価ライセンスにボットネット トラフィック フィルタと 1000 セッション SSL VPN ライセンスが含まれる場合、スタンドアロンの時間ベース 2500 セッション SSL VPN ライセンスをこの評価ライセンスと同時にアクティブ化することはできません。

時間ベース ライセンス タイマーの動作

時間ベース ライセンスのタイマーは、適応型セキュリティ アプライアンス上でライセンスをアクティブにした時点でカウント ダウンを開始します。

タイムアウト前に時間ベース ライセンスの使用を中止すると、タイマーが停止します。時間ベース ライセンスを再度アクティブ化すると、タイマーが再開します。

時間ベース ライセンスがアクティブになっているときに適応型セキュリティ アプライアンスをシャットダウンしても、タイマーはカウント ダウンを続行します。適応型セキュリティ アプライアンスを長期にわたってシャットダウンしたままにする場合は、シャットダウンする前に時間ベース ライセンスを非アクティブにする必要があります。


) 時間ベース ライセンスをインストールした後は、システム クロックを変更しないことをお勧めします。システム クロックを先の日付に進めてからリロードした場合、適応型セキュリティ アプライアンスではクロックが元のインストール日時と比較され、実際よりも長い使用時間が経過したものと見なされます。システム クロックを遅らせて、元のインストール日時との時間差よりも実際の実行時間が長くなった場合は、リロード直後にライセンスが無効になります。


永続ライセンスと時間ベース ライセンスの結合

時間ベース ライセンスをアクティブにすると、永続ライセンスと時間ベース ライセンスに含まれる機能を組み合せた実行ライセンスが作成されます。永続ライセンスと時間ベース ライセンスの組み合わせ方は、ライセンスのタイプに依存します。 表 3-9 に、各機能ライセンスの組み合わせ規則を示します。


) 永続ライセンスが使用されていても、時間ベース ライセンスがアクティブな場合はカウント ダウンが続行されます。


 

表 3-9 時間ベース ライセンスの組み合わせ規則

時間べース機能
結合されたライセンスの規則

SSL VPN セッション

時間ベース ライセンスまたは永続ライセンスのうち、値の高い方が使用されます。たとえば、永続ライセンスが 1000 セッション、時間ベース ライセンスが 2500 セッションの場合、2500 セッションがイネーブルになります。通常は、永続ライセンスよりも機能の低い時間ベース ライセンスをインストールすることはありませんが、そのようなインストールが行われた場合は永続ライセンスが使用されます。

Unified Communications Proxy セッション

時間ベース ライセンスのセッションは、プラットフォームの制限数まで永続セッションに追加されます。たとえば、永続ライセンスが 2500 セッション、時間ベース ライセンスが 1000 セッションの場合、時間ベース ライセンスがアクティブである限り、3500 セッションがイネーブルになります。

セキュリティ コンテキスト

時間ベース ライセンスのコンテキストは、プラットフォームの制限数まで永続コンテキストに追加されます。たとえば、永続ライセンスが 10 コンテキスト、時間ベース ライセンスが 20 コンテキストの場合、時間ベース ライセンスがアクティブである限り、30 コンテキストがイネーブルになります。

ボットネット トラフィック フィルタ

使用可能な永続ボットネット トラフィック フィルタ ライセンスはありません。時間ベース ライセンスが使用されます。

その他

時間ベース ライセンスまたは永続ライセンスのうち、値の高い方が使用されます。ライセンスのステータスがイネーブルまたはディセーブルの場合、イネーブル ステータスのライセンスが使用されます。数値ティアを持つライセンスの場合、高い方の値が使用されます。通常は、永続ライセンスよりも機能の低い時間ベース ライセンスをインストールすることはありませんが、そのようなインストールが行われた場合は永続ライセンスが使用されます。

結合されたライセンスを表示するには、「現在のライセンスの表示」を参照してください。

時間ベース ライセンスのスタッキング

多くの場合、時間ベース ライセンスは更新の必要があり、旧ライセンスから新しいライセンスへシームレスに移行する必要があります。時間ベース ライセンスだけで使用される機能では、新しいライセンスが適用される前に、ライセンスの有効期限が切れてしまわないことが特に重要です。適応型セキュリティ アプライアンスでは時間ベース ライセンスを スタック できるので、ライセンスの有効期限が切れたり、新しいライセンスを早めにインストールしたために時間が無駄になったりする心配はありません。

すでにインストールされているのと同じ時間ベース ライセンスをインストールすると、それらのライセンスは結合され、有効期間は両者を合わせた期間になります。

次に例を示します。

1. 52 週のボットネット トラフィック フィルタ ライセンスをインストールし、このライセンスを 25 週間使用します(残り 27 週)。

2. 次に、別の 52 週ボットネット トラフィック フィルタ ライセンスを購入します。2 つめのライセンスをインストールすると、ライセンスが結合され、有効期間は 79 週(52 + 27 週)になります。

同様の例を示します。

1. 8 週 1000 セッションの SSL VPN ライセンスをインストールし、これを 2 週間使用します(残り 6 週)。

2. 次に、別の 8 週 1000 セッションのライセンスをインストールすると、これらのライセンスは結合され、14 週(8 + 6 週)1000 セッションのライセンスになります。

ライセンスが同じでない場合(たとえば 1000 セッション SSL VPN ライセンスと 2500 セッション ライセンス)、それらのライセンスは結合 されません 。1 つの機能につき時間ベース ライセンスを 1 つだけアクティブにできるので、ライセンスのうちいずれか 1 つだけをアクティブにすることができます。ライセンスのアクティブ化の詳細については、「キーのアクティブ化および非アクティブ化」を参照してください。

同一でないライセンスは結合されませんが、現在のライセンスの有効期限が切れた場合、同じ機能のインストール済みライセンスが使用可能であれば、適応型セキュリティ アプライアンスはそのライセンスを自動的にアクティブにします。詳細については、「時間ベース ライセンスの有効期限」を参照してください。

時間ベース ライセンスの有効期限

機能に対応する現在のライセンスが期限切れになると、同じ機能のインストール済みライセンスが使用可能であれば、適応型セキュリティ アプライアンスはそのライセンスを自動的にアクティブにします。その機能に使用できる時間ベース ライセンスが他にない場合は、永続ライセンスが使用されます。

その機能に対して複数の時間ベース ライセンスを追加でインストールした場合、適応型セキュリティ アプライアンスは最初に検出されたライセンスを使用します。どのライセンスを使用するかは、ユーザが設定することはできず、内部動作に依存します。適応型セキュリティ アプライアンスがアクティブ化したライセンスとは別の時間ベース ライセンスを使用するには、目的のライセンスを手動でアクティブにする必要があります。「キーのアクティブ化および非アクティブ化」を参照してください。

たとえば、2500 セッションの時間ベース SSL VPN ライセンス(アクティブ)、1000 セッションの時間ベース SSL VPN ライセンス(非アクティブ)、500 セッションの永続 SSL VPN ライセンスを所有しているとします。2500 セッション ライセンスの有効期限が切れると、適応型セキュリティ アプライアンスは 1000 セッション ライセンスをアクティブにします。1000 セッション ライセンスの有効期限が切れると、適応型セキュリティ アプライアンスは 500 セッションの永続ライセンスを使用します。

