ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
機能 ライセンス の管理
機能ライセンスの管理
発行日;2012/02/04 | 英語版ドキュメント(2011/08/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

機能ライセンスの管理

各モデルでサポートされている機能ライセンス

各モデルのライセンス

ライセンスに関する注意事項

機能ライセンスについて

事前インストールされたライセンス

一時ライセンス、VPN Flex ライセンス、および評価ライセンス

一時ライセンスのタイマーのしくみ

ライセンス間の連携方法

フェールオーバーと一時ライセンス

共有ライセンス

共有ライセンス サーバと共有ライセンス パーティシパントについて

パーティシパントとサーバとの通信に関する問題

共有ライセンス バックアップ サーバについて

フェールオーバーと共有ライセンス

パーティシパントの最大数

ライセンスに関する FAQ

ガイドラインおよび制約事項

現在使用中のライセンスの表示

アクティベーション キーの取得

新しいアクティベーション キーの入力

フェールオーバーに使用するライセンスのアップグレード

フェールオーバーに使用するライセンスのアップグレード(リロードが不要な場合)

フェールオーバーに使用するライセンスのアップグレード(リロードが必要な場合)

共有ライセンスの設定

共有ライセンス サーバの設定

共有ライセンス パーティシパントとオプションのバックアップ サーバの設定

共有ライセンスのモニタリング

ライセンスの機能履歴

機能ライセンスの管理

各セキュリティ アプライアンスでイネーブルなオプションは、ライセンスにより指定されます。ライセンスは、160 ビット(5 つの 32 ビット語、または 20 バイト)の値からなるアクティベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)およびイネーブルな機能をエンコードしたものです。

この章では、アクティベーション キーを取得する方法とそれをアクティブにする方法について説明します。また、それぞれのモデルで使用できるライセンスについても説明します。この章には、次の項があります。

「各モデルでサポートされている機能ライセンス」

「機能ライセンスについて」

「ガイドラインおよび制約事項」

「現在使用中のライセンスの表示」

「アクティベーション キーの取得」

「新しいアクティベーション キーの入力」

「フェールオーバーに使用するライセンスのアップグレード」

「共有ライセンスの設定」

「ライセンスの機能履歴」

各モデルでサポートされている機能ライセンス

この項では、それぞれのモデルで使用できるライセンスのほか、ライセンスに関する注意事項について説明します。この項は、次の内容で構成されています。

「各モデルのライセンス」

「ライセンスに関する注意事項」

各モデルのライセンス

ここでは、それぞれのモデルで使用できる機能ライセンスを、表形式で説明します。

ASA 5505、表 4-1

ASA 5510、表 4-2

ASA 5520、表 4-3

ASA 5540、表 4-4

ASA 5550、表 4-5

ASA 5580、表 4-6

イタリック体で表記されているのはオプションのライセンスで、基本ライセンスまたは Security Plus ライセンスに別途追加できるものです。ライセンスは、たとえば 10 セキュリティ コンテキスト ライセンスと強化暗号化ライセンスや、500 クライアントレス SSL VPN ライセンスと GTP/GPRS ライセンスのように組み合せて購入できるほか、これら 4 種類のライセンスをすべてまとめて購入することもできます。

 

表 4-1 ASA 5505 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5505
基本ライセンス
Security Plus
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの一時
ライセンス:利用可

ディセーブル

オプションの一時
ライセンス:利用可

ファイアウォール接続、
同時

10 K

25 K

GTP/GPRS

サポート対象外

サポート対象外

ユニファイド コミュニケーション セッション1

2

オプション ライセンス:24

2

オプション ライセンス:24

VPN ライセンス

Advanced Endpoint Assessment

ディセーブル

オプション ライセンス:
利用可

ディセーブル

オプション ライセンス:
利用可

AnyConnect Essentials1

ディセーブル

オプション ライセンス:
利用可

ディセーブル

オプション ライセンス:
利用可

AnyConnect Mobile1

ディセーブル

オプション ライセンス:
利用可

ディセーブル

オプション ライセンス:
利用可

IPSec セッション1

10 (IPSec と SSL VPN を合せて最大 25)

25 (IPSec と SSL VPN を合せて最大 25)

Premium SSL VPN
セッション1

2

オプションの永続ライセンス:

2

オプションの永続ライセンス:

10

25

10

25

VPN ロード バランシング

サポート対象外

サポート対象外

一般的ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(トリプル DES/AES)

基本(DES)

オプション ライセンス:強化(トリプル DES/AES)

フェールオーバー

サポート対象外

Active/Standby
(ステートフル フェールオーバーなし)

セキュリティ コンテキスト

サポート対象外

サポート対象外

ユーザ、同時2

103

オプション ライセンス:

103

オプション ライセンス:

50

制限なし

50

制限なし

VLAN/ゾーン、最大

3(2 つの正規ゾーンと 1 つの制限ゾーン)

20

VLAN トランク、最大

サポート対象外

8 つのトランク

1.「ライセンスに関する注意事項」を参照してください。

2.ルーテッド モードでは、外部(インターネット用 VLAN)と通信する場合に限り、内部のホスト(仕事用と自宅用の VLAN)が制限数の対象としてカウントされます。インターネット ホストは制限数の対象としてカウントされません。仕事用の VLAN と自宅用の VLAN の間のトラフィックを開始するホストも制限数の対象としてカウントされません。デフォルト ルートに関連付けられたインターフェイスは、インターネット インターフェイスと見なされます。デフォルト ルートがない場合は、すべてのインターフェイス上のホストが、制限数の対象としてカウントされます。トランスペアレント モードでは、ホスト数が最低のインターフェイスがホスト制限数の対象としてカウントされます。ホスト制限の表示方法については、「show local-host コマンド」を参照してください。

3.ユーザ数が 10 のライセンスの場合、 DHCP クライアントの最大数は 32 です。ユーザ数が 50 の場合、最大数は 128 です。ユーザ数が無制限の場合、最大数は 250 です。これは、 他のモデルでの最大数でもあります。

 

表 4-2 ASA 5510 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5510
基本ライセンス
Security Plus
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの一時
ライセンス:利用可

ディセーブル

オプションの一時
ライセンス:利用可

ファイアウォール接続、
同時

50 K

130 K

GTP/GPRS

サポート対象外

サポート対象外

ユニファイド コミュニケーション セッション4

2

オプション ライセンス:

2

オプション ライセンス:

24

50

100

24

50

100

VPN ライセンス

Advanced Endpoint Assessment

ディセーブル

オプション ライセンス:
利用可

ディセーブル

オプション ライセンス:
利用可

AnyConnect Essentials1

ディセーブル

オプション ライセンス:
利用可

ディセーブル

オプション ライセンス:
利用可

AnyConnect Mobile1

ディセーブル

オプション ライセンス:
利用可

ディセーブル

オプション ライセンス:
利用可

IPSec セッション1

250 (IPSec と SSL VPN を合せて最大 250)

250 (IPSec と SSL VPN を合せて最大 250)

Premium SSL VPN
セッション1

2

オプションの永続ライセンス:

2

オプションの永続ライセンス:

10

25

50

100

250

10

25

50

100

250

オプションの共有ライセンス(クライアントまたはサーバ) サーバの場合: 1

オプションの共有ライセンス(クライアントまたはサーバ) サーバの場合: 1

500 ~ 50,000(500 単位で追加)

50,000 ~ 545,000(1,000 単位で追加)

500 ~ 50,000(500 単位で追加)

50,000 ~ 545,000(1,000 単位で追加)

オプションの VPN Flex ライセンス:250

オプションの VPN Flex ライセンス:250

VPN ロード バランシング

サポート対象外

サポート対象

一般的ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(トリプル DES/AES)

基本(DES)

オプション ライセンス:強化(トリプル DES/AES)

フェールオーバー

サポート対象外

Active/Standby または Active/Active1

セキュリティ コンテキスト

サポート対象外

2

オプション ライセンス:

5

VLAN、最大

50

100

4.「ライセンスに関する注意事項」を参照してください。

 

表 4-3 ASA 5520 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5520
基本ライセンス
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの一時ライセンス:利用可

