Licences : licence à clé d’autorisation de produit pour l’ISA 3000
À propos des licences PAK
Lignes directrices relatives aux licences PAK
Configurer les licences PAK
Configurer une licence partagée (Secure Client (services client sécurisés) 3 et versions antérieures)
Licences de fonctionnalités prises en charge par modèle
- Licences par modèle
  - Fonctionnalités de la licence ISA 3000
Supervision des licences PAK
- Affichage de votre licence actuelle
- Supervision de la licence partagée
Historique des licences PAK

Licences : licence à clé d’autorisation de produit pour l’ISA 3000

Une licence spécifie les options qui sont activées sur un ASA donné. Ce document décrit les licences de clé d’autorisation de produit (PAK) pour l’ISA 3000. Pour d’autres modèles, consultez Licences : gestion des licences logicielles Smart.

À propos des licences PAK

Une licence spécifie les options qui sont activées sur un ASA donné. Elle est représentée par une clé d’activation qui est une valeur de 160 bits (5 mots de 32 bits ou 20 octets). Cette valeur encode le numéro de série (une chaîne de 11 caractères) et les fonctionnalités activées.

Licence préinstallée

Par défaut, votre ASA est livré avec une licence déjà installée. Cette licence peut être la licence de base, à laquelle vous souhaitez ajouter d’autres licences, ou toutes vos licences peuvent déjà être installées, selon ce que vous avez commandé et ce que votre prestataire a installé pour vous.

Licence permanente

Vous pouvez installer une clé d’activation permanente. La clé d’activation permanente comprend toutes les fonctionnalités sous licence en une seule clé. Si vous installez également des licences à durée limitée, l’ASA combine les licences permanentes et à durée limitée en une licence en cours d’exécution.

Licences à durée limitée

En plus des licences permanentes, vous pouvez acheter des licences à durée limitée ou recevoir une licence d’évaluation d’une durée limitée. Par exemple, vous pouvez acheter une licence Secure Client (services client sécurisés) Premium à durée limitée pour gérer les pics à court terme du nombre d’utilisateurs SSL VPN simultanés.

Lignes directrices relatives à l’activation de la licence à durée limitée

Vous pouvez installer plusieurs licences à durée limitée, y compris plusieurs licences pour la même fonctionnalité. Cependant, une seule licence à durée limitée par fonctionnalité peut être active à la fois. La licence inactive reste installée et prête à l’emploi. Par exemple, si vous installez une licence Secure Client (services client sécurisés) Premium de 1 000 sessions et une licence Secure Client (services client sécurisés) Premium de 2 500 sessions, une seule de ces licences peut être active.
Si vous activez une licence d’évaluation qui comporte plusieurs fonctionnalités dans la clé, vous ne pouvez pas activer une autre licence à durée limitée pour l’une des fonctionnalités incluses.

Fonctionnement de la minuterie des licences à durée limitée

La minuterie des licences à durée limitée commence le compte à rebours lorsque vous l’activez sur l’ASA.
Si vous cessez d’utiliser la licence à durée limitée avant son expiration, la minuterie s’arrête. La minuterie ne redémarre que lorsque vous réactivez la licence à durée limitée.
Si la licence à durée limitée est active et que vous arrêtez l’ASA, la minuterie cesse le compte à rebours. La licence à durée limitée ne commence à compter que lorsque l’ASA est en cours d’exécution. Le paramètre de l’horloge système n’a pas d’incidence sur la licence; seul le temps de disponibilité de l’ASA est pris en compte dans la durée de la licence.

Association des licences permanentes et à durée limitée

Lorsque vous activez une licence à durée limitée, les fonctionnalités des licences permanentes et à durée limitée se combinent pour former la licence d’exécution. La façon dont les licences permanentes et à durée limitée se combinent dépend du type de licence. Le tableau suivant répertorie les règles de combinaison pour chaque licence de fonctionnalité.

Remarque

Même lorsque la licence permanente est utilisée, si la licence à durée limitée est active, son compte continue.

Tableau 1. Règles de combinaison de licences à durée limitée
Fonctionnalité à durée limitée	Règle de licence combinée
Sessions Premium Secure Client (services client sécurisés)	La valeur la plus élevée est utilisée, qu’elle soit à durée limitée ou permanente. Par exemple, si la licence permanente est de 1 000 sessions et que la licence à durée limitée est de 2 500 sessions, les 2 500 sessions sont activées. Généralement, vous n’installerez pas une licence à durée limitée ayant une capacité inférieure à la licence permanente, mais si vous le faites, la licence permanente est utilisée.
Sessions de mandataire pour les communications unifiées	Les sessions de licences à durée limitée sont ajoutées aux sessions permanentes, jusqu’à la limite de plateformes. Par exemple, si la licence permanente est de 2 500 sessions et que la licence à durée limitée est de 1 000 sessions, 3 500 sessions sont activées tant que la licence à durée limitée est active.
Tous les autres	La valeur la plus élevée est utilisée, qu’elle soit à durée limitée ou permanente. Pour les licences dont l’état est activé ou désactivé, la licence ayant l’état activé est utilisée. Pour les licences à niveaux numériques, la valeur la plus élevée est utilisée. Généralement, vous n’installerez pas une licence à durée limitée ayant une capacité inférieure à la licence permanente, mais si vous le faites, la licence permanente est utilisée.

Empilage des licences à durée limitée

Dans de nombreux cas, vous devrez peut-être renouveler votre licence temporaire et effectuer une transition transparente de l’ancienne licence à la nouvelle. Pour les fonctionnalités qui ne sont disponibles qu’avec une licence à durée limitée, il est particulièrement important que la licence n’expire pas avant que vous puissiez appliquer la nouvelle licence. L’ASA vous permet d’empiler des licences à durée limitée afin que vous n’ayez pas à vous soucier de l’expiration de la licence ou de la perte de temps sur vos licences en raison de l’installation de la nouvelle licence plus tôt.

Lorsque vous installez une licence à durée limitée identique à celle déjà installée, les licences sont combinées et la durée est égale à la durée combinée.

Par exemple :

Vous installez une licence Secure Client (services client sécurisés) Premium de 8 semaines de 1 000 sessions et l’utilisez pendant 2 semaines (il reste 6 semaines).
Vous installez ensuite une autre licence de 8 semaines de 1 000 sessions, et les licences se combinent pour offrir 1 000 sessions pendant 14 semaines (8 semaines plus 6 semaines).

Si les licences ne sont pas identiques (par exemple, une licence Secure Client (services client sécurisés) Premium de 1 000 sessions et une licence de 2 500 sessions), elles ne sont pas combinées. Comme une seule licence à durée limitée par fonctionnalité peut être active, une seule des licences peut être active.

Bien que les licences non identiques ne se combinent pas, lorsque la licence actuelle expire, l’ASA active automatiquement une licence installée de la même fonctionnalité, si elle est disponible.

Échéance de la licence à durée limitée

Lorsque la licence actuelle d’une fonctionnalité expire, l’ASA active automatiquement une licence installée de la même fonctionnalité, si elle est disponible. Si aucune autre licence à durée limitée n’est disponible pour cette fonctionnalité, la licence permanente est utilisée.

Si vous avez plusieurs licences supplémentaires à durée limitée installées pour une fonctionnalité, l’ASA utilise la première licence qu’il trouve; la licence utilisée n’est pas configurable par l’utilisateur et dépend des opérations internes. Si vous préférez utiliser une licence autre que celle activée par l’ASA, vous devez activer manuellement la licence de votre choix.

Par exemple, vous disposez d’une licence Secure Client (services client sécurisés) Premium à durée limitée de 2 500 sessions (active), d’une licence Secure Client (services client sécurisés) Premium à durée limitée de 1 000 sessions (inactive) et d’une licence permanente Secure Client (services client sécurisés) Premium de 500 sessions. Lorsque la licence de 2 500 sessions expire, l’ASA active la licence de 1 000 sessions. Après l’expiration de la licence de 1 000 sessions, l’ASA utilise la licence permanente de 500 sessions.

Remarques relatives à la licence

Les sections suivantes contiennent des renseignements supplémentaires sur les licences.

LicencesSecure Client Advantage , Secure Client Premieret VPN client sécurisé uniquement

La licence Secure Client Advantage ou Premier est une licence multi-utilisation que vous pouvez appliquer à plusieurs ASA, qui partagent tous un ensemble d’utilisateurs comme spécifié par la licence. La licence VPN client sécurisé uniquement s’applique à un ASA spécifique. Consultez https://www.cisco.com/go/license et attribuez la clé PAK séparément à chaque ASA. Lorsque vous appliquez la clé d’activation résultante à un ASA, elle active les fonctionnalités VPN au maximum autorisé, mais le nombre réel d’utilisateurs uniques pour tous les ASA partageant la licence ne doit pas dépasser la limite de licence. Pour obtenir plus de renseignements, consultez la section :

Remarque

La licence Secure Client Premier est la seule licence Secure Client Premier prise en charge pour le mode de contexte multiple. De plus, en mode de contexte multiple, cette licence doit être appliquée à chaque unité d’une paire de basculement; la licence n’est pas agrégée.

Autre licence VPN

Les autres homologues VPN comprennent les types de VPN suivants :

VPN d’accès à distance IPsec avec IKEv1
VPN de site à site IPsec avec IKEv1
VPN de site à site IPsec avec IKEv2

Cette licence est incluse dans la licence de base.

Nombre total de sessions VPN combinées, tous types

Le nombre total d’homologues VPN est le nombre maximum d’homologues VPN autorisés pour les homologues Secure Client (services client sécurisés) et autres homologues VPN combinés. Par exemple, si le total est de 1 000, vous pouvez autoriser 500 homologues Secure Client (services client sécurisés) et 500 autres homologues VPN simultanément; ou 700 homologues Secure Client (services client sécurisés) et 300 autres VPN; ou utiliser les 1 000 pour Secure Client (services client sécurisés). Si vous dépassez le nombre total d’homologues VPN, vous pouvez surcharger l’ASA. Assurez-vous donc de dimensionner votre réseau de manière appropriée.

Équilibrage de la charge VPN

L’équilibrage de charges VPN nécessite une licence de cryptage renforcé (3DES/AES).

Licences VPN existantes

Reportez-vous au contrat de licence de l’utilisateur final supplémentaire pour Secure Client (services client sécurisés) pour obtenir tous les renseignements pertinents sur les licences.

Remarque

La licence Secure Client Premier est la seule licence Secure Client (services client sécurisés) prise en charge pour le mode de contexte multiple; vous ne pouvez pas utiliser la licence par défaut ou existante.

Licence de chiffrement

Si le cryptage renforcé est activé, vous ne pouvez pas utiliser DES.

Nombre total de sessions de mandataire TLS

Chaque session de mandataire TLS pour l’inspection vocale chiffrée est prise en compte dans la limite de licences TLS.

D’autres applications qui utilisent des sessions de mandataire TLS ne sont pas prises en compte dans la limite du TLS, par exemple, le mandataire Mobility Advantage (qui ne nécessite pas de licence).

