ライセンス:スマート ソフトウェア ライセンシング

スマート ソフトウェア ライセンシングによって、ライセンスを購入し、ライセンスのプールを一元管理することができます。製品認証キー(PAK)ライセンスとは異なり、スマート ライセンスは特定のシリアル番号に関連付けられません。各ユニットのライセンス キーを管理しなくても、簡単に ASA を導入したり使用を終了したりできます。スマート ソフトウェア ライセンスを利用すれば、ライセンスの使用状況と要件をひと目で確認することもできます。


(注)  

プラットフォーム別のスマートライセンスの機能と動作の詳細については、「Smart Enabled Product Families」を参照してください。

スマート ソフトウェア ライセンスについて

シスコ スマート ライセンシングは、シスコ ポートフォリオ全体および組織全体でソフトウェアをより簡単かつ迅速に一貫して購入および管理できる柔軟なライセンス モデルです。また、これは安全です。ユーザーがアクセスできるものを制御できます。スマート ライセンスを使用すると、次のことが可能になります。

  • 簡単なアクティベーション:スマートライセンスは、組織全体で使用できるソフトウェアライセンスのプールを確立します。PAK(製品アクティベーションキー)は不要です。

  • 管理の統合:My Cisco Entitlements(MCE)は、使いやすいポータルですべてのシスコ製品とサービスの完全なビューを提供するので、取得したもの、使用しているものを常に把握できます。

  • ライセンスの柔軟性:ソフトウェアはハードウェアにノードロックされていないため、必要に応じてライセンスを簡単に使用および転送できます。

スマートライセンシングを使用するには、まず Cisco Software Central(software.cisco.com)でスマートアカウントを設定する必要があります。

シスコライセンスの概要については詳しくは、cisco.com/go/licensingguide を参照してください。

Firepower 4100/9300 シャーシの ASA のスマート ソフトウェア ライセンシング

Firepower 4100/9300 シャーシ 上の ASA では、スマート ソフトウェア ライセンシングの設定は、Firepower 4100/9300 シャーシ スーパバイザと ASA に分割されています。

  • Firepower 4100/9300 シャーシ:Smart Software Manager との通信に使用するパラメータなど、すべてのスマート ソフトウェア ライセンシング インフラストラクチャをシャーシで設定します。Firepower 4100/9300 シャーシ 自体の動作にライセンスは必要ありません。ライセンスの手順については、『 FXOS 構成ガイド』を 参照してください。


    (注)  

    シャーシ間クラスタリングでは、クラスタ内の各シャーシで同じスマート ライセンス方式を有効にする必要があります。

  • ASA アプリケーション:ASA のすべてのライセンスの権限付与を設定します。

Smart Software Manager とアカウント

デバイスの 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager で管理します。

https://software.cisco.com/#module/SmartLicensing

Smart Software Manager では、組織のマスター アカウントを作成できます。


(注)  

まだアカウントをお持ちでない場合は、このリンクをクリックして新しいアカウントをセットアップしてください。Smart Software Manager を使用すると、組織のマスター アカウントを作成できます。

デフォルトでは、マスター アカウントにあるデフォルトの仮想アカウントにライセンスが割り当てられます。アカウント管理者は、必要に応じて仮想アカウントを追加できます。たとえば、地域、部門、または支社用にアカウントを作成できます。複数の仮想アカウントがあることで、大量のライセンスやデバイスを簡単に管理できます。

オフライン管理

デバイスにインターネットアクセスがなく、Smart Software Manager に登録できない場合は、オフライン ライセンスを構成する必要があります。

パーマネント ライセンスの予約

デバイスがセキュリティ上の理由でインターネットにアクセスできない場合、オプションで、各 ASA の永続ライセンスを要求できます。永続ライセンスでは、Smart Software Manager への定期的なアクセスは必要ありません。PAK ライセンスの場合と同様にライセンスを購入し、ASA のライセンス キーをインストールします。PAK ライセンスとは異なり、ライセンスの取得と管理に Smart Software Manager を使用します。通常のスマート ライセンス モードと永続ライセンスの予約モード間で簡単に切り替えることができます。


(注)  

ASA は特定のライセンス予約(SLR)をサポートしていません。SLR では、特定の機能権限が永続的に有効になっています。ASA は、すべての機能が永続的に有効になっている PLR のみをサポートします。
ASA Virtual 永久ライセンス予約

(注)  

永久ライセンス予約は、VMware と KVM のみでサポートされます。

次のすべての機能を有効にするモデル固有のライセンスを取得できます。

  • 使用中のモデルの最大スループット

  • Essentials

  • 高度暗号化(3DES および AES)ライセンス(スマート ライセンシング アカウントで有効にしている場合)

  • プラットフォームの上限まで有効化される セキュアクライアント の機能


    (注)  

    セキュアクライアント の機能を使用するには、セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入する必要があります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。

Cisco では、 ASA 仮想に 2 つの永続ライセンスの予約モードを用意しています。

  • メモリおよび vCPU に基づく永続ライセンスの予約モード

  • 柔軟なパーマネント ライセンスの予約モード

メモリおよび vCPU に基づく永続ライセンスの予約モード

ASA 仮想に割り当てられた RAM と vCPU に基づいて、モデル固有のライセンスを設定できます。たとえば、8 GB RAM と 4 つの vCPU を搭載した ASA 仮想 の場合、 では常に 2G のスループットを備えた ASAv30 ライセンスを使用します。

vCPU およびメモリとライセンスの関係は次のとおりです。

  • 2 GB、1 vCPU:ASAv5(100 M)(license smart set_plr5 コマンドを実行する必要があります。それ以外の場合は、ASAv10 ライセンスが 1 G のスループットを可能にするように割り当てられます)。


    (注)  

    バージョン 9.13 で、ASAv5 の RAM 要件が 2 GB に増加しました。ASA は、割り当てられたメモリをチェックし、2 GB の RAM が ASAv5 ではなく ASAv10 であると判断していたため、この増加により、ASAv5 の永久ライセンスが機能しなくなっています。ASAv5 の永久ライセンスを機能させるために、このモデルの追加メモリを認識するように ASA を設定できます。

  • 2 GB、1 vCPU:ASAv10(1G)

  • 8 GB、4 vCPU:ASAv30(2G)

  • 16 GB、8 vCPU:ASAv50(10G)

  • 32 GB、16 vCPU:ASAv100(20G)

  • 64 GB、32 vCPU:ASAvU

  • 128 GB、64 vCPU:ASAvU

後でモデル レベルを変更したい場合は、現在のライセンスを返却し、変更後のモデル レベルに対応する新規ライセンスを要求する必要があります。展開済みの ASA 仮想 のモデルを変更するには、新しいモデルの要件に合わせるために、ハイパーバイザから vCPU と DRAM の設定を変更します。これらの値については、『 ASA 仮想 Virtual Getting Started Guide』 を参照してください。

ライセンスの使用を停止した場合、ASA 仮想 で戻りコードを生成し、そのコードを Smart Software Manager に入力して、ライセンスを返却する必要があります。使用していないライセンスの料金の支払うことのないように、返却プロセスに正確に従ってください。

柔軟なパーマネント ライセンスの予約モード

ASA 仮想に割り当てられた RAM および vCPU に関係なく、モデル固有のライセンスを設定できます。

指定するモデルライセンスにより、 ASA 仮想のスループットレベルが設定されます。 ASA 仮想 のメモリにより、最大 セキュアクライアント セッション、TLS プロキシ セッション、最大同時ファイアウォール接続数および VLAN が決定されます( モデルライセンスではありません)。ただし、 ASA 仮想 メモリプロファイルを小さくすると、セッションと機能の実際の数が制限されます。

たとえば、 ASA 仮想 に 8 GB の RAM があり、ASAV_50_UNIVERSAL に登録されている場合、 セキュアクライアント に割り当てられる最大セッション数は 750 です。セッションがこの制限を超えると、接続はドロップされます。

永続ライセンス予約ライセンスモードのその他の利点は次のとおりです。

  • ASA 仮想に割り当てられたメモリに関係なく、永続ライセンスの予約ライセンスを切り替えることができます。ただし、 ASA 仮想 に 16 を超える vCPU がある場合は、ASAvU(無制限)ライセンスのみを設定できます。

  • モデル ライセンスを変更せずに、 ASA 仮想 に割り当てられたメモリと vCPU を変更できます。

ライセンスの使用を停止した場合、ASA 仮想 で戻りコードを生成し、そのコードを Smart Software Manager に入力して、ライセンスを返却する必要があります。使用していないライセンスの料金の支払うことのないように、返却プロセスに正確に従ってください。

永続ライセンス予約の設定の詳細については、 ASA 仮想:永続ライセンス予約の設定を参照してください。

Firepower 1010 永続ライセンスの予約

すべての機能を有効にするライセンスを取得できます。

  • Essentials

  • Security Plus

  • 高度暗号化(3DES/AES)ライセンス(アカウントが適格の場合)

  • プラットフォームの上限まで有効化される セキュアクライアント の機能

    セキュアクライアント の機能を使用するには、セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入する必要があります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。


(注)  

また、ASA の設定で権限付与を要求することにより、ASA でそれらを使用できるようにする必要があります。

ライセンスの使用を停止した場合、ASA で戻りコードを生成し、そのコードを Smart Software Manager に入力して、ライセンスを返却する必要があります。使用していないライセンスの料金の支払うことのないように、返却プロセスに正確に従ってください。

Firepower 1100 永続ライセンスの予約

すべての機能を有効にするライセンスを取得できます。

  • Essentials

  • 最大セキュリティコンテキスト数

  • 高度暗号化(3DES/AES)ライセンス(アカウントが適格の場合)

  • プラットフォームの上限まで有効化される セキュアクライアント の機能

    セキュアクライアント の機能を使用するには、セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入する必要があります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。


(注)  

また、ASA の設定で権限付与を要求することにより、ASA でそれらを使用できるようにする必要があります。

ライセンスの使用を停止した場合、ASA で戻りコードを生成し、そのコードを Smart Software Manager に入力して、ライセンスを返却する必要があります。使用していないライセンスの料金の支払うことのないように、返却プロセスに正確に従ってください。

Secure Firewall 1210/1220 永続ライセンスの予約

すべての機能を有効にするライセンスを取得できます。

  • Essentials

  • 最大セキュリティコンテキスト数

  • 高度暗号化(3DES/AES)ライセンス(アカウントが適格の場合)

  • プラットフォームの上限まで有効化される セキュアクライアント の機能

    セキュアクライアント の機能を使用するには、セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入する必要があります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。


(注)  

また、ASA の設定で権限付与を要求することにより、ASA でそれらを使用できるようにする必要があります。

ライセンスの使用を停止した場合、ASA で戻りコードを生成し、そのコードを Smart Software Manager に入力して、ライセンスを返却する必要があります。使用していないライセンスの料金の支払うことのないように、返却プロセスに正確に従ってください。

Secure Firewall 1230/1240/1250 永続ライセンスの予約

すべての機能を有効にするライセンスを取得できます。

  • Essentials

  • 最大セキュリティコンテキスト数

  • 高度暗号化(3DES/AES)ライセンス(アカウントが適格の場合)

  • プラットフォームの上限まで有効化される セキュアクライアント の機能

    セキュアクライアント の機能を使用するには、セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入する必要があります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。


(注)  

また、ASA の設定で権限付与を要求することにより、ASA でそれらを使用できるようにする必要があります。

ライセンスの使用を停止した場合、ASA で戻りコードを生成し、そのコードを Smart Software Manager に入力して、ライセンスを返却する必要があります。使用していないライセンスの料金の支払うことのないように、返却プロセスに正確に従ってください。

Secure Firewall 3100/4200 永続ライセンスの予約

すべての機能を有効にするライセンスを取得できます。

  • Essentials

  • 最大セキュリティコンテキスト数

  • キャリア ライセンス

  • 高度暗号化(3DES/AES)ライセンス(アカウントが適格の場合)

  • プラットフォームの上限まで有効化される セキュアクライアント の機能

    セキュアクライアント の機能を使用するには、セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入する必要があります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。


(注)  

また、ASA の設定で権限付与を要求することにより、ASA でそれらを使用できるようにする必要があります。

ライセンスの使用を停止した場合、ASA で戻りコードを生成し、そのコードを Smart Software Manager に入力して、ライセンスを返却する必要があります。使用していないライセンスの料金の支払うことのないように、返却プロセスに正確に従ってください。

Firepower 4100/9300 シャーシ永久ライセンス予約

すべての機能を有効にするライセンスを取得できます。

  • Essentials 層。

  • 最大セキュリティコンテキスト数

  • キャリア ライセンス

  • 高度暗号化(3DES/AES)ライセンス(アカウントが適格の場合)