共有 SSL VPN ライセンス

共有ライセンスを使用すると、多数の SSL VPN セッションを購入し、それらのセッションを適応型セキュリティ アプライアンスのグループ間で必要に応じて共有できます。そのためには、いずれかの適応型セキュリティ アプライアンスを共有ライセンス サーバとして、残りを共有ライセンス参加システムとして設定します。この項では、共有ライセンスのしくみについて説明します。次の項目を取り上げます。

「共有ライセンスのサーバと参加システムに関する情報」

「参加システムとサーバの間の通信に関する問題」

「共有ライセンス バックアップ サーバに関する情報」

「フェールオーバーと共有ライセンス」

「参加システムの最大数」

共有ライセンスのサーバと参加システムに関する情報

次の手順では、共有ライセンスの使用方法を示します。

1. 共有ライセンス サーバにする適応型セキュリティ アプライアンスを決定し、そのデバイスのシリアル番号を使用して共有ライセンス サーバ ライセンスを購入します。

2. 共有ライセンス参加システム(共有ライセンス バックアップ サーバを含む)にする適応型セキュリティ アプライアンスを決定し、それらのデバイスのシリアル番号を使用して、デバイスごとに共有ライセンス参加ライセンスを取得します。

3. (オプション)2 番目の適応型セキュリティ アプライアンスを共有ライセンス バックアップ サーバとして指定します。バックアップ サーバとして指定できるのは 1 台だけです。


) 共有ライセンス バックアップ サーバに必要なライセンスは参加ライセンスだけです。


4. 共有ライセンス サーバで共有秘密を設定します。この共有秘密を持つ参加システムが、共有ライセンスを使用できます。

5. 適応型セキュリティ アプライアンスを参加システムとして設定する際は、ローカル ライセンスやモデル情報を含むシステム情報を送信することによって、共有ライセンス サーバに登録します。


) 参加システムは、IP ネットワーク経由でサーバと通信できる必要があります。サーバと同じサブネット上にある必要はありません。


6. 参加システムがサーバをポーリングする頻度に関する情報が、共有ライセンス サーバから返されます。

7. 参加システムがローカル ライセンスのセッションを使い果たすと、追加セッションの要求を 50 セッション単位で共有ライセンス サーバに送信します。

8. 共有ライセンスが共有ライセンス サーバから返されます。参加システムが使用できる合計セッション数は、そのプラットフォーム モデルの最大セッション数を超えることができません。


) 共有ライセンス サーバは、共有ライセンス プールに参加することもできます。参加時には参加ライセンスもサーバ ライセンスも必要ありません。


a. 参加システム用に十分な数のセッションが共有ライセンス プールに残っていない場合は、使用できる限りのセッション数がサーバから返されます。

b. 参加システムは、サーバで要求が完全に満たされるまで、さらにセッションを要求するリフレッシュ メッセージを送信し続けます。

9. 参加システムにおける負荷が減少した場合は、メッセージをサーバに送信して共有セッションを解放します。


) 適応型セキュリティ アプライアンスでは、サーバと参加システムの間のすべての通信が SSL で暗号化されます。


参加システムとサーバの間の通信に関する問題

参加システムとサーバの間の通信に関する問題については、次のガイドラインを参照してください。

参加システムがリフレッシュを送信することなくリフレッシュ間隔の 3 倍の時間が経過した場合は、サーバがセッションを解放して共有ライセンス プールに戻します。

参加システムがリフレッシュを送信しようとしてもライセンス サーバに到達できない場合、参加システムは、サーバから取得した共有ライセンスを最長 24 時間使用し続けることができます。

24 時間の経過後も参加システムがライセンス サーバと通信できない場合、参加システムは、引き続きセッションを必要としていても共有ライセンスを解放します。参加システムの既存の接続は確立されたままですが、ライセンス制限を超えて新しい接続を受け入れることはできません。

24 時間が経過する前に参加システムがサーバに再接続できたが、すでにサーバによって参加システムのセッションが無効にされていた場合、参加システムは新しいセッション要求を送信する必要があります。その参加システムに再割り当てできる限りのセッション数が、サーバから返されます。

共有ライセンス バックアップ サーバに関する情報

共有ライセンス バックアップ サーバは、バックアップの役割を引き受ける前に、メインの共有ライセンス サーバに正しく登録する必要があります。登録時に、メインの共有ライセンス サーバのサーバ設定と共有ライセンス情報がバックアップに同期されます。同期内容には、登録されている参加システムの一覧や、現在のライセンス使用状況が含まれます。メイン サーバとバックアップ サーバのデータは、10 秒間隔で同期されます。最初の同期の後は、バックアップ サーバでバックアップ処理を正しく実行できるようになります。これはリロードしても変わりません。

メイン サーバがダウンした場合は、バックアップ サーバがサーバの動作を引き継ぎます。バックアップ サーバが機能するのは、最長で連続 30 日間です。その後、バックアップ サーバは参加システムに対するセッションの発行を停止し、既存のセッションはタイムアウトします。必ず、この 30 日間以内にメイン サーバを再適用してください。15 日目と 30 日目に、重大度が critical の syslog メッセージが送信されます。

メイン サーバが復旧すると、バックアップ サーバと同期した後、サーバの動作を引き継ぎます。

アクティブになっていないバックアップ サーバは、メインの共有ライセンス サーバに対する通常の参加システムとして機能します。


) メインの共有ライセンス サーバを初めて起動した時点では、バックアップ サーバが独立して動作できるのは 5 日間だけです。この動作制限は、毎日 1 日ずつ、30 日間に達するまで延長されます。一方、メイン サーバがダウンした場合は、バックアップ サーバの動作制限が毎日 1 日ずつ短縮されます。メイン サーバが復旧すると、バックアップ サーバの動作制限は再度、毎日 1 日ずつ延長され始めます。たとえば、メイン サーバが 20 日間停止している間にバックアップ サーバがアクティブであった場合、バックアップ サーバに残された動作制限は 10 日間だけです。その後、バックアップ サーバが非アクティブなバックアップとして 20 日間「充電」されると、最長の 30 日間に戻ります。この充電機能の実装により、共有ライセンスの悪用を防ぎます。


フェールオーバーと共有ライセンス

この項では、共有ライセンスとフェールオーバーの相互作用について説明します。次の項目を取り上げます。

「フェールオーバーと共有ライセンス サーバ」

「フェールオーバーと共有ライセンス参加システム」

フェールオーバーと共有ライセンス サーバ

この項では、メイン サーバおよびバックアップ サーバと、フェールオーバーとの相互作用について説明します。共有ライセンス サーバでは、VPN ゲートウェイやファイアウォールなど、適応型セキュリティ アプライアンスとしての通常機能も実行されます。このため、メインとバックアップの共有ライセンス サーバにフェールオーバーを設定して、信頼性を高めることをお勧めします。


) バックアップ サーバ メカニズムとフェールオーバーは異なりますが、両者には互換性があります。

共有ライセンスはシングルコンテキスト モードでだけサポートされるため、Active/Active フェールオーバーはサポートされません。


Active/Standby フェールオーバーでは、プライマリ装置が主要な共有ライセンス サーバとして機能し、スタンバイ装置はフェールオーバー後に主要な共有ライセンス サーバとして機能します。スタンバイ装置は、バックアップの共有ライセンス サーバとしては機能 しません 。必要に応じて、バックアップ サーバとして機能する装置のペアを追加します。