Certaines applications peuvent utiliser plusieurs sessions pour une connexion. Par exemple, si vous configurez un téléphone avec un Cisco Unified Communications Manager principal et de secours, il y a 2 connexions de mandataire TLS.

Vous définissez indépendamment la limite de mandataire TLS à l’aide de la commande tls-proxy maximum-sessions ou dans ASDM, en utilisant le volet Configuration > Firewall (Pare-feu) > Unified Communications (Communications unifiées) > TLS Proxy (Mandataire TLS). Pour afficher les limites de votre modèle, saisissez la commande tls-proxy maximum-sessions ?. Lorsque vous appliquez une licence de mandataire TLS supérieure à la limite de mandataire TLS par défaut, l’ASA définit automatiquement la limite de mandataire TLS pour correspondre à la licence. La limite de mandataire TLS a priorité sur la limite de la licence; si vous définissez la limite de mandataire TLS pour qu’elle soit inférieure à la licence, vous ne pouvez pas utiliser toutes les sessions de votre licence.

Remarque

Pour les licences dont la référence se termine par « K8 » (par exemple, les licences de moins de 250 utilisateurs), les sessions de mandataire TLS sont limitées à 1 000. Pour les licences dont la référence se termine par « K9 » (par exemple, les licences de 250 utilisateurs ou plus), la limite de mandataire TLS dépend de la configuration, jusqu’à la limite du modèle. K8 et K9 indiquent si la licence est restreinte pour l’exportation : la licence K8 n’est pas limitée tandis que la licence K9 est restreinte.

Si vous effacez la configuration (à l’aide de la commande clear configure all, par exemple), la limite de mandataire TLS est définie par défaut pour votre modèle; si cette valeur par défaut est inférieure à la limite de licence, vous verrez un message d’erreur pour utiliser la commande tls-proxy maximum-sessions afin d’augmenter à nouveau la limite (dans ASDM, utilisez le volet TLS Proxy (Mandataire TLS)). Si vous utilisez le basculement et saisissez la commande write standby ou dans ASDM, utilisez File (Fichier) > Save Running Configuration to Standby Unit (Enregistrer la configuration d’exécution sur l’unité en veille) sur l’unité principale pour forcer une synchronisation de la configuration; la commande clear configure all est générée automatiquement sur l’unité secondaire, vous pouvez donc voir le message d’avertissement sur l’unité secondaire. Étant donné que la synchronisation de la configuration restaure la limite de mandataire TLS définie sur l’unité principale, vous pouvez ignorer l’avertissement.

Vous pouvez également utiliser des sessions de chiffrement SRTP pour vos connexions :

Pour les licences K8, les sessions SRTP sont limitées à 250.
Pour les licences K9, il n’y a pas de limite.

Remarque

Seuls les appels qui nécessitent un chiffrement ou un déchiffrement pour un support sont pris en compte dans la limite du SRTP; si la transmission est définie pour l’appel, même si les deux segments sont des SRTP, ils ne sont pas pris en compte dans la limite.

Nombre maximum de VLAN

Pour qu’une interface soit prise en compte dans la limite de VLAN, vous devez lui attribuer un VLAN. Par exemple :


interface gigabitethernet 0/0.100
vlan 100

Licences partagées Secure Client (services client sécurisés) Premium (AnyConnect 3 et versions antérieures)

Remarque

La fonctionnalité de licence partagée sur l’ASA n’est pas prise en charge avec les licences AnyConnect 4 et ultérieures. Les licences Secure Client (services client sécurisés) sont partagées et ne nécessitent plus de serveur partagé ni de licence de participant.

Une licence partagée vous permet d’acheter un grand nombre de sessions Secure Client (services client sécurisés) Premium et de partager les sessions, selon les besoins, entre un groupe d’ASA en configurant l’un des ASA en tant que serveur de licences partagées et les autres en tant que participants aux licences partagées.

Licences de basculement

À quelques exceptions près, les unités de basculement ne nécessitent pas la même licence sur chaque unité. Pour les versions antérieures, consultez le document de licence de votre version.

Exigences et exceptions en matière de licence de basculement

Modèle

Exigence de licence

ISA 3000

Licence Security Plus sur les deux unités.

Remarque

Chaque unité doit avoir la même licence de chiffrement.

Remarque

Une clé permanente valide est requise; dans de rares cas sur l’ISA 3000, votre clé d’authentification PAK peut être supprimée. Si votre clé est constituée uniquement de 0, vous devez réinstaller une clé d’authentification valide avant que le basculement puisse être activé.

Association des licences de basculement

Pour les paires de basculement, les licences de chaque unité sont combinées en une seule licence de grappe en cours d’exécution. Si vous achetez des licences distinctes pour chaque unité, la licence combinée utilise les règles suivantes :

Pour les licences qui ont des niveaux numériques, comme le nombre de sessions, les valeurs des licences de chaque unité sont combinées jusqu’à la limite de la plateforme. Si toutes les licences utilisées sont à durée limitée, les licences sont décomptées simultanément.

Par exemple, pour le basculement :
- Vous avez deux ASA avec 10 sessions de mandataire TLS installées sur chacun; les licences seront combinées pour un total de 20 sessions de mandataire TLS.
- Vous avez un ASA avec 1 000 sessions de mandataire TLS et un autre avec 2 000 sessions; comme la limite de plateformes est de 2 000, la licence combinée autorise 2 000 sessions de mandataire TLS.
Pour les licences dont l’état est activé ou désactivé, la licence ayant l’état activé est utilisée.
Pour les licences à durée limitée qui sont activées ou désactivées (et qui n’ont pas de niveaux numériques), la durée est la durée combinée de toutes les licences. L’unité principale/de contrôle compte d’abord sa licence, et à son expiration, l’unité secondaire/de données commence à décompter sa licence, et ainsi de suite.

Perte de communication entre les unités de basculement

Si les unités perdent la communication pendant plus de 30 jours, chaque unité revient à la licence installée localement. Pendant le délai de grâce de 30 jours, la licence en cours d’exécution combinée continue d’être utilisée par toutes les unités.

Si vous rétablissez la communication pendant le délai de grâce de 30 jours, pour les licences à durée limitée, le temps écoulé est soustrait de la licence principale/de contrôle; si la licence principale/de contrôle expire, la licence secondaire/de données commence seulement à être décomptée.

Si vous ne rétablissez pas la communication pendant la période de 30 jours, pour les licences à durée limitée, le temps est soustrait de toutes les licences des unités, si elles sont installées. Elles sont traitées comme des licences distinctes et ne bénéficient pas de la licence combinée. Le délai écoulé comprend le délai de grâce de 30 jours.

Mise à niveau des paires de basculement

Étant donné que les paires de basculement ne nécessitent pas la même licence sur les deux unités, vous pouvez appliquer de nouvelles licences à chaque unité sans temps d’arrêt. Si vous appliquez une licence permanente qui nécessite un rechargement, vous pouvez basculer vers l’autre unité pendant le rechargement. Si les deux unités nécessitent un rechargement, vous pouvez les recharger séparément pour éviter les temps d’arrêt.

Aucun modèle de chiffrement des données utiles

Vous pouvez acheter certains modèles sans chiffrement des données utiles. Pour l’exportation vers certains pays, le chiffrement des données utiles ne peut pas être activé sur la série ASA. Le logiciel ASA détecte un modèle sans chiffrement des données utiles et désactive les fonctionnalités suivantes :

Communications unifiées
VPN

Vous pouvez toujours installer la licence de cryptage renforcé (3DES/AES) pour l’utiliser avec les connexions de gestion. Par exemple, vous pouvez utiliser ASDM HTTPS/SSL, SSHv2, Telnet et SNMPv3.

Lorsque vous affichez la licence, les licences VPN et de communications unifiées ne seront pas répertoriées.

FAQ sur les licences

Puis-je activer plusieurs licences à durée limitée?

Oui. Vous pouvez utiliser une seule licence à durée limitée par fonctionnalité à la fois.

Puis-je « cumuler » des licences à durée limitée afin que, lorsque la durée expire, la licence suivante soit automatiquement utilisée?

Oui. Pour les licences identiques, la durée est cumulée lorsque vous installez plusieurs licences à durée limitée. Pour les licences non identiques (par exemple, une licence Secure Client (services client sécurisés) Premium de 1 000 sessions et une licence de 2 500 sessions), l’ASA active automatiquement la licence à durée limitée suivante qu’il trouve pour la fonctionnalité.

Puis-je installer une nouvelle licence permanente tout en conservant une licence à durée limitée active?

Oui. L’activation d’une licence permanente n’affecte pas les licences à durée limitée.

Pour le basculement, puis-je utiliser un serveur de licences partagées comme unité principale et le serveur de sauvegarde de licences partagées comme unité secondaire?

Non. L’unité secondaire dispose de la même licence d’exécution que l’unité principale; dans le cas du serveur de licences partagées, une licence serveur est requise. Le serveur de sauvegarde nécessite une licence de participant. Le serveur de sauvegarde peut se trouver dans une paire de basculement distincte composée de deux serveurs de sauvegarde.

Dois-je acheter les mêmes licences pour l’unité secondaire d’une paire de basculement?

Non. À partir de la version 8.3(1), vous n’avez pas besoin d’avoir des licences correspondantes sur les deux unités. En règle générale, vous achetez une licence uniquement pour l’unité principale; l’unité secondaire hérite de la licence principale lorsqu'elle devient active. Dans le cas où vous avez également une licence distincte sur l’unité secondaire (par exemple, si vous avez acheté des licences correspondantes pour des logiciels antérieurs à la version 8.3), les licences sont combinées en une licence de grappe de basculement en cours d’exécution, jusqu’aux limites du modèle.

Puis-je utiliser une licence Secure Client (services client sécurisés) Premium à durée limitée ou permanente en plus d’une licence AnyConnect Premium partagée?

Oui. La licence partagée est utilisée uniquement après l’épuisement des sessions de la licence installée localement (à durée limitée ou permanente).

Remarque

Sur le serveur de licences partagées, la licence Secure Client (services client sécurisés) Premium permanente n’est pas utilisée; vous pouvez toutefois utiliser une licence à durée limitée en même temps que la licence du serveur de licences partagées. Dans ce cas, les sessions de licence à durée limitée ne sont disponibles que pour les sessions Secure Client (services client sécurisés) Premium locales; elles ne peuvent pas être ajoutées au groupe de licences partagées pour être utilisées par les participants.

Lignes directrices relatives aux licences PAK

Directives relatives au mode contextuel

En mode de contexte multiple, appliquez la clé d’activation dans l’espace d’exécution du système.

Directives en matière de basculement

Consultez Licences de basculement.

Directives sur les modèles

Les licences Smart sont prises en charge sur l’ASA virtuel uniquement.
Les licences partagées ne sont pas prises en charge sur l’ASA virtuel, l’ASA 5506-X, l’ASA 5508-X et l’ASA 5516-X.
Les ASA 5506-X et ASA 5506W-X ne prennent pas en charge les licences à durée limitée.