  • プラットフォームの上限まで有効化される セキュアクライアント の機能

    セキュアクライアント の機能を使用するには、セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入する必要があります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。


(注)  

ライセンスは Firepower 4100/9300 シャーシ上で管理されますが、それに加えて ASA の設定で権限付与を要求することにより、ASA でそれらを使用できるようにする必要があります。ライセンスを管理するには、『FXOS 構成 ガイド』を参照します。

ライセンスの使用を停止した場合、Firepower 4100/9300 シャーシ で戻りコードを生成し、そのコードを Smart Software Manager に入力して、ライセンスを返却する必要があります。使用していないライセンスの料金の支払うことのないように、返却プロセスに正確に従ってください。

Smart Software Manager オンプレミス

デバイスがセキュリティ上の理由でインターネットにアクセスできない場合、オプションで、仮想マシン(VM)としてローカル Smart Software Manager オンプレミスサーバー(旧「Smart Software サテライトサーバー」)をインストールできます。Smart Software Manager オンプレミスは、Smart Software Manager の機能の一部を提供します。これにより、すべてのローカルデバイスに不可欠なライセンシングサービスを提供できます。ライセンスの使用状況を同期するためにメインの Smart Software Manager に定期的に接続する必要があるのは、Smart Software Manager オンプレミスだけです。スケジュールに沿って同期するか、または手動で同期できます。

Smart Software Manager オンプレミスでは、次の機能を実行できます。

  • ライセンスの有効化または登録

  • 企業ライセンスの表示

  • 会社のエンティティ間でのライセンス移動

詳細については、『Cisco Smart Software Manager オンプレミスのデータ シート』を参照してください。

仮想アカウントごとに管理されるライセンスとデバイス

ライセンスとデバイスは仮想アカウントごとに管理されます。つまり、その仮想アカウントのデバイスのみが、そのアカウントに割り当てられたライセンスを使用できます。新たにライセンスを追加する必要がある場合は、別の仮想アカウントから未使用のライセンスを譲渡できます。仮想アカウント間でデバイスを転送することもできます。

Firepower 4100/9300 シャーシ 上で動作する ASA の場合:シャーシのみがデバイスとして登録される一方で、シャーシ内の ASA アプリケーションはそれぞれ固有のライセンスを要求します。たとえば、3 つのセキュリティ モジュールを搭載した Firepower 9300 シャーシでは、全シャーシが 1 つのデバイスとして登録されますが、各モジュールは合計 3 つのライセンスを別個に使用します。

評価ライセンス

ASA 仮想

ASA 仮想 は、評価モードをサポートしません。Smart Software Manager への登録の前に、ASA 仮想 は厳しいレート制限状態で動作します。

Firepower 1000

Firepower 1000 は、Smart Software Manager への登録の前に 90 日間(合計使用時間)評価モードで動作します。デフォルトの権限のみが有効になります。この期間が終了すると、Firepower 1000 はコンプライアンス違反の状態になります。


(注)  

高度暗号化(3DES/AES)の評価ライセンスを受け取ることはできません。高度暗号化(3DES/AES)ライセンスを有効にするエクスポートコンプライアンス トークンを受け取るには、Smart Software Manager に登録する必要があります。

Firepower 2100

Firepower 2100 は、Smart Software Manager への登録の前に 90 日間(合計使用時間)評価モードで動作します。デフォルトの権限のみが有効になります。この期間が終了すると、Firepower 2100 はコンプライアンス違反の状態になります。


(注)  

高度暗号化(3DES/AES)の評価ライセンスを受け取ることはできません。高度暗号化(3DES/AES)ライセンスを有効にするエクスポートコンプライアンス トークンを受け取るには、Smart Software Manager に登録する必要があります。

Cisco Secure Firewall 3100/4200

Cisco Secure Firewall 3100/4200 は、Smart Software Manager への登録の前に 90 日間(合計使用時間)評価モードで動作します。デフォルトの権限のみが有効になります。この期間が終了すると、Cisco Secure Firewall 3100/4200 はコンプライアンス違反の状態になります。


(注)  

高度暗号化(3DES/AES)の評価ライセンスを受け取ることはできません。高度暗号化(3DES/AES)ライセンスを有効にするエクスポートコンプライアンス トークンを受け取るには、Smart Software Manager に登録する必要があります。

Firepower 4100/9300 シャーシ

Firepower 4100/9300 シャーシ は、次の 2 種類の評価ライセンスをサポートしています。

  • シャーシレベル評価モード:Firepower 4100/9300 シャーシ は、Smart Software Manager への登録の前に 90 日間(合計使用時間)評価モードで動作します。このモードでは、ASA は固有の権限付与を要求できません。デフォルトの権限のみが有効になります。この期間が終了すると、Firepower 4100/9300 シャーシはコンプライアンス違反の状態になります。

  • 権限付与ベースの評価モード:Firepower 4100/9300 シャーシ が Smart Software Manager に登録された後、ASA に割り当て可能な時間ベースの評価ライセンスを取得できます。ASA で、通常どおりに権限付与を要求します。時間ベースのライセンスの期限が切れると、時間ベースのライセンスを更新するか、または永続ライセンスを取得する必要があります。


(注)  

高度暗号化(3DES/AES)の評価ライセンスを受け取ることはできません。高度暗号化(3DES/AES)ライセンスを有効にするエクスポートコンプライアンス トークンを受け取るには、Smart Software Manager に登録して永続ライセンスを取得する必要があります。

ライセンスについて(タイプ別)

ここでは、ライセンスに関する追加情報をタイプ別に説明します。

Secure Client AdvantageSecure Client Premier、およびSecure Client VPN のみライセンス

セキュアクライアントライセンスは ASA に直接適用されません。ただし、ASA を セキュアクライアントヘッドエンドとして使用する権利を保証するには、ライセンスを購入してスマートアカウントに追加する必要があります。

  • Secure Client Advantage および Secure Client Premier ライセンスの場合は、スマートアカウントのすべての ASA で使用する予定のピアの数を合計し、その多くのピア用にライセンスを購入します。

  • Secure Client VPN のみ の場合は、ASA ごとに 1 つのライセンスを購入します。複数の ASA で共有できるピアのプールを提供する他のライセンスとは異なり、Secure Client VPN のみ ライセンスはヘッドエンド単位です。

詳細については、以下を参照してください。

その他の VPN ピア

その他の VPN ピアには、次の VPN タイプが含まれています。

  • IKEv1 を使用した IPsec リモート アクセス VPN

  • IKEv1 を使用した IPsec サイトツーサイト VPN

  • IKEv2 を使用した IPsec サイトツーサイト VPN

このライセンスは基本ライセンスに含まれています。

合計 VPN ピア。全タイプの合計

  • 合計 VPN ピアは、セキュアクライアント とその他の VPN ピアを合算した、許可される VPN ピアの最大数となります。たとえば、合計が 1000 の場合は セキュアクライアント とその他の VPN ピアを 500 ずつ、または セキュアクライアント を 700 とその他の VPN ピア 300 を同時に許可できます。あるいは、1000 すべてを セキュアクライアント に使用することも可能です。合計 VPN ピアが最大数を超えた場合は、ASA をオーバーロードして、適切なネットワークのサイズに設定してください。

暗号化ライセンス

高度暗号化:ASA 仮想

Smart Software Manager または Smart Software Manager オンプレミスサーバーに接続する前に、管理接続に高度暗号化(3DES/AES)を使用できるため、ASDM を起動して Smart Software Manager に接続することが可能です。(VPN などの)高度暗号化を必要とする through-the-box トラフィックの場合、Smart Software Manager に接続して高度暗号化ライセンスを取得するまで、スループットは厳しく制限されます。

スマート ソフトウェア ライセンシング アカウントから ASA 仮想 の登録トークンを要求する場合、[このトークンに登録した製品でエクスポート制御機能を許可する(Allow export-controlled functionality on the products registered with this token)] チェックボックスをオンにして、高度暗号化(3DES/AES)のライセンスが適用されるようにします(お使いのアカウントでその使用が許可されている必要があります)。ASA 仮想 が後でコンプライアンス違反になった場合、エクスポート コンプライアンス トークンが正常に適用されていれば、ASA 仮想 はライセンスを保持し、レート制限状態に戻ることはありません。ASA 仮想 を再登録し、エクスポート コンプライアンスが無効になっている場合、または ASA 仮想 を工場出荷時の設定に復元した場合、ライセンスは削除されます。

最初に高度暗号化なしで ASA 仮想 を登録し、後で高度暗号化を追加する場合は、新しいライセンスを有効にするために ASA 仮想 をリロードする必要があります。

永続ライセンス予約のライセンスの場合、アカウントに使用資格があれば、高度暗号化(3DES/AES)ライセンスが有効になります。

スマートアカウントで強力な暗号化が許可されていないが、強力な暗号化の使用が許可されているとシスコが判断した場合、強力な暗号化ライセンスをアカウントに手動で追加できます。

高度暗号化:Firepower 1000、Cisco Secure Firewall 1200/3100/4200

ASA には、管理アクセスのみを対象にした 3DES 機能がデフォルトで含まれているので、Smart Software Manager に接続でき、すぐに ASDM を使用することもできます。後に ASA で SSH アクセスを設定する場合は、SSH および SCP を使用することもできます。高度な暗号化を必要とするその他の機能(VPN など)では、最初に Smart Software Manager に登録する必要がある高度暗号化が有効になっている必要があります。


(注)  

登録する前に高度な暗号化を使用できる機能の設定を試みると(脆弱な暗号化のみ設定している場合でも)、HTTPS 接続はそのインターフェイスでドロップされ、再接続できません。このルールの例外は、管理 1/1 などの管理専用インターフェイスに接続されている場合です。SSH は影響を受けません。HTTPS 接続が失われた場合は、コンソール ポートに接続して ASA を再設定するか、管理専用インターフェイスに接続するか、または高度暗号化機能用に設定されていないインターフェイスに接続することができます。

スマート ソフトウェア ライセンシング アカウントから ASA の登録トークンを要求する場合、[Allow export-controlled functionality on the products registered with this token] チェックボックスをオンにして、高度暗号化(3DES/AES)のライセンスが適用されるようにします(ご使用のアカウントでその使用が許可されている必要があります)。ASA が後でコンプライアンス違反になった場合、エクスポート コンプライアンス トークンが正常に適用されていれば、ASA は引き続き through the box トラフィックを許可します。ASA を再登録し、エクスポート コンプライアンスが無効になっていても、ライセンスは有効なままです。ASA を工場出荷時の設定に復元すると、ライセンスは削除されます。

最初に高度な暗号化なしで ASA を登録し、後で高度な暗号化を追加する場合は、新しいライセンスを有効にするために ASA をリロードする必要があります。

永続ライセンス予約のライセンスの場合、アカウントに使用資格があれば、高度暗号化(3DES/AES)ライセンスが有効になります。

スマートアカウントで強力な暗号化が許可されていないが、強力な暗号化の使用が許可されているとシスコが判断した場合、強力な暗号化ライセンスをアカウントに手動で追加できます。

高度暗号化:Firepower 4100/9300 シャーシ

ASA を論理デバイスとして展開すると、すぐに ASDM を起動できます。高度暗号化ライセンスに接続して取得するまで、(VPN などの)高度暗号化を必要とする through the box トラフィックは許可されません。

スマート ソフトウェア ライセンシング アカウントからシャーシの登録トークンを要求する場合、[このトークンに登録した製品でエクスポート制御機能を許可する(Allow export-controlled functionality on the products registered with this token)] チェックボックスをオンにして、高度暗号化(3DES/AES)ライセンスが適用されるようにします(お使いのアカウントでその使用が許可されている必要があります)。

ASA が後でコンプライアンス違反になった場合、エクスポート コンプライアンス トークンが正常に適用されていれば、ASA は引き続き through the box トラフィックを許可します。シャーシを再登録し、エクスポート コンプライアンスが無効になっている場合、またはシャーシを工場出荷時の設定に復元した場合、ライセンスは削除されます。

最初に高度な暗号化なしでシャーシを登録し、後で高度な暗号化を追加する場合は、新しいライセンスを有効にするために ASA アプリケーションをリロードする必要があります。

永続ライセンス予約のライセンスの場合、アカウントに使用資格があれば、高度暗号化(3DES/AES)ライセンスが有効になります。

スマートアカウントで強力な暗号化が許可されていないが、強力な暗号化の使用が許可されているとシスコが判断した場合、強力な暗号化ライセンスをアカウントに手動で追加できます。