たとえば、2 組のフェールオーバー ペアがあるネットワークを使用するとします。ペア #1 にはメインのライセンス サーバが含まれます。ペア #2 にはバックアップ サーバが含まれます。ペア #1 のプライマリ装置がダウンすると、ただちに、スタンバイ装置が新しくメイン ライセンス サーバになります。ペア #2 のバックアップ サーバが使用されることはありません。ペア #1 の装置が両方ともダウンした場合だけ、ペア #2 のバックアップ サーバが共有ライセンス サーバとして使用されるようになります。ペア #1 がダウンしたままで、ペア #2 のプライマリ装置もダウンした場合は、ペア #2 のスタンバイ装置が共有ライセンス サーバとして使用されるようになります(図 3-1 を参照)。

図 3-1 フェールオーバーと共有ライセンス サーバ

 

スタンバイ バックアップ サーバは、プライマリ バックアップ サーバと同じ動作制限を共有します。スタンバイ装置がアクティブになると、その時点からプライマリ装置のカウントダウンを引き継ぎます。詳細については、「共有ライセンス バックアップ サーバに関する情報」を参照してください。

フェールオーバーと共有ライセンス参加システム

参加システムのペアについては、両方の装置を共有ライセンス サーバに登録します。登録時には、個別の参加システム ID を使用します。アクティブ装置の参加システム ID は、スタンバイ装置と同期されます。スタンバイ装置は、アクティブに切り替わるときに、この ID を使用して転送要求を生成します。この転送要求によって、以前にアクティブだった装置から新しくアクティブになる装置に共有セッションが移動します。

参加システムの最大

適応型セキュリティ アプライアンスでは、共有ライセンスの参加システム数に制限がありません。ただし、共有ネットワークの規模が非常に大きいと、ライセンス サーバのパフォーマンスに影響する場合があります。この場合は、参加システムのリフレッシュ間隔を長くするか、共有ネットワークを 2 つ作成することをお勧めします。

フェールオーバー ライセンス

フェールオーバー装置の場合、各装置で同一のライセンスが使用されている必要はありません。この項は、次の内容で構成されています。

「フェールオーバー ライセンスの要件」

「フェールオーバー ライセンスの結合方法」

「フェールオーバー装置間の通信の中断」

「フェールオーバー ペアのアップグレード」

フェールオーバー ライセンスの要件

フェールオーバー装置の場合、各装置で同一のライセンスが使用されている必要はありません。

旧バージョンの適応型セキュリティ アプライアンス ソフトウェアでは、各装置のライセンスが一致している必要がありました。Version 8.3(1) 以降では、同一のライセンスをインストールする必要はなくなりました。一般的に、ライセンスはプライマリ装置で使用するために購入されます。Active/Standby フェールオーバーの場合、セカンダリ装置は、アクティブになるとプライマリ ライセンスを継承します。両方の装置にライセンスをインストールすると、それらのライセンスは 1 つの実行フェールオーバー クラスタ ライセンスに結合されます。

ASA 5505 および 5510 適応型セキュリティ アプライアンスでは、両方の装置に Security Plus ライセンスが必要です。基本ライセンスはフェールオーバーをサポートしていないため、基本ライセンスだけを所持するスタンバイ装置でフェールオーバーをイネーブルにすることはできません。

フェールオーバー ライセンスの結合方法

フェールオーバー ペアでは、各装置のライセンスは 1 つの実行フェールオーバー クラスタ ライセンスに結合されます。Active/Active フェールオーバーでは、2 つの装置を合わせたライセンス使用がフェールオーバー クラスタ ライセンスを超えてはいけません。

プライマリ装置とセカンダリ装置で異なるライセンスを購入した場合、結合後のライセンスでは次の規則が使用されます。

セッション数などの数値ティアを持つライセンスの場合、プライマリ装置とセカンダリ装置の値がプラットフォームの制限値まで結合されます。使用されている両方のライセンスが時間ベースの場合、ライセンスは同時にカウント ダウンされます。

たとえば、500 SSL VPN セッションの ASA 5520 適応型セキュリティ アプライアンスが 2 つある場合、プラットフォーム制限は 750 であるため、結合されたライセンスでは 750 SSL VPN セッションが可能です。


) 上記の例で、SSL VPN ライセンスが時間ベースの場合、いずれか 1 つのライセンスをディセーブルにすると、プラットフォーム制限のために 500 セッションのライセンスで 250 セッションしか使用できないという「無駄」が生じることはありません。


あるいは、2 つの ASA 5540 適応型セキュリティ アプライアンスがあり、一方は 20 コンテキスト、もう一方は 10 コンテキストである場合、結合されたライセンスでは 30 コンテキストを使用できます。たとえば、Active/Active フェールオーバーで、1 つの装置が 18 コンテキスト、もうひとつの装置が 12 コンテキストで合計 30 コンテキストを使用できる場合、結合された使用量はフェールオーバー クラスタ ライセンスを超えてはいけません。

ライセンスのステータスがイネーブルまたはディセーブルの場合、イネーブル ステータスのライセンスが使用されます。

イネーブルまたはディセーブル状態(かつ数値ティアを持たない)の時間ベース ライセンスの場合、有効期間は両方のライセンスを合わせた期間になります。プライマリ装置は、まず自身のライセンスをカウント ダウンし、プライマリ装置の有効期限が切れると、セカンダリ装置が自身のライセンスのカウント ダウンを開始します。両方の装置がアクティブに動作していても、この規則は Active/Active フェールオーバーにも適用されます。

たとえば、両方の装置のボットネット トラフィック フィルタ ライセンスで 48 週残っている場合、結合された有効期間は 96 週です。

結合されたライセンスを表示するには、「現在のライセンスの表示」を参照してください。

フェールオーバー装置間の通信の中断

フェールオーバー装置で通信が 30 日を超えて途絶えると、各装置はローカルにインストールされたライセンスに戻ります。30 日の猶予期間中、結合された実行ライセンスは両方の装置で引き続き使用されます。

30 日の猶予期間中に通信が復元された場合、時間ベース ライセンスでは、経過した時間がプライマリ ライセンスから差し引かれます。プライマリ ライセンスの有効期限が切れた場合にだけ、セカンダリ ライセンスのカウント ダウンが開始されます。

30 日間で通信が復元されなかった場合、時間ベース ライセンスでは、プライマリとセカンダリの両方のライセンス(インストールされている場合)から時間が差し引かれます。これらは 2 つの異なるライセンスとして扱われ、フェールオーバー ライセンスの結合によるメリットはありません。経過時間には 30 日の猶予期間も含まれます。

次に例を示します。

1. 両方の装置に 52 週ボットネット トラフィック ライセンスをインストールしているとします。結合された実行ライセンスでは、合計期間は 104 週になります。

2. 結合されたライセンスで、これらの装置はフェールオーバー装置として 10 週間動作し、94 週が残っています(プライマリで 42 週、セカンダリで 52 週)。

3. 装置の通信が中断された場合(プライマリ装置がセカンダリ装置にフェールオーバーした場合など)、セカンダリ装置は結合されたライセンスを引き続き使用し、94 週からカウント ダウンを続行します。

