Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
機能のライセンスと仕様
機能のライセンスと仕様
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

機能のライセンスと仕様

サポートされているプラットフォーム

プラットフォームの機能のライセンス

セキュリティ サービス モジュール サポート

VPN 仕様

Cisco VPN クライアント サポート

Cisco Secure Desktop のサポート

サイトツーサイト VPN 互換性

暗号化標準

機能のライセンスと仕様

この付録では、機能のライセンスと仕様について説明します。この付録では、次の項目について説明します。

「サポートされているプラットフォーム」

「プラットフォームの機能のライセンス」

「セキュリティ サービス モジュール サポート」

「VPN 仕様」

サポートされているプラットフォーム

このソフトウェア バージョンは、次のプラットフォームをサポートしています。

ASA 5510

ASA 5520

ASA 5540

PIX 515/515E

PIX 525

PIX 535

プラットフォームの機能のライセンス

次の表に、各プラットフォーム ライセンスの機能サポートを示します。


) イタリック体で示された項目は、基本ライセンスに追加できる個別のオプション ライセンスです。ライセンスは、混合し組み合せることができます。たとえば、10 セキュリティ コンテキスト ライセンスと Strong Encryption ライセンス、VPN Plus ライセンスと GTP/GPRS ライセンス、または 4 つのライセンスを同時に使用することができます。


 

表A-1 ASA 5500 シリーズ適応型セキュリティ アプライアンス ライセンスの機能

プラットフォームおよび機能
ライセンス
ASA 5510
基本ライセンス
Security Plus

セキュリティ コンテキスト

サポートしない

サポートしない

VPN セッション1

IPSec と WebVPN の合計で 250

IPSec と WebVPN の合計で 250

最大 IPSec セッション

250

250

最大 WebVPN セッション

2

追加ライセンス:

2

追加ライセンス:

10

25

50

100

250

10

25

50

100

250

VPN ロードバランシング

サポートしない

サポートしない

フェールオーバー

なし

Active/Standby

GTP/GPRS

サポートされていない

サポートされていない

最大 VLAN

10

25

同時ファイアウォール接続2

50 K

130 K

最大物理インターフェイス

10/100 に 3 つと、管理トラフィック専用の管理インターフェイス(to-the-security-appliance)

制限なし

暗号化

基本(DES)

アドオン ライセンス:強化(3DES/AES)

基本(DES)

アドオン ライセンス:強化(3DES/AES)

最小 RAM

256 MB

256 MB

ASA 5520
基本ライセンス

セキュリティ コンテキスト

2

追加ライセンス:

5

10

20

VPN セッション1

IPSec と WebVPN の合計で 750

最大 IPSec セッション

750

最大 WebVPN セッション

2

追加ライセンス:

10

25

50

100

250

500

750

VPN ロードバランシング

サポート対象

フェールオーバー

Active/Standby
Active/Active

GTP/GPRS

なし

追加ライセンス:イネーブル

最大 VLAN

100

同時ファイアウォール接続2

280 K

最大物理インターフェイス

制限なし

暗号化

基本(DES)

アドオン ライセンス:強化(3DES/AES)

最小 RAM

512 MB

ASA 5540
基本ライセンス

セキュリティ コンテキスト

2

追加ライセンス:

5

10

20

50

VPN セッション1

IPSec と WebVPN の合計で 5000

最大 IPSec セッション

5000

最大 WebVPN セッション

2

追加ライセンス:

10

25

50

100

250

500

750

1000

2500

VPN ロードバランシング

サポート対象

フェールオーバー

Active/Standby
Active/Active

GTP/GPRS

なし

追加ライセンス:イネーブル

最大 VLAN

200

同時ファイアウォール接続2

400 K

最大物理インターフェイス

制限なし

暗号化

基本(DES)

アドオン ライセンス:強化(3DES/AES)

最小 RAM

1024 MB

1.IPSec および WebVPN のセッションの最大数には、VPN セッションの最大数を超える数のセッションを追加できますが、両セッションの合計が VPN セッションの上限を超えることはできません。VPN セッションの最大数を超過した場合は、セキュリティ アプライアンスをオーバーロードできるため、ネットワーク サイズを適切に設定するようにしてください。