Lignes directrices relatives à la mise à niveau et à la rétrogradation

Votre clé d’activation reste compatible si vous effectuez une mise à niveau vers la dernière version à partir de n’importe quelle version précédente. Cependant, vous pourriez avoir des problèmes si vous souhaitez conserver la capacité de rétrogradation :

Rétrogradation à la version 8.1 ou antérieure : après la mise à niveau, si vous activez des licences de fonctionnalités supplémentaires qui ont été introduites avant la version 8.2, la clé d’activation continue d’être compatible avec les versions antérieures si vous effectuez une rétrogradation. Cependant, si vous activez des licences de fonctionnalités qui ont été introduites dans la version 8.2 ou ultérieure, la clé d’activation n’est pas rétrocompatible. Si vous avez une clé de licence incompatible, consultez les lignes directrices suivantes :
- Si vous avez déjà saisi une clé d’activation dans une version antérieure, l’ASA utilise cette clé (sans aucune des nouvelles licences que vous avez activées dans la version 8.2 ou ultérieure).
- Si vous avez un nouveau système et que vous n’avez pas de clé d’activation antérieure, vous devez demander une nouvelle clé d’activation compatible avec la version antérieure.
Rétrogradation à la version 8.2 ou antérieure : la version 8.3 a introduit une utilisation plus robuste des clés temporelles ainsi que des modifications des licences de basculement :
- Si vous avez plusieurs clés d’activation temporelles actives, lorsque vous effectuez une rétrogradation, seule la dernière clé temporelle activée peut être active. Toutes les autres clés sont désactivées. Si la dernière licence à durée limitée concerne une fonctionnalité introduite dans la version 8.3, cette licence reste toujours la licence active même si elle ne peut pas être utilisée dans les versions antérieures. Saisissez la clé permanente ou une clé temporelle valide.
- Si vous avez des licences incompatibles avec une paire de basculement, la rétrogradation désactivera le basculement. Même si les clés correspondent, la licence utilisée ne sera plus une licence combinée.
- Si vous avez installé une licence à durée limitée, mais qu’elle concerne une fonctionnalité introduite dans la version 8.3, cette licence à durée limitée restera active après la rétrogradation. Vous devez saisir à nouveau la clé permanente pour désactiver la licence à durée limitée.

Directives supplémentaires

La clé d’activation n’est pas stockée dans votre fichier de configuration; elle est stockée sous forme de fichier caché dans la mémoire flash.
La clé d’activation est liée au numéro de série de l’appareil. Les licences de fonctionnalités ne peuvent pas être transférées entre les périphériques (sauf en cas de défaillance matérielle). Si vous devez remplacer votre périphérique en raison d’une défaillance matérielle et qu’il est couvert par le TAC de Cisco, communiquez avec l’équipe chargée des licences de Cisco afin de transférer votre licence existante vers le nouveau numéro de série. L’équipe chargée des licences de Cisco vous demandera le numéro de référence de la clé d’autorisation du produit et le numéro de série existant.
Le numéro de série utilisé pour la licence est celui indiqué dans la sortie show version. Ce numéro de série est différent de celui du châssis indiqué à l’extérieur du matériel. Le numéro de série du châssis est utilisé pour l’assistance technique, mais pas pour les licences.
Une fois achetée, vous ne pouvez pas retourner une licence pour obtenir un remboursement ou une licence mise à niveau.
Sur une seule unité, vous ne pouvez pas ajouter deux licences distinctes pour la même fonctionnalité; par exemple, si vous achetez une licence SSL VPN de 25 sessions, puis achetez ultérieurement une licence de 50 sessions, vous ne pouvez pas utiliser 75 sessions; vous pouvez utiliser un maximum de 50 sessions. (Vous pourriez acheter une licence plus importante à un prix de mise à niveau, par exemple de 25 à 75 sessions; ce type de mise à niveau doit se différencier de l’ajout de deux licences distinctes).
Bien que vous puissiez activer tous les types de licence, certaines fonctionnalités sont incompatibles entre elles. Dans le cas de la licence AnyConnect Essentials, la licence est incompatible avec les licences suivantes : licence AnyConnect Premium, licence AnyConnect Premium partagée et licence d’évaluation de point d’accès avancée. Par défaut, si vous installez la licence AnyConnect Essentials (si elle est disponible pour votre modèle), elle est utilisée à la place des licences ci-dessus. Vous pouvez désactiver la licence AnyConnect Essentials dans la configuration pour restaurer l’utilisation des autres licences à l’aide de webvpn, puis avec la commande no anyconnect-essentials .

Configurer les licences PAK

Cette section décrit comment obtenir une clé d’activation et comment l’activer. Vous pouvez également désactiver une clé.

Commander des licences PAK et obtenir une clé d’activation

Pour installer une licence sur l’ASA, vous avez besoin de clés d’autorisation de produit, que vous pouvez ensuite enregistrer auprès de Cisco.com pour obtenir une clé d’activation. Vous pouvez ensuite saisir la clé d’activation sur l’ASA. Vous avez besoin d’une clé d’autorisation de produit distincte pour chaque licence de fonctionnalité. Les clés PAK sont combinées pour vous donner une clé d’activation unique. Vous avez peut-être reçu toutes vos clés de licence PAK dans la boîte de votre appareil. L’ASA dispose de la licence de base ou Security Plus, ainsi que de la licence de cryptage renforcé (3DES/AES), si vous remplissez les conditions requises pour son utilisation. Si vous devez demander manuellement la licence de cryptage renforcé (qui est gratuite), consultez la page http://www.cisco.com/go/license.

Avant de commencer

Lorsque vous achetez une ou plusieurs licences pour l’appareil, vous les gérez dans le Cisco Smart Software Manager :

https://software.cisco.com/#module/SmartLicensing

Si vous n’avez pas encore de compte, configurez un nouveau compte. Smart Software Manager vous permet de créer un compte principal pour votre organisation.

Procédure

Étape 1	Pour acheter des licences supplémentaires, rendez-vous sur http://www.cisco.com/go/ccw. Consultez le guide de commande et la FAQ Secure Client (services client sécurisés) suivants : Guide de commande Cisco Secure Client (services client sécurisés) Foire aux questions (FAQ) Secure Client (services client sécurisés) Licensing Après avoir commandé une licence, vous recevrez un courriel avec une clé d’autorisation de produit (PAK). Pour les licences Secure Client (services client sécurisés), vous recevez une clé PAK multiutilisation que vous pourrez appliquer à plusieurs ASA partageant le même ensemble de séances de l’utilisateur. Le courriel de la PAK peut prendre plusieurs jours dans certains cas.
Étape 2	Utilisez la commande suivante pour obtenir le numéro de série de votre ASA. show version \| grep Serial Le numéro de série utilisé pour la licence est différent de celui du châssis indiqué à l’extérieur du matériel. Le numéro de série du châssis est utilisé pour l’assistance technique, mais pas pour les licences.
Étape 3	Pour obtenir la clé d’activation, accédez au site Web de la licence suivant : http://www.cisco.com/go/license
Étape 4	Saisissez les renseignements suivants lorsque vous y êtes invité : Clé d’autorisation de produit (si vous avez plusieurs clés, saisissez d’abord l’une des clés. Vous devez saisir chaque clé en tant que processus distinct.) Le numéro de série de votre ASA Votre adresse courriel Une clé d’activation est automatiquement générée et envoyée à l’adresse courriel que vous fournissez. Cette clé comprend toutes les fonctionnalités que vous avez enregistrées jusqu’à présent pour les licences permanentes. En ce qui concerne les licences à durée déterminée, chacune possède une clé d’activation distincte.
Étape 5	Si vous disposez de clés d’autorisation de produit supplémentaires, répétez le processus pour chaque clé d’autorisation de produit. Après avoir saisi toutes les clés d’autorisation de produit, la clé d’activation finale fournie comprend toutes les fonctionnalités permanentes que vous avez enregistrées.
Étape 6	Installez la clé d’activation conformément à Activer ou désactiver les clés.

Obtenir une licence de cryptage renforcé

Pour utiliser ASDM (et de nombreuses autres fonctionnalités), vous devez installer la licence de cryptage renforcé (3DES/AES). Si votre ASA n’est pas livré avec la licence de cryptage renforcé préinstallée, vous pouvez en demander une gratuitement. Vous devez bénéficier d’une licence de cryptage renforcé en fonction de votre pays.

Procédure

Étape 1	Utilisez la commande suivante pour obtenir le numéro de série de votre ASA : show version \| grep Serial Ce numéro de série est différent de celui du châssis indiqué à l’extérieur du matériel. Le numéro de série du châssis est utilisé pour l’assistance technique, mais pas pour les licences.
Étape 2	Consultez https://www.cisco.com/go/license, puis cliquez sur Get Other Licenses (Obtenir d’autres licences). Illustration 1. Get Other Licenses (obtenir d’autres licences)
Étape 3	Choisissez IPS, Crypto, Other. Illustration 2. IPS, Crypto, Othe (IPS, cryptage, autre)
Étape 4	Dans le champ de recherche par mot clé Search by Keyword (Rechercher par mot clé), entrez asa et sélectionnez Cisco ASA 3DES/AES License (Licence Cisco ASA 3DES/AES). Illustration 3. Licence Cisco ASA 3DES/AES
Étape 5	Sélectionnez votre Smart Account (Compte Smart) et votre Virtual Account (Compte virtuel), entrez le Serial Number (Numéro de série) de l’ASA, puis cliquez sur Next (Suivant) pour passer à l’étape suivante. Illustration 4. Smart Account (Compte Smart), Virtual Account (Compte virtuel) et Serial Number (Numéro de série)
Étape 6	L’adresse courriel du destinataire et le nom de l’utilisateur final sont automatiquement remplis. Si nécessaire, entrez les autres adresses courriel requises. Cochez la case I Agree (J’accepte) pour indiquer votre accord, puis cliquez sur Submit (Envoyer) pour envoyer le tout. Illustration 5. Submit (envoyer)
Étape 7	Vous recevrez alors un courriel contenant la clé d’activation, mais vous pouvez aussi la télécharger immédiatement depuis la zone de gestion des licences Manage (Gérer) > Licenses (Licences).
Étape 8	Appliquez la clé d’activation conformément à Activer ou désactiver les clés.

Activer ou désactiver les clés

Cette section décrit comment saisir une nouvelle clé d’activation et comment activer et désactiver les clés à durée déterminée.

Avant de commencer

Si vous êtes déjà en mode de contexte multiple, entrez la clé d’activation dans l’espace d’exécution du système.

Certaines licences permanentes nécessitent que vous rechargiez l’ASA après les avoir activées. Le tableau suivant répertorie les licences qui nécessitent un rechargement.

Tableau 2. Exigences en matière de rechargement de la licence permanente
Modèle	Action de licence nécessitant un rechargement
Tous les modèles	Rétrogradation de la licence de chiffrement.

Procédure

Étape 1

Appliquez une clé d’activation sur l’ASA :

activation-key key [activate | deactivate]

Exemple:


ciscoasa# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490

La clé est une chaîne hexadécimale de cinq éléments avec un espace entre chaque élément. Le spécificateur 0x de début est facultatif; toutes les valeurs sont censées être hexadécimales.