4. 時間ベース ライセンスの動作は、通信がいつ復元されるかによって次のように異なります。

30 日以内:経過した時間がプライマリ装置のライセンスから差し引かれます。この場合、通信は 4 週間後に復元されます。したがって、合計 90 週(プライマリで 38 週、セカンダリで 52 週)残っているプライマリ ライセンスから、4 週が差し引かれます。

30 日経過以降:経過時間が両方の装置から差し引かれます。この場合、通信は 6 週間後に復元されます。したがって、合計 84 週(プライマリで 36 週、セカンダリで 46 週)残っているプライマリおよびセカンダリの両方のライセンスから、6 週が差し引かれます。

フェールオーバー ペアのアップグレード

フェールオーバー ペアでは、両方の装置に同一のライセンスがインストールされている必要はないので、ダウンタイムなしに各装置に新しいライセンスを適用できます。リロードが必要な永続ライセンス(表 3-10を参照)を適用する場合、リロード中に他の装置へのフェールオーバーを実行できます。両方の装置でリロードが必要な場合は、各装置を個別にリロードするとダウンタイムは発生しません。

ライセンスの FAQ

Q. SSL VPN とボットネット トラフィック フィルタなど、複数の時間ベース ライセンスをアクティブにできますか。

A. はい。一度に使用できる時間ベース ライセンスは、1 機能につき 1 つです。

Q. 複数の時間ベース ライセンスを「スタック」し、時間制限が切れると自動的に次のライセンスが使用されるようにできますか。

A. はい。ライセンスが同一の場合は、複数の時間ベース ライセンスをインストールすると、時間制限が結合されます。ライセンスが同一でない場合(1000 セッション SSL VPN ライセンスと 2500 セッション ライセンスなど)、適応型セキュリティ アプライアンスはその機能に対して検出された次の時間ベース ライセンスを自動的にアクティブにします。

Q. アクティブな時間ベース ライセンスを維持しながら、新しい永続ライセンスをインストールできますか。

A. はい。永続ライセンスをアクティブ化しても、時間ベース ライセンスには影響しません。

Q. フェールオーバーのプライマリ装置として共有ライセンス サーバを、セカンダリ装置として共有ライセンス バックアップ サーバを使用できますか。

A. いいえ。セカンダリ装置は、プライマリ装置と同じ実行ライセンスを使用します。共有ライセンス サーバには、サーバ ライセンスが必要です。バックアップ サーバには、参加ライセンスが必要です。バックアップ サーバは、2 つのバックアップ サーバの別々のフェールオーバー ペアに配置できます。

Q. フェールオーバー ペアのセカンダリ装置用に、同じライセンスを購入する必要がありますか。

A. いいえ。一般的に、ライセンスはプライマリ装置で使用するために購入されます。セカンダリ装置は、アクティブになるとプライマリ ライセンスを継承します。セカンダリ装置で別のライセンスを使用している場合、それらのライセンスは 1 つの実行フェールオーバー クラスタ ライセンスに結合されます。

Q. 共有 SSL VPN に加えて、時間ベースまたは永続の SSL VPN ライセンスを使用できますか。

A. はい。ローカルにインストールされたライセンス(時間ベース ライセンスまたは永続ライセンス)のセッション数を使い果たした後、共有ライセンスが使用されます。 :共有ライセンス サーバでは、永続 SSL VPN ライセンスは使用されません。ただし、共有ライセンス サーバ ライセンスと同時に 時間ベース ライセンスを使用することはできます。この場合、時間ベース ライセンスのセッションは、ローカル SSL VPN セッションにだけ使用できます。共有ライセンス プールに追加して参加システムで使用することはできません。

ガイドラインと制限事項

アクティベーション キーについては、次のガイドラインを参照してください。

コンテキスト モードのガイドライン

マルチコンテキスト モードでは、アクティベーション キーをシステム実行スペースに適用します。

共有ライセンスは、マルチコンテキスト モードではサポートされません。

ファイアウォール モードのガイドライン

ルーテッド モードとトランスペアレント モードの両方で、すべてのライセンス タイプを使用できます。

フェールオーバーのガイドライン

共有ライセンスは、Active/Active モードではサポートされません。詳細については、「フェールオーバーと共有ライセンス」を参照してください。

フェールオーバー装置の場合、各装置で同一のライセンスが使用されている必要はありません。

旧バージョンの適応型セキュリティ アプライアンス ソフトウェアでは、各装置のライセンスが一致している必要がありました。Version 8.3(1) 以降では、同一のライセンスをインストールする必要はなくなりました。一般的に、ライセンスはプライマリ装置で使用するために購入されます。Active/Standby フェールオーバーの場合、セカンダリ装置は、アクティブになるとプライマリ ライセンスを継承します。両方の装置にライセンスをインストールすると、それらのライセンスは 1 つの実行フェールオーバー クラスタ ライセンスに結合されます。


) フェールオーバー装置の場合、両方の装置で同一の RAM を使用する必要があります。


ASA 5505 および 5510 適応型セキュリティ アプライアンスでは、両方の装置に Security Plus ライセンスが必要です。基本ライセンスはフェールオーバーをサポートしていないため、基本ライセンスだけを所持するスタンバイ装置でフェールオーバーをイネーブルにすることはできません。

アップグレードおよびダウングレードのガイドライン

旧バージョンから最新バージョンにアップグレードしても、アクティベーション キーには引き続き互換性があります。ただし、ダウングレード機能を維持する場合は、問題が生じることがあります。

バージョン 8.1 以前へのダウングレード:アップグレードした後、 8.2 よりも前 に導入された機能ライセンスを追加でアクティブにした場合は、ダウングレードしても、アクティベーション キーには前のバージョンとの互換性があります。ただし、 8.2 以降 に導入された機能のライセンスをアクティブにした場合は、アクティベーション キーに下位互換性がありません。互換性のないライセンス キーを持っている場合は、次のガイドラインを参照してください。

以前のバージョンでアクティベーション キーを入力したことがある場合は、適応型セキュリティ アプライアンスによってそのキーが使用されます(バージョン 8.2 以降でアクティブにした新しいライセンスは使用されません)。

システムが新しく、以前のアクティベーション キーがない場合は、以前のバージョンと互換性のあるアクティベーション キーを新しく要求する必要があります。

バージョン 8.2 以前へのダウングレード:バージョン 8.3 では、フェールオーバー ライセンスが変更されたほか、より堅牢な時間ベース キーの使用方法が導入されました。

複数の時間ベース アクティベーション キーがアクティブな場合、ダウングレードを実行すると、一番最近アクティブ化された時間ベース キーがアクティブになります。それ以外のキーは非アクティブになります。最後の時間ベース ライセンスが 8.3 で導入された機能に対応している場合、そのライセンスは旧バージョンでの使用はできなくても、アクティブ ライセンスのままです。永続キーまたは有効な時間ベース キーを再入力してください。

フェールオーバー ペアのライセンスが一致していない場合、ダウングレードを実行するとフェールオーバーがディセーブルになります。キーが一致していても、使用されるライセンスは結合されたライセンスではありません。