ファイアウォール接続、同時

280 K

GTP/GPRS

ディセーブル

オプション ライセンス:利用可

ユニファイド
コミュニケーション プロキシ セッション5

2

オプション ライセンス:

24

50

100

250

500

750

1000

VPN ライセンス

Advanced Endpoint Assessment

ディセーブル

オプション ライセンス:利用可

AnyConnect Essentials1

ディセーブル

オプション ライセンス:利用可

AnyConnect Mobile1

ディセーブル

オプション ライセンス:利用可

IPSec セッション1

750 (IPSec と SSL VPN を合せて最大 750)

Premium SSL VPN
セッション1

2

オプションの永続ライセンス:

10

25

50

100

250

500

750

オプションの共有ライセンス(クライアントまたはサーバ) サーバの場合: 1

500 ~ 50,000(500 単位で追加)

50,000 ~ 545,000(1,000 単位で追加)

オプションの VPN Flex ライセンス:

250

750

VPN ロード バランシング

サポート対象

一般的ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(トリプル DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

VLAN、最大

150

5.「ライセンスに関する注意事項」を参照してください。

 

表 4-4 ASA 5540 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5540
基本ライセンス
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの一時ライセンス:利用可

ファイアウォール接続、同時

400 K

GTP/GPRS

ディセーブル

オプション ライセンス:利用可

ユニファイド
コミュニケーション プロキシ セッション6

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

VPN ライセンス

Advanced Endpoint Assessment

ディセーブル

オプション ライセンス:利用可

AnyConnect Essentials1

ディセーブル

オプション ライセンス:利用可

AnyConnect Mobile1

ディセーブル

オプション ライセンス:利用可

IPSec セッション1

5,000 (IPSec と SSL VPN を合せて最大 5,000)

Premium SSL VPN
セッション1

2

オプションの永続ライセンス:

10

25

50

100

250

500

750

1000

2500

オプションの共有ライセンス(クライアントまたはサーバ) サーバの場合: 1

500 ~ 50,000(500 単位で追加)

50,000 ~ 545,000(1,000 単位で追加)

オプションの VPN Flex ライセンス:

250

750

1000

2500

VPN ロード バランシング

サポート対象

一般的ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(トリプル DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VLAN、最大

200

6.「ライセンスに関する注意事項」を参照してください。

 

表 4-5 ASA 5550 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5550
基本ライセンス
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの一時ライセンス:利用可

ファイアウォール接続、同時

650 K

GTP/GPRS

ディセーブル

オプション ライセンス:利用可

ユニファイド
コミュニケーション プロキシ セッション7

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

VPN ライセンス

Advanced Endpoint Assessment

ディセーブル

オプション ライセンス:利用可

AnyConnect Essentials1

ディセーブル

オプション ライセンス:利用可

AnyConnect Mobile1

ディセーブル

オプション ライセンス:利用可

IPSec セッション1

5,000 (IPSec と SSL VPN を合せて最大 5,000)

Premium SSL VPN
セッション1

2

オプションの永続ライセンス:

10

25

50

100

250

500

750

1000

2500

5000

オプションの共有ライセンス(クライアントまたはサーバ) サーバの場合: 1

500 ~ 50,000(500 単位で追加)

50,000 ~ 545,000(1,000 単位で追加)

オプションの VPN Flex ライセンス:

250

750

1000

2500

5000

VPN ロード バランシング

サポート対象

一般的ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(トリプル DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VLAN、最大

250

7.「ライセンスに関する注意事項」を参照してください。

 

表 4-6 ASA 5580 適応型セキュリティ アプライアンス ライセンスの機能

ASA 5580
基本ライセンス
ファイアウォール ライセンス

Botnet Traffic Filter

ディセーブル

オプションの一時ライセンス:利用可

ファイアウォール接続、同時

650 K

GTP/GPRS

ディセーブル

オプション ライセンス:利用可

ユニファイド
コミュニケーション プロキシ セッション8

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

5000

100009

VPN ライセンス

Advanced Endpoint Assessment

ディセーブル

オプション ライセンス:利用可

AnyConnect Essentials1

ディセーブル

オプション ライセンス:利用可

AnyConnect Mobile1

ディセーブル

オプション ライセンス:利用可

VPN ロード バランシング

サポート対象

IPSec セッション1

5,000 (IPSec と SSL VPN を合せて最大 5,000)

Premium SSL VPN
セッション1

2

オプションの永続ライセンス:

10

25

50

100

250

500

750

1000

2500

5000

オプションの共有ライセンス(クライアントまたはサーバ) サーバの場合: 1

500 ~ 50,000(500 単位で追加)

50,000 ~ 545,000(1,000 単位で追加)

オプションの VPN Flex ライセンス:

250

750

1000

2500

5000

一般的ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(トリプル DES/AES)

フェールオーバー

Active/Standby または Active/Active1

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VLAN、最大

250

8.「ライセンスに関する注意事項」を参照してください。

9.セッション数が 10,000 のライセンスを使用した場合、全体のセッション数は 10,000 まで許容されますが、Phone プロキシ セッションの最大数は 5,000 までです。

ライセンスに関する注意事項

 

表 4-7 ライセンスに関する注意事項

ライセンス
注意事項

AnyConnect Essentials

AnyConnect Essentials では、AnyConnect クライアントの 基本的な 機能を使用できる一方、SSL VPN のセッションについては、各プラットフォームでの上限数までサポートされます。このライセンスにより、Windows Mobile 5.0、6.0、および 6.1 が実行されるタッチスクリーン デバイスから、SSL VPN へのアクセスが可能となります。高度な機能の中には、CSD やクライアントレス SSL VPN など一部サポートされていないものがあります。AnyConnect Essentials ライセンスは、Premium SSL VPN ライセンス、共有 Premium SSL VPN ライセンス、VPN Flex Premium SSL VPN ライセンス、および Advanced Endpoint Assessment ライセンスとは併用できません。デフォルトでは、これらすべてのライセンスに代わって、AnyConnect Essentials ライセンスが使用されます。ただし、 no anyconnect-essentials コマンドを使用すれば、AnyConnect Essentials ライセンスをディセーブルにして、その他のライセンスを使用できるようにすることも可能です。

AnyConnect Mobile

AnyConnect Essentials と同様、AnyConnect Mobile では、Windows Mobile 5.0、6.0、および 6.1 が実行されるタッチスクリーン デバイスから、SSL VPN へのアクセスが可能となります。AnyConnect Essentials と互換性のないライセンスを使用しながら、AnyConnect 2.3 へのモバイル アクセスをサポートする必要がある場合は、このライセンスを使用することをお勧めします。このライセンスには、Premium SSL VPN ライセンスとの互換性があります。モバイル アクセスを行うには、このライセンスがあれば十分です。そのため、このライセンスと AnyConnect Essentials を併用することはお勧めできません。ただし、AnyConnect 2.3 の場合、この 2 つのライセンスには互換性があります。

Active/Active フェールオーバー

Active/Active フェールオーバーと VPN は併用できません。VPN を使用する必要がある場合は、Active/Standby フェールオーバーを使用してください。

ユニファイド
コミュニケーション
プロキシ セッション

Phone プロキシ、Mobility プロキシ、Presence Federation プロキシ、および TLS プロキシはすべて、UC プロキシの付属としてライセンスされますが、その組み合せは自由に選択できます。たとえば、プライマリおよびバックアップの Cisco Unified Communications Manager で電話機を設定した場合は、それぞれ別々に TLS/SRTP 接続が行われるため、2 つの UC プロキシ セッションが使用されることになります。

IPSec セッションおよび SSL VPN セッション

IPSec および SSL VPN の最大セッション数の合計は最大 VPN セッション数より多くなりますが、IPSec と SSL VPN のセッション数は両者合せても、VPN セッション制限数を超えないようにする必要があります。VPN セッションの最大数を超えるとセキュリティ アプライアンスに過負荷がかかるため、ネットワークのサイズは適切に調整してください。IPSec と SSL VPN の合計最大セッション数の内訳を決める場合、SSL VPN セッションの数は、セキュリティ アプライアンス上でライセンスされている SSL VPN セッション数(デフォルトは 2)以下にする必要があります。