DES:すべてのモデル

高度暗号化を有効にしている場合、DES を使用することはできません。

キャリア ライセンス

キャリア ライセンスでは、以下のインスペクション機能が有効になります。

  • Diameter:Diameter は、LTE(Long Term Evolution)および IMS(IP Multimedia Subsystem)用の EPS(Evolved Packet System)などの次世代モバイルと固定電気通信ネットワークで使用される認証、認可、およびアカウンティング(AAA)プロトコルです。RADIUS や TACACS がこれらのネットワークで Diameter に置き換えられます。

  • GTP/GPRS:GPRS トンネリングプロトコルは、General Packet Radio Service(GPRS)トラフィック用に GSM、UMTS、および LTE ネットワークで使用されます。GTP は、トンネル制御および管理プロトコルを提供します。このプロトコルによるトンネルの作成、変更、および削除により、モバイル ステーションに GPRS ネットワーク アクセスが提供されます。GTP は、ユーザ データ パケットの伝送にもトンネリング メカニズムを使用します。

  • M3UA:MTP3 User Adaptation(M3UA)は、SS7 Message Transfer Part 3(MTP3)レイヤと連動する IP ベースアプリケーション用の SS7 ネットワークへのゲートウェイを提供するクライアント/サーバープロトコルです。M3UA により、IP ネットワーク上で SS7 ユーザ パート(ISUP など)を実行することが可能になります。M3UA は RFC 4666 で定義されています。

  • CTP:SCTP(Stream Control Transmission Protocol)は RFC 4960 で説明されています。プロトコルは IP 経由のテレフォニー シグナリング プロトコル SS7 をサポートしており、4G LTE モバイル ネットワーク アーキテクチャにおける複数のインターフェイス用の転送プロトコルでもあります。

合計 TLS プロキシ セッション

Encrypted Voice Inspection の各 TLS プロキシ セッションは、TLS ライセンスの制限に対してカウントされます。

TLS プロキシ セッションを使用するその他のアプリケーション(ライセンスが不要な Mobility Advantage Proxy など)では、TLS 制限に対してカウントしません。

アプリケーションによっては、1 つの接続に複数のセッションを使用する場合があります。たとえば、プライマリとバックアップの Cisco Unified Communications Manager を電話に設定した場合は、TLS プロキシ接続は 2 つ使用されます。

TLS プロキシの制限は、tls-proxy maximum-sessions コマンドまたは ASDM で [Configuration] > [Firewall] > [Unified Communications] > [TLS Proxy] ペインを使用して個別に設定できます。モデルの制限を表示するには、tls-proxy maximum-sessions ? コマンドを入力します。デフォルトの TLS プロキシ制限よりも高い TLS プロキシライセンスを適用する場合、ASA では、そのライセンスに一致するように TLS プロキシの制限が自動的に設定されます。ライセンスの制限よりも TLS プロキシ制限が優先されます。TLS プロキシ制限をライセンスよりも少なく設定すると、ライセンスですべてのセッションを使用できません。


(注)  

「K8」で終わるライセンス製品番号(たとえばユーザー数が 250 未満のライセンス)では、TLS プロキシ セッション数は 1000 までに制限されます。「K9」で終わるライセンス製品番号(たとえばユーザー数が 250 以上のライセンス)では、TLS プロキシの制限はコンフィギュレーションに依存し、モデルの制限が最大数になります。K8 と K9 は、エクスポートについてそのライセンスが制限されるかどうかを示します。K8 は制限されず、K9 は制限されます。

(たとえば clear configure all コマンドを使用して)コンフィギュレーションをクリアすると、TLS プロキシ制限がモデルのデフォルトに設定されます。このデフォルトがライセンスの制限よりも小さいと、tls-proxy maximum-sessions コマンドを使用したときに、再び制限を高めるようにエラー メッセージが表示されます(ASDM の [TLS Proxy] ペインを使用)。フェールオーバーを使用して、write standby コマンドを入力するか、または ASDM でプライマリ装置に対して [File] > [Save Running Configuration to Standby Unit] を使用して強制的にコンフィギュレーションの同期を行うと、セカンダリ装置で clear configure all コマンドが自動的に生成され、セカンダリ装置に警告メッセージが表示されることがあります。コンフィギュレーションの同期によりプライマリ装置の TLS プロキシ制限の設定が復元されるため、この警告は無視できます。

接続には、SRTP 暗号化セッションを使用する場合もあります。

  • K8 ライセンスでは、SRTP セッション数は 250 までに制限されます。

  • K9 ライセンスでは、制限はありません。


(注)  

メディアの暗号化/復号化を必要とするコールだけが、SRTP 制限に対してカウントされます。コールに対してパススルーが設定されている場合は、両方のレッグが SRTP であっても、SRTP 制限に対してカウントされません。

VLAN、最大

VLAN 制限の対象としてカウントするインターフェイスに、VLAN を割り当てます。

ボットネット トラフィック フィルタ ライセンス

ダイナミック データベースをダウンロードするには、強力な暗号化(3DES/AES)ライセンスが必要です。

フェールオーバーまたは ASA クラスタ ライセンス

ASAv のフェールオーバー ライセンス

スタンバイ ユニットにはプライマリ ユニットと同じモデル ライセンスが必要です。

Firepower 1010 のフェールオーバー ライセンス

Smart Software Manager Regular およびオンプレミス

両方の Firepower 1010 ユニットは、Smart Software Manager または Smart Software Manager オンプレミスサーバーに登録する必要があります。フェールオーバーを設定する前に、両方のユニットでEssentialsライセンスと Security Plus ライセンスを有効にする必要があります。

通常は、ユニットの登録時に両方のユニットが強力な暗号化トークンを取得する必要があるため、ASA で強力な暗号化(3DES/AES)機能ライセンスを有効にする必要もありません。登録トークンを使用する場合、両方のユニットに同じ暗号化レベルが設定されている必要があります。

スマートアカウントで強力な暗号化が許可されていないが、強力な暗号化の使用が許可されているとシスコが判断した場合、強力な暗号化ライセンスをアカウントに手動で追加できます。この場合、フェールオーバーを有効にした後、アクティブユニットで有効にします。設定はスタンバイ ユニットに複製されますが、スタンバイ ユニットは設定を使用しません。この設定はキャッシュの状態のままになります。アクティブユニットのみサーバーからライセンスを要求します。ライセンスは単一のフェールオーバーライセンスにまとめられ、フェールオーバーのペアで共有されます。この集約ライセンスはスタンバイユニットにもキャッシュされ、将来アクティブなユニットとなったときに使用されます。フェールオーバーの後には、新しいアクティブ装置は集約ライセンスを引き続き使用します。キャッシュされたライセンス設定を使用し、サーバーに権限付与を再要求します。古いアクティブ装置がペアにスタンバイとして参加した場合、ライセンス権限を解放します。アカウントに充分なライセンスがない場合、スタンバイ装置が権限を解放する前に、新しいアクティブ装置のライセンスがコンプライアンス違反状態になることがあります。フェールオーバーのペアは集約ライセンスを 30 日間使用できますが、この猶予期間以降もコンプライアンス違反となり、高度暗号化トークンを使用する場合は、高度暗号化(3DES/AES)機能ライセンスを必要とする機能の設定変更を行えなくなります。動作には影響しません。新しいアクティブ装置は、ライセンスのコンプライアンスが確保されるまで 35 秒ごとに権限承認更新要求を送信します。フェールオーバーのペアを解消した場合は、アクティブな装置は権限を解放し、両方のユニットはライセンス設定をキャッシュ状態にして保持します。ライセンスを再アクティベートするには、各ユニットの設定をクリアし、再設定する必要があります。

永続ライセンスの予約

永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入し、フェールオーバーを設定する前にライセンスを有効にする必要があります。

Firepower 1100 のフェールオーバー ライセンス

Smart Software Manager Regular およびオンプレミス

アクティブユニットのみサーバからライセンスを要求します。ライセンスは、フェールオーバーペアで共有される単一のフェールオーバーライセンスに集約されます。セカンダリ ユニットに追加費用はかかりません。

アクティブ/スタンバイフェールオーバーのフェールオーバーを有効にした後は、アクティブユニットにのみスマートライセンシングを設定できます。アクティブ/アクティブ フェールオーバーでは、フェールオーバー グループ 1 がアクティブになっている装置にのみスマートライセンシングを設定できます。設定はスタンバイ ユニットに複製されますが、スタンバイ ユニットは設定を使用しません。この設定はキャッシュの状態のままになります。集約されたライセンスは、スタンバイユニットにキャッシュされ、将来アクティブユニットになる場合に使用されます。


(注)  

フェールオーバーペアを形成する場合は、各 ASA に同じ暗号化ライセンスが必要です。スマート ライセンシング サーバに ASA を登録すると、高度暗号化ライセンスは、登録トークンを適用するときに、対象となるお客様の場合に自動的に有効化されます。この要件のため、フェールオーバーで高度暗号化トークンを使用する場合は、次の 2 つのライセンスを選択できます。

  • フェールオーバーを有効にする前に、両方のユニットをスマート ライセンシング サーバに登録します。この場合、両方のユニットに高度暗号化が適用されます。次に、フェールオーバーを有効にした後、アクティブユニットでライセンス権限の設定を続行します。フェールオーバーリンクの暗号化を有効にすると、AES/3DES(高度暗号化)が使用されます。

  • アクティブユニットをスマート ライセンシング サーバに登録する前に、フェールオーバーを有効にします。この場合、両方のユニットに高度暗号化はまだ適用されません。次に、ライセンス権限を設定し、アクティブユニットをスマート ライセンシング サーバに登録します。両方のユニットが集約ライセンスから高度暗号化を取得します。フェールオーバーリンクで暗号化を有効にした場合、ユニットが高度暗号化を取得する前にフェールオーバーリンクが確立されているため、DES(脆弱な暗号化)が使用されます。リンクで AES/3DES を使用するには、両方のユニットをリロードする必要があります。1 つのユニットだけをリロードすると、そのユニットは AES/3DES を使用しようとしますが、元のユニットは DES を使用するため、両方のユニットがアクティブになります(スプリットブレイン)。

各アドオンライセンスタイプは次のように管理されます。

  • Essentials:アクティブな装置のみがサーバにこのライセンスを要求しますが、スタンバイ装置にはデフォルトで有効になっている Essentials ライセンスがあります。その使用のためにサーバに登録を行う必要はありません。

  • Context:このライセンスはアクティブな装置のみが要求します。ただし、デフォルトで Essentials ライセンスには 2 のコンテキストが含まれ、これは両方のユニットにあります。各ユニットの Essentials ライセンスの値と、アクティブな装置の Context ライセンスの値はプラットフォームの上限まで加算されます。次に例を示します。

    • アクティブ/スタンバイ:Essentials ライセンスには 2 つのコンテキストが含まれています。2 つの Firepower 1120 ユニットの場合、これらのライセンスは最大 4 つのコンテキストを追加します。アクティブ/スタンバイペアのアクティブな装置に 3 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 7 つのコンテキストが含まれています。ただし、ユニットごとのプラットフォームの制限が 5 なので、結合されたライセンスでは最大 5 つのコンテキストのみ許可されます。この場合、アクティブな Context ライセンスを 1 つのコンテキストとしてのみ設定することになる場合があります。

    • アクティブ/スタンバイ:Essentials ライセンスには 2 つのコンテキストが含まれています。2 つの Firepower 1140 ユニットの場合、これらのライセンスは最大 4 つのコンテキストを追加します。アクティブ/アクティブペアのプライマリユニットに 4 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 8 つのコンテキストが含まれています。たとえば、一方のユニットが 5 コンテキストを使用し、他方が 3 コンテキストを使用しますが、障害中には 1 ユニットが 8 のすべてを使用します。ユニットごとのプラットフォームの制限が 10 なので、結合されたライセンスでは最大 10 のコンテキストが許可されます。8 コンテキストは制限の範囲内です。

  • 高度な暗号化(3DES/AES):スマートアカウントで高度な暗号化が許可されていないが、高度な暗号化の使用が許可されているとシスコが判断した場合、高度な暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