Vous pouvez installer une clé permanente et plusieurs clés à durée déterminée. Si vous entrez une nouvelle clé permanente, celle-ci remplacera la clé déjà installée.

Les mots clés activate et deactivate ne sont disponibles que pour les clés à durée déterminée. Si vous ne saisissez aucune valeur, activate est la valeur par défaut. La dernière clé à durée déterminée que vous activez pour une fonctionnalité donnée est la clé active. Pour désactiver une clé à durée déterminée active, saisissez le mot clé deactivate. Si vous saisissez une clé pour la première fois et indiquez deactivate, la clé est installée sur l’ASA à l’état inactif.

Étape 2

(Peut être nécessaire.) Rechargez l’ASA :

reload

Certaines licences permanentes nécessitent que vous rechargiez l’ASA après avoir saisi la nouvelle clé d’activation. Si vous devez le recharger, le message suivant s’affiche :


WARNING: The running activation key was not updated with the requested key. 
The flash activation key was updated with the requested key, and will become 
active after the next reload.

Configurer une licence partagée (Secure Client (services client sécurisés) 3 et versions antérieures)

Remarque

La fonctionnalité de licence partagée sur l’ASA n’est pas prise en charge avec les licences Secure Client (services client sécurisés) 4 et ultérieures. Les licences Secure Client (services client sécurisés) sont partagées et ne nécessitent plus de serveur partagé ni de licence de participant.

Cette section décrit comment configurer le serveur de licences partagées et les participants.

À propos des licences partagées

À propos du serveur de licences partagées et des participants

Les étapes suivantes décrivent le fonctionnement des licences partagées :

Décidez quel ASA doit être le serveur de licences partagées et achetez la licence de serveur de licences partagées en utilisant ce numéro de série de périphérique.
Décidez quels ASA doivent être des participants à une licence partagée, y compris le serveur de sauvegarde à licence partagée, et obtenez une licence de participant à une licence partagée pour chaque périphérique, en utilisant le numéro de série de chaque périphérique.

(Facultatif) Désignez un deuxième ASA comme serveur de sauvegarde de licences partagées. Vous ne pouvez définir qu’un seul serveur de sauvegarde.

Remarque

Le serveur de sauvegarde de licences partagées n’a besoin que d’une licence de participant.

Configurez un secret partagé sur le serveur de licences partagées; tous les participants ayant le secret partagé peuvent utiliser la licence partagée.

Lorsque vous configurez l’ASA en tant que participant, il s’enregistre auprès du serveur de licences partagées en envoyant des renseignements sur lui-même, y compris la licence locale et les renseignements sur le modèle.

Remarque

Le participant doit pouvoir communiquer avec le serveur sur le réseau IP; il ne doit pas être sur le même sous-réseau.

Le serveur de licences partagées répond par des renseignements sur la fréquence à laquelle le participant doit interroger le serveur.
Lorsqu’un participant utilise les sessions de la licence locale, il envoie une demande au serveur de licences partagées pour des sessions supplémentaires par incréments de 50 sessions.

Le serveur de licences partagées répond par une licence partagée. Le nombre total de sessions utilisées par un participant ne peut pas dépasser le nombre maximal de sessions pour le modèle de plateforme.

Remarque

Le serveur de licences partagées peut également participer au regroupement de licences partagées. Il n’a pas besoin de licence de participant et de licence de serveur pour y participer.

S’il ne reste pas assez de sessions dans le groupe de licences partagées pour le participant, le serveur répond par autant de sessions que disponible.
Le participant continue d’envoyer des messages d’actualisation pour demander plus de sessions jusqu’à ce que le serveur puisse répondre de manière adéquate à la demande.

Lorsque la charge est réduite sur un participant, il envoie un message au serveur pour libérer les sessions partagées.

Remarque

L’ASA utilise le protocole SSL entre le serveur et le participant pour chiffrer toutes les communications.

Problèmes de communication entre le participant et le serveur

Consultez les lignes directrices suivantes pour résoudre les problèmes de communication entre le participant et le serveur :

Si un participant ne parvient pas à envoyer une actualisation après trois fois l’intervalle d’actualisation, le serveur libère les sessions dans le groupe de licences partagées.
Si le participant ne parvient pas à atteindre le serveur de licences pour envoyer l’actualisation, il peut continuer à utiliser la licence partagée qu’il a reçue du serveur pendant un délai de 24 heures.
Si le participant n’est toujours pas en mesure de communiquer avec un serveur de licences après 24 heures, le participant libère la licence partagée, même s’il a toujours besoin des sessions. Le participant laisse les connexions existantes établies, mais ne peut pas accepter de nouvelles connexions au-delà de la limite de licence.
Si un participant se reconnecte au serveur avant l’expiration du délai de 24 heures, mais après l’expiration des sessions du participant par le serveur, le participant doit envoyer une nouvelle demande pour les sessions; le serveur répond avec autant de sessions que possible pouvant être réattribuées à ce participant.

À propos du serveur de sauvegarde de licences partagées

Le serveur de sauvegarde de licences partagées doit s’enregistrer auprès du serveur de licences partagées principal avant de pouvoir assumer son rôle de sauvegarde. Lors de l’enregistrement, le serveur de licences partagées principal synchronise les paramètres de serveur ainsi que les renseignements de licence partagée avec la sauvegarde, y compris une liste des participants inscrits et l’utilisation actuelle des licences. Le serveur principal et le serveur de sauvegarde synchronisent les données à des intervalles de 10 secondes. Après la synchronisation initiale, le serveur de sauvegarde peut effectuer des tâches de sauvegarde avec succès, même après un rechargement.

Lorsque le serveur principal tombe en panne, le serveur de sauvegarde prend le relais du fonctionnement du serveur. Le serveur de sauvegarde peut fonctionner jusqu’à 30 jours consécutifs, après quoi serveur de sauvegarde arrête d’émettre des sessions aux participants et les sessions existantes expirent. Assurez-vous de réinitialiser le serveur principal dans ce délai de 30 jours. Les messages de journal système de niveau critique sont envoyés à 15 jours et à nouveau à 30 jours.

Lorsque le serveur principal est remis en service, il se synchronise avec le serveur de sauvegarde, puis prend le relais du fonctionnement du serveur.

Lorsque le serveur de sauvegarde n’est pas actif, il agit comme un participant régulier du serveur de licences partagées principal.

Remarque

Lorsque vous lancez le serveur de licences partagées principal pour la première fois, le serveur de sauvegarde ne peut fonctionner indépendamment que pendant 5 jours. La limite opérationnelle augmente de jour en jour jusqu’à 30 jours. De plus, si le serveur principal tombe en panne ultérieurement, la limite opérationnelle du serveur de sauvegarde diminuera de jour en jour. Lorsque le serveur principal est remis en service, le serveur de sauvegarde recommence à augmenter de jour en jour. Par exemple, si le serveur principal est en panne pendant 20 jours et que le serveur de sauvegarde est actif pendant ce temps, le serveur de sauvegarde n’aura plus qu’une limite de 10 jours. Le serveur de sauvegarde se « recharge » jusqu’à 30 jours après 20 jours supplémentaires en tant que sauvegarde inactive. Cette fonction de rechargement est mise en œuvre pour décourager toute utilisation abusive de la licence partagée.

Licences de basculement et partagées

Cette section décrit comment les licences partagées interagissent avec le basculement.

Serveurs de licences de basculement et partagées

Cette section décrit comment le serveur principal et le serveur de sauvegarde interagissent avec le basculement. Étant donné que le serveur de licences partagées remplit également les fonctions normales de l’ASA, notamment celles de passerelle VPN et de pare-feu, il peut être nécessaire de configurer le basculement pour les serveurs de licences partagés principal et de secours afin d’améliorer la fiabilité.

Remarque

Le mécanisme du serveur de sauvegarde est distinct du basculement, mais compatible avec celui-ci.

Les licences partagées ne sont prises en charge qu’en mode de contexte unique, de sorte que le basculement actif/actif n’est pas pris en charge.

Pour le basculement actif/veille, l’unité principale agit en tant que serveur de licences partagées principal et l’unité de secours agit en tant que serveur de licences partagées principal après le basculement. L’unité de secours ne sert pas de serveur de licences partagées de secours. Au lieu de cela, vous pouvez avoir une deuxième paire d’unités agissant en tant que serveur de sauvegarde, si vous le souhaitez.

Par exemple, vous avez un réseau avec 2 paires de basculement. La paire n° 1 comprend le serveur de licences principal. La paire n° 2 comprend le serveur de sauvegarde. Lorsque l’unité principale de la paire n° 1 tombe en panne, l’unité en veille devient immédiatement le nouveau serveur de licences principal. Le serveur de sauvegarde de la paire n° 2 n’est jamais utilisé. Ce n’est que si les deux unités de la paire n° 1 tombent en panne que le serveur de sauvegarde de la paire n° 2 est utilisé comme serveur de licences partagées. Si la paire n° 1 reste en panne et que l’unité principale de la paire n° 2 tombe en panne, l’unité en veille de la paire n° 2 sert de serveur de licences partagées (voir la figure suivante).

Illustration 6. Serveurs de licences de basculement et partagées

Le serveur de sauvegarde de secours partage les mêmes limites opérationnelles que le serveur de sauvegarde principal; si l’unité en veille devient active, elle continue le compte à rebours là où l’unité principale s’est arrêtée.

Participants aux licences de basculement et partagées

Pour les paires de participants, les deux unités s’enregistrent auprès du serveur de licences partagées en utilisant des ID de participant distincts. L’unité active synchronise son ID de participant avec l’unité de sauvegarde. L’unité de sauvegarde utilise cet ID pour générer une demande de transfert lorsqu’elle passe au rôle actif. Cette demande de transfert est utilisée pour déplacer les sessions partagées de l'unité précédemment active vers la nouvelle unité active.

Nombre maximum de participants

L’ASA ne limite pas le nombre de participants pour la licence partagée; cependant, un très grand réseau partagé peut potentiellement affecter les performances du serveur de licences. Dans ce cas, vous pouvez augmenter le délai entre les actualisations des participants ou créer deux réseaux partagés.

Configurer le serveur de licences partagées

Cette section décrit comment configurer l’ASA pour qu’il soit un serveur de licences partagées.

Avant de commencer

Le serveur doit avoir une clé de serveur de licences partagées.