クライアントレス SSL VPN セッションを開始した後で、ポータルから AnyConnect クライアント セッションを 1 つ開始した場合、使用されるセッション数は全体で 1 つです。ただし、(スタンドアロン クライアントなどから)AnyConnect クライアント セッションを最初に開始した後で、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが使用されることになります。

共有 Premium SSL VPN セッション

共有ライセンスを使用すると、セキュリティ アプライアンスを複数のクライアント セキュリティ アプライアンスに対する共有ライセンス サーバとして使用できます。共有ライセンス プールには十分な容量がありますが、各セキュリティ アプライアンスで使用されるセッションの最大数は、永続ライセンスの最大数以下であることが必要です。

 

機能ライセンスについて

各セキュリティ アプライアンスでイネーブルなオプションは、ライセンスにより指定されます。ライセンスは、160 ビット(5 つの 32 ビット語、または 20 バイト)の値からなるアクティベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)およびイネーブルな機能をエンコードしたものです。

この項は、次の内容で構成されています。

「事前インストールされたライセンス」

「一時ライセンス、VPN Flex ライセンス、および評価ライセンス」

「共有ライセンス」

「ライセンスに関する FAQ」

事前インストールされたライセンス

デフォルトでは、各セキュリティ アプライアンスは、ライセンスがインストールされた状態で出荷されます。このライセンスが基本ライセンスです。発注した内容やベンダーによるインストール内容によっては、基本ライセンスに他のライセンスを追加する場合もあれば、必要なすべてのライセンスがすでに基本ライセンスとしてインストールされている場合もあります。インストールされているライセンスを確認する手順については、「現在使用中のライセンスの表示」を参照してください。

一時ライセンス、VPN Flex ライセンス、および評価ライセンス

永続ライセンスを入手する以外にも、有効期限がある一時ライセンスを購入したり、評価ライセンスを取得したりできます。たとえば、現在の SSL VPN ユーザの数を短期間だけ増やしたい場合には、VPN Flex ライセンスを購入します。また、有効期間が 1 年間の Botnet Traffic Filter 一時ライセンスを注文することもできます。

この項は、次の内容で構成されています。

「一時ライセンスのタイマーのしくみ」

「ライセンス間の連携方法」

「フェールオーバーと一時ライセンス」

一時ライセンスのタイマーのしくみ

一時ライセンスのタイマーは、セキュリティ アプライアンス上でアクティブにした時点から作動し始めます。

一時ライセンスの有効期限が切れる前に、永続ライセンスや別の一時ライセンスをアクティブにするなど、その一時ライセンスの使用を停止すると、タイマーも停止します。そして、その一時ライセンスを再度アクティブにすると、タイマーも再び作動し始めます。

ただし、一時ライセンスがアクティブの状態でセキュリティ アプライアンスをシャットダウンしても、タイマーは停止しません。セキュリティ アプライアンスをシャットダウンしておく期間が一時ライセンスの有効期間を超える場合は、一時ライセンスを保持しておけるよう、シャットダウンする前に永続ライセンスをアクティブにする必要があります。

一時ライセンスの有効期限が切れた場合、次回セキュリティ アプライアンスのリロードには、永続ライセンスが使用されます。ただし、一時ライセンスの有効期限が切れた直後にリロードを実行する必要はありません。


) 一時ライセンスのインストール後は、システム クロックを変更しないことをお勧めします。リロードの際、セキュリティ アプライアンスではシステム クロックの現在時刻と元のインストール日時との比較が行われます。もしシステム クロックを進めると、実際の使用期間よりも長い期間が経過したと判断されることになります。また、システム クロックを遅らせると、元のインストール日時からシステム クロックの現在時刻までに経過した期間より、実際に稼動した期間の方が長くなるため、ライセンスはリロード直後に無効となります。


ライセンス間の連携方法

一時ライセンスをアクティブにすると、永続ライセンスと一時ライセンスの双方に基づく機能に対しては、両ライセンスを組み合せた実行ライセンスが構成されます。セキュリティ アプライアンスでは、機能ごとに各ライセンスの最も大きな値が使用されるため、両ライセンス間で競合する箇所があっても、一時アクティベーション キーを入力する際に表示される値はどちらかに確定します。ごくまれに、一時ライセンスよりも永続ライセンスの方が優先されることがあります。そのような場合には、永続ライセンスの値が使用されます。

永続ライセンスをアクティブにすると、現在実行中の永続ライセンスおよび一時ライセンスは無効となり、アクティブにした永続ライセンスが実行ライセンスとして使用されます。


) 一時ライセンスよりダウングレードされた永続ライセンスを新たにインストールした場合は、セキュリティ アプライアンスをリロードして一時ライセンスをディセーブルにし、永続ライセンスをイネーブルにする必要があります。その際、リロードを実行するまで、一時ライセンスのタイマーは停止しません。

インストール済みの永続ライセンスを再びアクティブにする場合は、セキュリティ アプライアンスをリロードする必要はありません。一時ライセンスのタイマーは停止し、トラフィックは中断されません。


後で永続ライセンスをアクティブにした場合は、一時アクティベーション キーを再入力するだけで一時ライセンスに基づく機能を再びイネーブルにできます。ライセンスをアップグレードする際も、リロードする必要はありません。

別の一時ライセンスに切り替える場合は、そのアクティベーション キーを新たに入力します。これにより、一時ライセンスが切り替わり、新たに適用されたライセンスと永続ライセンスから、実行ライセンスが新たに作成されます。セキュリティ アプライアンスには、複数の一時ライセンスをインストールできますが、各時点でアクティブにできるライセンスは 1 つだけです。

永続アクティベーション キーおよび VPN Flex アクティベーション キーの具体例と、それらの連携方法については、次の図を参照してください。

図 4-1 永続アクティベーション キーと VPN Flex アクティベーション キー

 

1. 上図の 1 番目の例は、SSL セッション数が 25 である一時キーを適用した場合を表しています。VPN Flex のセッション数の値は、永続キーの値 10 よりも大きいため、両キーをマージして作成される実行キーには、VPN Flex の値である 25 が使用されます。

2. 2 番目の例は、1 番目の例で作成されたマージ キーが永続キーに置き換えられ、VPN Flex ライセンスがディセーブルになった場合を表しています。実行キーには、デフォルトである永続キーの値 10 が使用されます。

3. 3 番目の例は、コンテキスト数が 50 である評価ライセンスが永続キーに適用された場合を表しています。ここでは、永続キーのすてべの機能とコンテキスト数が 50 であるライセンスとをマージして作成されたキーが、実行キーとして使用されます。

4. 4 番目の例は、3 番目の例で作成したマージ キーに、VPN Flex キーを適用した場合を表しています。セキュリティ アプライアンスでは、一度に 1 つの一時キーしか使用できないため、評価キーの代わりに VPN Flex キーが使用されます。したがって、作成されるマージ キーは、1 番目の例で作成されたものと同じになります。

フェールオーバーと一時ライセンス

フェールオーバーを使用する場合は、同一のライセンスが複数必要となります。フェールオーバーを実行する場合、一時ライセンスと永続ライセンスは同じものと見なされます。そのため、ある装置では永続ライセンスを使用し、別の装置では一時ライセンスを使用するということも可能です。これは、緊急事態の発生時に有効な機能です。たとえば、装置の 1 つに障害が発生した場合、予備の装置があれば、それを設置して使用している間に、障害が発生した装置の復旧作業を行うことができます。普段、この予備の装置を SSL VPN に使用していなければ、障害が発生した装置の復旧作業の間、VPN Flex ライセンスを使用することで事態は収拾されます。

一時ライセンスは、フェールオーバー装置上でアクティブになっている間、そのタイマーが停止することはないため、フェールオーバーを永続的に使用する場合は、一時ライセンスを使用することはお勧めできません。これは、一時ライセンスの有効期限が切れると、フェールオーバーが機能しなくなるためです。