フェールオーバーの後には、新しいアクティブ装置は集約ライセンスを引き続き使用します。キャッシュされたライセンス設定を使用し、サーバーに権限付与を再要求します。古いアクティブ装置がペアにスタンバイとして参加した場合、ライセンス権限を解放します。アカウントに充分なライセンスがない場合、スタンバイ装置が権限を解放する前に、新しいアクティブ装置のライセンスがコンプライアンス違反状態になることがあります。フェールオーバーのペアは集約ライセンスを 30 日間使用できますが、この猶予期間以降もコンプライアンス違反となる場合は、特殊なライセンスを必要とする機能の設定変更(つまり、追加コンテキストの追加)を行なえなくなります。動作には影響しません。新しいアクティブ装置は、ライセンスのコンプライアンスが確保されるまで 35 秒ごとに権限承認更新要求を送信します。フェールオーバーのペアを解消した場合は、アクティブな装置は権限を解放し、両方のユニットはライセンス設定をキャッシュ状態にして保持します。ライセンスを再アクティベートするには、各ユニットの設定をクリアし、再設定する必要があります。

永続ライセンスの予約

永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入し、フェールオーバーを設定する前にライセンスを有効にする必要があります。

Secure Firewall 1210/1220 のフェールオーバー ライセンス

Smart Software Manager Regular およびオンプレミス

各ユニットには、Essentialsライセンス(デフォルトで有効)と同じ暗号化ライセンスが必要です。ライセンス不一致の問題を回避するために、フェールオーバーを有効にする前に、ライセンスサーバで各ユニットのライセンスを取得することをお勧めします。また、高度暗号化ライセンスを使用する場合は、フェールオーバーリンクの暗号化に関する問題も発生します。

データユニットのコンテキストライセンスに追加料金はかかりません。

高度暗号化ライセンスは、登録トークンを適用すると、対象となるお客様の場合自動的に有効化されます。ASA 設定で有効化される高度暗号化(3DES/AES)機能ライセンスについては、以下を参照してください。

ASA ライセンス構成では、Essentials ライセンスは両方のユニットで常にデフォルトで有効になっています。アクティブ/スタンバイフェールオーバーのフェールオーバーを有効にした後は、アクティブユニットにのみスマートライセンシングを設定できます。アクティブ/アクティブ フェールオーバーでは、フェールオーバー グループ 1 がアクティブになっている装置にのみスマートライセンシングを設定できます。設定はスタンバイ ユニットに複製されますが、スタンバイ ユニットは設定を使用しません。この設定はキャッシュの状態のままになります。集約されたライセンスは、スタンバイユニットにキャッシュされ、将来アクティブユニットになる場合に使用されます。

各アドオンライセンスタイプは次のように管理されます。

  • Essentials:各ユニットには、サーバーからのEssentialsのライセンスが必要です。

  • Context:このライセンスはアクティブな装置のみが要求します。ただし、デフォルトで Essentials ライセンスには 2 のコンテキストが含まれ、これは両方のユニットにあります。各ユニットの Essentials ライセンスの値と、アクティブな装置の Context ライセンスの値はプラットフォームの上限まで加算されます。次に例を示します。

    • アクティブ/スタンバイ:Essentials ライセンスには 2 つのコンテキストが含まれています。2 つの Secure Firewall 1210 ユニットの場合、これらのライセンスは最大 4 つのコンテキストを追加します。アクティブ/スタンバイペアのアクティブな装置に 5 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 9 つのコンテキストが含まれています。ただし、ユニットごとのプラットフォームの制限が 5 なので、結合されたライセンスでは最大 5 つのコンテキストのみ許可されます。この場合、アクティブな Context ライセンスを 1 つのコンテキストとしてのみ設定することになる場合があります。

    • アクティブ/スタンバイ:Essentials ライセンスには 2 つのコンテキストが含まれています。2 つの Secure Firewall 1220 ユニットの場合、これらのライセンスは最大 4 つのコンテキストを追加します。アクティブ/アクティブペアのプライマリユニットに 5 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 9 のコンテキストが含まれています。一方のユニットが 5 コンテキストを使用でき、他方が 4 コンテキストを使用できます。次に例を示します。ただし、障害発生時には、1 つのユニットですべての 9 を使用します。ユニットごとのプラットフォームの制限が 10 なので、結合されたライセンスでは最大 10 のコンテキストが許可されます。9 コンテキストは制限の範囲内です。

  • 高度な暗号化(3DES/AES):スマートアカウントで高度な暗号化が許可されていないが、高度な暗号化の使用が許可されているとシスコが判断した場合、高度な暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

フェールオーバーの後には、新しいアクティブ装置は集約ライセンスを引き続き使用します。キャッシュされたライセンス設定を使用し、サーバーに権限付与を再要求します。古いアクティブ装置がペアにスタンバイとして参加した場合、ライセンス権限を解放します。アカウントに充分なライセンスがない場合、スタンバイ装置が権限を解放する前に、新しいアクティブ装置のライセンスがコンプライアンス違反状態になることがあります。フェールオーバーのペアは集約ライセンスを 30 日間使用できますが、この猶予期間以降もコンプライアンス違反となる場合は、特殊なライセンスを必要とする機能の設定変更を行なえなくなります。動作には影響しません。新しいアクティブ装置は、ライセンスのコンプライアンスが確保されるまで 35 秒ごとに権限承認更新要求を送信します。フェールオーバーのペアを解消した場合は、アクティブな装置は権限を解放し、両方のユニットはライセンス設定をキャッシュ状態にして保持します。ライセンスを再アクティベートするには、各ユニットの設定をクリアし、再設定する必要があります。

永続ライセンスの予約

永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入し、フェールオーバーを設定する前にライセンスを有効にする必要があります。

Secure Firewall 1230/1240/1250 のフェールオーバー ライセンス

Smart Software Manager Regular およびオンプレミス

各ユニットには、Essentialsライセンス(デフォルトで有効)と同じ暗号化ライセンスが必要です。ライセンス不一致の問題を回避するために、フェールオーバーを有効にする前に、ライセンスサーバで各ユニットのライセンスを取得することをお勧めします。また、高度暗号化ライセンスを使用する場合は、フェールオーバーリンクの暗号化に関する問題も発生します。

フェールオーバー機能自体にライセンスは必要ありません。データユニットのコンテキストライセンスに追加料金はかかりません。

高度暗号化ライセンスは、登録トークンを適用すると、対象となるお客様の場合自動的に有効化されます。ASA 設定で有効化される高度暗号化(3DES/AES)機能ライセンスについては、以下を参照してください。

ASA ライセンス構成では、Essentials ライセンスは両方のユニットで常にデフォルトで有効になっています。アクティブ/スタンバイフェールオーバーのフェールオーバーを有効にした後は、アクティブユニットにのみスマートライセンシングを設定できます。アクティブ/アクティブ フェールオーバーでは、フェールオーバー グループ 1 がアクティブになっている装置にのみスマートライセンシングを設定できます。設定はスタンバイ ユニットに複製されますが、スタンバイ ユニットは設定を使用しません。この設定はキャッシュの状態のままになります。集約されたライセンスは、スタンバイユニットにキャッシュされ、将来アクティブユニットになる場合に使用されます。

各アドオンライセンスタイプは次のように管理されます。

  • Essentials:各ユニットには、サーバーからのEssentialsのライセンスが必要です。

  • Context:このライセンスはアクティブな装置のみが要求します。ただし、デフォルトで Essentials ライセンスには 2 のコンテキストが含まれ、これは両方のユニットにあります。各ユニットの Essentials ライセンスの値と、アクティブな装置の Context ライセンスの値はプラットフォームの上限まで加算されます。次に例を示します。

    • アクティブ/スタンバイ:Essentials ライセンスには 2 つのコンテキストが含まれています。2 つの Secure Firewall 1230 ユニットの場合、これらのライセンスは最大 4 つのコンテキストを追加します。アクティブ/スタンバイペアのアクティブな装置に 25 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 29 のコンテキストが含まれています。しかし、ユニットごとのプラットフォームの制限が 25 であるため、結合されたライセンスでは最大 25 のコンテキストが許容されます。この場合では、アクティブな Context ライセンスとして 21 のコンテキストのみを設定できます。

    • アクティブ/スタンバイ:Essentials ライセンスには 2 つのコンテキストが含まれています。2 つの Secure Firewall 1230 ユニットの場合、これらのライセンスは最大 4 つのコンテキストを追加します。アクティブ/アクティブペアのプライマリユニットに 10 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 14 のコンテキストが含まれています。たとえば、一方のユニットが 5 コンテキストを使用し、他方が 3 コンテキストを使用しますが、障害中には 1 ユニットが 8 のすべてを使用します。ユニットごとのプラットフォームの制限が 25 であるため、結合されたライセンスでは最大 25 のコンテキストが許容されます。14 コンテキストは制限の範囲内です。

  • 高度な暗号化(3DES/AES):スマートアカウントで高度な暗号化が許可されていないが、高度な暗号化の使用が許可されているとシスコが判断した場合、高度な暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

フェールオーバーの後には、新しいアクティブ装置は集約ライセンスを引き続き使用します。キャッシュされたライセンス設定を使用し、サーバーに権限付与を再要求します。古いアクティブ装置がペアにスタンバイとして参加した場合、ライセンス権限を解放します。アカウントに充分なライセンスがない場合、スタンバイ装置が権限を解放する前に、新しいアクティブ装置のライセンスがコンプライアンス違反状態になることがあります。フェールオーバーのペアは集約ライセンスを 30 日間使用できますが、この猶予期間以降もコンプライアンス違反となる場合は、特殊なライセンスを必要とする機能の設定変更(つまり、追加コンテキストの追加)を行なえなくなります。動作には影響しません。新しいアクティブ装置は、ライセンスのコンプライアンスが確保されるまで 35 秒ごとに権限承認更新要求を送信します。フェールオーバーのペアを解消した場合は、アクティブな装置は権限を解放し、両方のユニットはライセンス設定をキャッシュ状態にして保持します。ライセンスを再アクティベートするには、各ユニットの設定をクリアし、再設定する必要があります。

永続ライセンスの予約

永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入し、フェールオーバーを設定する前にライセンスを有効にする必要があります。

Secure Firewall 3100 のフェールオーバーライセンス

Smart Software Manager Regular およびオンプレミス

各ユニットには、Essentialsライセンス(デフォルトで有効)と同じ暗号化ライセンスが必要です。ライセンス不一致の問題を回避するために、フェールオーバーを有効にする前に、ライセンスサーバで各ユニットのライセンスを取得することをお勧めします。また、高度暗号化ライセンスを使用する場合は、フェールオーバーリンクの暗号化に関する問題も発生します。

フェールオーバー機能自体にライセンスは必要ありません。データユニットのコンテキストライセンスに追加料金はかかりません。

高度暗号化ライセンスは、登録トークンを適用すると、対象となるお客様の場合自動的に有効化されます。ASA 設定で有効化される高度暗号化(3DES/AES)機能ライセンスについては、以下を参照してください。

ASA ライセンス構成では、Essentials ライセンスは両方のユニットで常にデフォルトで有効になっています。アクティブ/スタンバイフェールオーバーのフェールオーバーを有効にした後は、アクティブユニットにのみスマートライセンシングを設定できます。アクティブ/アクティブ フェールオーバーでは、フェールオーバー グループ 1 がアクティブになっている装置にのみスマートライセンシングを設定できます。設定はスタンバイ ユニットに複製されますが、スタンバイ ユニットは設定を使用しません。この設定はキャッシュの状態のままになります。集約されたライセンスは、スタンバイユニットにキャッシュされ、将来アクティブユニットになる場合に使用されます。

各アドオンライセンスタイプは次のように管理されます。

  • Essentials:各ユニットには、サーバーからのEssentialsのライセンスが必要です。

  • Context:このライセンスはアクティブな装置のみが要求します。ただし、デフォルトで Essentials ライセンスには 2 のコンテキストが含まれ、これは両方のユニットにあります。各ユニットの Essentials ライセンスの値と、アクティブな装置の Context ライセンスの値はプラットフォームの上限まで加算されます。次に例を示します。

    • アクティブ/スタンバイ:Essentialsライセンスには 2 つのコンテキストが含まれています。2 つの Secure Firewall 3130 ユニットの場合、それらのライセンスで最大 4 つのコンテキストが追加されます。アクティブ/スタンバイペアのアクティブな装置に 100 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 104 のコンテキストが含まれています。ただし、ユニットごとのプラットフォームの制限が 100 であるため、結合されたライセンスでは最大 100 のコンテキストのみが許容されます。この場合では、アクティブな Context ライセンスとして 95 のコンテキストのみを設定できます。

    • アクティブ/スタンバイ:Essentials ライセンスには 2 つのコンテキストが含まれています。2 つの Firepower 1140 ユニットの場合、これらのライセンスは最大 4 つのコンテキストを追加します。アクティブ/アクティブペアのプライマリユニットに 10 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 14 のコンテキストが含まれています。たとえば、一方のユニットが 5 コンテキストを使用し、他方が 3 コンテキストを使用しますが、障害中には 1 ユニットが 8 のすべてを使用します。ユニットごとのプラットフォームの制限が 100 であるため、結合されたライセンスでは最大 100 のコンテキストが許容されます。14 コンテキストは制限の範囲内です。