1 つの時間ベース ライセンスをインストールしているが、それが 8.3 で導入された機能に対応している場合、ダウングレードの実行後、その時間ベース ライセンスはアクティブなままです。この時間ベース ライセンスをディセーブルにするには、永続キーを再入力する必要があります。

その他のガイドラインと制限事項

アクティベーション キーは、コンフィギュレーション ファイルには保存されません。隠しファイルとしてフラッシュ メモリに保存されます。

アクティベーション キーはデバイスのシリアル番号に結び付けられます。機能のライセンスはデバイス間で転送できません(ハードウェア障害時は除きます)。ハードウェア障害が発生して、デバイスを交換する必要がある場合は、既存のライセンスを新しいシリアル番号に転送するように、シスコ ライセンス チームに依頼してください。シスコ ライセンス チームは、Product Authorization Key の参照番号と既存のシリアル番号をお尋ねします。

ライセンス購入後の返金や、アップグレードされたライセンスとの交換はできません。

すべてのライセンス タイプをアクティブにできますが、マルチコンテキスト モードと VPN などのように、一部の機能には互換性がありません。AnyConnect Essentials ライセンスは、フル SSL VPN ライセンス、共有 SSL VPN ライセンス、および Advanced Endpoint Assessment ライセンスとは互換性がありません。デフォルトでは、上記のライセンスの代わりに AnyConnect Essentials ライセンスが使用されますが、 no anyconnect-essentials コマンドを使用することで、コンフィギュレーションで AnyConnect Essentials ライセンスをディセーブルにし、他のライセンスの使用を復元することができます。

現在のライセンスの表示

この項では、現在のライセンスと、時間ベース アクティベーション キーの残り時間を表示する方法について説明します。

手順の詳細

 

コマンド
目的

show activation-key [ detail ]

 

例:

hostname# show activation-key detail

このコマンドは、永続ライセンス、アクティブな時間ベース ライセンス、および実行ライセンスを表示します。実行ライセンスとは、永続ライセンスとアクティブな時間ベース ライセンスの組み合わせです。 detail キーワードを使用すると、非アクティブな時間ベース ライセンスも表示されます。

フェールオーバー装置では、このコマンドは「フェールオーバー クラスタ」ライセンスも表示します。これは、プライマリ装置とセカンダリ装置のキーの組み合わせです、

例 3-1 スタンドアロン装置での show activation-key 出力

次に、スタンドアロン装置での show activation-key コマンドからの出力例を示します。アクティブな各時間ベース ライセンスのほか、実行ライセンス(結合された永続ライセンスと時間ベース ライセンス)が表示されます。

hostname# show activation-key

 
Serial Number: JMX1232L11M
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Running Timebased Activation Key: 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 50 perpetual
Inside Hosts : Unlimited perpetual
Failover : Disabled perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 0 perpetual
GTP/GPRS : Disabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Linksys phone : Disabled perpetual
AnyConnect Essentials : Enabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 12 62 days
Total UC Proxy Sessions : 12 62 days
Botnet Traffic Filter : Enabled 646 days
This platform has a Base license.
The flash permanent activation key is the SAME as the running permanent key.
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter : Enabled 646 days
0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2
Total UC Proxy Sessions : 10 62 days
 

例 3-2 スタンドアロン装置での show activation-key detail 出力

次に、スタンドアロン装置での show activation-key detail コマンドからの出力例を示します。永続ライセンスと、インストールされた各時間ベース ライセンス(アクティブおよび非アクティブ)のほか、実行ライセンス(結合された永続ライセンスと時間ベース ライセンス)が表示されます。

hostname# show activation-key detail

 
Serial Number: 88810093382
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
 
Licensed features for this platform:
Maximum Physical Interfaces : 8 perpetual
VLANs : 20 DMZ Unrestricted
Dual ISPs : Enabled perpetual
VLAN Trunk Ports : 8 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Standby perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 25 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Enabled 39 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5505 Security Plus license.
 
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
 
Licensed features for this platform:
Maximum Physical Interfaces : 8 perpetual
VLANs : 20 DMZ Unrestricted
Dual ISPs : Enabled perpetual
VLAN Trunk Ports : 8 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Standby perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 25 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
The flash permanent activation key is the SAME as the running permanent key.
 
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter : Enabled 39 days
 
Inactive Timebased Activation Key:
0xyadayada3 0xyadayada3 0xyadayada3 0xyadayada3 0xyadayada3
SSL VPN Peers : 100 7 days
 

例 3-3 フェールオーバー ペアのプライマリ装置での show activation-key detail 出力

次に、プライマリ フェールオーバー装置での show activation-key detail コマンドからの出力例を示します。次の内容が表示されます。

プライマリ装置のライセンス(結合された永続ライセンスと時間ベース ライセンス)。

プライマリ装置とセカンダリ装置のライセンスの組み合わせである「フェールオーバー クラスタ」ライセンス。これは、適応型セキュリティ アプライアンスで実際に動作するライセンスです。プライマリおよびセカンダリ ライセンスの組み合わせを表すこのライセンスの値は、太字で示しています。

プライマリ装置の永続ライセンス。

プライマリ装置にインストールされた時間ベース ライセンス(アクティブおよび非アクティブ)。

hostname# show activation-key detail

 
Serial Number: P3000000171
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 12 perpetual
GTP/GPRS : Enabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Enabled 33 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
 
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 12 perpetual
GTP/GPRS : Enabled perpetual
SSL VPN Peers : 4 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 4 perpetual
Total UC Proxy Sessions : 4 perpetual
Botnet Traffic Filter : Enabled 33 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
The flash permanent activation key is the SAME as the running permanent key.
 
Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter : Enabled 33 days
 
Inactive Timebased Activation Key:
0xyadayad3 0xyadayad3 0xyadayad3 0xyadayad3 0xyadayad3
Security Contexts : 2 7 days
SSL VPN Peers : 100 7 days
 
0xyadayad4 0xyadayad4 0xyadayad4 0xyadayad4 0xyadayad4
Total UC Proxy Sessions : 100 14 days
 

例 3-4 フェールオーバー ペアのセカンダリ装置での show activation-key detail 出力

次に、セカンダリ フェールオーバー装置での show activation-key detail コマンドからの出力例を示します。次の内容が表示されます。

セカンダリ装置のライセンス(結合された永続ライセンスと時間ベース ライセンス)。

プライマリ装置とセカンダリ装置のライセンスの組み合わせである「フェールオーバー クラスタ」ライセンス。これは、適応型セキュリティ アプライアンスで実際に動作するライセンスです。プライマリおよびセカンダリ ライセンスの組み合わせを表すこのライセンスの値は、太字で示しています。

セカンダリ装置の永続ライセンス。

セカンダリ装置にインストールされた時間ベース ライセンス(アクティブおよび非アクティブ)。この装置に時間ベース ライセンスはインストールされていないので、この出力例では何も表示されません。

hostname# show activation-key detail

 
Serial Number: P3000000011
Running Activation Key: 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
Failover cluster licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
Security Contexts : 10 perpetual
GTP/GPRS : Enabled perpetual
SSL VPN Peers : 4 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 4 perpetual
Total UC Proxy Sessions : 4 perpetual
Botnet Traffic Filter : Enabled 33 days
Intercompany Media Engine : Disabled perpetual
 
This platform has an ASA 5520 VPN Plus license.
 