共有ライセンス

共有ライセンスを使用すると、多数の SSL VPN セッションをまとめて購入でき、必要に応じて同じグループ内のセキュリティ アプライアンス間でセッションを共有することも可能です。その場合は、いずれか 1 つのセキュリティ アプライアンスを共有ライセンス サーバとして設定し、それ以外を共有ライセンス パーティシパントとして設定します。この項では、共有ライセンスのしくみについて説明します。説明する内容は次のとおりです。

「共有ライセンス サーバと共有ライセンス パーティシパントについて」

「パーティシパントとサーバとの通信に関する問題」

「共有ライセンス バックアップ サーバについて」

「フェールオーバーと共有ライセンス」

「パーティシパントの最大数」

共有ライセンス サーバと共有ライセンス パーティシパントについて

ここでは、共有ライセンスがどのように使用されるかを、順を追って説明します。

1. 共有ライセンス サーバとして設定するセキュリティ アプライアンスを決定し、そのデバイス シリアル番号を使用して、共有ライセンス サーバのライセンスを購入します。

2. 共有ライセンス バックアップ サーバを含め、共有ライセンス パーティシパントとして設定するセキュリティ アプライアンスを決定し(複数可)、それらのデバイス シリアル番号を使用して、デバイスごとに、共有ライセンス パーティシパントのライセンスを取得します。

3. (オプション)別のセキュリティ アプライアンスを共有ライセンス バックアップ サーバに指定します。指定できるバックアップ サーバは 1 つだけです。


) 共有ライセンス バックアップ サーバに必要なパーティシパント ライセンスは 1 つだけです。


4. 共有ライセンス サーバに共有秘密を設定します。共有ライセンスは、この共有秘密を持つすべてのパーティシパントで使用できます。

5. セキュリティ アプライアンスは、パーティシパントとして設定されると、共有ライセンス サーバに登録されます。登録の際は、ローカル ライセンス情報やモデル情報など、そのセキュリティ アプライアンスに関する情報が共有ライセンス サーバへ送信されます。


) パーティシパントは、IP ネットワークを介してサーバと通信できる必要があります。ただし、同じサブネット上にある必要はありません。


6. 共有ライセンス サーバからは、パーティシパントからサーバに対して行う必要があるポーリングの頻度についての情報が応答として送信されます。

7. パーティシパントでは、ローカル ライセンスのセッションの使用回数が限度に達すると、共有ライセンス サーバに対して、セッション数を 50 だけ追加する要求が送信されます。

8. 共有ライセンス サーバからは、応答として共有ライセンスが送信されます。パーティシパントで使用されるセッションの総数は、そのプラットフォーム モデルに対して定められている最大セッション数以下であることが必要です。


) 共有ライセンス サーバは、共有ライセンス プールに参加することもできます。その際、共有ライセンス サーバには、サーバ ライセンスもパーティシパント ライセンスも必要ありません。


a. パーティシパントで使用できるセッションが共有ライセンス プールに十分残っていない場合は、使用可能な数のセッションがサーバから送信されます。

b. パーティシパントでは、サーバから送信されるセッションが要求した数に達するまで、リフレッシュ メッセージが繰り返し送信されます。

9. パーティシパントに対する負荷が小さくなると、パーティシパントからサーバにメッセージが送信され、共有セッションが解放されます。


) サーバとパーティシパントとの間では、セキュリティ アプライアンスによって SSL が適用され、すべての通信が暗号化されます。


パーティシパントとサーバとの通信に関する問題

パーティシパントとサーバとの通信に関する問題については、次のガイドラインを参照してください。

リフレッシュ間隔の 3 倍に相当する期間に渡って、パーティシパントからリフレッシュが送信されない場合、それらのセッションは、サーバから解放され共有ライセンス プールへ戻されます。

パーティシパントから送信されたリフレッシュがライセンス サーバに到達しなかった場合、パーティシパントではサーバから受け取った共有ライセンスが、24 時間を上限として、引き続き使用されます。

24 時間経過しても依然、ライセンス サーバと通信ができないパーティシパントでは、セッションが必要な場合でも、共有ライセンスは解放されます。パーティシパントでは、既存の接続は維持されますが、ライセンスの制限の範囲内でなければ、新しい接続は確立できません。

24 時間以内にサーバに再接続したたものの、サーバではすでにセッションの有効期限が切れていた場合、そのパーティシパントでは、セッションに対する要求を送信する必要があります。その際サーバでは、応答として、そのパーティシパントに再割り当てできる数のセッションが送信されます。

共有ライセンス バックアップ サーバについて

共有ライセンス バックアップ サーバは、実際にバックアップ サーバとして機能するためには、メイン共有ライセンス サーバへの登録が事前に完了している必要があります。登録の際、メイン共有ライセンス サーバでは、登録されているパーティシパントのリストや現在のライセンスの使用状況など、共有ライセンス情報およびサーバ設定とそれらのバックアップとの同期化が実行されます。メイン サーバとバックアップ サーバとの間では、10 秒間隔でデータの同期化が行われます。バックアップ サーバでは、初期同期化が完了すれば、リロードの後であっても、バックアップを正常に実行できます。

メイン サーバがダウンした場合は、バックアップ サーバにサーバ機能が引き継がれます。バックアップ サーバの連続稼動は、最大で 30 日間可能です。連続稼動が 30 日間を超えたバックアップ サーバでは、パーティシパントに対するセッションの発行が停止され、既存のセッションはタイムアウトになります。そのため、メイン サーバの復旧は、その 30 日の間に完了する必要があります。また、15 日目と 30 日目には、クリティカル レベルの syslog メッセージが送信されます。

メイン サーバは、復旧した時点でバックアップ サーバとの間で同期化が行われ、サーバ機能がメイン サーバに引き継がれます。

アクティブでないバックアップ サーバは、メイン共有ライセンス サーバの通常のパーティシパントとして動作します。


) バックアップ サーバが稼動可能日数の制限から独立して稼動できるのは、メイン共有ライセンス サーバを初めて起動してから 5 日間だけです。稼動可能日数は、30 日を上限として、毎日 1 日ずつ増加していきます。一方、メイン サーバがある一定期間ダウンすると、バックアップ サーバの稼動可能日数は、毎日 1 日ずつ減少していきます。メイン サーバが復旧すると、バックアップ サーバの稼動可能日数は再び、毎日 1 日ずつ増加していきます。たとえば、メイン サーバが 20 日間ダウンし、その間バックアップ サーバがアクティブであったとすると、バックアップ サーバは残り 10 日間しか稼動できません。この場合、バックアップ サーバは、非アクティブな状態が 20 日以上継続すれば、最大 30 日まで稼動可能日数が「回復」されます。この回復機能は、共有ライセンスの誤った使用を防ぐために導入されたものです。


フェールオーバーと共有ライセンス

この項では、共有ライセンスとフェールオーバーの関係について説明します。説明する内容は次のとおりです。

「フェールオーバーと共有ライセンス サーバ」

「フェールオーバーと共有ライセンス パーティシパント」

フェールオーバーと共有ライセンス サーバ

この項では、メイン サーバおよびバックアップ サーバとフェールオーバーとの関係について説明します。共有ライセンス サーバは、VPN のゲートウェイやファイアウォールとしての機能を実行するなど、セキュリティ アプライアンスとしての通常の役割も果たしています。そのため、メイン共有ライセンス サーバおよびバックアップ共有ライセンス サーバに対してフェールオーバーを設定することにより、信頼性を高める必要があります。


) バックアップ サーバというしくみは、フェールオーバーとは独立したものですが、両者は併用が可能です。

共有ライセンスは、シングル コンテキスト モードに限ってサポートされています。そのため、Active/Active フェールオーバーはサポートされていません。


フェールオーバー ペアのメイン共有ライセンス サーバ装置には、互いに同じライセンスが必要です。そのため、プライマリ メイン サーバ装置に対して、セッション数が 10,000 の共有ライセンスを購入した場合は、スタンバイ メイン サーバ装置に対しても、セッション数が 10,000 の共有ライセンスを購入する必要があります。スタンバイ装置がスタンバイ状態にある場合、トラフィックはそこを通過できません。そのため、この例の場合であれば、セッション数は全体としても 10,000 のままであり、合計の 20,000 とは なりません