  • 高度な暗号化(3DES/AES):スマートアカウントで高度な暗号化が許可されていないが、高度な暗号化の使用が許可されているとシスコが判断した場合、高度な暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

フェールオーバーの後には、新しいアクティブ装置は集約ライセンスを引き続き使用します。キャッシュされたライセンス設定を使用し、サーバーに権限付与を再要求します。古いアクティブ装置がペアにスタンバイとして参加した場合、ライセンス権限を解放します。アカウントに充分なライセンスがない場合、スタンバイ装置が権限を解放する前に、新しいアクティブ装置のライセンスがコンプライアンス違反状態になることがあります。フェールオーバーのペアは集約ライセンスを 30 日間使用できますが、この猶予期間以降もコンプライアンス違反となる場合は、特殊なライセンスを必要とする機能の設定変更(つまり、追加コンテキストの追加)を行なえなくなります。動作には影響しません。新しいアクティブ装置は、ライセンスのコンプライアンスが確保されるまで 35 秒ごとに権限承認更新要求を送信します。フェールオーバーのペアを解消した場合は、アクティブな装置は権限を解放し、両方のユニットはライセンス設定をキャッシュ状態にして保持します。ライセンスを再アクティベートするには、各ユニットの設定をクリアし、再設定する必要があります。

永続ライセンスの予約

永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入し、フェールオーバーを設定する前にライセンスを有効にする必要があります。

Secure Firewall 4200 のフェールオーバーライセンス

Smart Software Manager Regular およびオンプレミス

各ユニットには、Essentialsライセンス(デフォルトで有効)と同じ暗号化ライセンスが必要です。ライセンス不一致の問題を回避するために、フェールオーバーを有効にする前に、ライセンスサーバで各ユニットのライセンスを取得することをお勧めします。また、高度暗号化ライセンスを使用する場合は、フェールオーバーリンクの暗号化に関する問題も発生します。

フェールオーバー機能自体にライセンスは必要ありません。データユニットのコンテキストライセンスに追加料金はかかりません。

高度暗号化ライセンスは、登録トークンを適用すると、対象となるお客様の場合自動的に有効化されます。ASA 設定で有効化される高度暗号化(3DES/AES)機能ライセンスについては、以下を参照してください。

ASA ライセンス構成では、Essentials ライセンスは両方のユニットで常にデフォルトで有効になっています。アクティブ/スタンバイフェールオーバーのフェールオーバーを有効にした後は、アクティブユニットにのみスマートライセンシングを設定できます。アクティブ/アクティブ フェールオーバーでは、フェールオーバー グループ 1 がアクティブになっている装置にのみスマートライセンシングを設定できます。設定はスタンバイ ユニットに複製されますが、スタンバイ ユニットは設定を使用しません。この設定はキャッシュの状態のままになります。集約されたライセンスは、スタンバイユニットにキャッシュされ、将来アクティブユニットになる場合に使用されます。

各アドオンライセンスタイプは次のように管理されます。

  • Essentials:各ユニットがサーバから標Essentials準ライセンスを要求します。

  • Context:このライセンスはアクティブな装置のみが要求します。ただし、デフォルトで Essentials ライセンスには 2 のコンテキストが含まれ、これは両方のユニットにあります。各ユニットの Essentials ライセンスの値と、アクティブな装置の Context ライセンスの値はプラットフォームの上限まで加算されます。次に例を示します。

    • アクティブ/スタンバイ:Essentials ライセンスには 2 つのコンテキストが含まれています。2 つの Secure Firewall 4215 ユニットの場合、これらのライセンスは最大 4 つのコンテキストを追加します。アクティブ/スタンバイペアのアクティブな装置に 250 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 254 のコンテキストが含まれています。しかし、ユニットごとのプラットフォームの制限が 250 であるため、結合されたライセンスでは最大 250 のコンテキストが許容されます。この場合では、アクティブな Context ライセンスとして 246 のコンテキストのみを設定できます。

    • アクティブ/スタンバイ:Essentials ライセンスには 2 つのコンテキストが含まれています。2 つの Secure Firewall 4215 ユニットの場合、これらのライセンスは最大 4 つのコンテキストを追加します。アクティブ/アクティブペアのプライマリユニットに 10 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 14 のコンテキストが含まれています。たとえば、一方のユニットが 9 コンテキストを使用し、他方が 5 コンテキストを使用しますが、障害中には 1 ユニットが 14 のすべてを使用します。ユニットごとのプラットフォームの制限が 250 であるため、結合されたライセンスでは最大 250 のコンテキストが許容されます。14 コンテキストは制限の範囲内です。

  • 高度な暗号化(3DES/AES):スマートアカウントで高度な暗号化が許可されていないが、高度な暗号化の使用が許可されているとシスコが判断した場合、高度な暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

フェールオーバーの後には、新しいアクティブ装置は集約ライセンスを引き続き使用します。キャッシュされたライセンス設定を使用し、サーバーに権限付与を再要求します。古いアクティブ装置がペアにスタンバイとして参加した場合、ライセンス権限を解放します。アカウントに充分なライセンスがない場合、スタンバイ装置が権限を解放する前に、新しいアクティブ装置のライセンスがコンプライアンス違反状態になることがあります。フェールオーバーのペアは集約ライセンスを 30 日間使用できますが、この猶予期間以降もコンプライアンス違反となる場合は、特殊なライセンスを必要とする機能の設定変更(つまり、追加コンテキストの追加)を行なえなくなります。動作には影響しません。新しいアクティブ装置は、ライセンスのコンプライアンスが確保されるまで 35 秒ごとに権限承認更新要求を送信します。フェールオーバーのペアを解消した場合は、アクティブな装置は権限を解放し、両方のユニットはライセンス設定をキャッシュ状態にして保持します。ライセンスを再アクティベートするには、各ユニットの設定をクリアし、再設定する必要があります。

永続ライセンスの予約

永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入し、フェールオーバーを設定する前にライセンスを有効にする必要があります。

Firepower 4100/9300のフェールオーバーライセンス

Smart Software Manager Regular およびオンプレミス

フェールオーバーを設定する前に、両方の Firepower 4100/9300 は、Smart Software Manager または Smart Software Manager オンプレミスサーバーに登録する必要があります。セカンダリ ユニットに追加費用はかかりません。

高度暗号化ライセンスは、登録トークンを適用すると、対象となるお客様の場合自動的に有効化されます。トークンを使用している場合、各シャーシに同じ暗号化ライセンスが必要です。ASA 設定で有効化される高度暗号化(3DES/AES)機能ライセンスについては、以下を参照してください。

アクティブ/スタンバイフェールオーバーの ASA ライセンス設定のフェールオーバーを有効にした後は、アクティブユニットにのみスマートライセンシングを設定できます。アクティブ/アクティブ フェールオーバーでは、フェールオーバー グループ 1 がアクティブになっている装置にのみスマートライセンシングを設定できます。設定はスタンバイ ユニットに複製されますが、スタンバイ ユニットは設定を使用しません。この設定はキャッシュの状態のままになります。アクティブな装置のみサーバーからライセンスを要求します。ライセンスは単一のフェールオーバーライセンスにまとめられ、フェールオーバーのペアで共有されます。この集約ライセンスはスタンバイ ユニットにもキャッシュされ、将来アクティブなユニットとなったときに使用されます。各ライセンス タイプは次のように処理されます:

  • Essentials:アクティブな装置のみがサーバにこのライセンスを要求しますが、スタンバイ装置にはデフォルトで有効になっている Essentials ライセンスがあります。その使用のためにサーバに登録を行う必要はありません。

  • Context:このライセンスはアクティブな装置のみが要求します。ただし、デフォルトで Essentials ライセンスには 10 のコンテキストが含まれ、これは両方のユニットにあります。各ユニットの Essentials ライセンスの値と、アクティブな装置の Context ライセンスの値はプラットフォームの上限まで加算されます。次に例を示します。

    • アクティブ/スタンバイ:Essentialsライセンスは 10 のコンテキストを含みます。2 つユニットの場合、合計で 20 のコンテキストが加算されます。アクティブ/スタンバイペアのアクティブな装置に 250 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 270 のコンテキストが含まれています。しかし、ユニットごとのプラットフォームの制限が 250 であるため、結合されたライセンスでは最大 250 のコンテキストが許容されます。この場合では、アクティブな Context ライセンスとして 230 コンテキストを設定する必要があります。

    • アクティブ/スタンバイ:Essentialsライセンスは 10 のコンテキストを含みます。2 つユニットの場合、合計で 20 のコンテキストが加算されます。アクティブ/アクティブペアのプライマリユニットに 10 Context ライセンスを設定します。この場合、集約されたフェールオーバーライセンスには 30 のコンテキストが含まれています。たとえば、一方のユニットが 17 コンテキストを使用し、他方が 13 コンテキストを使用しますが、障害中には 1 ユニットが 30 のすべてを使用します。ユニットごとのプラットフォームの制限が 250 であるため、結合されたライセンスでは最大 250 のコンテキストが許容されます。30 コンテキストは制限の範囲内です。

  • キャリア:アクティブのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

  • 高度な暗号化(3DES):スマートアカウントで高度な暗号化が許可されていないが、高度な暗号化の使用が許可されているとシスコが判断した場合、高度な暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

フェールオーバーの後には、新しいアクティブ装置は集約ライセンスを引き続き使用します。キャッシュされたライセンス設定を使用し、サーバーに権限付与を再要求します。古いアクティブ装置がペアにスタンバイとして参加した場合、ライセンス権限を解放します。アカウントに充分なライセンスがない場合、スタンバイ装置が権限を解放する前に、新しいアクティブ装置のライセンスがコンプライアンス違反状態になることがあります。フェールオーバーのペアは集約ライセンスを 30 日間使用できますが、この猶予期間以降もコンプライアンス違反となる場合は、特殊なライセンスを必要とする機能の設定変更を行なえなくなります。動作には影響しません。新しいアクティブ装置は、ライセンスのコンプライアンスが確保されるまで 35 秒ごとに権限承認更新要求を送信します。フェールオーバーのペアを解消した場合は、アクティブな装置は権限を解放し、両方のユニットはライセンス設定をキャッシュ状態にして保持します。ライセンスを再アクティベートするには、各ユニットの設定をクリアし、再設定する必要があります。

永続ライセンスの予約

永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入し、フェールオーバーを設定する前にライセンスを有効にする必要があります。

Secure Firewall 3100 の ASA クラスタライセンス

Smart Software Manager Regular およびオンプレミス

各ユニットには、Essentialsライセンス(デフォルトで有効)と同じ暗号化ライセンスが必要です。ライセンス不一致の問題を回避するために、クラスタリングを有効にする前に、ライセンスサーバで各ユニットのライセンスを取得することをお勧めします。また、高度暗号化ライセンスを使用する場合は、クラスタ制御リンクの暗号化に関する問題も発生します。

クラスタリング機能自体にライセンスは必要ありません。データユニットのコンテキストライセンスに追加料金はかかりません。

高度暗号化ライセンスは、登録トークンを適用すると、対象となるお客様の場合自動的に有効化されます。ASA 設定で有効化される高度暗号化(3DES/AES)機能ライセンスについては、以下を参照してください。

ASA ライセンス設定では、Essentialsライセンスはすべてのユニットで常にデフォルトで有効になっています。制御ユニットにのみスマートライセンスを設定できます。設定はデータユニットに複製されますが、一部のライセンスに対しては、データユニットはこの設定を使用しません。この設定はキャッシュ状態のままになり、制御ユニットのみがこのライセンスを要求します。ライセンスは単一のクラスタライセンスにまとめられ、クラスタの各ユニットで共有されます。この集約ライセンスはデータユニットにもキャッシュされ、その中の 1 つが将来制御ユニットとなったときに使用されます。各ライセンス タイプは次のように処理されます:

  • Essentials:各ユニットには、サーバーからのEssentialsのライセンスが必要です。

  • コンテキスト:制御ユニットのみがサーバーからコンテキストライセンスを要求します。デフォルトでEssentialsライセンスは 2 のコンテキストを含み、すべてのクラスタメンバー上に存在します。各ユニットのEssentialsライセンスの値と、制御ユニットのコンテキストライセンスの値は、集約されたクラスタライセンスでのプラットフォーム制限まで統合されます。次に例を示します。