Running Permanent Activation Key: 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 750 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
 
The flash permanent activation key is the SAME as the running permanent key.
 

アクティベーション キーの取得

アクティベーション キーを取得するには、シスコの代理店から購入できる Product Authorization Key が必要になります。機能のライセンスごとに個別の Product Activation Key を購入する必要があります。たとえば、基本ライセンスを持っている場合に、Advanced Endpoint Assessment のキーや、追加の SSL VPN セッションのキーを、別途購入できます。

Product Authorization Key を取得したら、次の手順を実行して Cisco.com にそれらのキーを登録します。

手順の詳細


ステップ 1 次のコマンドを入力して、適応型セキュリティ アプライアンスのシリアル番号を取得します。

hostname# show activation-key
 

ステップ 2 次のいずれかの URL にアクセスします。

Cisco.com の登録ユーザの場合は、次の Web サイトを使用します。

http://www.cisco.com/go/license
 

Cisco.com の登録ユーザ以外の場合は、次の Web サイトを使用します。

http://www.cisco.com/go/license/public
 

ステップ 3 プロンプトが表示されたら、次の情報を入力します。

Product Authorization Key(キーが複数ある場合は、まず 1 つを入力します。キーごとに個別のプロセスとして入力する必要があります)

適応型セキュリティ アプライアンスのシリアル番号

電子メール アドレス

アクティベーション キーが自動的に生成され、指定した電子メール アドレスに送信されます。このキーには、永続ライセンス用にそれまでに登録した機能がすべて含まれています。時間ベース ライセンスの場合は、ライセンスごとに個別のアクティベーション キーがあります。

ステップ 4 Product Authorization Key がさらにある場合は、Product Authorization Key ごとにステップ 3 を繰り返します。すべての Product Authorization Key を入力した後、最後に送信されるアクティベーション キーには、登録した永続機能がすべて含まれています。


 

キーのアクティブ化および非アクティブ化

この項では、新しいアクティベーション キーの入力と、時間ベース キーのアクティブ化および非アクティブ化の方法について説明します。

前提条件

すでにマルチコンテキスト モードに入っている場合は、システム実行スペースにこのアクティベーション キーを入力します。

永続ライセンスによっては、アクティブ化の後に適応型セキュリティ アプライアンスをリロードする必要があります。 表 3-10 に、リロードが必要なライセンスを示します。

 

表 3-10 永続ライセンスのリロード要件

モデル
リロードが必要なライセンス アクション

ASA 5505 および ASA 5510

基本ライセンスと Security Plus ライセンスの間の切り替え。

すべてのモデル

暗号化ライセンスの変更。

すべてのモデル

永続ライセンスのダウングレード(10 コンテキストから 2 コンテキストへの変更など)。

制限事項

旧バージョンから最新バージョンにアップグレードしても、アクティベーション キーには引き続き互換性があります。ただし、ダウングレード機能を維持する場合は、問題が生じることがあります。

バージョン 8.1 以前へのダウングレード:アップグレードした後、 8.2 よりも前 に導入された機能ライセンスを追加でアクティブにした場合は、ダウングレードしても、アクティベーション キーには前のバージョンとの互換性があります。ただし、 8.2 以降 に導入された機能のライセンスをアクティブにした場合は、アクティベーション キーに下位互換性がありません。互換性のないライセンス キーを持っている場合は、次のガイドラインを参照してください。

以前のバージョンでアクティベーション キーを入力したことがある場合は、適応型セキュリティ アプライアンスによってそのキーが使用されます(バージョン 8.2 以降でアクティブにした新しいライセンスは使用されません)。

システムが新しく、以前のアクティベーション キーがない場合は、以前のバージョンと互換性のあるアクティベーション キーを新しく要求する必要があります。

バージョン 8.2 以前へのダウングレード:バージョン 8.3 では、フェールオーバー ライセンスが変更されたほか、より堅牢な時間ベース キーの使用方法が導入されました。

複数の時間ベース アクティベーション キーがアクティブな場合、ダウングレードを実行すると、一番最近アクティブ化された時間ベース キーがアクティブになります。それ以外のキーは非アクティブになります。

フェールオーバー ペアのライセンスが一致していない場合、ダウングレードを実行するとフェールオーバーがディセーブルになります。キーが一致していても、使用されるライセンスは結合されたライセンスではありません。

手順の詳細

 

コマンド
目的

ステップ 1

activation-key key [ activate | deactivate ]

 

 

hostname# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490

適応型セキュリティ アプライアンスにアクティベーション キーを適用します。 キー は、5 つのエレメントからなる 16 進文字列です。各エレメントは 1 つのスペースで区切られます。先頭部分の 0x 指定子は省略できます。値は、すべて 16 進数であると見なされます。

1 つの永続キーと複数の時間ベース キーをインストールできます。新しい永続キーを入力すると、すでにインストールされているキーはそのキーで上書きされます。

activate および deactivate キーワードは、時間ベース キーだけに使用できます。値を入力しない場合は、 activate がデフォルトです。所定の機能に対して最後にアクティブ化した時間ベース キーがアクティブ キーです。アクティブな時間ベース キーを非アクティブにするには、 deactivate キーワードを入力します。初めてキーを入力して deactivate を指定する場合、そのキーは非アクティブ状態で適応型セキュリティ アプライアンスにインストールされます。詳細については、「時間ベース ライセンス」を参照してください。

ステップ 2

(場合によって必須)

reload

 

 

hostname# reload

適応型セキュリティ アプライアンスをリロードします。永続ライセンスによっては、新しいアクティベーション キーの入力後に適応型セキュリティ アプライアンスをリロードする必要があります。リロードが必要なライセンスの一覧については、表 3-10 を参照してください。リロードが必要な場合は、次のメッセージが表示されます。

WARNING: The running activation key was not updated with the requested key. The flash activation key was updated with the requested key, and will become active after the next reload.

共有ライセンスの設定

この項では、共有ライセンス サーバと参加システムを設定する方法について説明します。共有ライセンスの詳細については、「共有 SSL VPN ライセンス」を参照してください。

この項は、次の内容で構成されています。

「共有ライセンス サーバの設定」

「共有ライセンス バックアップ サーバの設定(オプション)」

「共有ライセンス参加システムの設定」

「共有ライセンスのモニタリング」

共有ライセンス サーバの設定

この項では、適応型セキュリティ アプライアンスを共有ライセンス サーバとして設定する方法について説明します。

前提条件

サーバが共有ライセンス サーバ キーを持っている必要があります。

手順の詳細

 

コマンド
目的

ステップ 1

license-server secret secret

 

 

hostname(config)# license-server secret farscape

共有秘密として 4 ~ 128 文字の ASCII 文字列を設定します。この秘密を持つ参加システムが、ライセンス サーバを使用できます。

ステップ 2

(オプション)

license-server refresh-interval seconds

 

 

hostname(config)# license-server refresh-interval 100

10 ~ 300 秒のリフレッシュ間隔を設定します。この値が、サーバと通信する頻度として参加システムに設定されます。デフォルトは、30 秒です。

ステップ 3

(オプション)

license-server port port

 