Procédure

Étape 1	Définissez le secret partagé : license-server secret secret Exemple: `ciscoasa(config)# license-server secret farscape` Le secret est une chaîne comprenant de 4 à 128 caractères ASCII. Tout participant ayant ce secret peut utiliser le serveur de licences.
Étape 2	(Facultatif) Définissez l’intervalle d’actualisation : license-server refresh-interval seconds Exemple: `ciscoasa(config)# license-server refresh-interval 100` L’intervalle est compris entre 10 et 300 secondes; cette valeur est fournie aux participants pour définir la fréquence à laquelle ils doivent communiquer avec le serveur. La valeur par défaut est de 30 secondes.
Étape 3	(Facultatif) Définissez le port sur lequel le serveur écoute les connexions SSL des participants : license-server port port Exemple: `ciscoasa(config)# license-server port 40000` Le port est compris entre 1 et 65 535. La valeur par défaut est le port TCP 50554.
Étape 4	(Facultatif) Déterminez l’adresse IP et le numéro de série du serveur de sauvegarde : license-server backup address backup-id serial_number [ha-backup-id ha_serial_number] Exemple: `ciscoasa(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3` Si le serveur de sauvegarde fait partie d’une paire de basculement, identifiez également le numéro de série de l’unité de secours. Vous ne pouvez identifier qu’un seul serveur de sauvegarde et son unité de secours facultative.
Étape 5	Activez cette unité pour qu’elle soit le serveur de licences partagées : license-server enable interface_name Exemple: `ciscoasa(config)# license-server enable inside` Spécifiez l’interface sur laquelle les participants communiquent avec le serveur. Vous pouvez relancer cette commande pour autant d’interfaces que vous le souhaitez.

Exemples

L’exemple suivant définit le secret partagé, modifie l’intervalle d’actualisation et le port, configure un serveur de sauvegarde et active cette unité en tant que serveur de licences partagées sur l’interface interne et l’interface dmz :


ciscoasa(config)# license-server secret farscape
ciscoasa(config)# license-server refresh-interval 100
ciscoasa(config)# license-server port 40000
ciscoasa(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3
ciscoasa(config)# license-server enable inside
ciscoasa(config)# license-server enable dmz

Configurer le serveur de sauvegarde de licences partagées (facultatif)

Cette section permet à un participant à une licence partagée d’agir en tant que serveur de sauvegarde en cas de panne du serveur principal.

Avant de commencer

Le serveur de sauvegarde doit avoir une clé de participant à la licence partagée.

Procédure

Étape 1

Identifiez l’adresse IP du serveur de licences partagées et le secret partagé :

license-server address address secret secret [port port]

Exemple:


ciscoasa(config)# license-server address 10.1.1.1 secret farscape

Si vous avez modifié le port par défaut dans la configuration du serveur, définissez le port du serveur de sauvegarde pour qu’il corresponde.

Étape 2

Activez cette unité pour qu’elle soit le serveur de sauvegarde de licences partagées :

license-server backup enable interface_name

Exemple:


ciscoasa(config)# license-server backup enable inside

Spécifiez l’interface sur laquelle les participants communiquent avec le serveur. Vous pouvez relancer cette commande pour autant d’interfaces que vous le souhaitez.

Exemples

L’exemple suivant identifie le serveur de licences et le secret partagé, et active cette unité en tant que serveur de sauvegarde de licences partagées sur l’interface interne et l’interface DMZ :


ciscoasa(config)# license-server address 10.1.1.1 secret farscape
ciscoasa(config)# license-server backup enable inside
ciscoasa(config)# license-server backup enable dmz

Configurer le participant à la licence partagée

Cette section configure un participant de licence partagée pour communiquer avec le serveur de licences partagées.

Avant de commencer

Le participant doit avoir une clé de participant à la licence partagée.

Procédure

Étape 1

Identifiez l’adresse IP du serveur de licences partagées et le secret partagé :

license-server address address secret secret [port port]

Exemple:


ciscoasa(config)# license-server address 10.1.1.1 secret farscape

Si vous avez modifié le port par défaut dans la configuration du serveur, définissez le port du participant pour qu’il corresponde.

Étape 2

(Facultatif) Si vous avez configuré un serveur de sauvegarde, saisissez l’adresse du serveur de sauvegarde :

license-server backup address address

Exemple:


ciscoasa(config)# license-server backup address 10.1.1.2

Exemples

L’exemple suivant définit l’adresse IP et le secret partagé du serveur de licences, ainsi que l’adresse IP du serveur de licences de secours :


ciscoasa(config)# license-server address 10.1.1.1 secret farscape
ciscoasa(config)# license-server backup address 10.1.1.2

Licences de fonctionnalités prises en charge par modèle

Cette section décrit les licences disponibles pour chaque modèle et fournit des remarques importantes concernant les licences.

Licences par modèle

Cette section répertorie les licences de fonctionnalités disponibles pour chaque modèle :

Les éléments en italique sont des licences facultatives distinctes qui peuvent remplacer la version de licence de base (ou Security Plus, etc.). Vous pouvez combiner les licences facultatives.

Remarque

Certaines fonctionnalités sont incompatibles entre elles. Consultez les chapitres consacrés aux différentes fonctionnalités pour obtenir des renseignements sur la compatibilité.

Si vous avez un modèle sans chiffrement des données utiles, certaines des fonctionnalités ci-dessous ne sont pas prises en charge. Consultez Aucun modèle de chiffrement des données utiles pour obtenir la liste des fonctionnalités non prises en charge.

Pour de plus amples renseignements sur les licences, consultez Remarques relatives à la licence.

Fonctionnalités de la licence ISA 3000

Le tableau suivant présente les fonctionnalités sous licence pour l’ISA 3000.


Licences	Licence de base		Security Plus License
Licences de pare-feu
Filtre de trafic de réseau de zombies	Aucune assistance		Aucune assistance
Connexions de pare-feu, simultanées	20 000		50 000
Carrier (exploitant)	Aucune assistance		Aucune assistance
Nombre total de sessions de mandataire TLS	160		160
Licences VPN
Homologues Secure Client (services client sécurisés)	Désactivé	Licence facultative Secure Client Advantage , Secure Client Premier ou VPN client sécurisé uniquement : 25 maximum	Désactivé	Licence facultative Secure Client Advantage , Secure Client Premier ou VPN client sécurisé uniquement : 25 maximum
Autres homologues VPN	10		50
Total des homologues VPN, tous types combinés	25		50
Équilibrage de la charge VPN	Aucune assistance		Aucune assistance
Licences générales
Chiffrement	Base (DES)	Licence opt. : renforcé (3DES/AES)	Base (DES)	Licence opt. : renforcé (3DES/AES)
Basculement	Aucune assistance		Actif/Veille
Contextes de sécurité	Aucune assistance		Aucune assistance
Mise en grappe	Aucune assistance		Aucune assistance
Nombre maximum de VLAN	5		25

Supervision des licences PAK

Cette section décrit comment afficher les informations sur la licence.

Affichage de votre licence actuelle

Cette section décrit comment afficher votre licence actuelle et, pour les clés d’activation à durée limitée, le temps restant de la licence.

Avant de commencer

Si vous avez un modèle sans chiffrement des données utiles, vous affichez la licence, les licences VPN et de communications unifiées ne seront pas répertoriées. Consultez Aucun modèle de chiffrement des données utiles pour de plus amples renseignements.

Procédure

Affichez la licence permanente, les licences actives à durée limitée et la licence en cours d’exécution, qui est une combinaison de la licence permanente et des licences actives à durée limitée :

show activation-key [detail]

Le mot clé detail affiche également les licences inactives à durée limitée.

Pour les unités de basculement ou de grappe, cette commande affiche également la licence de « grappe », qui regroupe les clés de toutes les unités.

Exemples

Exemple 1 : sortie de l’unité autonome pour la commande show activation-key

Voici un exemple de sortie de la commande show activation-key pour une unité autonome qui affiche la licence en cours d’exécution (les licences permanentes et les licences à durée limitée), ainsi que chaque licence active à durée limitée :


ciscoasa# show activation-key

Serial Number:  JMX1232L11M
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Running Timebased Activation Key: 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 150            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
VPN-DES                           : Enabled        perpetual
VPN-3DES-AES                      : Enabled        perpetual
Security Contexts                 : 10             perpetual
GTP/GPRS                          : Enabled        perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Enabled        perpetual
  Shared AnyConnect Premium Peers : 12000          perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 12             62 days
Total UC Proxy Sessions           : 12             62 days
Botnet Traffic Filter             : Enabled        646 days
Intercompany Media Engine         : Disabled       perpetual

This platform has a Base license.

The flash permanent activation key is the SAME as the running permanent key.

Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter        : Enabled    646 days

0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2 0xyadayad2
Total UC Proxy Sessions      : 10         62 days

Exemple 2 : sortie de l’unité autonome pour la commande show activation-key detail

Voici un exemple de sortie de la commande show activation-key detail pour une unité autonome qui affiche la licence en cours d’exécution (les licences permanentes et les licences à durée limitée), ainsi que la licence permanente et chaque licence à durée limitée installée (active et inactive) :


ciscoasa# show activation-key detail

Serial Number:  88810093382
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285

Licensed features for this platform:
Maximum Physical Interfaces    : 8              perpetual
VLANs                          : 20             DMZ Unrestricted
Dual ISPs                      : Enabled        perpetual
VLAN Trunk Ports               : 8              perpetual
Inside Hosts                   : Unlimited      perpetual
Failover                       : Active/Standby perpetual
VPN-DES                        : Enabled        perpetual
VPN-3DES-AES                   : Enabled        perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 25             perpetual
Total VPN Peers                   : 25              perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions        : 2              perpetual
Total UC Proxy Sessions        : 2              perpetual
Botnet Traffic Filter          : Enabled        39 days
Intercompany Media Engine      : Disabled       perpetual

This platform has an ASA 5512-X Security Plus license.

Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c

Licensed features for this platform:
Maximum Physical Interfaces    : 8              perpetual
VLANs                          : 20             DMZ Unrestricted
Dual ISPs                      : Enabled        perpetual
VLAN Trunk Ports               : 8              perpetual
Inside Hosts                   : Unlimited      perpetual
Failover                       : Active/Standby perpetual
VPN-DES                        : Enabled        perpetual
VPN-3DES-AES                   : Enabled        perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 25             perpetual
Total VPN Peers                   : 25              perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions        : 2              perpetual
Total UC Proxy Sessions        : 2              perpetual
Botnet Traffic Filter          : Enabled        39 days
Intercompany Media Engine      : Disabled       perpetual

The flash permanent activation key is the SAME as the running permanent key.

Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter           : Enabled    39 days

Inactive Timebased Activation Key:
0xyadayada3 0xyadayada3 0xyadayada3 0xyadayada3 0xyadayada3
AnyConnect Premium Peers                   : 25     7 days

Exemple 3 : sortie de l’unité principale dans une paire de basculement pour la commande show activation-key detail

Voici un exemple de sortie de la commande show activation-key detail pour l’unité de basculement principale qui affiche :

La licence de l’unité principale (la licence permanente et les licences à durée déterminée combinées).
La licence « grappe de basculement », qui regroupe les licences des unités principale et secondaire. Il s’agit de la licence qui est en cours d’exécution sur l’ASA. Les valeurs de cette licence qui reflètent la combinaison des licences principale et secondaire sont indiquées en gras.
La licence permanente de l’unité principale.
L’unité principale a installé des licences à durée limitée (actives et inactives).


ciscoasa# show activation-key detail

Serial Number:  P3000000171
Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c
Running Timebased Activation Key: 0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285

Licensed features for this platform:
Maximum Physical Interfaces    : Unlimited      perpetual
Maximum VLANs                  : 150            perpetual
Inside Hosts                   : Unlimited      perpetual
Failover                       : Active/Active  perpetual
VPN-DES                        : Enabled        perpetual
VPN-3DES-AES                   : Enabled        perpetual
Security Contexts              : 12             perpetual
GTP/GPRS                       : Enabled        perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Disabled        perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions        : 2              perpetual
Total UC Proxy Sessions        : 2              perpetual
Botnet Traffic Filter          : Enabled        33 days
Intercompany Media Engine      : Disabled       perpetual

This platform has an ASA 5520 VPN Plus license.