Active/Standby フェールオーバーの場合は、プライマリ装置がメイン共有ライセンス サーバとなり、フェールオーバー実行後はスタンバイ装置がメイン共有ライセンス サーバとなります。どちらの装置もメイン ライセンス サーバとして機能しうるのは、互いに同じライセンスを持っているためです。スタンバイ装置は、バックアップ共有ライセンス サーバとしては使用 できません 。ただし、必要であれば、別のペアを構成して、それらの装置をバックアップ サーバとして使用することはできます。

例として、1 つのネットワークに 2 つのフェールオーバー ペアがある場合を見てみます。ペア #1 を、メイン ライセンス サーバとして使用します。ぺア #2 を、バックアップ サーバとして使用するとします。ペア #1 のプライマリ装置がダウンした場合は、ただちにスタンバイ装置が新しいメイン ライセンス サーバとして機能し始めます。この場合、ペア #2 のバックアップ サーバは使用されません。ペア #2 のバックアップ サーバが共有ライセンス サーバとして使用されるのは、ペア #1 の装置が両方ともダウンした場合だけです。ペア #1 がダウンした状態で、さらにペア #2 のプライマリ装置がダウンしたときは、ペア #2 のスタンバイ装置が共有ライセンス サーバとして機能し始めます(図 4-2 を参照)。

図 4-2 フェールオーバーと共有ライセンス サーバ

 

プライマリ バックアップ サーバの稼動可能日数は、スタンバイ バックアップ サーバにそのまま引き継がれます。つまり、スタンバイ装置がアクティブになった場合、その稼動可能日数は、プライマリ装置がダウンするまでの稼動日数を差し引いてカウントされます。詳細については、「共有ライセンス バックアップ サーバについて」を参照してください。

フェールオーバーと共有ライセンス パーティシパント

パーティシパント ペアを構成する装置は、それぞれ別々のパーティシパント ID を使用して、共有ライセンス サーバに登録されます。アクティブ状態にある装置では、スタンバイ装置との間でそのパーティシパント ID の同期化が実行されます。スタンバイ装置では、状態がアクティブに切り替わると、この ID を使用して転送要求が生成されます。この転送要求は、アクティブ状態にあった装置から新たにアクティブ状態になった装置へ、共有セッションを移動する際に使用されます。

パーティシパントの最大数

セキュリティ アプライアンスでは、共有ライセンスを使用するパーティシパントの数に制限はありません。ただし、共有ネットワークの規模が極端に大きくなると、ライセンス サーバのパフォーマンスに影響を及ぼす可能性があります。このような場合は、パーティシパントのリフレッシュ間の遅延時間を長くしたり、共有ネットワークを 2 つ作成したりします。

ライセンスに関する FAQ

Q. VPN Flex と Botnet Traffic Filter など、複数の一時ライセンスをアクティブにすることはできますか。

A. できません。各時点で使用できる一時ライセンスは 1 つだけです。各時点で使用されているライセンスは、最後にアクティブにしたライセンスです。複数の機能を 1 つのアクティベーション キーにまとめた評価ライセンスの場合は、複数の機能が同時にサポートされます。ただし、シスコで購入できる一時ライセンスでは、1 つのアクティベーション キーにつき 1 つの機能しかサポートされません。

Q. ライセンスの有効期限が切れた場合に、次のライセンスが自動的に適用されるよう、ライセンスを「スタック」することはできますか。

A. できません。同時に複数の一時ライセンスをインストールすることはできますが、アクティブ状態にできるのは最後にアクティブにしたライセンスだけです。アクティブなライセンスの有効期限が切れた場合は、新しいライセンスを手動でアクティブにする必要があります。ただし、機能が失われないようにするためにも、それまで使用してきたライセンスの有効期限が切れる少し に、新しいライセンスをアクティブにするようにしてください (それまで使用してきたライセンスの残りの有効期間は未使用のままとなります。たとえば、12 か月有効のライセンスを 10 か月間使用した時点で、新たに 12 か月有効のライセンスをアクティブにした場合、前者のライセンスについては、再度アクティブにしない限り、残り 2 か月分の有効期間は未使用のままとなります。ライセンスの有効期間をできるだけ無駄なく使用できるように、それまで使用してきたライセンスが有効期限に近づくのを可能な限り待ってから、新しいライセンスをアクティブにすることをお勧めします。

Q. 一時ライセンスをアクティブにしたまま、新たに永続ライセンスをインストールすることはできますか。

A. できません。永続ライセンスを適用した時点で、一時ライセンスは非アクティブになります。新しい永続ライセンスを一時ライセンスと併用するためには、まず永続ライセンスをアクティブにしたうえで、一時ライセンスを再度アクティブにする必要があります。その際、一時ライセンスに基づく機能は一時的に停止します。

Q. フェールオーバーを使用する場合、共有ライセンス サーバをプライマリ装置として使用し、共有ライセンス バックアップ サーバをセカンダリ装置として使用することはできますか。

A. できません。セカンダリ装置には、共有ライセンス サーバのライセンスも必要です。バックアップ サーバにあるのはパーティシパント ライセンスです。そのため、2 つのバックアップ サーバを組み合せて、独立したフェールオーバー ペアを構成することが可能です。

Q. フェールオーバー ペアのセカンダリ装置にも同じライセンスを購入する必要はありますか。共有ライセンス サーバに使用する場合はどうでしょうか。

A. 必要です。フェールオーバー ペアを構成する 2 つの装置には、同一のライセンスが必要です。共有ライセンス サーバに使用する場合も、2 つの装置に対して、同一の共有ライセンス サーバ ライセンスを購入する必要があります。 :Active/Standby フェールオーバーでは、ライセンスにセッション数が指定されている場合、一方の装置のセッション数を、もう一方の装置のセッション数に加えることはできません。使用できるのは、アクティブな装置のセッションだけです。たとえば、共有 SSL VPN ライセンスの場合、アクティブ装置とスタンバイ装置に対してそれぞれ 10,000 のユーザ セッションを購入する必要がありますが、セッション数は全体として 10,000 であり、合計の 20,000 では ありません

Q. 共有 SSL VPN ライセンスに加えて、VPN Flex ライセンスまたは永続ライセンスを使用することはできますか。

A. 必要です。共有ライセンスが使用できるのは、ローカルにインストールされた(VPN Flex または永続)ライセンスに基づくセッションの使用回数が限度に達した場合だけです。 :共有ライセンス サーバでは、永続 SSL VPN ライセンスは使用されません。ただし、VPN Flex ライセンスは、同時に共有ライセンス サーバのライセンスとしても使用できます。この場合、その VPN Flex ライセンスに基づくセッションは、ローカルの SSL VPN セッションに対してだけ使用可能であり、パーティシパントで使用できるよう共有ライセンス プールに追加するということはできません。

ガイドラインおよび制約事項

アクティベーション キーについては、次のガイドラインを参照してください。

コンテキスト モードのガイドライン

マルチ コンテキスト モードでは、システム実行スペースにアクティベーション キーを適用します。

共有ライセンスは、マルチ コンテキスト モードではサポートされていません。

ファイアウォール モードのガイドライン

ルーテッド モードおよびトランスペアレント モードでは、すべてのライセンス タイプを使用できます。

フェールオーバーに関するガイドライン

プライマリ装置とセカンダリ装置に対しては、同じライセンスをアクティブにする必要があります。


) フェールオーバーを実行する場合、2 つの装置間でライセンスの機能が同一であれば、それが永続ライセンスであっても一時ライセンスであっても、両者に違いはありません。詳細については、「フェールオーバーと一時ライセンス」を参照してください。


共有ライセンスは、Active/Active モードではサポートされていません。詳細については、「フェールオーバーと共有ライセンス」を参照してください。

アップグレードに関するガイドライン

バージョン 8.2 以降にアップグレードした場合も、後でダウングレードした場合も、アクティベーション キーの互換性は維持されます。アップグレードを行った後、 8.2 よりも前のバージョン で取得した機能ライセンスをアクティブにすれば、ダウングレードした場合でも、そのアクティベーション キーを旧バージョンでそのまま使用できます。ただし、 8.2 以降のバーション で取得した機能ライセンスをアクティブした場合、そのアクティベーション キーには下位互換性はありません。互換性のないライセンス キーを使用している場合は、次のガイドラインを参照してください。