 

hostname(config)# license-server port 40000

サーバが参加システムからの SSL 接続をリスンするポートを、1 ~ 65535 の間で設定します。デフォルトは、TCP ポート 50554 です。

ステップ 4

(オプション)

license-server backup address backup-id serial_number [ ha-backup-id ha_serial_number ]

 

 

hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3

バックアップ サーバの IP アドレスとシリアル番号を指定します。バックアップ サーバがフェールオーバー ペアの一部である場合は、スタンバイ装置のシリアル番号も指定します。指定できるのは、バックアップ サーバ 1 台と、そのスタンバイ装置(使用する場合)だけです。

ステップ 5

license-server enable interface_name

 

 

hostname(config)# license-server enable inside

この装置を共有ライセンス サーバとしてイネーブルにします。参加システムがサーバと通信するインターフェイスを指定します。必要なインターフェイスの数に応じて、このコマンドを繰り返します。

次の例では、共有秘密を設定し、リフレッシュ間隔とポートを変更し、バックアップ サーバを設定し、この装置を内部インターフェイス上と dmz インターフェイス上で共有ライセンス サーバとしてイネーブルにしています。

hostname(config)# license-server secret farscape

hostname(config)# license-server refresh-interval 100
hostname(config)# license-server port 40000
hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3
hostname(config)# license-server enable inside
hostname(config)# license-server enable dmz
 

共有ライセンス バックアップ サーバの設定(オプション)

この項では、共有ライセンスのメイン サーバがダウンした場合にバックアップ サーバとして機能する参加システムをイネーブルにします。

前提条件

バックアップ サーバが共有ライセンス参加キーを持っている必要があります。

手順の詳細

 

コマンド
目的

ステップ 1

license-server address address secret secret [ port port ]

 

 

hostname(config)# license-server address 10.1.1.1 secret farscape

共有ライセンス サーバの IP アドレスと共有秘密を指定します。デフォルト ポートをサーバ コンフィギュレーションで変更した場合は、同じポートをバックアップ サーバにも設定します。

ステップ 2

license-server backup enable interface_name

 

 

hostname(config)# license-server backup enable inside

この装置を共有ライセンス バックアップ サーバとしてイネーブルにします。参加システムがサーバと通信するインターフェイスを指定します。必要なインターフェイスの数に応じて、このコマンドを繰り返します。

次の例では、ライセンス サーバと共有秘密を指定し、この装置を内部インターフェイス上と dmz インターフェイス上で共有ライセンス バックアップ サーバとしてイネーブルにしています。

hostname(config)# license-server address 10.1.1.1 secret farscape

hostname(config)# license-server backup enable inside
hostname(config)# license-server backup enable dmz
 

次の作業

「共有ライセンス参加システムの設定」を参照してください。

共有ライセンス参加システムの設定

この項では、共有ライセンス サーバと通信する共有ライセンス参加システムを設定します。

前提条件

参加システムが共有ライセンス参加キーを持っている必要があります。

手順の詳細

 

コマンド
目的

ステップ 1

license-server address address secret secret [ port port ]

 

 

hostname(config)# license-server address 10.1.1.1 secret farscape

共有ライセンス サーバの IP アドレスと共有秘密を指定します。デフォルト ポートをサーバ コンフィギュレーションで変更した場合は、同じポートを参加システムにも設定します。

ステップ 2

(オプション)

license-server backup address address

 

 

hostname(config)# license-server backup address 10.1.1.2

バックアップ サーバを設定した場合は、バックアップ サーバのアドレスを入力します。

次の例では、ライセンス サーバの IP アドレスと共有秘密に加えて、バックアップのライセンス サーバの IP アドレスも設定しています。

hostname(config)# license-server address 10.1.1.1 secret farscape

hostname(config)# license-server backup address 10.1.1.2

 

共有ライセンスのモニタリング

共有ライセンスをモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show shared license [ detail | client [ hostname ] | backup ]

共有ライセンスの統計情報を表示します。オプション キーワードはライセンス サーバだけに使用できます。 detail キーワードを使用すると、参加システムごとの統計情報が表示されます。表示内容を 1 台の参加システムに限定するには、 client キーワードを使用します。 backup キーワードを使用すると、バックアップ サーバに関する情報が表示されます。

共有ライセンスの統計情報をクリアするには、 clear shared license コマンドを入力します。

show activation-key

適応型セキュリティ アプライアンスにインストールされているライセンスを表示します。 show version コマンドでもライセンス情報が表示されます。

show vpn-sessiondb

VPN セッションに関するライセンス情報を表示します。

次に、ライセンス参加システムでの show shared license コマンドの出力例を示します。

hostname> show shared license
Primary License Server : 10.3.32.20
Version : 1
Status : Inactive
 
Shared license utilization:
SSLVPN:
Total for network : 5000
Available : 5000
Utilized : 0
This device:
Platform limit : 250
Current usage : 0
High usage : 0
Messages Tx/Rx/Error:
Registration : 0 / 0 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
 

次に、ライセンス サーバでの show shared license detail コマンドの出力例を示します。

hostname> show shared license detail
Backup License Server Info:
 
Device ID : ABCD
Address : 10.1.1.2
Registered : NO
HA peer ID : EFGH
Registered : NO
Messages Tx/Rx/Error:
Hello : 0 / 0 / 0
Sync : 0 / 0 / 0
Update : 0 / 0 / 0
 
Shared license utilization:
SSLVPN:
Total for network : 500
Available : 500
Utilized : 0
This device:
Platform limit : 250
Current usage : 0
High usage : 0
Messages Tx/Rx/Error:
Registration : 0 / 0 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
 
 
Client Info:
 
Hostname : 5540-A
Device ID : XXXXXXXXXXX
SSLVPN:
Current usage : 0
High : 0
Messages Tx/Rx/Error:
Registration : 1 / 1 / 0
Get : 0 / 0 / 0
Release : 0 / 0 / 0
Transfer : 0 / 0 / 0
...

ライセンスの機能履歴

表 3-11 に、この機能のリリース履歴の一覧を示します。

 

表 3-11 ライセンスの機能履歴

機能名
リリース
機能情報

接続数と VLAN 数の増加

7.0(5)

次の制限値が変更されました。

ASA5510 基本ライセンスの接続数が 32000 から 5000 に、VLAN 数が 0 から 10 に増えました。

ASA5510 Security Plus ライセンスの接続数が 64000 から 130000 に、VLAN 数が 10 から 25 に増えました。

ASA5520 の接続数が 130000 から 280000 に、VLAN 数が 25 から 100 に増えました。

ASA5540 の接続数が 280000 から 400000 に、VLAN 数が 100 から 200 に増えました。

SSL VPN ライセンス

7.1(1)

SSL VPN ライセンスが導入されました。

SSL VPN ライセンスの追加

7.2(1)

ASA 5550 以降のモデル用に 5000 ユーザの SSL VPN ライセンスが導入されました。

VLAN 数の増加

7.2(2)

ASA 5505 適応型セキュリティ アプライアンスの Security Plus ライセンスに対する VLAN の最大数が 5(3 つはフル機能用、1 つはフェールオーバー用で、バックアップ インターフェイス用は 1 つに制限されています)から 20(フル機能のインターフェイス)に増えました。さらに、トランク ポート数が 1 から 8 に増えました。フル機能のインターフェイスの数が 20 になり、バックアップ ISP インターフェイスを停止するために backup interface コマンドを使用する必要がなくなりました。つまり、バックアップ ISP インターフェイス用にフル機能のインターフェイスを使用できるようになりました。backup interface コマンドは、これまでどおり Easy VPN 設定用に使用できます。