Failover cluster licensed features for this platform:
Maximum Physical Interfaces    : Unlimited      perpetual
Maximum VLANs                  : 150            perpetual
Inside Hosts                   : Unlimited      perpetual
Failover                       : Active/Active  perpetual
VPN-DES                        : Enabled        perpetual
VPN-3DES-AES                   : Enabled        perpetual
Security Contexts              : 12             perpetual
GTP/GPRS                       : Enabled        perpetual
AnyConnect Premium Peers       : 4           perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions        : 4              perpetual
Total UC Proxy Sessions        : 4              perpetual
Botnet Traffic Filter          : Enabled        33 days
Intercompany Media Engine      : Disabled       perpetual

This platform has an ASA 5520 VPN Plus license.

Running Permanent Activation Key: 0xce06dc6b 0x8a7b5ab7 0xa1e21dd4 0xd2c4b8b8 0xc4594f9c

Licensed features for this platform:
Maximum Physical Interfaces    : Unlimited      perpetual
Maximum VLANs                  : 150            perpetual
Inside Hosts                   : Unlimited      perpetual
Failover                       : Active/Active  perpetual
VPN-DES                        : Enabled        perpetual
VPN-3DES-AES                   : Disabled       perpetual
Security Contexts              : 2              perpetual
GTP/GPRS                       : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Disabled        perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions        : 2              perpetual
Total UC Proxy Sessions        : 2              perpetual
Botnet Traffic Filter          : Disabled       perpetual
Intercompany Media Engine      : Disabled       perpetual

The flash permanent activation key is the SAME as the running permanent key.

Active Timebased Activation Key:
0xa821d549 0x35725fe4 0xc918b97b 0xce0b987b 0x47c7c285
Botnet Traffic Filter           : Enabled    33 days

Inactive Timebased Activation Key:
0xyadayad3 0xyadayad3 0xyadayad3 0xyadayad3 0xyadayad3
Security Contexts               : 2          7 days
AnyConnect Premium Peers                   : 100        7 days

0xyadayad4 0xyadayad4 0xyadayad4 0xyadayad4 0xyadayad4
Total UC Proxy Sessions         : 100        14 days

Exemple 4 : sortie de l’unité secondaire dans une paire de basculement pour la commande show activation-key detail

Voici un exemple de sortie de la commande show activation-key detail pour l’unité de basculement secondaire qui affiche :

La licence de l’unité secondaire (la licence permanente et les licences à durée déterminée combinées).
La licence « grappe de basculement », qui regroupe les licences des unités principale et secondaire. Il s’agit de la licence qui est en cours d’exécution sur l’ASA. Les valeurs de cette licence qui reflètent la combinaison des licences principale et secondaire sont indiquées en gras.
La licence permanente de l’unité secondaire.
Les licences secondaires installées à durée limitée (actives et inactives). Cette unité n’a pas de licences à durée limitée, donc aucune n’est affichée dans cet exemple de sortie.


ciscoasa# show activation-key detail

Serial Number:  P3000000011
Running Activation Key: 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1

Licensed features for this platform:
Maximum Physical Interfaces    : Unlimited      perpetual
Maximum VLANs                  : 150            perpetual
Inside Hosts                   : Unlimited      perpetual
Failover                       : Active/Active  perpetual
VPN-DES                        : Enabled        perpetual
VPN-3DES-AES                   : Disabled       perpetual
Security Contexts              : 2              perpetual
GTP/GPRS                       : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Disabled        perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions        : 2              perpetual
Total UC Proxy Sessions        : 2              perpetual
Botnet Traffic Filter          : Disabled       perpetual
Intercompany Media Engine      : Disabled       perpetual

This platform has an ASA 5520 VPN Plus license.

Failover cluster licensed features for this platform:
Maximum Physical Interfaces    : Unlimited      perpetual
Maximum VLANs                  : 150            perpetual
Inside Hosts                   : Unlimited      perpetual
Failover                       : Active/Active  perpetual
VPN-DES                        : Enabled        perpetual
VPN-3DES-AES                   : Enabled        perpetual
Security Contexts              : 10             perpetual
GTP/GPRS                       : Enabled        perpetual
AnyConnect Premium Peers          : 4              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Disabled        perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions        : 4              perpetual
Total UC Proxy Sessions        : 4              perpetual
Botnet Traffic Filter          : Enabled        33 days
Intercompany Media Engine      : Disabled       perpetual

This platform has an ASA 5520 VPN Plus license.

Running Permanent Activation Key: 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1 0xyadayad1

Licensed features for this platform:
Maximum Physical Interfaces    : Unlimited      perpetual
Maximum VLANs                  : 150            perpetual
Inside Hosts                   : Unlimited      perpetual
Failover                       : Active/Active  perpetual
VPN-DES                        : Enabled        perpetual
VPN-3DES-AES                   : Disabled       perpetual
Security Contexts              : 2              perpetual
GTP/GPRS                       : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Disabled        perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions        : 2              perpetual
Total UC Proxy Sessions        : 2              perpetual
Botnet Traffic Filter          : Disabled       perpetual
Intercompany Media Engine      : Disabled       perpetual

The flash permanent activation key is the SAME as the running permanent key.

Exemple 5 : sortie de l’unité principale pour le module de services ASA dans une paire de basculement pour la commande show activation-key

Voici un exemple de sortie de la commande show activation-key pour l’unité de basculement principale qui affiche :

La licence de l’unité principale (la licence permanente et les licences à durée déterminée combinées).
La licence « grappe de basculement », qui regroupe les licences des unités principale et secondaire. Il s’agit de la licence qui est en cours d’exécution sur l’ASA. Les valeurs de cette licence qui reflètent la combinaison des licences principale et secondaire sont indiquées en gras.
L’unité principale a installé des licences à durée limitée (actives et inactives).


ciscoasa# show activation-key

erial Number:  SAL144705BF
Running Permanent Activation Key: 0x4d1ed752 0xc8cfeb37 0xf4c38198 0x93c04c28 0x4a1c049a
Running Timebased Activation Key: 0xbc07bbd7 0xb15591e0 0xed68c013 0xd79374ff 0x44f87880

Licensed features for this platform:
Maximum Interfaces                : 1024           perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
DES                               : Enabled        perpetual
3DES-AES                          : Enabled        perpetual
Security Contexts                 : 25             perpetual
GTP/GPRS                          : Enabled        perpetual
Botnet Traffic Filter             : Enabled        330 days

This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.


Failover cluster licensed features for this platform:
Maximum Interfaces                : 1024           perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
DES                               : Enabled        perpetual
3DES-AES                          : Enabled        perpetual
Security Contexts                 : 50 perpetual
GTP/GPRS                          : Enabled        perpetual
Botnet Traffic Filter             : Enabled        330 days
This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.

The flash permanent activation key is the SAME as the running permanent key.

Active Timebased Activation Key:
0xbc07bbd7 0xb15591e0 0xed68c013 0xd79374ff 0x44f87880
Botnet Traffic Filter           : Enabled    330 days

Exemple 6 : sortie de l’unité secondaire pour le module de services ASA dans une paire de basculement pour la commande show activation-key

Voici un exemple de sortie de la commande show activation-key pour l’unité de basculement secondaire qui affiche :

La licence de l’unité secondaire (la licence permanente et les licences à durée déterminée combinées).
La licence « grappe de basculement », qui regroupe les licences des unités principale et secondaire. Il s’agit de la licence qui est en cours d’exécution sur l’ASA. Les valeurs de cette licence qui reflètent la combinaison des licences principale et secondaire sont indiquées en gras.
Les licences secondaires installées à durée limitée (actives et inactives). Cette unité n’a pas de licences à durée limitée, donc aucune n’est affichée dans cet exemple de sortie.


ciscoasa# show activation-key detail

Serial Number:  SAD143502E3
Running Permanent Activation Key: 0xf404c46a 0xb8e5bd84 0x28c1b900 0x92eca09c 0x4e2a0683

Licensed features for this platform:
Maximum Interfaces                : 1024           perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
DES                               : Enabled        perpetual
3DES-AES                          : Enabled        perpetual
Security Contexts                 : 25             perpetual
GTP/GPRS                          : Disabled       perpetual
Botnet Traffic Filter             : Disabled       perpetual

This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.


Failover cluster licensed features for this platform:
Maximum Interfaces                : 1024           perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
DES                               : Enabled        perpetual
3DES-AES                          : Enabled        perpetual
Security Contexts                 : 50 perpetual
GTP/GPRS                          : Enabled perpetual
Botnet Traffic Filter             : Enabled 330 days

This platform has an WS-SVC-ASA-SM1 No Payload Encryption license.

The flash permanent activation key is the SAME as the running permanent key.

Exemple 7 : sortie dans une grappe pour la commande show activation-key


ciscoasa# show activation-key
 Serial Number: JMX1504L2TD
 Running Permanent Activation Key: 0x4a3eea7b 0x54b9f61a 0x4143a90c 0xe5849088 0x4412d4a9

 Licensed features for this platform:
 Maximum Physical Interfaces : Unlimited perpetual
 Maximum VLANs : 100 perpetual
 Inside Hosts : Unlimited perpetual
 Failover : Active/Active perpetual
 Encryption-DES : Enabled perpetual
 Encryption-3DES-AES : Enabled perpetual
 Security Contexts : 2 perpetual
 GTP/GPRS : Disabled perpetual
 AnyConnect Premium Peers : 2 perpetual
 AnyConnect Essentials : Disabled perpetual
 Other VPN Peers : 250 perpetual
 Total VPN Peers : 250 perpetual
 Shared License : Disabled perpetual
 AnyConnect for Mobile : Disabled perpetual
 AnyConnect for Cisco VPN Phone : Disabled perpetual
 Advanced Endpoint Assessment : Disabled perpetual
 UC Phone Proxy Sessions : 2 perpetual
 Total UC Proxy Sessions : 2 perpetual
 Botnet Traffic Filter : Disabled perpetual
 Intercompany Media Engine : Disabled perpetual
 Cluster : Enabled perpetual

 This platform has an ASA 5585-X base license.

