ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
機能のライセンスの管理
機能のライセンスの管理
発行日;2012/09/25 | 英語版ドキュメント(2012/07/06 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

機能のライセンスの管理

モデルごとにサポートされている機能のライセンス

モデルごとのライセンス

ライセンスの注釈

VPN ライセンスと機能の互換性

機能のライセンスに関する情報

事前インストールされているライセンス

永続ライセンス

時間ベース ライセンス

時間ベース ライセンス アクティベーションのガイドライン

時間ベース ライセンス タイマーの動作

永続ライセンスと時間ベース ライセンスの結合

時間ベース ライセンスのスタッキング

時間ベース ライセンスの有効期限

AnyConnect Premium(共有)ライセンス

共有ライセンスのサーバと参加システムに関する情報

参加システムとサーバの間の通信に関する問題

共有ライセンス バックアップ サーバに関する情報

フェールオーバーと共有ライセンス

参加システムの最大数

フェールオーバー ライセンス(8.3(1) 以降)

フェールオーバー ライセンスの要件および例外

フェールオーバー ライセンスの結合方法

フェールオーバー装置間の通信の中断

フェールオーバー ペアのアップグレード

ペイロード暗号化機能のないモデル

ライセンスの FAQ

ガイドラインと制限事項

ライセンスの設定

アクティベーション キーの取得

キーのアクティブ化および非アクティブ化

共有ライセンスの設定

共有ライセンス サーバの設定

共有ライセンス パーティシパントとオプションのバックアップ サーバの設定

ライセンスのモニタリング

現在のライセンスの表示

共有ライセンスのモニタリング

ライセンスの機能履歴

機能のライセンスの管理

ライセンスでは、特定のASA上でイネーブルにするオプションを指定します。このマニュアルでは、ライセンス アクティベーション キーの取得方法とアクティベーションの方法について説明します。また、各モデルに使用できるライセンスについても説明します。


) この章では、バージョン 8.4 および 8.6 のライセンシングについて説明します。その他のバージョンについては、次の URL でお使いのバージョンに該当するライセンシング マニュアルを参照してください。

http://www.cisco.com/en/US/products/ps6120/products_licensing_information_listing.html


この章は、次の項で構成されています。

「モデルごとにサポートされている機能のライセンス」

「機能のライセンスに関する情報」

「ガイドラインと制限事項」

「ライセンスの設定」

「ライセンスのモニタリング」

「ライセンスの機能履歴」

モデルごとにサポートされている機能のライセンス

この項では、各モデルに使用できるライセンスと、ライセンスに関する特記事項について説明します。この項は、次の内容で構成されています。

「モデルごとのライセンス」

「ライセンスの注釈」

「VPN ライセンスと機能の互換性」

モデルごとのライセンス

この項では、各モデルに使用できる機能のライセンスを示します。

「ASA 5505」

「ASA 5510」

「ASA 5520」

「ASA 5540」

「ASA 5550」

「ASA 5580」

「ASA 5512-X」

「ASA 5515-X」

「ASA 5525-X」

「ASA 5545-X」

「ASA 5555-X」

「ASA 5585-X(SSP-10)」

「ASA 5585-X(SSP-20)」

「ASA 5585-X(SSP-40 および -60)」

イタリック体で示された項目は、基本ライセンスまたは Security Plus ライセンスと置換できる、個別のオプション ライセンスです。ライセンスは組み合わせることができます。たとえば、24 ユニファイド コミュニケーション ライセンスと Strong Encryption ライセンス、500 AnyConnect Premium ライセンスと GTP/GPRS ライセンス、または 4 つのライセンスをすべて同時に使用することができます。(表 4-1 を参照)。

ライセンスの詳細については、「ライセンスの注釈」を参照してください。

ASA 5505

 

表 4-1 ASA 5505 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
説明(Security Plus ライセンス、 プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプション 時間ベースのライセンス:使用可能

ディセーブル

オプション 時間ベースのライセンス:使用可能

ファイアウォールの接続、同時

10,000

25,000

GTP/GPRS

サポートしない

サポートしない

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:24

2

オプション ライセンス:24

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(25 セッション)

ディセーブル

オプション ライセンス:使用可能(25 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

2

オプションのパラメータまたは時間ベース ライセンス

10

25

その他の VPN(セッション)

10

25

合計 VPN(セッション)、すべての種類の組み合わせ

最大 251

最大 25

VPN ロード バランシング

サポートしない

サポートしない

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

サポートしない

アクティブ/スタンバイ(ステートフル フェールオーバーなし)

すべての種類のインターフェイス、最大数

52

120

セキュリティ コンテキスト

サポートしない

サポートしない

内部ホスト、同時2

103

オプション ライセンス:

50

無制限

103

オプション ライセンス:

50

無制限

VLAN、最大

ルーテッド モード:3(2 標準と 1 制限)
トランスペアレント モード:2

ルーテッド モード:20
トランスペアレント モード:3(2 つの標準と 1 つのフェールオーバー)

VLAN トランク、最大

サポートしない

8 トランク

1.ライセンスに応じた、VPN セッションの総数。AnyConnect Essentials をイネーブルにしている場合、合計はモデルの最大数の 25 です。AnyConnect Premium をイネーブルにしている場合、合計は AnyConnect Premium 値にその他の VPN 値を加えた、25 セッションを超えないものとなります。

2.ルーテッド モードの場合、内部(ビジネス VLAN およびホーム VLAN)のホストでは、それらが外部(インターネット VLAN)と通信する場合(内部が外部への接続を開始した場合、および外部が内部への接続を開始した場合を含む)にだけ、制限に対してカウントされます。外部が内部への接続を開始した場合でも、外部ホストは制限に対してカウントされず、内部ホストだけがカウントされることに注意してください。ビジネスとホーム間のトラフィックを開始するホストも制限に対してカウントされません。デフォルト ルートに関連付けられたインターフェイスは、外部インターネット インターフェイスと見なされます。デフォルト ルートがない場合、すべてのインターフェイス上のホストが制限値にカウントされます。トランスペアレント モードでは、ホスト数が最小のインターフェイスがホスト制限値にカウントされます。show local-host コマンドを使用して、ホストの制限を表示します。

3.10 ユーザ ライセンスの場合、最大 DHCP クライアント数は 32 です。50 ユーザの場合、最大数 は 128 です。ユーザ制限なしの場合、最大数 は 250 です。これは、 他のモデルの最大数です。

ASA 5510

 

表 4-2 ASA 5510 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
説明(Security Plus ライセンス、 プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

50,000

130,000

GTP/GPRS

サポートしない

サポートしない

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

2

オプション ライセンス:

24

50

100

24

50

100

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(250 セッション)

ディセーブル

オプション ライセンス:使用可能(250 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションの永続 または時間ベースのライセンス:

2

オプションの永続 または時間ベースのライセンス:

10

25

50

100

250

10

25

50

100

250

オプションの共有ライセンス:Participant または Server。サーバの場合:

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

250

250

その他の VPN(セッション)

250

250

VPN ロード バランシング

サポートしない

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

サポートしない

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

240

440

インターフェイス速度

すべて:ファスト イーサネット

Ethernet 0/0 および 0/1:ギガビット イーサネット4
Ethernet 0/2、0/3、0/4(およびその他):ファスト イーサネット

セキュリティ コンテキスト

サポートしない

2

オプション ライセンス:

5

VLAN、最大

50

100

4.Ethernet 0/0 および 0/1 ポートはギガビット イーサネットですが、ソフトウェアでは現在も「イーサネット」として識別されます。

ASA 5520

 

表 4-3 ASA 5520 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

280,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(750 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

750

その他の VPN(セッション)

750

VPN ロード バランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

640

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

VLAN、最大

150

ASA 5540

 

表 4-4 ASA 5540 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

400,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(2500 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

5000

その他の VPN(セッション)

5000

VPN ロード バランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

840

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

VLAN、最大

200

ASA 5550

 

表 4-5 ASA 5550 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

650,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(5000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

5000

その他の VPN(セッション)

5000

VPN ロード バランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

1640

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

100

VLAN、最大

400

ASA 5580

 

表 4-6 ASA 5580 ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

5580-20:2,000,000

5580-40:4,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

5000

10,0005

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(10000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

10,000

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

10,000

その他の VPN(セッション)

10,000

VPN ロード バランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

4176

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

100

250

VLAN、最大

1024

5.10,000 セッション UC ライセンスの場合、組み合わせたセッション数は合計 10,000 までですが、電話プロキシ セッションの最大数は 5000 です。

ASA 5512-X

ペイロード暗号化機能のないモデルがある場合は、 表 4-7 の一部の機能がサポートされません。サポート対象外の機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-7 ASA 5512-X ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
説明(Security Plus ライセンス、 プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

100,000

250,000

GTP/GPRS

サポートしない

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

2

オプション ライセンス:

24

50

100

250

500

24

50

100

250

500

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(250 セッション)

ディセーブル

オプション ライセンス:使用可能(250 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションの永続 または時間ベースのライセンス:

2

オプションの永続 または時間ベースのライセンス:

10

25

50

100

250

10

25

50

100

250

オプションの共有ライセンス:Participant または Server。サーバの場合:

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

250

250

その他の VPN(セッション)

250

250

VPN ロード バランシング

サポートしない

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

サポートしない

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

328

528

セキュリティ コンテキスト

サポートしない

2

オプション ライセンス:

5

IPS モジュール

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

50

100

ASA 5515-X

ペイロード暗号化機能のないモデルがある場合は、 表 4-8 の一部の機能がサポートされません。サポート対象外の機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-8 ASA 5515-X ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

250,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(250 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

250

その他の VPN(セッション)

250

VPN ロード バランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

528

セキュリティ コンテキスト

2

オプション ライセンス:

5

IPS モジュール

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

100

ASA 5525-X

ペイロード暗号化機能のないモデルがある場合は、 表 4-9 の一部の機能がサポートされません。サポート対象外の機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-9 ASA 5525-X ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

500,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(750 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

750

その他の VPN(セッション)

750

VPN ロード バランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

928

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

IPS モジュール

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

200

ASA 5545-X

ペイロード暗号化機能のないモデルがある場合は、 表 4-10 の一部の機能がサポートされません。サポート対象外の機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-10 ASA 5545-X ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

750,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(2500 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

2500

その他の VPN(セッション)

2500

VPN ロード バランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

1328

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

IPS モジュール

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

300

ASA 5555-X

ペイロード暗号化機能のないモデルがある場合は、 表 4-11 の一部の機能がサポートされません。サポート対象外の機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-11 ASA 5555-X ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

1,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(5000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

5000

その他の VPN(セッション)

5000

VPN ロード バランシング

サポート対象

一般ライセンス

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

2128

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

100

IPS モジュール

ディセーブル

オプション ライセンス:使用可能

VLAN、最大

500

ASA 5585-X(SSP-10)