VLAN の制限値も変更されました。ASA 5510 適応型セキュリティ アプライアンスの基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 適応型セキュリティ アプライアンスでは 100 から 150 に、ASA 5550 適応型セキュリティ アプライアンスでは 200 から 250 に増えています。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 適応型セキュリティ アプライアンスは、Security Plus ライセンスを使用する Ethernet 0/0 および 0/1 ポート用にギガビット イーサネット(1000 Mbps)をサポートしています。基本ライセンスでは、これらのポートは引き続きファスト イーサネット(100 Mbps)ポートとして使用されます。いずれのライセンスに対しても、Ethernet 0/2、0/3、および 0/4 はファスト イーサネット ポートのままです。

(注) インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。

インターフェイスの速度を変更するには speed コマンドを使用し、インターフェイスごとに現在設定されている速度を確認するには show interface コマンドを使用します。

Advanced Endpoint Assessment ライセンス

8.0(2)

Advanced Endpoint Assessment ライセンスが導入されました。Cisco AnyConnect またはクライアントレス SSL VPN 接続の条件としてリモート コンピュータでスキャン対象となる、ウイルス対策アプリケーションやスパイウェア対策アプリケーション、ファイアウォール、オペレーティング システム、および関連アップデートの種類が、大幅に拡張されました。また、任意のレジストリ エントリ、ファイル名、およびプロセス名を指定してスキャン対象にすることもできます。スキャン結果を適応型セキュリティ アプライアンスに送信します。適応型セキュリティ アプライアンスは、ユーザ ログイン クレデンシャルとコンピュータ スキャン結果の両方を使用して、Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を割り当てます。

Advanced Endpoint Assessment ライセンスを使用すると、バージョン要件を満たすように非準拠コンピュータのアップデートを試行する機能を設定して、Host Scan を拡張できます。

シスコは、Host Scan でサポートされるアプリケーションとバージョンの一覧に、Cisco Secure Desktop とは異なるパッケージで、タイムリーなアップデートを提供できます。

ASA 5510 の VPN ロードバランシング

8.0(2)

ASA 5510 Security Plus ライセンスで VPN ロードバランシングがサポートされるようになりました。

AnyConnect for Mobile ライセンス

8.0(3)

AnyConnect for Mobile ライセンスが導入されました。これにより Windows モバイル デバイスは AnyConnect クライアントを使用して適応型セキュリティ アプライアンスに接続できます。

時間ベース ライセンス

8.0(4)/8.1(2)

時間ベース ライセンスのサポートが導入されました。

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 でサポートされる VLAN 数が 100 から 250 に増えました。

Unified Communications Proxy セッション ライセンス

8.0(4)

UC Proxy セッション ライセンスが導入されました。Phone Proxy、Presence Federation Proxy、および Encrypted Voice Inspection アプリケーションでは、それらの接続に TLS プロキシ セッションが使用されます。各 TLS プロキシ セッションは、UC ライセンスの制限に対してカウントされます。これらのアプリケーションは、すべて UC Proxy として包括的にライセンスされるので、混在させたり、組み合せたりできます。

この機能は、バージョン 8.1 では使用できません。

ボットネット トラフィック フィルタ ライセンス

8.2(1)

ボットネット トラフィック フィルタ ライセンスが導入されました。ボットネット トラフィック フィルタでは、既知の不正なドメインや IP アドレスに対する接続を追跡して、マルウェア ネットワーク アクティビティから保護します。

AnyConnect Essentials ライセンス

8.2(1)

AnyConnect Essentials ライセンスが導入されました。このライセンスにより、AnyConnect VPN クライアントは適応型セキュリティ アプライアンスへのアクセスが可能になります。このライセンスでは、ブラウザベースの SSL VPN アクセスまたは Cisco Secure Desktop はサポートされていません。これらの機能に対しては、AnyConnect Essentials ライセンスの代わりに共有プレミアム SSL VPN ライセンスがアクティブ化されます。

(注) AnyConnect Essentials ライセンスを所有する VPN ユーザは、Web ブラウザを使用してログインし、AnyConnect クライアントをダウンロードおよび起動(WebLaunch)することができます。

このライセンスと共有プレミアム SSL VPN ライセンスのいずれでイネーブル化されたかには関係なく、AnyConnect クライアント ソフトウェアには同じクライアント機能のセットが装備されています。

特定の適応型セキュリティ アプライアンスでは、共有プレミアム SSL VPN ライセンス(全タイプ)または Advanced Endpoint Assessment ライセンスを、AnyConnect Essentials ライセンスと同時にアクティブにすることはできません。ただし、同じネットワーク内の異なる適応型セキュリティ アプライアンスで、AnyConnect Essentials ライセンスと共有プレミアム SSL VPN ライセンスを実行することは可能です。

デフォルトでは、適応型セキュリティ アプライアンスは AnyConnect Essentials ライセンスを使用しますが、 no anyconnect-essentials コマンドを使用すると、AnyConnect Essentials ライセンスをディセーブルにして他のライセンスを使用できます。

SSL VPN の共有ライセンス

8.2(1)

SSL VPN の共有ライセンスが導入されました。複数の適応型セキュリティ アプライアンスで、SSL VPN セッションのプールを必要に応じて共有できます。

モビリティ プロキシ アプリケーションで、Unified Communications Proxy ライセンスが不要になりました。

8.2(2)

モビリティ プロキシでは UC Proxy ライセンスが不要になりました。

同一でないフェールオーバー ライセンス

8.3(1)

フェールオーバー ライセンスが各装置で同じである必要がなくなりました。プライマリおよびセカンダリ装置のライセンスを結合したライセンスが両方の装置で使用されます。

show activation-key および show version の各コマンドが変更されました。

スタック可能な時間ベース ライセンス

8.3(1)

時間ベース ライセンスがスタック可能になりました。多くの場合、時間ベース ライセンスは更新の必要があり、旧ライセンスから新しいライセンスへシームレスに移行する必要があります。時間ベース ライセンスだけで使用される機能では、新しいライセンスが適用される前に、ライセンスの有効期限が切れてしまわないことが特に重要です。適応型セキュリティ アプライアンスでは時間ベース ライセンスを スタック できるので、ライセンスの有効期限が切れたり、新しいライセンスを早めにインストールしたために時間が無駄になったりする心配はありません。

Intercompany Media Engine ライセンス

8.3(1)

IME ライセンスが導入されました。

複数の時間ベース ライセンスの同時アクティブ化

8.3(1)

複数の時間ベース ライセンスをインストールし、機能ごとに 1 つのライセンスを同時にアクティブ化できるようになりました。

show activation-key および show version の各コマンドが変更されました。

時間ベース ライセンスのアクティブ化と非アクティブ化の個別化

8.3(1)

コマンドを使用して、時間ベース ライセンスをアクティブ化または非アクティブ化できるようになりました。

activation-key [ activate | deactivate ] コマンドが変更されました。