2.同時ファイアウォール接続は、4 つの接続すべてに対して 1 つのホストと 1 つのダイナミック変換を持つ 80% TCP と 20% UDP のトラフィック混合に基づいています。

 

表A-2 PIX 500 シリーズ セキュリティ アプライアンス ライセンスの機能

プラットフォームおよび機能
ライセンス
PIX 515/515E3
R(制限付き)
UR(制限なし)
FO(フェールオーバー)4
FO-AA(フェールオーバー Active/Active) 2

セキュリティ コンテキスト

サポートしない

2

追加ライセンス:

2

追加ライセンス:

2

追加ライセンス:

5

5

5

IPSec セッション

2000

2000

2000

2000

フェールオーバー

サポートしない

Active/Standby
Active/Active

Active/Standby

Active/Standby
Active/Active

GTP/GPRS

なし

アドオン ライセンス:イネーブル

なし

アドオン ライセンス:イネーブル

なし

アドオン ライセンス:イネーブル

なし

アドオン ライセンス:イネーブル

最大 VLAN

10

25

25

25

同時ファイアウォール接続5

48 K

130 K

130 K

130 K

最大物理インターフェイス

3

6

6

6

暗号化

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

最小 RAM

64 MB

128 MB

128 MB

128 MB

PIX 525 1
R(制限付き)
UR(制限なし)
FO(フェールオーバー) 2
FO-AA(フェールオーバー Active/Active) 2

セキュリティ コンテキスト

サポートしない

2

追加ライセンス:

2

追加ライセンス:

2

追加ライセンス:

5

10

20

50

5

10

20

50

5

10

20

50

IPSec セッション

2000

2000

2000

2000

フェールオーバー

サポートしない

Active/Standby
Active/Active

Active/Standby

Active/Standby
Active/Active

GTP/GPRS

なし

アドオン ライセンス:イネーブル

なし

アドオン ライセンス:イネーブル

なし

アドオン ライセンス:イネーブル

なし

アドオン ライセンス:イネーブル

最大 VLAN

25

100

100

100

同時ファイアウォール接続3

140 K

280 K

280 K

280 K

最大物理インターフェイス

6

10

10

10

暗号化

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

最小 RAM

128 MB

256 MB

256 MB

256 MB

PIX 535 1
R(制限付き)
UR(制限なし)
FO(フェールオーバー) 2
FO-AA(フェールオーバー Active/Active) 2

セキュリティ コンテキスト

サポートしない

2

追加ライセンス:

2

追加ライセンス:

2

追加ライセンス:

5

10

20

50

5

10

20

50

5

10

20

50

IPSec セッション

2000

2000

2000

2000

フェールオーバー

サポートしない

Active/Standby
Active/Active

Active/Standby

Active/Standby
Active/Active

GTP/GPRS

なし

アドオン ライセンス:イネーブル

なし

アドオン ライセンス:イネーブル

なし

アドオン ライセンス:イネーブル

なし

アドオン ライセンス:イネーブル

最大 VLAN

50

150

150

150

同時ファイアウォール接続3

250 K

500 K

500 K

500 K

最大物理インターフェイス

8

14

14

14

暗号化

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

なし

アドオン ライセンス:基本
(DES)

アドオン ライセンス:強化
(3DES/AES)

最小 RAM

512 MB

1024 MB

1024 MB

1024 MB

3.PIX 500 シリーズ セキュリティ アプライアンスは、WebVPN または VPN ロードバランシングをサポートしません。

4.このライセンスは、UR ライセンスを持つ別の装置とのフェールオーバー ペアでのみ使用できます。どちらの装置も同じモデルである必要があります。

5.同時ファイアウォール接続は、4 つの接続すべてに対して 1 つのホストと 1 つのダイナミック変換を持つ 80% TCP と 20% UDP のトラフィック混合に基づいています。

セキュリティ サービス モジュール サポート

表A-3 に、各プラットフォームでサポートされる SSM を示します。

 