ペイロード暗号化機能のないモデルがある場合は、 表 4-12 の一部の機能がサポートされません。サポート対象外の機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-12 ASA 5585-X(SSP-10)ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
説明(Security Plus ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプション 時間ベースのライセンス:使用可能

ディセーブル

オプション 時間ベースのライセンス:使用可能

ファイアウォールの接続、同時

1,000,000

1,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

2

オプション ライセンス:

24

50

100

250

500

24

50

100

250

500

750

1000

2000

3000

750

1000

2000

3000

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(5000 セッション)

ディセーブル

オプション ライセンス:使用可能(5000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプション 永続または時間ベースのライセンス:

2

オプション 永続または時間ベースのライセンス:

10

25

50

100

250

10

25

50

100

250

500

750

1000

2500

5000

500

750

1000

2500

5000

オプションの共有ライセンス:Participant または Server。サーバの場合:

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

5000

5000

その他の VPN(セッション)

5000

5000

VPN ロード バランシング

サポート対象

サポート対象

一般ライセンス

10 GE I/O

ディセーブル。ファイバ ifcs は 1 GE で実行

イネーブル。ファイバ ifcs は 10 GE で実行

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

4176

4176

セキュリティ コンテキスト

2

オプション ライセンス:

2

オプション ライセンス:

5

10

20

50

100

5

10

20

50

100

VLAN、最大

1024

1024

ASA 5585-X(SSP-20)

ペイロード暗号化機能のないモデルがある場合は、 表 4-13 の一部の機能がサポートされません。サポート対象外の機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。

 

表 4-13 ASA 5585-X(SSP-20)ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
説明(Security Plus ライセンス、 プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプション 時間ベースのライセンス:使用可能

ディセーブル

オプション 時間ベースのライセンス:使用可能

ファイアウォールの接続、同時

2,000,000

2,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

2

オプション ライセンス:

24

50

100

250

500

750

1000

100

250

500

750

1000

2000

3000

5000

10,000 6

2000

3000

5000

10,0001

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(10,000 セッション)

ディセーブル

オプション ライセンス:使用可能(10,000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

50

100

250

500

750

1000

2500

5000

10,000

1000

2500

5000

10,000

オプションの共有ライセンス:Participant または Server。サーバの場合:

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

10,000

10,000

その他の VPN(セッション)

10,000

10,000

VPN ロード バランシング

サポート対象

サポート対象

一般ライセンス

10 GE I/O

ディセーブル。ファイバ ifcs は 1 GE で実行

イネーブル。ファイバ ifcs は 10 GE で実行

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

4176

4176

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

2

オプション ライセンス:

5

10

20

50

100

250

20

50

100

250

VLAN、最大

1024

1024

6.10,000 セッション UC ライセンスの場合、組み合わせたセッション数は合計 10,000 までですが、電話プロキシ セッションの最大数は 5000 です。

ASA 5585-X(SSP-40 および -60)

ペイロード暗号化機能のないモデルがある場合は、 表 4-14 の一部の機能がサポートされません。サポート対象外の機能のリストについては、「ペイロード暗号化機能のないモデル」を参照してください。


) (8.4(2) 以降)SSP-40 および SSP-60 の場合、同じシャーシでレベルが同じ 2 つの SSP を使用できます。レベルが混在した SSP はサポートされていません(たとえば、SSP-40 と SSP-60 の組み合わせはサポートされていません)。各 SSP は、個別のコンフィギュレーションおよび管理を使用する独立したデバイスとして機能します。必要に応じて 2 つの SSP をフェールオーバー ペアとして使用できます。シャーシで 2 つの SSP を使用する場合、VPN はサポートされません。ただし、VPN はディセーブルになっていないことに注意してください。


 

表 4-14 ASA 5585-X(SSP-40 および -60)ライセンスの機能

ライセンス
説明(基本ライセンス、プレーン テキスト)
ファイアウォール ライセンス

ボットネット トラフィック フィルタ

ディセーブル

オプションの時間ベース ライセンス:使用可能

ファイアウォールの接続、同時

5585-X(SSP-40):4,000,000

5585-X(SSP-60):10,000,000

GTP/GPRS

ディセーブル

オプション ライセンス:使用可能

Intercompany Media Engine

ディセーブル

オプション ライセンス:使用可能

UC 電話プロキシ セッション

2

オプション ライセンス:

24

50

100

250

500

750

1000

2000

3000

5000

10,0007

VPN ライセンス

Adv.エンドポイント アセスメント

ディセーブル

オプション ライセンス:使用可能

AnyConnect for Cisco VPN Phone

ディセーブル

オプション ライセンス:使用可能

AnyConnect Essentials

ディセーブル

オプション ライセンス:使用可能(10,000 セッション)

AnyConnect for Mobile

ディセーブル

オプション ライセンス:使用可能

AnyConnect Premium(セッション)

2

オプションのパラメータまたは時間ベース ライセンス

10

25

50

100

250

500

750

1000

2500

5000

10,000

オプションの共有ライセンス:Participant または Server。サーバの場合:

500 ~ 50,000(500 単位で増加)

50,000 ~ 545,000(1000 単位で増加)

合計 VPN(セッション)、すべての種類の組み合わせ

10,000

その他の VPN(セッション)

10,000

VPN ロード バランシング

サポート対象

一般ライセンス

10 GE I/O

イネーブル。ファイバ ifcs は 10 GE で実行

暗号化

基本(DES)

オプション ライセンス:強化(3DES/AES)

フェールオーバー

アクティブ/スタンバイまたはアクティブ/アクティブ

すべての種類のインターフェイス、最大数

4176

セキュリティ コンテキスト

2

オプション ライセンス:

5

10

20

50

100

250

VLAN、最大

1024

7.10,000 セッション UC ライセンスの場合、組み合わせたセッション数は合計 10,000 までですが、電話プロキシ セッションの最大数は 5000 です。

ライセンスの注釈

表 4-15 に、「モデルごとのライセンス」の複数の表で共有される一般的な補足説明を示します。

 

表 4-15 ライセンスの注釈

ライセンス
注釈

AnyConnect Essentials

AnyConnect Essentials セッションには、次の VPN タイプが含まれています。

SSL VPN

IKEv2 を使用した IPsec リモート アクセス

このライセンスは、ブラウザベース(クライアントレス)の SSL VPN アクセスまたは Cisco Secure Desktop はサポートしていません。これらの機能に対しては、AnyConnect Essentials ライセンスの代わりに AnyConnect Premium ライセンスがアクティブ化されます。

(注) AnyConnect Essentials ライセンスを所有する VPN ユーザは、Web ブラウザを使用してログインし、AnyConnect クライアントをダウンロードおよび起動(WebLaunch)することができます。

このライセンスと AnyConnect Premium ライセンスのいずれでイネーブル化されたかには関係なく、AnyConnect クライアント ソフトウェアには同じクライアント機能のセットが装備されています。

特定の ASA では、AnyConnect Premium ライセンス(全タイプ)または Advanced Endpoint Assessment ライセンスを、AnyConnect Essentials ライセンスと同時にアクティブにすることはできません。ただし、同じネットワーク内の異なる ASAで、AnyConnect Essentials ライセンスと AnyConnect Premium ライセンスを実行することは可能です。

デフォルトでは、ASA は AnyConnect Essentials ライセンスを使用しますが、 no anyconnect-essentials コマンドまたは ASDM で [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials] ペインを使用すると、AnyConnect Essentials ライセンスをディセーブルにして他のライセンスを使用できます。

「VPN ライセンスと機能の互換性」も参照してください。

AnyConnect for Cisco VPN Phone

このライセンスを AnyConnect Premium ライセンスとともに使用すると、AnyConnect の互換性に組み込まれているハードウェア IP 電話からアクセスできます。

AnyConnect for Mobile

このライセンスは、Windows Mobile 5.0、6.0、および 6.1 を実行しているタッチスクリーン モバイル デバイスでの AnyConnect クライアントへのアクセスを提供します。AnyConnect 2.3 以降のバージョンへのモバイル アクセスをサポートする場合は、このライセンスを使用することをお勧めします。このライセンスでは、AnyConnect Essentials または AnyConnect Premium のいずれかのライセンスをアクティブにして、許可される SSL VPN セッションの合計数を指定する必要があります。

Mobile Posture サポート

リモート アクセス コントロールの適用およびモバイル デバイスからのポスチャ データの収集には、AnyConnect Mobile ライセンスと、AnyConnect Essentials ライセンスまたは AnyConnect Premium ライセンスのいずれかが ASA にインストールされている必要があります。インストールしたライセンスに基づいて、次の機能を使用できます。

AnyConnect Premium ライセンス機能

DAP 属性およびその他の既存のエンドポイント属性に基づいて、サポート対象モバイル デバイスに DAP ポリシーを適用します。これには、モバイル デバイスからのリモート アクセスの許可または拒否が含まれます。

AnyConnect Essentials ライセンス機能

ASDM を使用してグループ単位でのモバイル デバイス アクセスをイネーブルまたはディセーブルにして、この機能を設定します。

CLI または ASDM を使用して接続モバイル デバイスに関する情報を表示します(ただし、DAP ポリシーを適用したり、これらのモバイル デバイスへのリモート アクセスを拒否/許可したりする機能はありません)。

AnyConnect Premium

AnyConnect Premium セッションには、次の VPN タイプが含まれています。

SSL VPN

クライアントレス SSL VPN

IKEv2 を使用した IPsec リモート アクセス

AnyConnect Premium(共有)

共有ライセンスによって、ASAは複数のクライアントのASAの共有ライセンス サーバとして機能します。共有ライセンス プールは大規模ですが、個々のASAによって使用されるセッションの最大数は、永続的なライセンスで指定される最大数を超えることはできません。

ボットネット トラフィック フィルタ

ダイナミック データベースをダウンロードするには、強力な暗号化(3DES/AES)ライセンスが必要です。

暗号化

DES ライセンスはディセーブルにできません。3DES ライセンスをインストールしている場合、DES は引き続き使用できます。強力な暗号化のみを使用する必要があり、DES を使用できないようにする場合は、ストリング暗号化のみを使用する関連コマンドを設定してください。

フェールオーバー、アクティブ/アクティブ

アクティブ/アクティブ フェールオーバーと VPN は同時に使用できません。VPN を使用する必要がある場合は、アクティブ/スタンバイ フェールオーバーを使用します。