すでに旧バージョンでアクティベーション キーを入力している場合、セキュリティ アプライアンスではそのキーが使用されます(ただし、バージョン 8.2 以降で新たにアクティブにしたライセンスがない場合)。

システムが新しく、旧バージョンのアクティベーション キーがない場合は、旧バージョンと互換性があるアクティベーション キーを新たに要求する必要があります。

追加のガイドラインおよび制約事項

アクティベーション キーは、コンフィギュレーション ファイルには格納されず、フラッシュ メモリに隠しファイルとして格納されます。

アクティベーション キーは、デバイスのシリアル番号に関連付けられます。デバイス間で機能ライセンスを転送し合うことはできません(ハードウェアに障害が発生した場合は除く)。ハードウェア障害に伴ってデバイスを交換する必要がある場合は、Cisco Licensing Team に連絡し、既存のライセンスを新しいシリアル番号に転送するよう依頼してください。その際、Cisco Licensing Team は、Product Authorization Key 参照番号と既存のシリアル番号を尋ねます。

いったん購入されたライセンスについては、返金を伴う返品や、アップグレード済みライセンスとの交換はできません。

同一機能を持つ 2 つのライセンスは合算できません。たとえば、セッション数が 25 の SSL VPN ライセンスを購入後、セッション数が 50 のライセンスを追加購入しても、使用できるセッション数は 75 ではなく、最大で 50 までです。

ライセンスは、どのようなタイプでもアクティブにできますが、マルチ コンテキスト モードと VPN など、一部の機能には併用できないものがあります。AnyConnect Essentials ライセンスについては、フル SSL VPN ライセンス、共有 SSL VPN ライセンス、および Advanced Endpoint Assessment ライセンスとは併用できません。デフォルトでは、これらすべてのライセンスに代わって、AnyConnect Essentials ライセンスが使用されます。ただし、 no anyconnect-essentials コマンドを使用すれば、AnyConnect Essentials ライセンスをディセーブルにして、その他のライセンスを使用できるようにすることも可能です。

現在使用中のライセンスの表示

この項では、現在使用しているライセンスを表示する方法について説明します。一時アクティベーション キーを使用している場合は、ライセンスの有効期間がどの程度残っているかも確認できます。

現在使用しているライセンスを表示する場合は、[Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択します。

マルチ コンテキスト モードで、[Configuration] > [Device Management] > [Activation Key] を選択すると、システム実行スペースにアクティベーション キーが表示されます。

アクティベーション キーの取得

アクティベーション キーを取得するには、Product Authorization Key が必要です。Product Authorization Key はシスコの代理店で購入できます。Product Activation Key は、機能ライセンスごとに別々に購入する必要があります。たとえば、基本ライセンスがある場合、Advanced Endpoint Assessment と追加の SSL VPN セッションを使用する場合は、それぞれに対して別々のキーを購入します。


) フェールオーバー ペアに対しては、装置ごとに別々のアクティベーション キーを購入する必要があります。ただし、2 つの装置のキーに含まれるライセンスは同一であることが必要です。


Product Authorization Key を取得したら、Cisco.com で次の手順に従ってそれらを登録します。


ステップ 1 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択して、使用しているセキュリティ アプライアンスのシリアル番号を取得します(マルチ コンテキスト モードで、システム実行スペースにシリアル番号を表示します)。

ステップ 2 次のいずれかの URL にアクセスします。

Cisco.com に登録済みの場合は、次の URL にアクセスします。

http://www.cisco.com/go/license
 

Cisco.com に登録済みでない場合は、次の URL にアクセスします。

http://www.cisco.com/go/license/public
 

ステップ 3 プロンプトが表示されたら、次の情報を入力します。

Product Authorization Key(複数のキーがある場合は、まずそのいずれか 1 つを入力します。キーは、1 つずつ個別のプロセスで入力する必要があります。)

使用しているセキュリティ アプライアンスのシリアル番号

E メール アドレス

アクティベーション キーが自動生成され、入力した E メール アドレスへ自動的に送信されます。このキーには、永続ライセンスに対してこれまでに登録したすべての機能が含まれます。VPN Flex ライセンスの場合は、ライセンスごとにアクティベーション キーが異なります。

ステップ 4 さらに Product Authorization Key を取得する場合は、取得する Product Authorization Key ごとにステップ 3 の操作を繰り返し行います。すべての Product Authorization Key を入力すると、最後に入力されたアクティベーション キーに、登録済みの永続機能がすべてまとめられます。


 

新しいアクティベーション キーの入力

この項では、新しいアクティベーション キーの入力方法について説明します。

前提条件

アクティベーション キーを入力する場合は、事前に show activation-key コマンドを入力して、フラッシュ メモリ内のイメージと実行中のイメージが同一であることを確認する必要があります。そのためには、アクティベーション キーを入力する前にセキュリティ アプライアンスをリロードします。

すでにマルチ コンテキスト モードにアクセスしている場合は、システム実行スペースにアクティベーション キーを入力します。

一部のライセンスには、アクティブにした後でセキュリティ アプライアンスのリロードを必要とするものもあります。 表 4-8 は、リロードが必要なライセンスを示したものです。

 

表 4-8 リロードが必要なライセンス

モデル
リロードを必要とするライセンスの処理

ASA 5505 および ASA 5510

基本ライセンスと Security Plus ライセンスの一方をもう一方に置き換える。

全モデル

暗号化ライセンスを変更する。

全モデル

ライセンスをダウングレードする(例:コンテキスト数を 10 から 2 へダウングレード)。

(注) 一時ライセンスの有効期限が切れ、永続ライセンスがダウングレードされている場合は、セキュリティ アプライアンスをすぐにリロードする必要はありません。永続ライセンスは、次回リロード時に回復します。

制約事項

バージョン 8.2 以降にアップグレードした場合も、後でダウングレードした場合も、アクティベーション キーの互換性は維持されます。アップグレードを行った後、 8.2 よりも前のバージョン で取得した機能ライセンスをアクティブにすれば、ダウングレードした場合でも、そのアクティベーション キーを旧バージョンでそのまま使用できます。ただし、 8.2 以降のバーション で取得した機能ライセンスをアクティブした場合、そのアクティベーション キーには下位互換性はありません。互換性のないライセンス キーを使用している場合は、次のガイドラインを参照してください。

すでに旧バージョンでアクティベーション キーを入力している場合、セキュリティ アプライアンスではそのキーが使用されます(ただし、バージョン 8.2 以降で新たにアクティブにしたライセンスがない場合)。

システムが新しく、旧バージョンのアクティベーション キーがない場合は、旧バージョンと互換性があるアクティベーション キーを新たに要求する必要があります。

詳細手順


ステップ 1 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択します。

ステップ 2 [New Activation Key] フィールドに新しいアクティベーション キーを入力します。

このキーは、5 つの要素で構成される 16 進数文字列で、各要素間には 1 つずつスペースがあります。先頭の 0x 指示子は省略可能です。値はすべて 16 進数と見なされます。次の例を参考にしてください。

0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490

 

永続キーは 1 つしか入力できませんが、一時キーは複数入力できます。このうち、最後に入力した一時キーがアクティブになります。詳細については、「一時ライセンス、VPN Flex ライセンス、および評価ライセンス」を参照してください。実行中のアクティベーション キーを変更する場合は、新しい値を入力します。

ステップ 3 [Update Activation Key] をクリックします。


 

フェールオーバーに使用するライセンスのアップグレード

フェールオーバーのライセンスをアップグレードする必要がある場合、それに伴ってリロードする必要があるかどうかによっては、ある程度のダウンタイムが生じることがあります。リロードが必要なライセンスに関する詳細については、表 4-8を参照してください。この項は、次の内容で構成されています。