    • クラスタ内に 6 つの Secure Firewall 3100 があります。Essentialsライセンスは 2 のコンテキストを含みます。6 ユニットの場合、合計で 12 のコンテキストが加算されます。制御ユニット上で追加の 20 コンテキストライセンスを設定します。したがって、集約されたクラスタライセンスは 32 のコンテキストを含みます。シャーシごとのプラットフォームの制限が 100 であるため、結合されたライセンスでは最大 100 のコンテキストが許容されます。32 コンテキストは制限の範囲内です。したがって、制御ユニット上で最大 32 コンテキストを設定できます。各データユニットも、コンフィギュレーションの複製を介して 32 コンテキストを持つことになります。

    • クラスタ内に 3 つの Secure Firewall 3100 があります。Essentialsライセンスは 2 のコンテキストを含みます。3 ユニットの場合、合計で 6 のコンテキストが加算されます。制御ユニット上で追加の 100 コンテキストライセンスを設定します。したがって、集約されたクラスタライセンスは 106 のコンテキストを含みます。ユニットごとのプラットフォームの制限が 100 であるため、統合されたライセンスでは最大 100 のコンテキストが許容されます。106 コンテキストは制限を超えています。したがって、制御ユニット上で最大 100 のコンテキストのみを設定できます。各データユニットも、設定の複製を介して 100 のコンテキストを持つことになります。この場合では、制御ユニットのコンテキストライセンスとして 94 のコンテキストのみを設定する必要があります。

  • 高度な暗号化(3DES):スマートアカウントで高度な暗号化が許可されていないが、高度な暗号化の使用が許可されているとシスコが判断した場合、高度な暗号化ライセンスをアカウントに手動で追加できます。制御ユニットのみがこのライセンスを要求し、ライセンスの集約により、すべてのユニットがそれを使用できます。

新しい制御ユニットが選定されると、このユニットが集約ライセンスを引き続き使用します。また、制御ユニットのライセンスを再要求するために、キャッシュされたライセンス設定も使用します。古い制御ユニットがデータユニットとしてクラスタに再度参加すると、制御ユニットのライセンス権限付与が解放されます。アカウントに利用可能なライセンスがない場合、データユニットがライセンスを解放する前に、制御ユニットのライセンスがコンプライアンス違反状態になることがあります。保持されたライセンスは 30 日間有効ですが、この猶予期間以降もコンプライアンス違反となる場合、特別なライセンスを必要とする機能の設定変更を行なえません。ただし、動作には影響ありません。新しいアクティブ装置は、ライセンスのコンプライアンスが確保されるまで 35 秒ごとに権限承認更新要求を送信します。ライセンス要求が完全に処理されるまで、設定の変更を控えてください。ユニットがクラスタから離れた場合、キャッシュされた制御ユニットの設定は削除されます。一方で、ユニットごとの権限は保持されます。この場合、クラスタ外のユニットのコンテキスト ライセンスを再要求する必要があります。

永続ライセンスの予約

永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入し、クラスタリングを設定する前にライセンスを有効にする必要があります。

Secure Firewall 4200 の ASA クラスタライセンス

Smart Software Manager Regular およびオンプレミス

各ユニットには、Essentialsライセンス(デフォルトで有効)と同じ暗号化ライセンスが必要です。ライセンス不一致の問題を回避するために、クラスタリングを有効にする前に、ライセンスサーバで各ユニットのライセンスを取得することをお勧めします。また、高度暗号化ライセンスを使用する場合は、クラスタ制御リンクの暗号化に関する問題も発生します。

クラスタリング機能自体にライセンスは必要ありません。データユニットのコンテキストライセンスに追加料金はかかりません。

高度暗号化ライセンスは、登録トークンを適用すると、対象となるお客様の場合自動的に有効化されます。ASA 設定で有効化される高度暗号化(3DES/AES)機能ライセンスについては、以下を参照してください。

ASA ライセンス設定では、Essentialsライセンスはすべてのユニットで常にデフォルトで有効になっています。制御ユニットにのみスマートライセンスを設定できます。設定はデータユニットに複製されますが、一部のライセンスに対しては、データユニットはこの設定を使用しません。この設定はキャッシュ状態のままになり、制御ユニットのみがこのライセンスを要求します。ライセンスは単一のクラスタライセンスにまとめられ、クラスタの各ユニットで共有されます。この集約ライセンスはデータユニットにもキャッシュされ、その中の 1 つが将来制御ユニットとなったときに使用されます。各ライセンス タイプは次のように処理されます:

  • Essentials:各ユニットには、サーバーからのEssentialsのライセンスが必要です。

  • コンテキスト:制御ユニットのみがサーバーからコンテキストライセンスを要求します。デフォルトでEssentialsライセンスは 2 のコンテキストを含み、すべてのクラスタメンバー上に存在します。各ユニットのEssentialsライセンスの値と、制御ユニットのコンテキストライセンスの値は、集約されたクラスタライセンスでのプラットフォーム制限まで統合されます。次に例を示します。

    • クラスタ内に 6 つの Secure Firewall 4200 があります。Essentialsライセンスは 2 のコンテキストを含みます。6 ユニットの場合、合計で 12 のコンテキストが加算されます。制御ユニット上で追加の 20 コンテキストライセンスを設定します。したがって、集約されたクラスタライセンスは 32 のコンテキストを含みます。シャーシごとのプラットフォームの制限が 250 であるため、結合されたライセンスでは最大 250 のコンテキストが許容されます。32 コンテキストは制限の範囲内です。したがって、制御ユニット上で最大 32 コンテキストを設定できます。各データユニットも、コンフィギュレーションの複製を介して 32 コンテキストを持つことになります。

    • クラスタ内に 3 つの Secure Firewall 4200 があります。Essentialsライセンスは 2 のコンテキストを含みます。3 ユニットの場合、合計で 6 のコンテキストが加算されます。制御ユニット上で追加の 250 コンテキストライセンスを設定します。したがって、集約されたクラスタライセンスは 256 のコンテキストを含みます。ユニットごとのプラットフォームの制限が 250 であるため、統合されたライセンスでは最大 250 のコンテキストが許容されます。256 コンテキストは制限を超えています。したがって、制御ユニット上で最大 250 のコンテキストのみを設定できます。各データユニットも、コンフィギュレーションの複製を介して 250 のコンテキストを持つことになります。この場合では、制御ユニットのコンテキストライセンスとして 244 のコンテキストのみを設定する必要があります。

  • 高度な暗号化(3DES):スマートアカウントで高度な暗号化が許可されていないが、高度な暗号化の使用が許可されているとシスコが判断した場合、高度な暗号化ライセンスをアカウントに手動で追加できます。制御ユニットのみがこのライセンスを要求し、ライセンスの集約により、すべてのユニットがそれを使用できます。

新しい制御ユニットが選定されると、このユニットが集約ライセンスを引き続き使用します。また、制御ユニットのライセンスを再要求するために、キャッシュされたライセンス設定も使用します。古い制御ユニットがデータユニットとしてクラスタに再度参加すると、制御ユニットのライセンス権限付与が解放されます。アカウントに利用可能なライセンスがない場合、データユニットがライセンスを解放する前に、制御ユニットのライセンスがコンプライアンス違反状態になることがあります。保持されたライセンスは 30 日間有効ですが、この猶予期間以降もコンプライアンス違反となる場合、特別なライセンスを必要とする機能の設定変更を行なえません。ただし、動作には影響ありません。新しいアクティブ装置は、ライセンスのコンプライアンスが確保されるまで 35 秒ごとに権限承認更新要求を送信します。ライセンス要求が完全に処理されるまで、設定の変更を控えてください。ユニットがクラスタから離れた場合、キャッシュされた制御ユニットの設定は削除されます。一方で、ユニットごとの権限は保持されます。この場合、クラスタ外のユニットのコンテキスト ライセンスを再要求する必要があります。

永続ライセンスの予約

永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入し、クラスタリングを設定する前にライセンスを有効にする必要があります。

ASAv の ASA クラスタライセンス

Smart Software Manager Regular およびオンプレミス

各ユニットには、同じスループットライセンスと同じ暗号化ライセンスが必要です。ライセンス不一致の問題を回避するために、クラスタリングを有効にする前に、ライセンスサーバで各ユニットのライセンスを取得することをお勧めします。また、高度暗号化ライセンスを使用する場合は、クラスタ制御リンクの暗号化に関する問題も発生します。

クラスタリング機能自体にライセンスは必要ありません。

高度暗号化ライセンスは、登録トークンを適用すると、対象となるお客様の場合自動的に有効化されます。ASA 設定で有効化される高度暗号化(3DES/AES)機能ライセンスについては、以下を参照してください。

ASA ライセンス設定では、制御ユニットに対するスマートライセンスの設定のみを行えます。設定はデータユニットに複製されますが、一部のライセンスに対しては、データユニットはこの設定を使用しません。この設定はキャッシュ状態のままになり、制御ユニットのみがこのライセンスを要求します。ライセンスは単一のクラスタライセンスにまとめられ、クラスタの各ユニットで共有されます。この集約ライセンスはデータユニットにもキャッシュされ、その中の 1 つが将来制御ユニットとなったときに使用されます。各ライセンス タイプは次のように処理されます:

  • Essentials:制御ユニットのみがサーバーからEssentialsライセンスを要求し、ライセンスの集約により、すべてのユニットがそれを使用できます。

  • スループット:各ユニットには、サーバからの各自のスループットライセンスが必要です。

  • 高度な暗号化(3DES):スマートアカウントで高度な暗号化が許可されていないが、高度な暗号化の使用が許可されているとシスコが判断した場合、高度な暗号化ライセンスをアカウントに手動で追加できます。制御ユニットのみがこのライセンスを要求し、ライセンスの集約により、すべてのユニットがそれを使用できます。

永続ライセンスの予約

永続ライセンスを予約するには、ユニットごとに個別のライセンスを購入し、クラスタリングを設定する前にライセンスを有効にする必要があります。

Firepower 4100/9300 の ASA クラスタライセンス

Smart Software Manager Regular およびオンプレミス

クラスタリング機能自体にライセンスは必要ありません。強力な暗号化およびその他のオプションのライセンスを使用するには、それぞれの Firepower 4100/9300 シャーシ がライセンス機関または Smart Software Manager の通常およびオンプレミスサーバーに登録されている必要があります。データユニットは追加料金なしで使用できます。

高度暗号化ライセンスは、登録トークンを適用すると、対象となるお客様の場合自動的に有効化されます。トークンを使用している場合、各シャーシに同じ暗号化ライセンスが必要です。ASA 設定で有効化される高度暗号化(3DES/AES)機能ライセンスについては、以下を参照してください。

ASA ライセンス設定では、制御ユニットに対するスマートライセンスの設定のみを行えます。設定はデータユニットに複製されますが、一部のライセンスに対しては、データユニットはこの設定を使用しません。この設定はキャッシュ状態のままになり、制御ユニットのみがこのライセンスを要求します。ライセンスは単一のクラスタライセンスにまとめられ、クラスタの各ユニットで共有されます。この集約ライセンスはデータユニットにもキャッシュされ、その中の 1 つが将来制御ユニットとなったときに使用されます。各ライセンス タイプは次のように処理されます:

  • Essentials:制御ユニットのみがサーバーからEssentialsライセンスを要求し、ライセンスの集約により、両方のユニットがそれを使用できます。

  • コンテキスト:制御ユニットのみがサーバーからコンテキストライセンスを要求します。デフォルトでEssentialsライセンスは 10 のコンテキストを含み、すべてのクラスタメンバー上に存在します。各ユニットのEssentialsライセンスの値と、制御ユニットのコンテキストライセンスの値は、集約されたクラスタライセンスでのプラットフォーム制限まで統合されます。次に例を示します。

    • クラスタに 6 台の Firepower9300 モジュールがある場合を考えます。Essentialsライセンスは 10 のコンテキストを含みます。6 つユニットの場合、合計で 60 のコンテキストが加算されます。制御ユニット上で追加の 20 コンテキストライセンスを設定します。したがって、集約されたクラスタライセンスは 80 のコンテキストを含みます。モジュールごとのプラットフォーム制限は 250 であるため、統合されたライセンスに最大 250 のコンテキストが許容されます。80 のコンテキストは制限範囲内です。したがって、制御ユニット上で最大 80 コンテキストを設定できます。各データユニットも、コンフィギュレーションの複製を介して 80 コンテキストを持つことになります。