Intercompany Media Engine

Intercompany Media Engine(IME)ライセンスをイネーブルにすると、TLS プロキシ セッションを設定された TLS プロキシの制限まで使用できます。また、Unified Communications(UC; ユニファイド コミュニケーション)ライセンスがインストールされており、その制限数がデフォルトの TLS プロキシの制限数より多い場合、お使いのモデルに応じて、ASA が UC ライセンスの制限数にまでセッション数を加えた制限を設定します。TLS プロキシの制限は、 tls-proxy maximum-sessions コマンドまたは ASDM で [Configuration] > [Firewall] > [Unified Communications] > [TLS Proxy] ペインを使用して手動で設定できます。モデルの制限を表示するには、 tls-proxy maximum-sessions ? コマンドを入力します。UC ライセンスもインストールすると、UC で使用できる TLS プロキシ セッションは IME セッションでも使用可能になります。たとえば、設定された制限が 1000 TLS プロキシ セッションの場合、750 セッションの UC ライセンスを購入すると、最初の 250 IME セッションまでは、UC に使用可能なセッション数に影響を与えません。IME に 250 を超えるセッションが必要になると、プラットフォームの制限の残りの 750 セッションが UC と IME によって先着順に使用されます。

「K8」で終わるライセンス製品番号の場合、TLS プロキシ セッションは 1000 までに制限されます。

「K9」で終わるライセンス製品番号の場合、TLS プロキシ制限は、使用する設定とプラットフォーム モデルに依存します。

(注) K8 と K9 は、エクスポートについてそのライセンスが制限されるかどうかを示します。K8 は制限されず、K9 は制限されます。

接続には、SRTP 暗号化セッションを使用する場合もあります。

K8 ライセンスの場合、SRTP セッションは 250 までに制限されます。

K9 ライセンスの場合、制限はありません。

(注) メディアの暗号化/復号化を必要とするコールだけが、SRTP 制限に対してカウントされます。コールに対してパススルーが設定されている場合は、両方のレッグが SRTP であっても、SRTP 制限に対してカウントされません。

すべての種類のインターフェイス、最大数

VLAN、物理、冗長、ブリッジ グループ、および EtherChannel インターフェイスなど、すべてを合わせたインターフェイスの最大数。

IPS モジュール

フェールオーバー ペアの場合、両方の装置に IPS モジュール ライセンスが必要です。

その他の VPN

その他の VPN セッションには、次の VPN タイプが含まれています。

IKEv1 を使用した IPsec リモート アクセス VPN

IKEv1 を使用した IPsec サイトツーサイト VPN

IKEv2 を使用した IPsec サイトツーサイト VPN

このライセンスは基本ライセンスに含まれています。

合計 VPN(セッション)、すべての種類の組み合わせ

VPN セッションの最大数の合計が、VPN AnyConnect とその他の VPN セッションの最大数よりも多くなっても、組み合わせたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、ASAをオーバーロードして、ネットワークのサイズを適切にすることができます。

クライアントレス SSL VPN セッションを開始した後、ポータルから AnyConnect クライアント セッションを開始した場合は、合計 1 つのセッションが使用されています。これに対して、最初に AnyConnect クライアントを(スタンドアロン クライアントなどから)開始した後、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが使用されています。

UC 電話プロキシ セッション

次のアプリケーションでは、接続時に TLS プロキシ セッションを使用します。これらのアプリケーションで使用される各 TLS プロキシ セッション(およびこれらのアプリケーションのみ)は UC ライセンスの制限に対してカウントされます。

電話プロキシ

プレゼンス フェデレーション プロキシ

暗号化音声インスペクション

TLS プロキシ セッションを使用するその他のアプリケーション(ライセンスが不要な Mobility Advantage Proxy、個別の IME ライセンスが必要な IME など)では、UC 制限に対してカウントしません。

UC アプリケーションによっては、1 つの接続に複数のセッションを使用する場合があります。たとえば、プライマリとバックアップの Cisco Unified Communications Manager を電話に設定した場合は、TLS プロキシ接続が 2 つあるため、UC Proxy セッションも 2 つ使用されます。

TLS プロキシの制限は、 tls-proxy maximum-sessions コマンドまたは ASDM で [Configuration] > [Firewall] > [Unified Communications] > [TLS Proxy] ペインを使用して個別に設定できます。モデルの制限を表示するには、 tls-proxy maximum-sessions ? コマンドを入力します。デフォルトの TLS プロキシ制限よりも高い UC ライセンスを適用する場合、ASA では、その UC 制限に一致するように TLS プロキシの制限が自動的に設定されます。UC ライセンスの制限よりも TLS プロキシ制限が優先されます。TLS プロキシ制限を UC ライセンスよりも少なく設定すると、UC ライセンスですべてのセッションを使用できません。

コマンドが自動的に生成され、セカンダリ装置に警告メッセージが表示されることがあります。コンフィギュレーションの同期によりプライマリ装置の TLS プロキシ制限の設定が復元されるため、この警告は無視できます。

接続には、SRTP 暗号化セッションを使用する場合もあります。

K8 ライセンスでは、SRTP セッション数は 250 までに制限されます。

K9 ライセンスに制限はありません。

(注) メディアの暗号化/復号化を必要とするコールだけが、SRTP 制限に対してカウントされます。コールに対してパススルーが設定されている場合は、両方のレッグが SRTP であっても、SRTP 制限に対してカウントされません。

VPN ロード バランシング

VPN ロード バランシングには、強力な暗号化(3DES/AES)ライセンスが必要です。

VPN ライセンスと機能の互換性

表 4-16 に、VPN ライセンスと機能を組み合わせる方法を示します。

AnyConnect Essentials ライセンスおよび AnyConnect Premium ライセンスでサポートされている機能の詳細なリストについては、『 AnyConnect Secure Mobility Client Features, Licenses, and OSs 』を参照してください。

バージョン 3.0:
http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect30/feature/guide/anyconnect30features.html

バージョン 2.5:
http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect25/feature/guide/anyconnect25features.html

 

表 4-16 VPN ライセンスと機能の互換性

サポートする機能
次のいずれかのライセンスをイネーブルにします。8
AnyConnect Essentials
AnyConnect Premium

AnyConnect for Cisco VPN Phone

No

Yes

AnyConnect for Mobile9

Yes

Yes

Advanced Endpoint Assessment

No

Yes

AnyConnect Premium(共有)

No

Yes

クライアントベースの SSL VPN

Yes

Yes

ブラウザベース(クライアントレス)の SSL VPN

No

Yes

IPsec VPN

Yes

Yes

VPN ロード バランシング

Yes

Yes

Cisco Secure Desktop

No

Yes

8.AnyConnect Essentials ライセンスまたは AnyConnect Premium ライセンスのいずれか一方のライセンス タイプだけをアクティブにできます。デフォルトでは、ASAには 2 セッション用の AnyConnect Premium ライセンスが組み込まれています。AnyConnect Essentials ライセンスをインストールすると、それがデフォルトで使用されます。プレミアム ライセンスのイネーブル化については、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials] ペインを参照してください。

9.Mobile Posture サポートは、AnyConnect Essentials の場合と AnyConnect Premium ライセンスの場合とでは異なります。詳細については、表 4-15を参照してください。

機能のライセンスに関する情報

ライセンスでは、特定のASA上でイネーブルにするオプションを指定します。ライセンスは、160 ビット(32 ビットのワードが 5 個、または 20 バイト)値であるアクティベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)とイネーブルになる機能とを符号化します。

この項は、次の内容で構成されています。

「事前インストールされているライセンス」

「永続ライセンス」

「時間ベース ライセンス」

「AnyConnect Premium(共有)ライセンス」

「フェールオーバー ライセンス(8.3(1) 以降)」

「ペイロード暗号化機能のないモデル」

「ライセンスの FAQ」

事前インストールされているライセンス

デフォルトでは、ASAは、ライセンスがインストールされた状態で出荷されます。このライセンスは、注文した内容およびベンダーがインストールした内容に応じて、ライセンスを追加できる基本ライセンスの場合と、すべてのライセンスがすでにインストールされている場合があります。インストールされているライセンスを特定するには、「ライセンスのモニタリング」を参照してください。

永続ライセンス

永続アクティベーション キーを 1 つインストールできます。永続アクティベーション キーは、1 つのキーにすべてのライセンス機能を格納しています。時間ベース ライセンスもインストールすると、ASAは永続ライセンスと時間ベース ライセンスを 1 つの実行ライセンスに結合します。ASAがライセンスを結合する方法については、「永続ライセンスと時間ベース ライセンスの結合」を参照してください。

時間ベース ライセンス

永続ライセンスに加えて、時間ライセンスを購入したり、時間制限のある評価ライセンスを入手したりできます。たとえば、SSL VPN の同時ユーザの短期増加に対処するために時間ベースの AnyConnect Premium ライセンスを購入したり、1 年間有効なボットネット トラフィック フィルタ時間ベース ライセンスを注文したりできます。

この項は、次の内容で構成されています。

「時間ベース ライセンス アクティベーションのガイドライン」

「時間ベース ライセンス タイマーの動作」

「永続ライセンスと時間ベース ライセンスの結合」

「時間ベース ライセンスのスタッキング」

「時間ベース ライセンスの有効期限」

時間ベース ライセンス アクティベーションのガイドライン

複数の時間ベース ライセンスをインストールし、同じ機能に複数のライセンスを組み込むことができます。ただし、一度に アクティブ化 できる時間ベース ライセンスは、1 機能につき 1 つだけです。非アクティブのライセンスはインストールされたままで、使用可能な状態です。たとえば、1000 セッション AnyConnect Premium ライセンスと 2500 セッション AnyConnect Premium ライセンスをインストールした場合、これらのライセンスのうちいずれか 1 つだけをアクティブにできます。

キーの中に複数の機能を持つ評価ライセンスをアクティブにした場合、そこに含まれている機能のいずれかに対応する時間ベース ライセンスを同時にアクティブ化することはできません。たとえば、評価ライセンスにボットネット トラフィック フィルタと 1000 セッション AnyConnect Premium ライセンスが含まれる場合、スタンドアロンの時間ベース 2500 セッション AnyConnect Premium ライセンスをこの評価ライセンスと同時にアクティブ化することはできません。

時間ベース ライセンス タイマーの動作

時間ベース ライセンスのタイマーは、ASA上でライセンスをアクティブにした時点でカウント ダウンを開始します。

タイムアウト前に時間ベース ライセンスの使用を中止すると、タイマーが停止します。時間ベース ライセンスを再度アクティブ化すると、タイマーが再開します。

時間ベース ライセンスがアクティブになっているときにASAをシャットダウンしても、タイマーはカウント ダウンを続行します。ASAを長期にわたってシャットダウンしたままにする場合は、シャットダウンする前に時間ベース ライセンスを非アクティブにする必要があります。


) 時間ベース ライセンスをインストールした後は、システム クロックを変更しないことをお勧めします。システム クロックを先の日付に進めてからリロードした場合、ASAではクロックが元のインストール日時と比較され、実際よりも長い使用時間が経過したものと見なされます。システム クロックを遅らせて、元のインストール日時との時間差よりも実際の実行時間が長くなった場合は、リロード直後にライセンスが無効になります。