「フェールオーバーに使用するライセンスのアップグレード(リロードが不要な場合)」

「フェールオーバーに使用するライセンスのアップグレード(リロードが必要な場合)」

フェールオーバーに使用するライセンスのアップグレード(リロードが不要な場合)

ライセンスのアップグレード後にリロードが不要な場合の手順について説明します。リロードが必要なライセンスに関する詳細については、表 4-8を参照してください。次に説明する手順では、ダウンタイムは発生しません。

前提条件

ライセンスをアップグレードする前に、2 つの装置が現在稼動中であること、LAN フェールオーバー インターフェイスが起動していること、および不測のフェールオーバー イベントが存在しないこと(監視対象のインターフェイスは通常どおり稼動しているなど)を確認します。

それぞれの装置で、[Monitoring] > [Properties] > [Failover] > [Status] に移動し、フェールオーバーのステータスおよび監視対象インターフェイスのステータスを確認します。

詳細手順


ステップ 1 アクティブ装置で、[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択し、 [Enable Failover] チェックボックスをオフにします。

スタンバイ装置では、仮のスタンバイ状態が維持されます。2 つの装置のライセンスが一致しない間は、アクティブ装置でフェールオーバーを非アクティブにしても、スタンバイ装置がアクティブになることはありません。

ステップ 2 [Apply] をクリックします。

ステップ 3 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択し、アクティブ装置のシリアル番号を基に取得した新しいアクティベーション キーを入力します。

ステップ 4 [Update Activation Key] をクリックします。

ステップ 5 [Device List] でアドレスをダブルクリックして、スタンバイ装置にログインします。

目的のデバイスが [Device List] にない場合は、 [Add] をクリックして、そのデバイスを追加します。ログインの際には、クレデンシャルを入力するプロンプトが表示される場合があります。

ステップ 6 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択し、スタンバイ装置のシリアル番号を基に取得した新しいアクティベーション キーを入力します。

ステップ 7 [Update Activation Key] をクリックします。

ステップ 8 [Device List] でアドレスをダブルクリックして、アクティブ装置に再度ログインします。

ステップ 9 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択し、 [Enable Failover] チェックボックスをオンに戻します。

ステップ 10 [Apply] をクリックします。


 

フェールオーバーに使用するライセンスのアップグレード(リロードが必要な場合)

ライセンスのアップグレード後にリロードが必要な場合の手順について説明します。リロードが必要なライセンスに関する詳細については、表 4-8を参照してください。フェールオーバー ペアをリロードすると、そのリロード中は接続が切断されます。

前提条件

ライセンスをアップグレードする前に、2 つの装置が現在稼動中であること、LAN フェールオーバー インターフェイスが起動していること、および不測のフェールオーバー イベントが存在しないこと(監視対象のインターフェイスは通常どおり稼動しているなど)を確認します。

それぞれの装置で、[Monitoring] > [Properties] > [Failover] > [Status] を選択し、フェールオーバーのステータスおよび監視対象インターフェイスのステータスを確認します。

詳細手順


ステップ 1 アクティブ装置で、[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択し、 [Enable Failover] チェックボックスをオフにします。

スタンバイ装置では、仮のスタンバイ状態が維持されます。2 つの装置のライセンスが一致しない間は、アクティブ装置でフェールオーバーを非アクティブにしても、スタンバイ装置がアクティブになることはありません。

ステップ 2 [Apply] をクリックします。

ステップ 3 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択し、アクティブ装置のシリアル番号を基に取得した新しいアクティベーション キーを入力します。

ステップ 4 [Update Activation Key] をクリックします。

ステップ 5 [Device List] でアドレスをダブルクリックして、スタンバイ装置にログインします。

目的のデバイスが [Device List] にない場合は、 [Add] をクリックして、そのデバイスを追加します。ログインの際には、クレデンシャルを入力するプロンプトが表示される場合があります。

ステップ 6 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択し、スタンバイ装置のシリアル番号を基に取得した新しいアクティベーション キーを入力します。

ステップ 7 [Update Activation Key] をクリックします。

ステップ 8 [Device List] でアドレスをダブルクリックして、アクティブ装置に再度ログインします。

ステップ 9 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択し、 [Enable Failover] チェックボックスをオンに戻します。

ステップ 10 [Apply] をクリックします。

ステップ 11 [Tools] > [System Reload] を選択して、セキュリティ アプライアンスのリロードをスケジュールします。

ステップ 12 目的の日時にセキュリティ アプライアンスがリロードされるようにリロード オプションを選択し、 [Schedule Reload] をクリックします。

サービスの停止による影響が最も少ない日時を選択します。

ステップ 13 [Device List] でアドレスをダブルクリックして、スタンバイ装置に再度ログインします。

ステップ 14 [Tools] > [System Reload] を選択して、セキュリティ アプライアンスのリロードをスケジュールします。

ステップ 15 アクティブ装置に対して選択したのと同じ日時にセキュリティ アプライアンスがリロードされるようにリロード オプションを選択し、 [Schedule Reload] をクリックします。

両方の装置で同時にリロードが行われ、新しいライセンスがアクティブになります。


 

共有ライセンスの設定

この項では、共有ライセンス サーバおよび共有ライセンス パーティシパントの設定方法について説明します。共有ライセンスの詳細については、「共有ライセンス」を参照してください。

この項は、次の内容で構成されています。

「共有ライセンス サーバの設定」

「共有ライセンス パーティシパントとオプションのバックアップ サーバの設定」

「共有ライセンスのモニタリング」

共有ライセンス サーバの設定

この項では、セキュリティ アプライアンスを共有ライセンス サーバとして設定する方法について説明します。

前提条件

サーバには、共有ライセンス サーバのキーが必要です。

詳細手順


ステップ 1 [Configuration] > [Device Management] > [Licenses] > [Shared SSL VPN Licenses] を選択します。

ステップ 2 [Shared Secret] フィールドに、4 ~ 128 文字の ASCII 文字列として共有秘密を入力します。

この共有秘密を持つパーティシパントはすべて、ライセンス サーバを使用できます。

ステップ 3 (オプション)サーバにおいてパーティシパントからの SSL 接続をリスンするポート番号を、1 ~ 65535 の範囲で [TCP IP Port] フィールドに入力します。

デフォルトは、TCP ポート 50554 です。

ステップ 4 (オプション)[Refresh interval] フィールドに、リフレッシュ間隔を 10 ~ 300 秒の範囲で入力します。

パーティシパントでは、この値に基づいて、サーバと通信する頻度が設定されます。デフォルトは 30 秒です。

ステップ 5 共有ライセンス領域が表示されるインターフェイスで、 [Shares Licenses] チェックボックスをオンにします。パーティシパントからサーバへの通信には、このチェックボックスに対応するインターフェイスが使用されます。

ステップ 6 (オプション)バックアップ サーバを指定する場合は、[Optional backup shared SSL VPN license server] 領域で、次のような操作を行います。

a. [Backup server IP address] フィールドに、バックアップ サーバの IP アドレスを入力します。

b. [Primary backup server serial number] フィールドに、バックアップ サーバのシリアル番号を入力します。

c. 指定したバックアップ サーバがフェールオーバー ペアに属する場合は、スタンバイ装置のシリアル番号を [Secondary backup server serial number] フィールドに入力します。

指定できるのは、ただ 1 つのバックアップ サーバと、そのスタンバイ装置(オプション)だけです。

ステップ 7 [Apply] をクリックします。


 

共有ライセンス パーティシパントとオプションのバックアップ サーバの設定

この項では、共有ライセンス パーティシパントから共有ライセンス サーバへの通信に関する設定について説明します。また、パーティシパントをバックアップ サーバとして設定するオプションの方法についても説明します。

前提条件

パーティシパントには、共有ライセンス パーティシパントのキーが必要です。

詳細手順


ステップ 1 [Configuration] > [Device Management] > [Licenses] > [Shared SSL VPN Licenses] ペインを選択します。

ステップ 2 [Shared Secret] フィールドに、4 ~ 128 文字の ASCII 文字列として共有秘密を入力します。

ステップ 3 (オプション)SSL を介したサーバとの通信に使用するポートの番号を、1 ~ 65535 の範囲で、[TCP IP Port] フィールドに入力します。