    • クラスタに Firepower 4112 が 3 台あるとします。Essentialsライセンスは 10 のコンテキストを含みます。3 つユニットの場合、合計で 30 のコンテキストが加算されます。制御ユニット上で追加の 250 コンテキストライセンスを設定します。したがって、集約されたクラスタライセンスは 280 のコンテキストを含みます。ユニットごとのプラットフォームの制限が 250 であるため、統合されたライセンスでは最大 250 のコンテキストが許容されます。280 コンテキストは制限を超えています。したがって、制御ユニット上で最大 250 のコンテキストのみを設定できます。各データユニットも、コンフィギュレーションの複製を介して 250 のコンテキストを持つことになります。この場合では、制御ユニットのコンテキストライセンスとして 220 のコンテキストのみを設定する必要があります。

  • キャリア:分散型 S2S VPN に必要。このライセンスはユニットごとの権限付与であり、各ユニットはサーバーから各自のライセンスを要求します。

  • 高度な暗号化(3DES):2.3.0 以前の Cisco Smart Software Manager オンプレミス展開の場合。またはスマートアカウントで高度な暗号化が許可されていないが、高度な暗号化の使用が許可されていると Cisco が判断した場合、高度な暗号化ライセンスをアカウントに手動で追加できます。このライセンスはユニットごとの権限付与であり、各ユニットはサーバーから各自のライセンスを要求します。

新しい制御ユニットが選定されると、このユニットが集約ライセンスを引き続き使用します。また、制御ユニットのライセンスを再要求するために、キャッシュされたライセンス設定も使用します。古い制御ユニットがデータユニットとしてクラスタに再度参加すると、制御ユニットのライセンス権限付与が解放されます。アカウントに利用可能なライセンスがない場合、データユニットがライセンスを解放する前に、制御ユニットのライセンスがコンプライアンス違反状態になることがあります。保持されたライセンスは 30 日間有効ですが、この猶予期間以降もコンプライアンス違反となる場合、特別なライセンスを必要とする機能の設定変更を行なえません。ただし、動作には影響ありません。新しいアクティブ ユニットは、ライセンスのコンプライアンスが確保されるまで 12 時間ごとに権限承認更新要求を送信します。ライセンス要求が完全に処理されるまで、設定の変更を控えてください。ユニットがクラスタから離れた場合、キャッシュされた制御ユニットの設定は削除されます。一方で、ユニットごとの権限は保持されます。この場合、クラスタ外のユニットのコンテキスト ライセンスを再要求する必要があります。

永続ライセンスの予約

永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入し、クラスタリングを設定する前にライセンスを有効にする必要があります。

スマート ソフトウェア ライセンスの前提条件

Smart Software Manager 定期およびオンプレミスの前提条件

Firepower 4100/9300

ASA ライセンス資格を設定する前に、Firepower 4100/9300 シャーシでスマート ソフトウェア ライセンス インフラストラクチャを設定します。

他のすべてのモデル

  • デバイスからのインターネットアクセス、HTTP プロキシアクセス、Smart Software Manager オンプレミスサーバーへのアクセスを確保します。

  • デバイスが Smart Software Manager の名前を解決できるように DNS サーバーを設定します。

  • デバイスのクロックを設定します。

  • Cisco Smart Software Manager でアカウントを作成します。

    https://software.cisco.com/#module/SmartLicensing

    まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のアカウントを作成できます。

永続ライセンス予約の前提条件

  • Cisco Smart Software Manager でマスター アカウントを作成します。

    https://software.cisco.com/#module/SmartLicensing

    まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のマスター アカウントを作成できます。永続ライセンス予約には ASA からスマートライセンスサーバーへのインターネット接続が必要ですが、永続ライセンスの管理には Smart Software Manager が使用されます。

  • 永続ライセンス予約のサポートはライセンスチームから受けられます。永続ライセンス予約を使用する理由を示す必要があります。アカウントが承認されていない場合、永続ライセンスを購入して適用することはできません。

  • 専用の永続ライセンスを購入します(モデルごとのライセンス PIDを参照)。アカウントに正しいライセンスがない場合、ASA でライセンスを予約しようとすると、「The licenses cannot be reserved because the Virtual Account does not contain a sufficient surplus of the following perpetual licenses: 1 - Firepower 4100 ASA PERM UNIV(perpetual)」のようなエラーメッセージが表示されます。

  • 永続ライセンスには、高度暗号化(3DES / AES)ライセンス(アカウントに資格がある場合)を含むすべての機能が含まれます。セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入すれば、セキュアクライアント の機能もプラットフォームの上限まで有効になります(「Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンス」を参照)。

  • ASA 仮想:永続ライセンスの予約は Azure ハイパーバイザではサポートされません。

スマート ソフトウェア ライセンスのガイドライン

  • スマート ソフトウェア ライセンスのみがサポートされます。ASA 仮想 の古いソフトウェアについては、PAK ライセンスが供与された既存の ASA 仮想 をアップグレードする場合、前にインストールしたアクティベーションキーは無視されますが、デバイスに保持されます。ASA 仮想 をダウングレードする場合は、アクティベーション キーが復活します。

  • 永続ライセンスの予約については、デバイスを廃棄する前にライセンスを戻す必要があります。ライセンスを正式に戻さないと、ライセンスが使用中の状態のままになり、新しいデバイスに再使用できません。

  • Cisco Transport Gateway は非準拠の国番号の証明書を使用するため、ASA をその製品と組み合わせて使用する場合は HTTPS を使用できません。Cisco Transport Gateway で HTTP を使用する必要があります。

スマート ソフトウェア ライセンスのデフォルト

スマート転送

デフォルトでは、すべてのデバイスモデルがスマート ソフトウェア ライセンス通信に Smart Transport を使用し、次の URL を使用します。


https://smartreceiver.cisco.com/licservice/license

Firepower 4100/9300 では、シャーシレベルでスマート ソフトウェア ライセンスの通信を有効にする必要があります。

ASA 仮想

  • ASA 仮想 を展開するときに、機能層とスループットレベルを設定します。現時点では、標準レベルのみを使用できます。Essentials永続ライセンス予約の場合、これらのパラメータを設定する必要はありません。永続ライセンス予約を有効にすると、これらのコマンドはコンフィギュレーションから削除されます。


    (注)  

    Essentials ライセンスは以前は標準ライセンスと呼ばれていました。CLI では引き続き「標準」という用語が使用されています。

    (注)  

    VMware または KVM で 32 または 64 コア展開を使用している場合は、 throughput level コマンドで使用できるのは unlimited オプションのみです。

ASA 仮想:スマート ソフトウェア ライセンスの設定

このセクションでは、ASA 仮想 にスマート ソフトウェア ライセンスを設定する方法を説明します。

ASA 仮想定期スマート ソフトウェア ライセンシングの設定

ASA 仮想 を展開する場合は、デバイスを事前に設定し、Smart Software Manager に登録するために登録トークンを適用して、スマート ソフトウェア ライセンシングを有効にできます。HTTP プロキシサーバー、ライセンス権限付与を変更する必要がある場合、または ASA 仮想 を登録する必要がある場合(Day0 設定に ID トークンを含めなかった場合など)は、このタスクを実行します。


(注)  

ASA 仮想 を展開したときに、HTTP プロキシとライセンス権限付与が事前に設定されている可能性があります。また、ASA 仮想 を展開したときに Day0 設定で登録トークンが含まれている可能性があります。その場合は、この手順を使用して再登録する必要はありません。

手順

ステップ 1

Cisco Smart Software Manager)で、このデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします。

  1. [Inventory] をクリックします。

    図 1. インベントリ

  2. [General] タブで、[New Token] をクリックします。

    図 2. 新しいトークン

  3. [登録トークンを作成(Create Registration Token)] ダイアログボックスで、以下の設定値を入力してから [トークンを作成(Create Token)] をクリックします。

    • 説明

    • [有効期限(Expire After)]:推奨値は 30 日です。

    • 最大使用回数(Max. Number of Uses)

    • [このトークンに登録された製品で輸出管理機能を許可する(Allow export-controlled functionality on the products registered with this token)]:輸出コンプライアンス フラグを有効にします。

    図 3. 登録トークンの作成

    トークンはインベントリに追加されます。

  4. トークンの右側にある矢印アイコンをクリックして [トークン(Token)] ダイアログボックスを開き、トークン ID をクリップボードにコピーできるようにします。ASA の登録が必要なときに後の手順で使用するために、このトークンを準備しておきます。

    図 4. トークンの表示
    図 5. トークンのコピー

ステップ 2

(任意) スマート ライセンス サーバーとの通信には、デフォルトの Smart Transport の代わりに Smart Call Home を使用します。

Smart Transport の代わりに Smart Call Home を使用する必要があることがわかっている場合は、次の手順を実行します。それ以外の場合は、デフォルトのスマート トランスポートを使用する必要があります。

  1. ASA 仮想で、[設定(Configuration)] > [デバイス管理(Device Management)] > [Smart Call-Home] の順に選択します。

  2. (任意) [HTTP プロキシの有効化(Enable HTTP Proxy)] をオンにして、および [Proxy サーバー(Proxy server)][プロキシ ポート(Proxy port)] フィールドにプロキシの IP アドレスとポートを入力します。

    たとえば、HTTPS サーバに 443 ポートを入力します。

    (注)  

     

    認証を使用する HTTP プロキシはサポートされません。

  3. [適用(Apply)] をクリックします。

  4. [設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンシング(Licensing)] > [スマートライセンシング(Smart Licensing)] の順に選択します。

  5. [トランスポート(Transport)]では、 [Call Home] オプション ボタンをクリックします。

ステップ 3

(任意) スマート トランスポートの HTTP プロキシを指定します。

スマートトランスポートの代わりに Smart Call Home を使用するには、ステップ ステップ 2を参照してください。

  1. [トランスポート(Transport)]で、 [スマート トランスポート(Smart Transport)] ラジオ ボタンをクリックします。

  2. [Proxy server] および [Proxy port] フィールドにプロキシ ポートの IP アドレスまたは FQDN を入力します。

ステップ 4

ライセンス権限付与を設定します。

  1. [設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンシング(Licensing)] > [スマートライセンシング(Smart Licensing)] の順に選択します。

  2. [スマート ライセンス構成の有効化(Enable Smart license configuration)] をオンにします。

  3. [機能階層(Feature Tier)] ドロップダウン リストから Essentialsを選択します。

    Essentials 階層のみが有効ですが、構成で有効にする必要があります。

  4. [スループット レベル(Throughput Level)] ドロップダウン メニューから [100M][1G][2G][10G][20G],、[unlimited] を選択します。

    次のスループットとライセンスの関係を参照してください。

    • 100M:ASAv5

    • 1G:ASAv10

    • 2G:ASAv30

    • 10G:ASAv50

    • 20G:ASAv100

    • [無制限(unlimited)]:ASAvU

  5. (任意) [強力な暗号化プロトコルの有効化(Enable strong-encryption protocol)] チェックボックスはオンにしてください。

    Smart Software Manager から高度暗号化トークンを受け取った場合、このライセンスは必要ありません。ただし、スマートアカウントで高度暗号化が許可されていないものの、高度暗号化の使用が許可されているとシスコが判断した場合、高度暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

  6. [Apply] をクリックします。

ステップ 5

Smart Software Manager で ASA 仮想 を登録します。

  1. [設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンシング(Licensing)] > [スマートライセンシング(Smart Licensing)]の順に選択します。

  2. [Register] をクリックします。

  3. [ID Token] フィールドに登録トークンを入力します。

  4. (オプション)[登録を強制(Force registration)] チェックボックスをオンにして、Smart Software Manager と同期されていない可能性がある登録済みの ASA 仮想 を登録します。

    たとえば、Smart Software Manager から誤って ASA 仮想 を削除した場合に Force registration を使用します。

  5. [Register] をクリックします。

    ASA 仮想 が、Smart Software Manager への登録と設定されたライセンス権限付与の承認要求を試行します。

    ASA 仮想 を登録すると、Smart Software Manager は ASA 仮想 と Smart Software Manager 間の通信用の ID 証明書を発行します。また、ASA 仮想 が該当する仮想アカウントに割り当てられます。通常、この手順は 1 回限りのインスタンスです。ただし、後で ASA 仮想の再登録が必要になる場合があります。たとえば、通信の問題によりアイデンティティ証明書が期限切れになった場合です。

ASA 仮想:Smart Software Manager オンプレミスライセンシングの設定

この手順は、Smart Software Manager オンプレミスを使用する ASA 仮想 に適用されます。

始める前に

  • Smart Software Manager オンプレミス OVA ファイルを Cisco.com からダウンロードし、VMware ESXi サーバーにインストールして設定します。詳細については、『Cisco Smart Software Manager On-Prem Data Sheet』を参照してください。