永続ライセンスと時間ベース ライセンスの結合

時間ベース ライセンスをアクティブにすると、永続ライセンスと時間ベース ライセンスに含まれる機能を組み合わせた実行ライセンスが作成されます。永続ライセンスと時間ベース ライセンスの組み合わせ方は、ライセンスのタイプに依存します。 表 4-17 に、各機能ライセンスの組み合わせルールを示します。


) 永続ライセンスが使用されていても、時間ベース ライセンスがアクティブな場合はカウント ダウンが続行されます。


 

表 4-17 時間ベース ライセンスの組み合わせルール

時間べース機能
結合されたライセンスのルール

AnyConnect Premium(セッション)

時間ベース ライセンスまたは永続ライセンスのうち、値の高い方が使用されます。たとえば、永続ライセンスが 1000 セッション、時間ベース ライセンスが 2500 セッションの場合、2500 セッションがイネーブルになります。通常は、永続ライセンスよりも機能の低い時間ベース ライセンスをインストールすることはありませんが、そのようなインストールが行われた場合は永続ライセンスが使用されます。

Unified Communications Proxy セッション

時間ベース ライセンスのセッションは、プラットフォームの制限数まで永続セッションに追加されます。たとえば、永続ライセンスが 2500 セッション、時間ベース ライセンスが 1000 セッションの場合、時間ベース ライセンスがアクティブである限り、3500 セッションがイネーブルになります。

セキュリティ コンテキスト

時間ベース ライセンスのコンテキストは、プラットフォームの制限数まで永続コンテキストに追加されます。たとえば、永続ライセンスが 10 コンテキスト、時間ベース ライセンスが 20 コンテキストの場合、時間ベース ライセンスがアクティブである限り、30 コンテキストがイネーブルになります。

ボットネット トラフィック フィルタ

使用可能な永続ボットネット トラフィック フィルタ ライセンスはありません。時間ベース ライセンスが使用されます。

その他

時間ベース ライセンスまたは永続ライセンスのうち、値の高い方が使用されます。ライセンスのステータスがイネーブルまたはディセーブルの場合、イネーブル ステータスのライセンスが使用されます。数値ティアを持つライセンスの場合、高い方の値が使用されます。通常は、永続ライセンスよりも機能の低い時間ベース ライセンスをインストールすることはありませんが、そのようなインストールが行われた場合は永続ライセンスが使用されます。

結合されたライセンスを表示するには、「ライセンスのモニタリング」を参照してください。

時間ベース ライセンスのスタッキング

多くの場合、時間ベース ライセンスは更新の必要があり、旧ライセンスから新しいライセンスへシームレスに移行する必要があります。時間ベース ライセンスだけで使用される機能では、新しいライセンスが適用される前に、ライセンスの有効期限が切れてしまわないことが特に重要です。ASAでは時間ベース ライセンスを スタック できるので、ライセンスの有効期限が切れたり、新しいライセンスを早めにインストールしたために時間が無駄になったりする心配はありません。

すでにインストールされているのと同じ時間ベース ライセンスをインストールすると、それらのライセンスは結合され、有効期間は両者を合わせた期間になります。

次に、例を示します。

1. 52 週のボットネット トラフィック フィルタ ライセンスをインストールし、このライセンスを 25 週間使用します(残り 27 週)。

2. 次に、別の 52 週ボットネット トラフィック フィルタ ライセンスを購入します。2 つめのライセンスをインストールすると、ライセンスが結合され、有効期間は 79 週(52 + 27 週)になります。

同様の例を示します。

1. 8 週 1000 セッションの AnyConnect Premium ライセンスをインストールし、これを 2 週間使用します(残り 6 週)。

2. 次に、別の 8 週 1000 セッションのライセンスをインストールすると、これらのライセンスは結合され、14 週(8 + 6 週)1000 セッションのライセンスになります。

これらのライセンスが同一でない場合(たとえば、1000 セッション AnyConnect Premium ライセンスと 2500 セッション ライセンス)、それらのライセンスは結合 されません 。1 つの機能につき時間ベース ライセンスを 1 つだけアクティブにできるので、ライセンスのうちいずれか 1 つだけをアクティブにすることができます。ライセンスのアクティブ化の詳細については、「キーのアクティブ化および非アクティブ化」を参照してください。

同一でないライセンスは結合されませんが、現在のライセンスの有効期限が切れた場合、同じ機能のインストール済みライセンスが使用可能であれば、ASAはそのライセンスを自動的にアクティブにします。詳細については、「時間ベース ライセンスの有効期限」を参照してください。

時間ベース ライセンスの有効期限

機能に対応する現在のライセンスが期限切れになると、同じ機能のインストール済みライセンスが使用可能であれば、ASAはそのライセンスを自動的にアクティブにします。その機能に使用できる時間ベース ライセンスが他にない場合は、永続ライセンスが使用されます。

その機能に対して複数の時間ベース ライセンスを追加でインストールした場合、ASAは最初に検出されたライセンスを使用します。どのライセンスを使用するかは、ユーザが設定することはできず、内部動作に依存します。ASAがアクティブ化したライセンスとは別の時間ベース ライセンスを使用するには、目的のライセンスを手動でアクティブにする必要があります。「キーのアクティブ化および非アクティブ化」を参照してください。

たとえば、2500 セッションの時間ベース AnyConnect Premium ライセンス(アクティブ)、1000 セッションの時間ベース AnyConnect Premium ライセンス(非アクティブ)、500 セッションの永続 AnyConnect Premium ライセンスを所有しているとします。2500 セッション ライセンスの有効期限が切れると、ASAは 1000 セッション ライセンスをアクティブにします。1000 セッション ライセンスの有効期限が切れると、ASAは 500 セッションの永続ライセンスを使用します。

AnyConnect Premium(共有)ライセンス

AnyConnect Premium(共有)を使用すると、多数の AnyConnect Premium セッションを購入し、それらのセッションを ASA のグループ間で必要に応じて共有できます。そのためには、いずれかの ASA を共有ライセンス サーバとして、残りを共有ライセンス参加システムとして設定します。この項では、共有ライセンスのしくみについて説明します。次の項目を取り上げます。

「共有ライセンスのサーバと参加システムに関する情報」

「参加システムとサーバの間の通信に関する問題」

「共有ライセンス バックアップ サーバに関する情報」

「フェールオーバーと共有ライセンス」

「参加システムの最大数」

共有ライセンスのサーバと参加システムに関する情報

次に、共有ライセンスの動作手順を示します。

1. いずれのASAを共有ライセンス サーバとするかを決定し、デバイス シリアル番号を使用する共有ライセンス サーバのライセンスを購入します。

2. いずれのASAを共有ライセンス バックアップ サーバを含む共有ライセンス参加者とするかを決定し、各デバイス シリアル番号を使用して各デバイスに対して共有ライセンス参加ライセンスを取得します。

3. (任意)別のASAを共有ライセンス バックアップ サーバとして指定します。バックアップ サーバには 1 台のみ指定できます。


) 共有ライセンス バックアップ サーバに必要なのは参加ライセンスのみです。


4. 共有ライセンス サーバ上に共有秘密を設定します。共有秘密を保持する参加者であればいずれも共有ライセンスを使用できます。

5. ASAを参加者として設定する場合、ローカル ライセンスおよびモデル情報を含む自身の情報を送信することで共有ライセンス サーバに登録します。


) 参加者は IP ネットワークを経由してサーバと通信できる必要がありますが、同じサブネット上にある必要はありません。


6. 共有ライセンス サーバは、参加者がサーバにポーリングするべき頻度の情報で応答します。

7. 参加者がローカル ライセンスのセッションを使い果たした場合、参加者は共有ライセンス サーバに 50 セッション単位で追加セッションの要求を送信します。

8. 共有ライセンス サーバは、共有ライセンスで応答します。1 台の参加者が使用する合計セッション数は、プラットフォーム モデルの最大セッション数を超えられません。


) 共有ライセンス サーバは、共有ライセンス プールに参加することもできます。参加には参加ライセンスもサーバ ライセンスも必要ありません。


a. 参加者に対して共有ライセンス プールに十分なセッションがない場合、サーバは使用可能な限りのセッション数で応答します。

b. 参加者はさらなるセッションを要求するリフレッシュ メッセージの送信をサーバが要求に適切に対応できるまで続けます。

9. 参加者の負荷が減少した場合、参加者はサーバに共有セッションを解放するようにメッセージを送信します。


) ASAは、サーバと参加者間のすべての通信の暗号化に SSL を使用します。


参加システムとサーバの間の通信に関する問題

参加者とサーバ間の通信問題については、次のガイドラインを参照してください。

参加者が更新の送信に失敗して更新間隔 3 倍の時間が経過した後で、サーバはセッションを解放して共有ライセンス プールに戻します。

参加者が更新を送信するためにライセンス サーバに到達できない場合、参加者はサーバから受信した共有ライセンスを最大 24 時間使用し続けられます。

24 時間を経過しても参加者がまだライセンス サーバと通信できない場合、参加者はセッションがまだ必要であっても共有ライセンスを解放します。参加者は既存の確立している接続を維持しますが、ライセンス制限を超えて新しい接続を受け入れられません。

参加者が 24 時間経過前にサーバに再接続したが、サーバが参加セッションを期限切れにした後である場合、参加者はセッションに対する新しい要求を送信する必要があります。サーバは、参加者に再割り当てできる限りのセッション数で応答します。

共有ライセンス バックアップ サーバに関する情報

共有ライセンス バックアップ サーバは、バックアップの役割を実行する前にメインの共有ライセンス サーバへの登録に成功している必要があります。登録時には、メインの共有ライセンス サーバは共有ライセンス情報に加えてサーバ設定もバックアップと同期します。情報には、登録済み参加者の一覧および現在のライセンス使用状況が含まれます。メイン サーバとバックアップ サーバは、10 秒間隔でデータを同期します。初回同期の後で、バックアップ サーバはリロード後でもバックアップの役割を実行できます。

メイン サーバがダウンすると、バックアップ サーバがサーバ動作を引き継ぎます。バックアップ サーバは継続して最大 30 日間動作できます。30 日を超えると、バックアップ サーバは参加者へのセッション発行を中止し、既存のセッションはタイムアウトします。メイン サーバをこの 30 日間中に確実に復旧するようにします。クリティカル レベルの syslog メッセージが 15 日めに送信され、30 日めに再送信されます。