 Failover cluster licensed features for this platform:
 Maximum Physical Interfaces : Unlimited perpetual
 Maximum VLANs : 100 perpetual
 Inside Hosts : Unlimited perpetual
 Failover : Active/Active perpetual
 Encryption-DES : Enabled perpetual
 Encryption-3DES-AES : Enabled perpetual
 Security Contexts : 4 perpetual
 GTP/GPRS : Disabled perpetual
 AnyConnect Premium Peers : 4 perpetual
 AnyConnect Essentials : Disabled perpetual
 Other VPN Peers : 250 perpetual
 Total VPN Peers : 250 perpetual
 Shared License : Disabled perpetual
 AnyConnect for Mobile : Disabled perpetual
 AnyConnect for Cisco VPN Phone : Disabled perpetual
 Advanced Endpoint Assessment : Disabled perpetual
 UC Phone Proxy Sessions : 4 perpetual
 Total UC Proxy Sessions : 4 perpetual
 Botnet Traffic Filter : Disabled perpetual
 Intercompany Media Engine : Disabled perpetual
 Cluster : Enabled perpetual

 This platform has an ASA 5585-X base license.

 The flash permanent activation key is the SAME as the running permanent key.

Supervision de la licence partagée

Pour superviser la licence partagée, et saisissez l’une des commandes suivantes.

show shared license [detail | client [hostname] | backup]

Affiche les statistiques de licences partagées. Les mots clés facultatifs ne sont disponibles que pour le serveur de licences : le mot clé detail affiche les statistiques par participant. Pour limiter l’affichage à un participant, utilisez le mot clé client. Le mot clé backup affiche des renseignements sur le serveur de sauvegarde.

Pour effacer les statistiques de licences partagées, saisissez la commande clear shared license.

Voici un exemple de sortie de la commande show shared license sur le participant à la licence :


ciscoasa>  show shared license
Primary License Server : 10.3.32.20
  Version              : 1
  Status               : Inactive

Shared license utilization:
  SSLVPN:
    Total for network :     5000
    Available         :     5000
    Utilized          :        0
  This device:
    Platform limit    :      250
    Current usage     :        0
    High usage        :        0
  Messages Tx/Rx/Error:
    Registration    : 0 / 0 / 0
    Get             : 0 / 0 / 0
    Release         : 0 / 0 / 0
    Transfer        : 0 / 0 / 0

Voici un exemple de sortie de la commande show shared license detail sur le serveur de licences :


ciscoasa>  show shared license detail
Backup License Server Info:

Device ID           : ABCD
Address             : 10.1.1.2
Registered          : NO
HA peer ID          : EFGH
Registered          : NO
  Messages Tx/Rx/Error:
    Hello           : 0 / 0 / 0
    Sync            : 0 / 0 / 0
    Update          : 0 / 0 / 0

Shared license utilization:
  SSLVPN:
    Total for network :      500
    Available         :      500
    Utilized          :        0
  This device:
    Platform limit    :      250
    Current usage     :        0
    High usage        :        0
  Messages Tx/Rx/Error:
    Registration    : 0 / 0 / 0
    Get             : 0 / 0 / 0
    Release         : 0 / 0 / 0
    Transfer        : 0 / 0 / 0


Client Info:

  Hostname          : 5540-A
  Device ID         : XXXXXXXXXXX
  SSLVPN:
    Current usage   : 0
    High            : 0
  Messages Tx/Rx/Error:
    Registration    : 1 / 1 / 0
    Get             : 0 / 0 / 0
    Release         : 0 / 0 / 0
    Transfer        : 0 / 0 / 0
...

show activation-key

Affiche les licences installées sur l’ASA. La commande show version affiche également les renseignements de licence.
show vpn-sessiondb

Affiche les renseignements de licence concernant les sessions VPN.

Historique des licences PAK

Nom de la caractéristique

Versions de plateforme

Description

Augmentation du nombre de connexions et de VLAN

7.0(5)

Augmentation des limites suivantes :

Connexions de licence de base ASA 5510 de 32 000 à 50 000; réseaux VLAN de 0 à 10.
Connexions de licence ASA 5510 Security Plus de 64 000 à 130 000; réseaux VLAN de 10 à 25.
Connexions ASA 5520 de 130 000 à 280 000; réseaux VLAN de 25 à 100.
Connexions ASA 5540 de 280 000 à 400 000; réseaux VLAN de 100 à 200.

Licences SSL VPN

7.1(1)

Des licences SSL VPN ont été introduites.

Augmentation du nombre de licences SSL VPN

7.2(1)

Une licence SSL VPN de 5 000 utilisateurs a été introduite pour les ASA 5550 et versions ultérieures.

Augmentation du nombre d’interfaces pour la licence de base sur l’ASA 5510

7.2(2)

Pour la licence de base sur l’ASA 5510, le nombre maximum d’interfaces est passé de 3 plus une interface de gestion à un nombre illimité d’interfaces.

Augmentation du nombre de VLAN

7.2(2)

Le nombre maximum de VLAN pour la licence Security Plus sur l’ASA 5505 est passé de 5 (3 entièrement fonctionnels; 1 de basculement; un limité à une interface de secours) à 20 interfaces entièrement fonctionnelles. De plus, le nombre de ports de liaison est passé de 1 à 8. Il existe maintenant 20 interfaces entièrement fonctionnelles. Vous n’avez pas besoin d’utiliser la commande d’interface de sauvegarde pour chiffrer une interface ISP de secours; vous pouvez utiliser une interface entièrement fonctionnelle à cette fin. La commande d’interface de sauvegarde est toujours utile pour une configuration Easy VPN.

Les limites de VLAN ont également été augmentées pour l’ASA 5510 (de 10 à 50 pour la licence de base et de 25 à 100 pour la licence Security Plus), l’ASA 5520 (de 100 à 150), l’ASA 5550 (de 200 à 250).

Prise en charge de Gigabit Ethernet pour la licence Security Plus sur l’ASA 5510

7.2(3)

L’ASA 5510 prend désormais en charge Gigabit Ethernet (1 000 Mbit/s) pour les ports Ethernet 0/0 et 0/1 avec la licence Security Plus. Dans la licence de base, ils continuent d’être utilisés comme ports Fast Ethernet (100 Mbit/s). Ethernet 0/2, 0/3 et 0/4 restent des ports Fast Ethernet pour les deux licences.

Remarque

Les noms d’interface restent Ethernet 0/0 et Ethernet 0/1.

Utilisez la commande speed pour modifier la vitesse sur l’interface et utilisez la commande show interface pour voir quelle vitesse est actuellement configurée pour chaque interface.

Licence d’évaluation de point d’accès avancée

8.0(2)

Licence d’évaluation de point d’accès avancée a été introduite. Comme condition à l’achèvement d’une connexion Cisco AnyConnect ou d’une connexion SSL VPN sans client, l’ordinateur distant analyse une série considérablement élargie d’applications antivirus et anti-logiciel espion, de pare-feu, de systèmes d’exploitation et de mises à jour associées. Il analyse également les entrées de registre, les noms de fichiers et les noms de processus que vous spécifiez. Il envoie les résultats de l’analyse à l’ASA. L’ASA utilise les coordonnées de connexion de l’utilisateur et les résultats de l’analyse de l’ordinateur pour attribuer une politique d’accès dynamique (DAP).

Avec une licence d’évaluation de point d’accès avancée, vous pouvez améliorer l’analyse de l’hôte en configurant une tentative de mise à jour des ordinateurs non conformes pour répondre aux exigences de la version.

Cisco peut fournir des mises à jour en temps opportun de la liste des applications et des versions prises en charge par l’analyse de l’hôte dans un progiciel distinct de Cisco Secure Desktop.

Équilibrage de charges du VPN pour l’ASA 5510

8.0(2)

L’équilibrage de charges du VPN est désormais pris en charge sur la licence Security Plus de l’ASA 5510.

Licence AnyConnect pour mobile

8.0(3)

La licence AnyConnect pour mobile a été introduite. Elle permet aux périphériques mobiles Windows de se connecter à l’ASA à l’aide du Secure Client (services client sécurisés).

Licences à durée limitée

8.0(4)/8.1(2)

La prise en charge des licences à durée limitée a été introduite.

Augmentation du nombre de VLAN pour l’ASA 5580

8.1(2)

Le nombre de VLAN pris en charge sur l’ASA 5580 est passé de 100 à 250.

Licence de sessions de mandataire pour les communications unifiées

8.0(4)

La licence de sessions de mandataire UC a été introduite. Les applications de mandataire téléphonique, de mandataire de fédération de présence et d’inspection de voix chiffrée utilisent des sessions de mandataire TLS pour leurs connexions. Chaque session de mandataire TLS est prise en compte dans la limite de licences UC. Toutes ces applications sont sous licence dans le cadre de l’offre de mandataires UC, et peuvent être combinées entre elles.

Cette fonctionnalité n’est pas disponible dans la version 8.1.

Licence de filtre de trafic de réseau de zombies

8.2(1)

La licence de filtre de trafic de réseau de zombies a été introduite. Le filtre de trafic de réseau de zombies protège contre les activités réseau de programmes malveillants en suivant les connexions aux domaines et aux adresses IP connus pour être malveillants.

Licence AnyConnect Essentials

8.2(1)

La licence AnyConnect Essentials a été introduite. Cette licence active l’accès client VPN AnyConnect à l’ASA. Cette licence ne prend pas en charge l’accès SSL VPN par navigateur ou Cisco Secure Desktop. Pour ces fonctionnalités, activez une licence AnyConnect Premium au lieu de la licence AnyConnect Essentials.

Remarque

Grâce à la licence AnyConnect Essentials, les utilisateurs de VPN peuvent utiliser un navigateur pour se connecter, télécharger et lancer (WebLaunch) le Secure Client (services client sécurisés).

Le logiciel Secure Client (services client sécurisés) offre le même ensemble de fonctionnalités client, qu’il soit activé par cette licence ou une licence AnyConnect Premium.

La licence AnyConnect Essentials ne peut pas être active en même temps que les licences suivantes sur un ASA donné : licence AnyConnect Premium (tous les types) ou licence d’évaluation de point d’accès avancée. Vous pouvez toutefois exécuter les licences AnyConnect Essentials et AnyConnect Premium sur différents ASA dans le même réseau.

Par défaut, l’ASA utilise la licence AnyConnect Essentials, mais vous pouvez la désactiver pour utiliser d’autres licences en utilisant l’argument webvpn, puis la commande no anyconnect-essentials.

Licence SSL VPN remplacée par une licence AnyConnect Premium SSL VPN Edition

8.2(1)

Le nom de la licence SSL VPN a été remplacé par la licence AnyConnect Premium SSL VPN Edition.

Licences partagées pour SSL VPN

8.2(1)

Des licences partagées pour SSL VPN ont été introduites. Plusieurs ASA peuvent partager un ensemble de sessions SSL VPN selon les besoins.

L’application du mandataire de mobilité ne nécessite plus de licence de mandataire de connexions unifiées

8.2(2)

Le mandataire de mobilité ne nécessite plus la licence de mandataire UC.

Licence d’E/S 10 GE pour l’ASA 5585-X avec SSP-20

8.2(3)

Nous avons introduit la licence d’E/S 10 GE pour l’ASA 5585-X avec SSP-20 afin de permettre des vitesses de 10 Gigabit Ethernet pour les ports de fibre optique. Le SSP-60 prend en charge des vitesses de 10 Gigabit Ethernet par défaut.