デフォルトは、TCP ポート 50554 です。

ステップ 4 (オプション)パーティシパントをバックアップ サーバとして指定する場合は、[Select backup role of participant] 領域で、次のような操作を行います。

a. [Backup Server] オプション ボタンをクリックします。

b. [Shares Licenses] チェックボックスをオンにします。パーティシパントからバックアップ サーバへの通信には、このチェックボックスに対応するインターフェイスが使用されます。

ステップ 5 [Apply] をクリックします。


 

共有ライセンスのモニタリング

共有ライセンスをモニタリングする場合は、[Monitoring] > [VPN] > [Clientless SSL VPN] > [Shared Licenses] を選択します。

 

ライセンスの機能履歴

表 4-9 に、この機能のリリース履歴を示します。

 

表 4-9 ライセンスの機能履歴

機能名
リリース
機能情報

接続および VLAN の増強

7.0(5)

上限が次のように拡大されました。

ASA5510 基本ライセンス:接続数が 32,000 から 50,000 に、VLAN が 0 から 10 にそれぞれ拡大。

ASA5510 Security Plus ライセンス:接続数が 64,000 から 130,000 に、VLAN が 10 から 25 にそれぞれ拡大。

ASA5520:接続数が 130,000 から 280,000 に、VLAN が 25 から 100 にそれぞれ拡大。

ASA5540:接続数が 280,000 から 400,000 に、VLAN が 100 から 250 にそれぞれ拡大。

SSL VPN ライセンス

7.1(1)

SSL VPN ライセンスが初めて導入されました。

SSL VPN ライセンスの増強

7.2(1)

ASA 5550 以降のモデルに、ユーザ数が 5,000 の SSL VPN ライセンスが初めて導入されました。

VLAN が増加

7.2(2)

ASA 5505 セキュリティ アプライアンスの Security Plus ライセンスに対して、VLAN の最大数が 5(うち 3 つはフル機能、1 つはフェールオーバー、1 つはバックアップ インターフェイス限定)から 20(フル機能インターフェイス)に拡大されました。さらに、トランク ポートの数も 1 から 8 に拡大されました。フル機能インターフェイスが 20 に増えたことにより、バックアップ ISP インターフェイスには、フル機能インターフェイスを使用できるようになったため、backup interface コマンドを使用してバックアップ ISP インターフェイスを無効にする必要がなくなりました。ただし、backup interface コマンドにはこれ以外にも用途があり、Easy VPN の設定などには有用です。

VLAN の最大数は、ASA 5510 セキュリティ アプライアンス(基本ライセンスでは 10 から 50、Security Plus ライセンスでは 25 から 100)、ASA 5520 適応型セキュリティ アプライアンス(100 から 150)、および ASA 5550 適応型セキュリティ アプライアンス(200 から 250)でも拡大されました。

ASA 5510 Security Plus ライセンスに対する
ギガビット イーサネットのサポート

7.2(3)

ASA 5510 セキュリティ アプライアンスの Security Plus ライセンスでは、ポート 0 およびポート 1 で GE(ギガビット イーサネット)がサポートされました。基本ライセンスから Security Plus ライセンスにアップグレードすると、Ethernet 0/0 ポートおよび Ethernet 0/1 ポートの容量が、100 Mbps(元の FE(ファスト イーサネット))から 1000 Mbps(GE)に拡大されます。ただし、インターフェイス名は、Ethernet 0/0 および Ethernet 0/1 のままです。インターフェイス上の速度を変更する場合は speed コマンドを、インターフェイスごとに設定されている現在の速度を表示する場合は、 show interface コマンドをそれぞれ使用します。

Advanced Endpoint Assessment ライセンス

8.0(2)

Advanced Endpoint Assessment ライセンスが初めて導入されました。Cisco AnyConnect 接続およびクライアントレス SSL VPN 接続を確立するために必要な処理として、リモート コンピュータでは、大幅に拡張されたアンチウイルス アプリケーションおよびアンチスパイウェア アプリケーション、ファイアウォール、オペレーティング システム、および関連するアップデートのスキャンが実行されます。また、指定したレジストリ エントリ、ファイル名、およびプロセス名のスキャンも行われます。スキャンの結果は、リモート コンピュータから適応型セキュリティ アプライアンスへ送信されます。セキュリティ アプライアンスでは、ユーザのログイン クレデンシャルおよびスキャンの結果に基づいて、ダイナミック アクセス ポリシー(DAP)が割り当てられます。

Advanced Endpoint Assessment ライセンスを使用すると、要件に不備があるコンピュータがバージョン要件に即してアップデートされるよう設定することで、Host Scan 機能を拡張できます。

シスコでは、Host Scan がサポートしているアプリケーションおよびバージョンのリストを適時アップデートするための機能を、Cisco Secure Desktop とは独立したパッケージで提供しています。

ASA 5510 に対する VPN ロード バランシング

8.0(2)

ASA 5510 Security Plus ライセンスでは現在、VPN ロード バランシングがサポートされています。

AnyConnect for Mobile ライセンス

8.0(3)

AnyConnect for Mobile ライセンスを使用すると、AnyConnect クライアントを使用して、Windows のモバイル デバイスからセキュリティ アプライアンスへ接続することが可能です。

VPN Flex ライセンスおよび評価ライセンス

8.0(4)/8.1(2)

一時ライセンスが初めてサポートされました。VPN Flex ライセンスは、追加的な SSL VPN セッションを一時的にサポートするためのものです。

ASA 5510 基本ライセンスに対するギガビット イーサネットのサポート

7.2(4)/8.0(4)

ASA 5510 セキュリティ アプライアンスでは現在、基本ライセンスにより、ポート 0 およびポート 1 に対して GE(ギガビット イーサネット)がサポートされています(以前は Security Plus ライセンスでサポートされていました)。外部の Ethernet 0/0 ポートおよび Ethernet 0/1 ポートの容量が、100 Mbps(元の FE(ファスト イーサネット))から 1000 Mbps(GE)に拡大されています。ただし、インターフェイス名は、Ethernet 0/0 および Ethernet 0/1 のままです。インターフェイス上の速度を変更する場合は speed コマンドを、インターフェイスごとに設定されている現在の速度を表示する場合は、 show interface コマンドをそれぞれ使用します。

ASA 5580 に対する VLAN の増強

8.1(2)

ASA 5580 でサポートされる VLAN の数が 100 から 250 に拡大されました。

ユニファイド コミュニケーション
プロキシ セッション ライセンス

8.0(4)

UC プロキシ セッション ライセンスが初めて導入されました。この機能は、バージョン 8.1 では使用できません。

Botnet Traffic Filter ライセンス

8.2(1)

Botnet Traffic Filter ライセンスが初めて導入されました。Botnet Traffic Filter は、マルウェアのネットワーク アクティビティを防御するためのものです。接続のトラッキングにより、悪意のあるドメインや IP アドレスが特定されます。

AnyConnect Essentials ライセンス

8.2(1)

AnyConnect Essentials ライセンスでは、AnyConnect クライアントの 基本的な 機能を使用できる一方、SSL VPN のセッションについては、各プラットフォームでの上限数までサポートされます。たとえば ASA 5540 の場合、使用できるセッション数は 2,500 で、IPv6、CSD、セッションの自動復旧、ダイナミック アップデート、クライアントレス SSL VPN、WebLaunch など、高度な機能はその多くがサポートされていません。

AnyConnect Essentials ライセンスは、フル SSL VPN ライセンス、共有 SSL VPN ライセンス、および Advanced Endpoint Connection ライセンスとは併用できません。デフォルトでは、これらすべてのライセンスに代わって、AnyConnect Essentials ライセンスが使用されます。ただし、 no anyconnect-essentials コマンドを使用すれば、AnyConnect Essentials ライセンスをディセーブルにして、その他のライセンスを使用できるようにすることも可能です。

SSL VPN 用共有ライセンス

8.2(1)

SSL VPN 用の共有ライセンスが初めて導入されました。プールされた SSL VPN セッションを複数のセキュリティ アプライアンスで共有し、必要に応じてそれぞれに分配できます。