メイン サーバが復旧した場合、メイン サーバはバックアップ サーバと同期してから、サーバ動作を引き継ぎます。

バックアップ サーバがアクティブでないときは、メインの共有ライセンス サーバの通常の参加者として動作します。


) メインの共有ライセンス サーバの初回起動時には、バックアップ サーバは独立して 5 日間のみ動作できます。動作制限は 30 日に到達するまで日ごとに増加します。また、メイン サーバがその後短時間でもダウンした場合、バックアップ サーバの動作制限は日ごとに減少します。メイン サーバが復旧した場合、バックアップ サーバは再び日ごとに増加を開始します。たとえば、メイン サーバが 20 日間ダウンしていて、その期間中バックアップ サーバがアクティブであった場合、バックアップ サーバには、10 日間の制限のみが残っています。バックアップ サーバは、非アクティブなバックアップとしてさらに 20 日間が経過した後で、最大の 30 日間まで「充電」されます。この充電機能は共有ライセンスの誤使用を防ぐために実装されています。


フェールオーバーと共有ライセンス

この項では、共有ライセンスとフェールオーバーの相互作用について説明します。次の項目を取り上げます。

「フェールオーバーと共有ライセンス サーバ」

「フェールオーバーと共有ライセンス参加システム」

フェールオーバーと共有ライセンス サーバ

この項では、メイン サーバおよびバックアップ サーバと、フェールオーバーとの相互作用について説明します。共有ライセンス サーバでは、VPN ゲートウェイやファイアウォールなど、ASAとしての通常機能も実行されます。このため、メインとバックアップの共有ライセンス サーバにフェールオーバーを設定して、信頼性を高めることをお勧めします。


) バックアップ サーバ メカニズムとフェールオーバーは異なりますが、両者には互換性があります。

共有ライセンスはシングル コンテキスト モードでだけサポートされるため、アクティブ/アクティブ フェールオーバーはサポートされません。


アクティブ/スタンバイ フェールオーバーでは、プライマリ装置が主要な共有ライセンス サーバとして機能し、スタンバイ装置はフェールオーバー後に主要な共有ライセンス サーバとして機能します。スタンバイ装置は、バックアップの共有ライセンス サーバとしては機能 しません 。必要に応じて、バックアップ サーバとして機能する装置のペアを追加します。

たとえば、2 組のフェールオーバー ペアがあるネットワークを使用するとします。ペア #1 にはメインのライセンス サーバが含まれます。ペア #2 にはバックアップ サーバが含まれます。ペア #1 のプライマリ装置がダウンすると、ただちに、スタンバイ装置が新しくメイン ライセンス サーバになります。ペア #2 のバックアップ サーバが使用されることはありません。ペア #1 の装置が両方ともダウンした場合だけ、ペア #2 のバックアップ サーバが共有ライセンス サーバとして使用されるようになります。ペア #1 がダウンしたままで、ペア #2 のプライマリ装置もダウンした場合は、ペア #2 のスタンバイ装置が共有ライセンス サーバとして使用されるようになります(図 4-1 を参照)。

図 4-1 フェールオーバーと共有ライセンス サーバ

 

スタンバイ バックアップ サーバは、プライマリ バックアップ サーバと同じ動作制限を共有します。スタンバイ装置がアクティブになると、その時点からプライマリ装置のカウントダウンを引き継ぎます。詳細については、「共有ライセンス バックアップ サーバに関する情報」を参照してください。

フェールオーバーと共有ライセンス参加システム

参加システムのペアについては、両方の装置を共有ライセンス サーバに登録します。登録時には、個別の参加システム ID を使用します。アクティブ装置の参加システム ID は、スタンバイ装置と同期されます。スタンバイ装置は、アクティブに切り替わるときに、この ID を使用して転送要求を生成します。この転送要求によって、以前にアクティブだった装置から新しくアクティブになる装置に共有セッションが移動します。

参加システムの最大

ASAでは、共有ライセンスの参加システム数に制限がありません。ただし、共有ネットワークの規模が非常に大きいと、ライセンス サーバのパフォーマンスに影響する場合があります。この場合は、参加システムのリフレッシュ間隔を長くするか、共有ネットワークを 2 つ作成することをお勧めします。

フェールオーバー ライセンス(8.3(1) 以降)

いくつかの例外を除き、フェールオーバー ユニットは、各ユニット上で同一のライセンスを必要としません。以前のバージョンについては、お使いのバージョンに該当するライセンシング マニュアルを参照してください。

この項は、次の内容で構成されています。

「フェールオーバー ライセンスの要件および例外」

「フェールオーバー ライセンスの結合方法」

「フェールオーバー装置間の通信の中断」

「フェールオーバー ペアのアップグレード」

フェールオーバー ライセンスの要件および例外

フェールオーバー ユニットは、各ユニット上で同一のライセンスを必要としません。

旧バージョンのASA ソフトウェアは、各ユニット上のライセンスが一致する必要がありました。バージョン 8.3(1) から、同一のライセンスをインストールする必要がなくなりました。通常、ライセンスをプライマリ ユニット専用に購入します。アクティブ/スタンバイ フェールオーバーでは、セカンダリ ユニットがアクティブになるとプライマリ ライセンスを継承します。両方のユニット上にライセンスがある場合、これらのライセンスは単一の実行フェールオーバー クラスタ ライセンスに結合されます。

このルールの例外は次のとおりです。

ASA 5505 および 5510 の Security Plus ライセンスの場合:基本ライセンスはフェールオーバーをサポートしないため、基本ライセンスのみを保持するスタンバイ装置ではフェールオーバーをイネーブルにできません。

ASA 5500-X の IPS モジュール ライセンスの場合:他のモデルで各装置のハードウェア モジュールを購入する必要があるのと同様、各装置用の IPS モジュール ライセンスを購入する必要があります。

フェールオーバー ライセンスの結合方法

フェールオーバー ペアでは、各装置のライセンスは 1 つの実行フェールオーバー クラスタ ライセンスに結合されます。アクティブ/アクティブ フェールオーバーでは、2 つの装置を合わせたライセンス使用がフェールオーバー クラスタ ライセンスを超えてはいけません。

プライマリ装置とセカンダリ装置で異なるライセンスを購入した場合、結合後のライセンスでは次のルールが使用されます。

セッション数などの数値ティアを持つライセンスの場合、プライマリ装置とセカンダリ装置の値がプラットフォームの制限値まで結合されます。使用されている両方のライセンスが時間ベースの場合、ライセンスは同時にカウント ダウンされます。

次に、例を示します。

10 AnyConnect Premium セッションの ASA を 2 つ所有しています。ライセンスは結合され、合計で 20 AnyConnect Premium セッションになります。

500 AnyConnect Premium セッションの ASA 5520 が 2 つある場合、プラットフォーム制限は 750 であるため、結合されたライセンスでは 750 AnyConnect Premium セッションが可能です。


) 上記の例で、AnyConnect Premium ライセンスが時間ベースの場合、いずれか 1 つのライセンスをディセーブルにすると、プラットフォーム制限のために 500 セッションのライセンスで 250 セッションしか使用できないという「無駄」が生じることはありません。


2 つの ASA 5540 があり、一方は 20 コンテキスト、もう一方は 10 コンテキストである場合、結合されたライセンスでは 30 コンテキストを使用できます。たとえば、アクティブ/アクティブ フェールオーバーで、1 つの装置が 18 コンテキスト、もうひとつの装置が 12 コンテキストで合計 30 コンテキストを使用できる場合、結合された使用量はフェールオーバー クラスタ ライセンスを超えてはいけません(この場合は 30)。

ライセンスのステータスがイネーブルまたはディセーブルの場合、イネーブル ステータスのライセンスが使用されます。

イネーブルまたはディセーブル状態(かつ数値ティアを持たない)の時間ベース ライセンスの場合、有効期間は両方のライセンスを合わせた期間になります。プライマリ装置は、まず自身のライセンスをカウント ダウンし、プライマリ装置の有効期限が切れると、セカンダリ装置が自身のライセンスのカウント ダウンを開始します。両方の装置がアクティブに動作していても、このルールはアクティブ/アクティブ フェールオーバーにも適用されます。

たとえば、両方の装置のボットネット トラフィック フィルタ ライセンスで 48 週残っている場合、結合された有効期間は 96 週です。

結合されたライセンスを表示するには、「ライセンスのモニタリング」を参照してください。

フェールオーバー装置間の通信の中断

フェールオーバー装置で通信が 30 日を超えて途絶えると、各装置はローカルにインストールされたライセンスに戻ります。30 日の猶予期間中、結合された実行ライセンスは両方の装置で引き続き使用されます。

30 日の猶予期間中に通信が復元された場合、時間ベース ライセンスでは、経過した時間がプライマリ ライセンスから差し引かれます。プライマリ ライセンスの有効期限が切れた場合にだけ、セカンダリ ライセンスのカウント ダウンが開始されます。

30 日間で通信が復元されなかった場合、時間ベース ライセンスでは、プライマリとセカンダリの両方のライセンス(インストールされている場合)から時間が差し引かれます。これらは 2 つの異なるライセンスとして扱われ、フェールオーバー ライセンスの結合によるメリットはありません。経過時間には 30 日の猶予期間も含まれます。

次に、例を示します。

1. 両方の装置に 52 週ボットネット トラフィック ライセンスをインストールしているとします。結合された実行ライセンスでは、合計期間は 104 週になります。

2. 結合されたライセンスで、これらの装置はフェールオーバー装置として 10 週間動作し、94 週が残っています(プライマリで 42 週、セカンダリで 52 週)。

3. 装置の通信が中断された場合(プライマリ装置がセカンダリ装置にフェールオーバーした場合など)、セカンダリ装置は結合されたライセンスを引き続き使用し、94 週からカウント ダウンを続行します。

4. 時間ベース ライセンスの動作は、通信がいつ復元されるかによって次のように異なります。

30 日以内:経過した時間がプライマリ装置のライセンスから差し引かれます。この場合、通信は 4 週間後に復元されます。したがって、合計 90 週(プライマリで 38 週、セカンダリで 52 週)残っているプライマリ ライセンスから、4 週が差し引かれます。

30 日経過以降:経過時間が両方の装置から差し引かれます。この場合、通信は 6 週間後に復元されます。したがって、合計 84 週(プライマリで 36 週、セカンダリで 46 週)残っているプライマリおよびセカンダリの両方のライセンスから、6 週が差し引かれます。

フェールオーバー ペアのアップグレード

フェールオーバー ペアでは、両方の装置に同一のライセンスがインストールされている必要はないので、ダウンタイムなしに各装置に新しいライセンスを適用できます。リロードが必要な永続ライセンス(表 4-18を参照)を適用する場合、リロード中に他の装置へのフェールオーバーを実行できます。両方の装置でリロードが必要な場合は、各装置を個別にリロードするとダウンタイムは発生しません。

ペイロード暗号化機能のないモデル

ペイロード暗号化機能のないモデルを購入することができます。輸出先の国によっては、Cisco ASA 5500 シリーズでペイロード暗号化をイネーブルにできません。 ASA ソフトウェアは、ペイロード暗号化なしモデルを検出し、次の機能をディセーブルにします。