Remarque

L’ASA 5585-X n’est pas pris en charge dans la version 8.3(x).

Licence d’E/S 10 GE pour l’ASA 5585-X avec SSP-10

8.2(4)

Nous avons introduit la licence d’E/S 10 GE pour l’ASA 5585-X avec SSP-10 afin de permettre des vitesses de 10 Gigabit Ethernet pour les ports de fibre optique. Le SSP-40 prend en charge des vitesses de 10 Gigabit Ethernet par défaut.

Remarque

L’ASA 5585-X n’est pas pris en charge dans la version 8.3(x).

Licences de basculement non identiques

8.3(1)

Les licences de basculement n’ont plus besoin d’être identiques sur chaque unité. La licence utilisée pour les deux unités est la licence combinée des unités principale et secondaire.

Nous avons modifié les commandes suivantes : show activation-key et show version.

Licences empilables à durée limitée

8.3(1)

Les licences à durée limitée sont maintenant empilables. Dans de nombreux cas, vous devrez peut-être renouveler votre licence temporaire et effectuer une transition transparente de l’ancienne licence à la nouvelle. Pour les fonctionnalités qui ne sont disponibles qu’avec une licence à durée limitée, il est particulièrement important que la licence n’expire pas avant que vous puissiez appliquer la nouvelle licence. L’ASA vous permet d’empiler des licences à durée limitée afin que vous n’ayez pas à vous soucier de l’expiration de la licence ou de la perte de temps sur vos licences en raison de l’installation de la nouvelle licence plus tôt.

Licence Intercompany Media Engine

8.3(1)

La licence IME a été introduite.

Plusieurs licences à durée limitée actives en même temps

8.3(1)

Vous pouvez maintenant installer plusieurs licences à durée limitée et avoir une licence par fonctionnalité active à la fois.

Nous avons modifié les commandes suivantes : show activation-key et show version.

Activation et désactivation discrétionnaires des licences à durée limitée.

8.3(1)

Vous pouvez maintenant activer ou désactiver des licences à durée limitée à l’aide d’une commande.

Nous avons modifié les commandes suivantes : activation-key [activate | deactivate].

Licence AnyConnect Premium SSL VPN Edition remplacée par une licence AnyConnect Premium SSL VPN

8.3(1)

Le nom de la licence AnyConnect Premium SSL VPN Edition a été remplacé par la licence AnyConnect Premium SSL VPN.

Aucune image de chiffrement des données utiles à exporter

8.3(2)

Si vous installez le logiciel sans chiffrement des données utiles sur les ASA 5505 à 5550, vous désactiverez les communications unifiées, le VPN de cryptage renforcé et les protocoles de gestion de cryptage renforcé.

Remarque

Cette image spéciale n’est prise en charge que dans 8.3(x); pour la prise en charge du chiffrement des données utiles dans les versions 8.4(1) et ultérieures, vous devez acheter une version matérielle spéciale de l’ASA.

Augmentation du nombre de contextes pour les ASA 5550, 5580 et 5585-X

v 8.4(1)

Pour les ASA 5550 et ASA 5585-X avec SSP-10, le nombre maximum de contextes est passé de 50 à 100. Pour les ASA 5580 et 5585-X avec SSP-20 et versions ultérieures, le maximum est passé de 50 à 250.

Augmentation du nombre de VLAN pour les ASA 5580 et 5585-X

v 8.4(1)

Pour les ASA 5580 et 5585-X, le nombre maximum de VLAN est passé de 250 à 1 024.

Augmentation du nombre de connexions pour les ASA 5580 et 5585-X

v 8.4(1)

Nous avons augmenté les limites de connexion du pare-feu :

ASA 5580-20 : 1 000 000 à 2 000 000.
ASA 5580-40 : 2 000 000 à 4 000 000.
ASA 5585-X avec SSP-10 : 750 000 à 1 000 000.
ASA 5585-X avec SSP-20 : 1 000 000 à 2 000 000.
ASA 5585-X avec SSP-40 : 2 000 000 à 4 000 000.
ASA 5585-X avec SSP-60 : 2 000 000 à 10 000 000.

Licence AnyConnect Premium SSL VPN remplacée par la licence AnyConnect Premium

v 8.4(1)

Le nom de la licence AnyConnect Premium SSL VPN a été remplacé par la licence AnyConnect Premium. L’affichage des renseignements sur la licence est passé de « SSL VPN Peers » (Homologues SSL VPN) à « AnyConnect Premium Peers » (Homologues AnyConnect Premium).

Augmentation du nombre de sessions VPN AnyConnect pour l’ASA 5580

v 8.4(1)

La limite de sessions VPN AnyConnect est passée de 5 000 à 10 000.

Augmentation du nombre de sessions Autre VPN pour l’ASA 5580

v 8.4(1)

La limite de sessions Autre VPN est passée de 5 000 à 10 000.

VPN d’accès à distance IPsec avec IKEv2

v 8.4(1)

Le VPN d’accès à distance IPsec avec IKEv2 a été ajouté aux licences AnyConnect Essentials et AnyConnect Premium.

Remarque

La limite suivante existe dans notre prise en charge de IKEv2 sur l’ASA : nous ne prenons actuellement pas en charge les associations de sécurité en double.

Les sessions de site à site IKEv2 ont été ajoutées à la licence Autre VPN (anciennement VPN IPsec). La licence Autre VPN est incluse dans la licence de base.

Aucun matériel de chiffrement des données utiles à exporter

v 8.4(1)

Pour les modèles disponibles sans chiffrement des données utiles (par exemple, l’ASA 5585-X), le logiciel ASA désactive les communications unifiées et les fonctions VPN, ce qui rend l’ASA disponible pour l’exportation vers certains pays.

Doubles SSP pour SSP-20 et SSP-40

8.4(2)

Pour SSP-40 et SSP-60, vous pouvez utiliser deux SSP de même niveau dans le même châssis. Les SSP de niveau mixte ne sont pas pris en charge (par exemple, un SSP-40 avec un SSP-60 n’est pas pris en charge). Chaque SSP agit en tant qu’appareil indépendant, avec des configurations et une gestion distinctes. Vous pouvez utiliser les deux SSP comme paire de basculement si vous le souhaitez. Lors de l’utilisation de deux SSP dans le châssis, le VPN n’est pas pris en charge; notez, cependant, que le VPN n’a pas été désactivé.

Licence de module IPS pour les modèles ASA 5512-X à ASA 5555-X

8.6(1)

Le module logiciel IPS SSP sur les modèles ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X et ASA 5555-X nécessite la licence de module IPS.

Licence de mise en grappe pour les modèles ASA 5580 et ASA 5585-X.

9.0(1)

Une licence de mise en grappe a été ajoutée pour les modèles ASA 5580 et ASA 5585-X.

Prise en charge du VPN sur l’ASASM

9.0(1)

L’ASASM prend désormais en charge toutes les fonctionnalités VPN.

Prise en charge des communications unifiées sur l’ASASM

9.0(1)

L’ASASM prend désormais en charge toutes les fonctionnalités de communications unifiées.

Prise en charge du double SSP ASA 5585-X pour les SSP-10 et SSP-20 (en plus de SSP-40 et SSP-60); prise en charge du VPN pour les doubles SSP

9.0(1)

L’ASA 5585-X prend désormais en charge les doubles SSP utilisant tous les modèles SSP (vous pouvez utiliser deux SSP de même niveau dans le même châssis). Le VPN est désormais pris en charge lors de l’utilisation de deux SSP.

Prise en charge de l’ASA 5500-X pour la mise en grappe

9.1(4)

Les modèles ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X et ASA 5555-X prennent désormais en charge les grappes de deux unités. La mise en grappe pour 2 unités est activée par défaut dans la licence de base; pour l’ASA 5512-X, vous avez besoin de la licence Security Plus.

Prise en charge de 16 membres d’une grappe pour l’ASA 5585-X

9.2(1)

L’ASA 5585-X prend désormais en charge les grappes de 16 unités.

Les licences des modèles ASAv4 et ASAv30 Standard et Premium ont été introduites

9.2(1)

L’ASAv a été introduit avec un schéma de licence simple : des licences permanentes ASAv4 et ASAv30 de niveau Standard ou Premium. Aucune licence complémentaire n’est disponible.

CLI, livre 1 : Guide de configuration de l’interface de ligne de commande pour l’exploitation générale de la gamme Cisco Secure Firewall ASA, 9.19

Langage exempt de préjugés

À propos de la traduction

Results

Chapter: Licences : licence à clé d’autorisation de produit pour l’ISA 3000

Licences : licence à clé d’autorisation de produit pour l’ISA 3000

À propos des licences PAK

Licence préinstallée

Licence permanente

Licences à durée limitée

Lignes directrices relatives à l’activation de la licence à durée limitée

Fonctionnement de la minuterie des licences à durée limitée

Association des licences permanentes et à durée limitée

Empilage des licences à durée limitée

Échéance de la licence à durée limitée

Remarques relatives à la licence

LicencesSecure Client Advantage , Secure Client Premieret VPN client sécurisé uniquement

Autre licence VPN

Nombre total de sessions VPN combinées, tous types

Équilibrage de la charge VPN

Licences VPN existantes

Licence de chiffrement

Nombre total de sessions de mandataire TLS

Nombre maximum de VLAN

Licences partagées Secure Client (services client sécurisés) Premium (AnyConnect 3 et versions antérieures)

Licences de basculement

Exigences et exceptions en matière de licence de basculement

Association des licences de basculement

Perte de communication entre les unités de basculement

Mise à niveau des paires de basculement

Aucun modèle de chiffrement des données utiles

FAQ sur les licences

Lignes directrices relatives aux licences PAK

Directives relatives au mode contextuel

Directives en matière de basculement

Directives sur les modèles

Lignes directrices relatives à la mise à niveau et à la rétrogradation

Directives supplémentaires

Configurer les licences PAK

Commander des licences PAK et obtenir une clé d’activation

Avant de commencer

Procédure

Obtenir une licence de cryptage renforcé

Procédure

Activer ou désactiver les clés

Avant de commencer

Procédure

Exemple:

Configurer une licence partagée (Secure Client (services client sécurisés) 3 et versions antérieures)

À propos des licences partagées

À propos du serveur de licences partagées et des participants

Problèmes de communication entre le participant et le serveur

À propos du serveur de sauvegarde de licences partagées

Licences de basculement et partagées

Serveurs de licences de basculement et partagées

Participants aux licences de basculement et partagées

Nombre maximum de participants

Configurer le serveur de licences partagées

Avant de commencer

Procédure

Exemple:

Exemple:

Exemple:

Exemple:

Exemple:

Exemples

Configurer le serveur de sauvegarde de licences partagées (facultatif)

Avant de commencer

Procédure

Exemple:

Exemple:

Exemples

Configurer le participant à la licence partagée

Avant de commencer

Procédure

Exemple:

Exemple:

Exemples

Licences de fonctionnalités prises en charge par modèle

Licences par modèle