表A-3 SSM サポート

プラットフォーム
SSM モジュール

ASA 5510

AIP SSM 10

CSC SSM 10

CSC SSM 20

4GE SSM

ASA 5520

AIP SSM 10

AIP SSM 20

CSC SSM 10

CSC SSM 20

4GE SSM

ASA 5540

AIP SSM 10

AIP SSM 20

CSC SSM 106

CSC SSM 201

4GE SSM

PIX 515/515E

サポートしない

PIX 525

サポートしない

PIX 535

サポートしない

6.CSC SSM ライセンスでは、最大 1000 人のユーザをサポートしますが、Cisco ASA 5540 シリーズのアプライアンスでは、それよりはるかに多数のユーザをサポートできます。ASA 5540 適応型セキュリティ アプライアンスに CSC SSM を導入する場合は、スキャン対象のトラフィックに対してのみ CSC SSM が送信されるようにセキュリティ アプライアンスを設定してください。スキャンするトラフィックを決定するためのガイドラインについては、「CSC SSM を通過する接続の制限」を参照してください。

VPN 仕様

この項では、セキュリティ アプライアンスの VPN 仕様について説明します。ここでは、次の項目について説明します。

「Cisco VPN クライアント サポート」

「Cisco Secure Desktop のサポート」

「サイトツーサイト VPN 互換性」

「暗号化標準」

Cisco VPN クライアント サポート

セキュリティ アプライアンスは、 表A-4 に示されているように、広範なソフトウェアおよびハードウェア ベースの Cisco VPN クライアントをサポートしています。

 

表A-4 Cisco VPN クライアント サポート

クライアント タイプ
クライアント バージョン

SSL VPN クライアント

Cisco SSL VPN client バージョン 1.1 以降

ソフトウェア IPSec VPN クライアント

Cisco VPN client for Windows バージョン 3.6 以降

Cisco VPN client for Linux バージョン 3.6 以降

Cisco VPN client for Solaris バージョン 3.6 以降

Cisco VPN client for Mac OS X バージョン 3.6 以降

ハードウェア IPSec VPN クライアント(Cisco Easy VPN remote)

Cisco VPN 3002 hardware client バージョン 3.0 以降

Cisco IOS Software Easy VPN remote リリース 12.2(8)YJ

Cisco PIX 500 シリーズ セキュリティ アプライアンス バージョン 6.2 以降

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス バージョン 7.0 以降

Cisco Secure Desktop のサポート

セキュリティ アプライアンスでは、CSD ソフトウェアのバージョン 3.1.1.16 をサポートしています。

サイトツーサイト VPN 互換性

多数のサードパーティ VPN 製品に対する相互運用性に加え、セキュリティ アプライアンスは、 表A-5 に示されているサイトツーサイト VPN 接続用の Cisco VPN 製品との相互運用性を提供します。

 

表A-5 サイトツーサイト VPN 互換性

プラットフォーム
ソフトウェア バージョン

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス

バージョン 7.0(1) 以降

Cisco IOS ルータ

リリース 12.1(6)T 以降

Cisco PIX 500 シリーズ セキュリティ アプライアンス

バージョン 5.1(1) 以降

Cisco VPN 3000 シリーズ コンセントレータ

バージョン 3.6(1) 以降

暗号化標準

セキュリティ アプライアンスは、 表A-6 に示されているものを含め、多数の暗号化標準と、関連するサードパーティ製品およびサービスをサポートしています。

 

表A-6 暗号化標準

タイプ
説明

非対称(公開キー)暗号化アルゴリズム

RSA 公開キー/秘密キー ペア、512 ~ 4096 ビット

DSA 公開キー/秘密キー ペア、512 ~ 1024 ビット

対称暗号化アルゴリズム

AES:128、192、および 256 ビット

DES:56 ビット

3DES:168 ビット

RC4:40、56、64、および 128 ビット

完全転送秘密(Diffie-Hellman キー ネゴシエーション)

Group 1:768 ビット

Group 2:1024 ビット

Group 5:1536 ビット

Group 7:163 ビット(Elliptic Curve Diffie-Hellman)

ハッシュ アルゴリズム

MD5:128 ビット

SHA-1:160 ビット

X.509 認証局

Cisco IOS ソフトウェア

Baltimore UniCERT

Entrust Authority

iPlanet/Netscape CMS

Microsoft Certificate Services

RSA Keon

VeriSign OnSite

X.509 証明書登録方法

SCEP

PKCS #7 および #10