ユニファイド コミュニケーション

VPN

このモデルでも管理接続用に高度暗号化(3DES/AES)ライセンスをインストールできます。たとえば、ASDM HTTPS/SSL、SSHv2、Telnet、および SNMPv3 を使用できます。ボットネット トラフィック フィルタ(SSL を使用)用のダイナミック データベースをダウンロードすることもできます。

ライセンスを表示すると(「ライセンスのモニタリング」を参照)、VPN およびユニファイド コミュニケーションのライセンスはリストに示されません。

ライセンスの FAQ

Q. AnyConnect Premium とボットネット トラフィック フィルタなど、複数の時間ベース ライセンスをアクティブにできますか。

A. はい。一度に使用できる時間ベース ライセンスは、1 機能につき 1 つです。

Q. 複数の時間ベース ライセンスを「スタック」し、時間制限が切れると自動的に次のライセンスが使用されるようにできますか。

A. はい。ライセンスが同一の場合は、複数の時間ベース ライセンスをインストールすると、時間制限が結合されます。ライセンスが同一でない場合(1000 セッション AnyConnect Premium ライセンスと 2500 セッション ライセンスなど)、ASA はその機能に対して検出された次の時間ベース ライセンスを自動的にアクティブにします。

Q. アクティブな時間ベース ライセンスを維持しながら、新しい永続ライセンスをインストールできますか。

A. はい。永続ライセンスをアクティブ化しても、時間ベース ライセンスには影響しません。

Q. フェールオーバーのプライマリ装置として共有ライセンス サーバを、セカンダリ装置として共有ライセンス バックアップ サーバを使用できますか。

A. いいえ。セカンダリ装置は、プライマリ装置と同じ実行ライセンスを使用します。共有ライセンス サーバには、サーバ ライセンスが必要です。バックアップ サーバには、参加ライセンスが必要です。バックアップ サーバは、2 つのバックアップ サーバの別々のフェールオーバー ペアに配置できます。

Q. フェールオーバー ペアのセカンダリ装置用に、同じライセンスを購入する必要がありますか。

A. いいえ。バージョン 8.3(1) から、両方の装置に同一のライセンスをインストールする必要はなくなりました。一般的に、ライセンスはプライマリ装置で使用するために購入されます。セカンダリ装置は、アクティブになるとプライマリ ライセンスを継承します。セカンダリ装置に別のライセンスを持っている場合は(たとえば、8.3 よりも前のソフトウェアに一致するライセンスを購入した場合)、ライセンスは実行フェールオーバー クラスタ ライセンスに結合されます。ただし、モデルの制限が最大数になります。

Q. AnyConnect Premium(共有)ライセンスに加えて、時間ベースまたは永続の AnyConnect Premium ライセンスを使用できますか。

A. はい。ローカルにインストールされたライセンス(時間ベース ライセンスまたは永続ライセンス)のセッション数を使い果たした後、共有ライセンスが使用されます。 :共有ライセンス サーバでは、永続 AnyConnect Premium ライセンスは使用されません。ただし、共有ライセンス サーバ ライセンスと同時に時間ベース ライセンスを使用することはできます。この場合、時間ベース ライセンスのセッションは、ローカルの AnyConnect Premium セッションにだけ使用できます。共有ライセンス プールに追加して参加システムで使用することはできません。

ガイドラインと制限事項

アクティベーション キーについては、次のガイドラインを参照してください。

コンテキスト モードのガイドライン

マルチ コンテキスト モードでシステム実行スペース内にアクティベーション キーを適用します。

共有ライセンスは、マルチ コンテキスト モードではサポートされていません。

ファイアウォール モードのガイドライン

ルーテッド モードとトランスペアレント モードの両方で、すべてのライセンス タイプを使用できます。

フェールオーバーのガイドライン

共有ライセンスは、アクティブ/アクティブ モードではサポートされていません。詳細については、「フェールオーバーと共有ライセンス」を参照してください。

フェールオーバー ユニットは、各ユニット上で同一のライセンスを必要としません。

旧バージョンのASA ソフトウェアは、各ユニット上のライセンスが一致する必要がありました。バージョン 8.3(1) から、同一のライセンスをインストールする必要がなくなりました。通常、ライセンスをプライマリ ユニット専用に購入します。アクティブ/スタンバイ フェールオーバーでは、セカンダリ ユニットがアクティブになるとプライマリ ライセンスを継承します。両方のユニット上にライセンスがある場合、これらのライセンスは単一の実行フェールオーバー クラスタ ライセンスに結合されます。


) フェールオーバー装置の場合、両方の装置で同一の RAM を使用する必要があります。


ASA 5505 および 5510 では、両方の装置に Security Plus ライセンスが必要です。基本ライセンスはフェールオーバーをサポートしないため、基本ライセンスのみを保持するスタンバイ装置ではフェールオーバーをイネーブルにできません。

アップグレードとダウングレードのガイドライン

任意の旧バージョンから最新バージョンにアップグレードした場合、アクティベーション キーの互換性は存続します。ただし、ダウングレード機能の維持には問題が生じる場合があります。

バージョン 8.1 以前にダウングレードする場合:アップグレード後に、 8.2 よりも前 に導入された機能のライセンスを追加でアクティブ化すると、ダウングレードした場合でも旧バージョンに対するアクティベーション キーの互換性は存続します。ただし、 8.2 以降 で導入された機能ライセンスをアクティブ化した場合は、アクティベーション キーの下位互換性がなくなります。互換性のないライセンス キーがある場合は、次のガイドラインを参照してください。

旧バージョンでアクティベーション キーを入力した場合は、そのキーがASAで使用されます(バージョン 8.2 以降でアクティブ化した新しいライセンスがない場合)。

新しいシステムで、以前のアクティベーション キーがない場合は、旧バージョンと互換性のある新しいアクティベーション キーを要求する必要があります。

バージョン 8.2 以前にダウングレードする場合:バージョン 8.3 では、よりロバストな時間ベース キーの使用およびフェールオーバー ライセンスの変更が次のとおり導入されました。

複数の時間ベースのアクティベーション キーがアクティブな場合、ダウングレード時には一番最近アクティブ化された時間ベース キーのみがアクティブになれます。他のキーはすべて非アクティブ化されます。最後の時間ベース ライセンスが 8.3 で導入された機能に対応している場合、そのライセンスは旧バージョンでの使用はできなくても、アクティブ ライセンスのままです。永続キーまたは有効な時間ベース キーを再入力してください。

フェールオーバー ペアに不一致のライセンスがある場合、ダウングレードによりフェールオーバーはディセーブルになります。キーが一致した場合でも、使用するライセンスは、結合されたライセンスではなくなります。

1 つの時間ベース ライセンスをインストールしているが、それが 8.3 で導入された機能に対応している場合、ダウングレードの実行後、その時間ベース ライセンスはアクティブなままです。この時間ベース ライセンスをディセーブルにするには、永続キーを再入力する必要があります。

その他のガイドラインと制限事項

アクティベーション キーは、コンフィギュレーション ファイルには保存されません。隠しファイルとしてフラッシュ メモリに保存されます。

アクティベーション キーは、デバイスのシリアル番号に関連付けられます。機能ライセンスは、デバイス間で転送できません(ハードウェア障害の発生時を除く)。ハードウェア障害が発生したためにデバイスを交換する必要がある場合は、シスコのライセンス チームに連絡して、既存のライセンスを新しいシリアル番号に転送するよう依頼してください。シスコのライセンス チームから、製品認証キーの参照番号と既存のシリアル番号を求められます。

購入後に、返金またはアップグレードしたライセンスのためにライセンスを返却できません。

すべてのライセンス タイプをアクティブ化できますが、たとえば、マルチ コンテキスト モードおよび VPN など一部の機能には相互互換性がありません。AnyConnect Essentials ライセンスの場合、次のライセンスとは互換性がありません。AnyConnect Premium ライセンス、AnyConnect Premium(共有)ライセンス、および Advanced Endpoint Assessment ライセンス。デフォルトでは、上記のライセンスの代わりに AnyConnect Essentials ライセンスが使用されますが、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials] ペインを使用して AnyConnect Essentials ライセンスをコンフィギュレーションでディセーブルにすることで、他のライセンスの使用を復元できます。

ライセンスの設定

この項は、次の内容で構成されています。

「アクティベーション キーの取得」

「キーのアクティブ化および非アクティブ化」

「共有ライセンスの設定」

アクティベーション キーの取得

アクティベーション キーを取得するには、シスコの代理店から購入できる製品認証キーが必要です。機能ライセンスごとに個別の製品アクティベーション キーを購入する必要があります。たとえば、基本ライセンスがある場合は、Advanced Endpoint Assessment 用と追加の AnyConnect Premium セッション用に別々のキーを購入する必要があります。

Product Authorization Key を取得したら、次の手順を実行して Cisco.com にそれらのキーを登録します。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択して、使用している ASA のシリアル番号を取得します(マルチ コンテキスト モードで、システム実行スペースにシリアル番号を表示します)。

ステップ 2 Cisco.com に登録する準備が整っていない場合は、アカウントを作成します。

ステップ 3 次のライセンス Web サイトに移動します。

 

ステップ 4 プロンプトが表示されたら、次の情報を入力します。

Product Authorization Key(キーが複数ある場合は、まず 1 つを入力します。キーごとに個別のプロセスとして入力する必要があります)

ASAのシリアル番号

電子メール アドレス

アクティベーション キーが自動的に生成され、指定した電子メール アドレスに送信されます。このキーには、永続ライセンス用にそれまでに登録した機能がすべて含まれています。時間ベース ライセンスの場合は、ライセンスごとに個別のアクティベーション キーがあります。

ステップ 5 Product Authorization Key がさらにある場合は、Product Authorization Key ごとにステップ 4 を繰り返します。すべての Product Authorization Key を入力した後、最後に送信されるアクティベーション キーには、登録した永続機能がすべて含まれています。


 

キーのアクティブ化および非アクティブ化

この項では、新しいアクティベーション キーの入力と、時間ベース キーのアクティブ化および非アクティブ化の方法について説明します。

前提条件

すでにマルチ コンテキスト モードに入っている場合は、システム実行スペースにこのアクティベーション キーを入力します。

一部の永続ライセンスでは、アクティブ化後にASAをリロードする必要があります。 表 4-18 に、リロードが必要なライセンスを示します。

 

表 4-18 永続ライセンスのリロード要件

モデル
リロードが必要なライセンス アクション

ASA 5505、ASA 5510

基本ライセンスと Security Plus ライセンスの切り替え

すべてのモデル

暗号化ライセンスの変更

すべてのモデル

永続ライセンスのダウングレード(たとえば、10 個のコンテキストから 2 個のコンテキストへ)。

制限事項

任意の旧バージョンから最新バージョンにアップグレードした場合、アクティベーション キーの互換性は存続します。ただし、ダウングレード機能の維持には問題が生じる場合があります。

バージョン 8.1 以前にダウングレードする場合:アップグレード後に、 8.2 よりも前 に導入された機能のライセンスを追加でアクティブ化すると、ダウングレードした場合でも旧バージョンに対するアクティベーション キーの互換性は存続します。ただし、 8.2 以降 で導入された機能ライセンスをアクティブ化した場合は、アクティベーション キーの下位互換性がなくなります。互換性のないライセンス キーがある場合は、次のガイドラインを参照してください。

旧バージョンでアクティベーション キーを入力した場合は、そのキーがASAで使用されます(バージョン 8.2 以降でアクティブ化した新しいライセンスがない場合)。

新しいシステムで、以前のアクティベーション キーがない場合は、旧バージョンと互換性のある新しいアクティベーション キーを要求する必要があります。

バージョン 8.2 以前にダウングレードする場合:バージョン 8.3 では、よりロバストな時間ベース キーの使用およびフェールオーバー ライセンスの変更が次のとおり導入されました。

複数の時間ベースのアクティベーション キーがアクティブな場合、ダウングレード時には一番最近アクティブ化された時間ベース キーのみがアクティブになれます。他のキーはすべて非アクティブ化されます。

フェールオーバー ペアに不一致のライセンスがある場合、ダウングレードによりフェールオーバーはディセーブルになります。キーが一致した場合でも、使用するライセンスは、結合されたライセンスではなくなります。

手順の詳細


ステップ 1 [Configuration] > [Device Management] を選択し、モデルに応じて、[Licensing] > [Activation Key] または [Licensing Activation Key] ペインを選択します。

ステップ 2 永続または時間ベースの新しいアクティベーション キーを入力するには、[New Activation Key] フィールドで新しいアクティベーション キーを入力します。

キーは、5 つの要素で構成される 16 進ストリングで、各要素は 1 つのスペースで区切られています。先頭の 0x 指定子は任意です。すべての値が 16 進数と見なされます。次に、例を示します。

0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490

 

1 つの永続キーおよび複数の時間ベース キーをインストールできます。新しい永続キーを入力した場合、すでにインストール済みのキーが上書きされます。新しい時間ベース キーを入力した場合、デフォルトでアクティブになり、[Time-based License Keys Installed] テーブルに表示されます。特定の機能に対して最後にアクティブ化した時間ベース キーがアクティブになります。

ステップ 3 インストール済みの時間ベース キーをアクティブ化または非アクティブ化するには、そのキーを [Time-based License Keys Installed] テーブルで選択し、[Activate] または [Deactivate] をクリックします。

各機能でアクティブにできる時間ベース キーは 1 つのみです。詳細については、「時間ベース ライセンス」を参照してください。

ステップ 4 [Update Activation Key] をクリックします。

永続ライセンスによっては、新しいアクティベーション キーの入力後にASAをリロードする必要があります。リロードが必要なライセンスの一覧については、表 4-18 を参照してください。必要な場合は、リロードするよう求められます。


 

共有ライセンスの設定

この項では、共有ライセンス サーバと参加システムを設定する方法について説明します。共有ライセンスの詳細については、「AnyConnect Premium(共有)ライセンス」を参照してください。

この項は、次の内容で構成されています。

「共有ライセンス サーバの設定」

「共有ライセンス パーティシパントとオプションのバックアップ サーバの設定」

共有ライセンス サーバの設定

この項では、ASAを共有ライセンス サーバとして設定する方法について説明します。

前提条件

サーバが共有ライセンス サーバ キーを持っている必要があります。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [Licenses] > [Shared SSL VPN Licenses] ペインの順に選択します。

ステップ 2 [Shared Secret] フィールドに、共有秘密を 4 ~ 128 ASCII 文字のストリングで入力します。

この秘密を持つすべての参加ユニットがライセンス サーバを使用できます。

ステップ 3 (任意)[TCP IP Port] フィールドに、サーバが参加ユニットからの SSL 接続を受信するポート(1 ~ 65535)を入力します。

デフォルトは、TCP ポート 50554 です。

ステップ 4 (任意)[Refresh interval] フィールドで、10 ~ 300 秒の更新間隔を入力します。

この値は、サーバと通信する頻度を設定するために参加ユニットに提供されます。デフォルトは 30 秒です。

ステップ 5 共有ライセンス領域が表示されるインターフェイスで、[Shares Licenses] チェックボックスをオンにします。パーティシパントからサーバへの通信には、このチェックボックスに対応するインターフェイスが使用されます。

ステップ 6 (任意)バックアップ サーバを指定するには、オプションのバックアップ共有 SSL VPN ライセンス サーバ領域で次の手順を実行します。

a. [Backup server IP address] フィールドにバックアップ サーバの IP アドレスを入力します。

b. [Primary backup server serial number] フィールドにバックアップ サーバのシリアル番号を入力します。

c. バックアップ サーバがフェールオーバー ペアの一部の場合は、[Secondary backup server serial number] フィールドでスタンバイ ユニットのシリアル番号を指定します。

1 つのバックアップ サーバとそのオプションのスタンバイ ユニットのみを指定できます。

ステップ 7 [Apply] をクリックします。


 

共有ライセンス パーティシパントとオプションのバックアップ サーバの設定

この項では、共有ライセンス パーティシパントから共有ライセンス サーバへの通信に関する設定について説明します。また、パーティシパントをバックアップ サーバとして設定するオプションの方法についても説明します。

前提条件

参加システムが共有ライセンス参加キーを持っている必要があります。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [Licenses] > [Shared SSL VPN Licenses] ペインの順に選択します。

ステップ 2 [Shared Secret] フィールドに、共有秘密を 4 ~ 128 ASCII 文字のストリングで入力します。

ステップ 3 (任意)[TCP IP Port] フィールドに、SSL を使用してサーバと通信するポート(1 ~ 65535)を入力します。

デフォルトは、TCP ポート 50554 です。

ステップ 4 (任意)参加ユニットをバックアップ サーバとして指定するには、[Select backup role of participant] エリアで、次の手順を実行します。

a. [Backup Server] オプション ボタンをクリックします。

b. [Shares Licenses] チェックボックスをオンにします。パーティシパントからバックアップ サーバへの通信には、このチェックボックスに対応するインターフェイスが使用されます。

ステップ 5 [Apply] をクリックします。


 

ライセンスのモニタリング

この項は、次の内容で構成されています。

「現在のライセンスの表示」

「共有ライセンスのモニタリング」

現在のライセンスの表示

この項では、現在のライセンスと、時間ベース アクティベーション キーの残り時間を表示する方法について説明します。

ガイドライン

ペイロード暗号化機能のないモデルでライセンスを表示すると、VPN および Unified Communications ライセンスは一覧に示されません。詳細については、「ペイロード暗号化機能のないモデル」を参照してください。

手順の詳細


ステップ 1 永続ライセンスとアクティブな時間ベース ライセンスの組み合わせである実行ライセンスを表示するには、[Configuration] > [Device Management] > [Licensing] > [Activation Key] ペインを選択し、[Running Licenses] 領域を表示します。

マルチ コンテキスト モードでは、[Configuration] > [Device Management] > [Activation Key] ペインを選択し、システム実行スペースでアクティベーション キーを表示します。

フェールオーバー ペアの場合、表示される実行ライセンスは、プライマリ装置とセカンダリ装置からの結合されたライセンスです。詳細については、「フェールオーバー ライセンスの結合方法」を参照してください。数値が割り当てられた時間ベース ライセンス(期間は結合されません)の場合、[License Duration] カラムには、プライマリ装置またはセカンダリ装置からの最短の時間ベース ライセンスが表示されます。このライセンスの有効期限が切れると他の装置のライセンスの期間が表示されます。

ステップ 2 (任意)時間ベース ライセンスの詳細(ライセンスに含まれる機能やライセンス期間など)を [Time-Based License Keys Installed] 領域に表示するには、ライセンス キーを選択し、[Show License Details] をクリックします。

ステップ 3 (任意)フェールオーバー ユニットでは、そのユニットにインストールされている(プライマリ装置とセカンダリ装置からの結合ライセンスではない)ライセンスを [Running Licenses] 領域に表示するには、[Show information of license specifically purchased for this device alone] をクリックします。


 

 

共有ライセンスのモニタリング

共有ライセンスをモニタリングする場合は、[Monitoring] > [VPN] > [Clientless SSL VPN] > [Shared Licenses] を選択します。

ライセンスの機能履歴

表 4-19 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 4-19 ライセンスの機能履歴

機能名
プラットフォーム リリース
機能情報

接続数と VLAN 数の増加

7.0(5)

次の制限値が増加されました。

ASA5510 Base ライセンス接続は 32000 から 5000 に、VLAN は 0 から 10 に増加。

ASA5510 Security Plus ライセンス接続は 64000 から 130000 に、VLAN は 10 から 25 に増加。

ASA5520 接続は 130000 から 280000 に、VLAN は 25 から 100 に増加。

ASA5540 接続は 280000 から 400000 に、VLAN は 100 から 200 に増加。

SSL VPN ライセンス

7.1(1)

SSL VPN ライセンスが導入されました。

SSL VPN ライセンスの追加

7.2(1)

5000 ユーザの SSL VPN ライセンスが ASA 5550 以降に対して導入されました。

ASA 5510 上の基本ライセンスに対する増加したインターフェイス

7.2(2)

ASA 5510 上の基本ライセンスについて、最大インターフェイス数が 3 プラス管理インターフェイスから無制限のインターフェイスに増加しました。

VLAN 数の増加

7.2(2)

ASA 5505 上の Security Plus ライセンスに対する VLAN 最大数が、5(3 つのフル機能インターフェイス、1 つのフェールオーバー インターフェイス、1 つのバックアップ インターフェイスに制限されるインターフェイス)から 20 のフル機能インターフェイスに増加されました。また、トランク ポート数も 1 から 8 に増加されました。フル機能のインターフェイスの数が 20 になり、バックアップ ISP インターフェイスを停止するために backup interface コマンドを使用する必要がなくなりました。つまり、バックアップ ISP インターフェイス用にフル機能のインターフェイスを使用できるようになりました。backup interface コマンドは、これまでどおり Easy VPN 設定用に使用できます。

VLAN の制限値も変更されました。ASA 5510 の基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 では 100 から 150 に、ASA 5550 では 200 から 250 に増えています。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 は、Security Plus ライセンスを使用する Ethernet 0/0 および 0/1 ポート用にギガビット イーサネット(1000 Mbps)をサポートしています。基本ライセンスでは、これらのポートは引き続きファスト イーサネット(100 Mbps)ポートとして使用されます。いずれのライセンスに対しても、Ethernet 0/2、0/3、および 0/4 はファスト イーサネット ポートのままです。

(注) インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。

Advanced Endpoint Assessment ライセンス

8.0(2)

Advanced Endpoint Assessment ライセンスが導入されました。Cisco AnyConnect またはクライアントレス SSL VPN 接続の条件としてリモート コンピュータでスキャン対象となる、アンチウイルス アプリケーションやアンチスパイウェア アプリケーション、ファイアウォール、オペレーティング システム、および関連アップデートの種類が、大幅に拡張されました。また、任意のレジストリ エントリ、ファイル名、およびプロセス名を指定してスキャン対象にすることもできます。スキャン結果をASAに送信します。ASAは、ユーザ ログイン クレデンシャルとコンピュータ スキャン結果の両方を使用して、Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を割り当てます。

Advanced Endpoint Assessment ライセンスを使用すると、バージョン要件を満たすように非準拠コンピュータのアップデートを試行する機能を設定して、Host Scan を拡張できます。

シスコは、Host Scan でサポートされるアプリケーションとバージョンの一覧に、Cisco Secure Desktop とは異なるパッケージで、タイムリーなアップデートを提供できます。

ASA 5510 の VPN ロード バランシング

8.0(2)

VPN ロード バランシングが ASA 5510 Security Plus ライセンスでサポートされるようになりました。

AnyConnect for Mobile ライセンス

8.0(3)

AnyConnect for Mobile ライセンスが導入されました。これにより Windows モバイル デバイスは AnyConnect クライアントを使用してASAに接続できます。

時間ベース ライセンス

8.0(4)/8.1(2)

時間ベース ライセンスがサポートされるようになりました。

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 上でサポートされる VLAN 数が 100 から 250 に増加されました。

Unified Communications Proxy セッション ライセンス

8.0(4)

UC Proxy セッション ライセンスが導入されました。電話プロキシ、Presence Federation Proxy、および Encrypted Voice Inspection アプリケーションでは、それらの接続に TLS プロキシ セッションが使用されます。各 TLS プロキシ セッションは、UC ライセンスの制限に対してカウントされます。これらのアプリケーションは、すべて UC Proxy として包括的にライセンスされるので、混在させたり、組み合わせたりできます。

この機能は、バージョン 8.1 では使用できません。

ボットネット トラフィック フィルタ ライセンス

8.2(1)

ボットネット トラフィック フィルタ ライセンスが導入されました。ボットネット トラフィック フィルタでは、既知の不正なドメインや IP アドレスに対する接続を追跡して、マルウェア ネットワーク アクティビティから保護します。

AnyConnect Essentials ライセンス

8.2(1)

AnyConnect Essentials ライセンスが導入されました。このライセンスにより、AnyConnect VPN クライアントはASAへのアクセスが可能になります。このライセンスでは、ブラウザベースの SSL VPN アクセスまたは Cisco Secure Desktop はサポートされていません。これらの機能に対しては、AnyConnect Essentials ライセンスの代わりに AnyConnect Premium ライセンスがアクティブ化されます。

(注) AnyConnect Essentials ライセンスを所有する VPN ユーザは、Web ブラウザを使用してログインし、AnyConnect クライアントをダウンロードおよび起動(WebLaunch)することができます。

このライセンスと AnyConnect Premium ライセンスのいずれでイネーブル化されたかには関係なく、AnyConnect クライアント ソフトウェアには同じクライアント機能のセットが装備されています。

特定の ASA では、AnyConnect Premium ライセンス(全タイプ)または Advanced Endpoint Assessment ライセンスを、AnyConnect Essentials ライセンスと同時にアクティブにすることはできません。ただし、同じネットワーク内の異なる ASAで、AnyConnect Essentials ライセンスと AnyConnect Premium ライセンスを実行することは可能です。

デフォルトでは、ASA は AnyConnect Essentials ライセンスを使用しますが、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials] ペインを使用すると、AnyConnect Essentials ライセンスをディセーブルにして他のライセンスを使用できます。

SSL VPN ライセンスの AnyConnect Premium SSL VPN Edition ライセンスへの変更

8.2(1)

SSL VPN ライセンスの名前が AnyConnect Premium SSL VPN Edition ライセンスに変更されました。

SSL VPN の共有ライセンス

8.2(1)

SSL VPN の共有ライセンスが導入されました。複数のASAで、SSL VPN セッションのプールを必要に応じて共有できます。

モビリティ プロキシ アプリケーションでの Unified Communications Proxy ライセンス不要化

8.2(2)

モビリティ プロキシに UC Proxy ライセンスが必要なくなりました。

ASA 5585-X(SSP-20)用 10 GE I/O ライセンス

8.2(3)

ASA 5585-X(SSP-20)の 10 GE I/O ライセンスを導入し、ファイバ ポートでの 10 ギガビット イーサネットの速度をイネーブルにしました。SSP-60 は、デフォルトで 10 ギガビット イーサネットの速度をサポートします。

(注) ASA 5585-X は 8.3(x) ではサポートされていません。

ASA 5585-X(SSP-10)用 10 GE I/O ライセンス

8.2(4)

ASA 5585-X(SSP-10)の 10 GE I/O ライセンスを導入し、ファイバ ポートでの 10 ギガビット イーサネットの速度をイネーブルにしました。SSP-40 は、デフォルトで 10 ギガビット イーサネットの速度をサポートします。

(注) ASA 5585-X は 8.3(x) ではサポートされていません。

同一でないフェールオーバー ライセンス

8.3(1)

フェールオーバー ライセンスが各ユニット上で同一である必要がなくなりました。両方のユニットで使用するライセンスは、プライマリ ユニットおよびセカンダリ ユニットからの結合されたライセンスです。

次の画面を変更しました。[Configuration] > [Device Management] > [Licensing] > [Activation Key]

スタック可能な時間ベース ライセンス

8.3(1)

時間ベース ライセンスがスタッカブルになりました。多くの場合、時間ベース ライセンスは更新の必要があり、旧ライセンスから新しいライセンスへシームレスに移行する必要があります。時間ベース ライセンスだけで使用される機能では、新しいライセンスが適用される前に、ライセンスの有効期限が切れてしまわないことが特に重要です。ASAでは時間ベース ライセンスを スタック できるので、ライセンスの有効期限が切れたり、新しいライセンスを早めにインストールしたために時間が無駄になったりする心配はありません。

Intercompany Media Engine ライセンス

8.3(1)

IME ライセンスが導入されました。

複数の時間ベース ライセンスの同時アクティブ化

8.3(1)

時間ベース ライセンスを複数インストールできるようになり、同時に機能ごとに 1 つのアクティブなライセンスを保持できるようになりました。

次の画面を変更しました。[Configuration] > [Device Management] > [Licensing] > [Activation Key]

時間ベース ライセンスのアクティブ化と非アクティブ化の個別化

8.3(1)

コマンドを使用して、時間ベース ライセンスをアクティブ化または非アクティブ化できるようになりました。

次の画面を変更しました。[Configuration] > [Device Management] > [Licensing] > [Activation Key]

AnyConnect Premium SSL VPN Edition ライセンスの AnyConnect Premium SSL VPN ライセンスへの変更

8.3(1)

AnyConnect Premium SSL VPN Edition ライセンスの名前が AnyConnect Premium SSL VPN ライセンスに変更されました。

輸出用のペイロード暗号化なしイメージ

8.3(2)

ASA 5505 ~ 5550 にペイロード暗号化機能のないソフトウェアをインストールした場合、Unified Communications、強力な暗号化 VPN、強力な暗号化管理プロトコルをディセーブルにします。

(注) この特殊なイメージは 8.3(x) でのみサポートされます。8.4(1) 以降で暗号化機能のないソフトウェアをサポートするには、ASA の特別なハードウェア バージョンを購入する必要があります。

ASA 5550、5580、および 5585-X でのコンテキストの増加

8.4(1)

ASA 5550 および ASA 5585-X(SSP-10)では、コンテキストの最大数が 50 から 100 に引き上げられました。ASA 5580 および 5585-X(SSP-20)以降では、コンテキストの最大数が 50 から 250 に引き上げられました。

ASA 5580 および 5585-X での VLAN 数の増加

8.4(1)

ASA 5580 および ASA 5585-X では、VLAN の最大数が 250 から 1024 に引き上げられました。

ASA 5580 および 5585-X での接続数の増加

8.4(1)

ファイアウォール接続の最大数が次のように引き上げられました。

ASA 5580-20:1,000,000 から 2,000,000 へ。

ASA 5580-40:2,000,000 から 4,000,000 へ。

ASA 5585-X with SSP-10:750,000 から 1,000,000 へ。

ASA 5585-X with SSP-20:1,000,000 から 2,000,000 へ。

ASA 5585-X with SSP-40:2,000,000 から 4,000,000 へ。

ASA 5585-X with SSP-60:2,000,000 から 10,000,000 へ。

AnyConnect Premium SSL VPN ライセンスの AnyConnect Premium ライセンスへの変更

8.4(1)

AnyConnect Premium SSL VPN ライセンスの名前が AnyConnect Premium ライセンスに変更されました。ライセンス情報の表示が、「SSL VPN ピア」から「AnyConnect Premium ピア」に変更されました。

ASA 5580 での AnyConnect VPN セッション数の増加

8.4(1)

AnyConnect VPN セッションの最大数が 5,000 から 10,000 に引き上げられました。

ASA 5580 での AnyConnect 以外の VPN セッション数の増加

8.4(1)

AnyConnect 以外の VPN セッションの最大数が 5,000 から 10,000 に引き上げられました。

IKEv2 を使用した IPsec リモート アクセス

8.4(1)

AnyConnect Essentials ライセンスおよび AnyConnect Premium ライセンスに IKEv2 を使用した IPsec リモート アクセス VPN が追加されました。

Other VPN ライセンス(以前の IPsec VPN)には IKEv2 サイトツーサイト セッションが追加されました。Other VPN ライセンスは基本ライセンスに含まれています。

輸出用のペイロード暗号化なしハードウェア

8.4(1)

ペイロード暗号化機能のないモデルでは(ASA 5585-X など)、ASA ソフトウェアは ASA で特定の国にエクスポートできるようにして、Unified Communications と VPN 機能をディセーブルにします。

デュアル SSP(SSP-20 および SSP-40)

8.4(2)

SSP-40 および SSP-60 の場合、同じシャーシでレベルが同じ 2 つの SSP を使用できます。レベルが混在した SSP はサポートされていません(たとえば、SSP-40 と SSP-60 の組み合わせはサポートされていません)。各 SSP は、個別のコンフィギュレーションおよび管理を使用する独立したデバイスとして機能します。必要に応じて 2 つの SSP をフェールオーバー ペアとして使用できます。シャーシで 2 つの SSP を使用する場合、VPN はサポートされません。ただし、VPN はディセーブルになっていないことに注意してください。

ASA 5512-X ~ ASA 5555-X での IPS モジュール ライセンス

8.6(1)

ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、および ASA 5555-X での IPS SSP ソフトウェア モジュールには IPS モジュール ライセンスが必要です。