  • バージョン 7.0 では、スマート トランスポートが Smart Software Manager オンプレミスに追加されました。これより古いバージョンを使用する場合、この手順に従って、 ASA 仮想 で Smart Call Home を有効にします。

  • デバイスをエアギャップ ネットワークに配置する前に、クリプト CA トラストプールをダウンロードする。このトラストプールは通常、自動的にダウンロードされますが、エアギャップ ネットワークでは失効している可能性があります。

    crypto ca trustpool import url http://www.cisco.com/security/pki/trs/ios_core.p7b

手順

ステップ 1

Smart Software Manager オンプレミスで登録トークンを要求します。

ステップ 2

(任意) スマート ライセンス サーバーとの通信には、デフォルトの Smart Transport の代わりに Smart Call Home を使用します。

Smart Transport の代わりに Smart Call Home を使用する必要があることがわかっている場合は、次の手順を実行します。それ以外の場合は、デフォルトのスマート トランスポートを使用する必要があります。

  1. ASA 仮想 では、[設定(Configuration)] > [デバイス管理(Device Management)] > [Smart Call-Home]を選択します。

  2. (任意) [HTTP プロキシの有効化(Enable HTTP Proxy)] をオンにして、および [Proxy サーバー(Proxy server)][プロキシ ポート(Proxy port)] フィールドにプロキシの IP アドレスとポートを入力します。

    たとえば、HTTPS サーバに 443 ポートを入力します。

    (注)  

     

    認証を使用する HTTP プロキシはサポートされません。

  3. [サブスクリプション プロファイルの設定(Configure Subscription Profiles)] 領域で、 ライセンス プロファイルを編集し、Smart Software Manager オンプレミスに移動するようにライセンス サーバー URL を編集します。

  4. [Deliver Subscriptions Using HTTP transport] 領域で、[Subscribers] URL を選択し、[Edit] をクリックします。

  5. [Subscribers] URL を次の値に変更し、[OK] をクリックします。

    https://on-prem_ip_address/Transportgateway/services/DeviceRequestHandler

  6. [OK] をクリックします。

  7. [Apply] をクリックします。

  8. [設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンシング(Licensing)] > [スマートライセンシング(Smart Licensing)] の順に選択します。

  9. [トランスポート(Transport)]では、 [Call Home] オプション ボタンをクリックします。

ステップ 3

ASA 仮想では、ライセンス権限付与を設定します。

  1. [設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンシング(Licensing)] > [スマートライセンシング(Smart Licensing)] の順に選択します。

  2. [Enable Smart license configuration] をオンにします。

  3. [Feature Tier] ドロップダウンメニューからEssentialsを選択します。

    Essentials 階層のみが有効ですが、構成で有効にする必要があります。

  4. Smart Software Manager から要求されるライセンスを決定するには、[スループットレベル(Throughput Level)] ドロップダウン リストから、[100M]、[1G]、[2G]、[10G][20G][無制限(unlimited)]のうちの 1 つを選択します。

    次のスループットとライセンスの関係を参照してください。

    • 100M:ASAv5

    • 1G:ASAv10

    • 2G:ASAv30

    • 10G:ASAv50

    • 20G:ASAv100

    • [無制限(unlimited)]:ASAvU

  5. (任意) [強力な暗号化プロトコルの有効化(Enable strong-encryption protocol)] チェックボックスはオンにしてください。

    Smart Software Manager から高度暗号化トークンを受け取った場合、このライセンスは必要ありません。ただし、スマートアカウントで高度暗号化が許可されていないものの、高度暗号化の使用が許可されているとシスコが判断した場合、高度暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

  6. [Apply] をクリックします。

ステップ 4

ライセンスサーバーの URL を変更して、Smart Software Manager オンプレミスに移動し、任意に HTTP プロキシを指定します。

スマートトランスポートの代わりに Smart Call Home を使用するには、ステップ ステップ 2を参照してください。

  1. [トランスポート(Transport)]で、 [スマート トランスポート(Smart Transport)] ラジオ ボタンをクリックします。

  2. [カスタム URL(Custom URL) ] オプションボタンをクリックして、次の形式で Smart Software Manager オンプレミス URL を設定します。

    https://on-prem_ip_address/SmartTransport

  3. (任意) プロキシ URL の IP アドレスまたは FQDN と プロキシ ポート 番号を設定します。

ステップ 5

ASA を Smart Software Manager に登録します。

  1. [設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンシング(Licensing)] > [スマートライセンシング(Smart Licensing)] の順に選択します。

  2. [Register] をクリックします。

  3. [ID Token] フィールドに登録トークンを入力します。

  4. (オプション)[登録を強制(Force registration)] チェックボックスをオンにして、Smart Software Manager と同期されていない可能性がある登録済みの ASA を登録します。

    たとえば、Smart Software Manager から誤って ASA を削除した場合に [Force registration] を使用します。

  5. [Register] をクリックします。

    ASA が Smart Software Manager に登録され、設定されたライセンス権限付与の承認を要求します。Smart Software Manager は、ご使用のアカウントが許可すれば高度暗号化(3DES/AES)ライセンスも適用します。ライセンス ステータスを確認する場合は、[Monitoring] > [Properties] > [Smart License] の順に選択します。

    ASA 仮想 を登録すると、Smart Software Manager は ASA 仮想 と Smart Software Manager 間の通信用の ID 証明書を発行します。また、ASA 仮想 が該当する仮想アカウントに割り当てられます。通常、この手順は 1 回限りのインスタンスです。ただし、通信の問題などが原因で ID 証明書の期限が切れた場合は、ASA 仮想 の再登録が必要になります。

ASA 仮想:ユーティリティ(MSLA)スマート ソフトウェア ライセンシングの設定

マネージド サービス ライセンス契約(MSLA)のユーティリティ ライセンシングでは、ライセンス サブスクリプションまたは永久的ライセンスの 1 回かぎりの料金を支払うのではなく、ライセンスの使用時間に応じて支払うことができます。ユーティリティ ライセンシング モードでは、ASA 仮想 がライセンスの使用状況を時間単位(15 分間隔)で追跡します。ASA 仮想 は、Smart Software Manager に 4 時間ごとにライセンス使用状況レポート(「RUM レポート」と呼ばれます)を送信します。その後、使用状況レポートは、課金サーバーに転送されます。ユーティリティ ライセンシングでは、Smart Call Home は、ライセンシングメッセージのトランスポートとして使用されません。代わりに、メッセージが、スマートトランスポートを使用して HTTP/HTTPS 経由で直接送信されます。

始める前に

Smart Software Manager オンプレミスを使用している場合は、Smart Software Manager オンプレミス OVA ファイルを Cisco.com からダウンロードし、VMware ESXi サーバーにインストールして設定します。詳細については、『Cisco Smart Software Manager On-Prem Data Sheet』を参照してください。

手順

ステップ 1

Smart Software Manager(Cisco Smart Software Manager)で、このデバイスを追加するバーチャル アカウントの登録トークンを要求してコピーします。

  1. [Inventory] をクリックします。

    図 6. インベントリ

  2. [General] タブで、[New Token] をクリックします。

    図 7. 新しいトークン

  3. [登録トークンを作成(Create Registration Token)] ダイアログボックスで、以下の設定値を入力してから [トークンを作成(Create Token)] をクリックします。

    • 説明

    • [有効期限(Expire After)]:推奨値は 30 日です。

    • [最大使用数]:トークンの最大使用数。

      トークンは、有効期限または最大使用回数で期限切れになります。

    図 8. 登録トークンの作成

    トークンはインベントリに追加されます。

  4. トークンの右側にある矢印アイコンをクリックして [トークン(Token)] ダイアログボックスを開き、トークン ID をクリップボードにコピーできるようにします。ASA の登録が必要なときに後の手順で使用するために、このトークンを準備しておきます。

    図 9. トークンの表示
    図 10. トークンのコピー

ステップ 2

[設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンシング(Licensing)] > [スマートライセンシング(Smart Licensing)] の順に選択します。

ステップ 3

ライセンス権限付与を設定します。

  1. [スマート ライセンス構成の有効化(Enable Smart license configuration)] をオンにします。

  2. [Feature Tier] ドロップダウンメニューからEssentialsを選択します。

    Essentials 階層のみが有効ですが、構成で有効にする必要があります。

  3. Smart Software Manager から要求されるライセンスを決定するには、[スループットレベル(Throughput Level)] ドロップダウンメニューから、100M1G2G10G20Gunlimited のうちの 1 つを選択します。

    次のスループットレベルとライセンスの関係を参照してください。

    • 100M:ASAv5

    • 1G:ASAv10

    • 2G:ASAv30

    • 10G:ASAv50

    • 20G:ASAv100

    • [無制限(unlimited)]:ASAvU

  4. (任意) [強力な暗号化プロトコルの有効化(Enable strong-encryption protocol)] チェックボックスはオンにしてください。

    Smart Software Manager から高度暗号化トークンを受け取った場合、このライセンスは必要ありません。ただし、スマートアカウントで高度暗号化が許可されていないものの、高度暗号化の使用が許可されているとシスコが判断した場合、高度暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

ステップ 4

(任意) ライセンス メッセージでライセンス デバイスのホスト名または Smart Agent バージョン番号を抑制する場合、次のチェックボックスをオンにします。

  1. ホスト名(Host Name)

  2. バージョン

ステップ 5

[スマート トランスポート(Smart Transport)] オプション ボタンをクリックします。

ステップ 6

Smart Transport の URL を設定します。

  1. [カスタム URL(Custom URL)] オプション ボタンをクリックし、 [URL] フィールドに URL を入力します。

  2. [登録(Registration)] フィールドに、Smart Software Manager 定期またはオンプレミスの登録トークンを貼り付けます。

  3. [ユーティリティ(Utility)] フィールドで、Smart Software Manager 定期またはオンプレミスの URL を指定します。

  4. (任意) [プロキシ url(proxy url )] フィールドで、ライセンスサーバーまたはサテライトがプロキシ経由でのみ到達可能な場合は、プロキシの url を指定します。

    (注)  

     

    認証を使用する HTTP プロキシはサポートされません。

  5. (任意) [Proxy Port] フィールドで、プロキシポート番号を指定します。

ステップ 7

[標準ユーティリティモードを有効にする(Enable Standard Utility Mode)] チェックボックスをオンにします。

ステップ 8

ユーティリティ ライセンス情報を設定します。これには、課金のために必要な顧客情報が含まれます。

  1. [Custom ID] フィールドで、一意のカスタマー ID を指定します。この ID は、Utility Licensing 使用状況レポート メッセージに含まれます。

  2. お客様プロファイルを作成するには、残りの項目に適切な情報を入力してください。具体的には、[お客様会社 ID(Customer Company Identifier)][お客様会社名(Customer Company Name)][お客様住所(番地)(Customer Street)][お客様住所(市区町村)(Customer City)][お客様住所(都道府県)(Customer State)][お客様住所(国名)(Customer Country)][お客様郵便番号(Customer Postal Code)] などです。

ステップ 9

[Apply] をクリックします。

ステップ 10

[登録(Register)] をクリックし、Smart Software Manager 定期またはオンプレミスに ASA 仮想 を登録します。

ASA が Smart Software Manager に登録され、設定されたライセンス権限付与の承認を要求します。ライセンス ステータスを確認する場合は、[Monitoring] > [Properties] > [Smart License] の順に選択します。

ASA 仮想:永続ライセンス予約の設定

ASA 仮想 に永続ライセンスを割り当てることができます。このセクションでは、ASA 仮想 の廃止やモデル層の変更などによって新しいライセンスが必要となった場合に、ライセンスを返却する方法についても説明します。

手順

ステップ 1

ASA 仮想 永続ライセンスのインストール

ステップ 2

(オプション)ASA 仮想 の永続ライセンスの返却

ASA 仮想 永続ライセンスのインストール

インターネット アクセスを持たない ASA の場合は、Smart Software Manager から永続ライセンスを要求できます。ASA 仮想ASA 仮想 永続ライセンス予約の詳細については、 ASA Virtual 永久ライセンス予約を参照してください。


(注)  

  • 永続ライセンスの予約については、ASA 仮想 を廃棄する前にライセンスを戻す必要があります。ライセンスを正式に戻さないと、ライセンスが使用中の状態のままになり、新しい ASA 仮想 に再使用できません。(オプション)ASA 仮想 の永続ライセンスの返却を参照してください。

  • 永久ライセンスをインストールした後に設定をクリアした場合(write erase コマンドを使用するなど)、、引数を指定せずに license smart reservation コマンドを使用して永久ライセンスの予約を再度有効にする必要があります。この場合、この手順の残りの部分を完了する必要はありません。

始める前に

  • 永続ライセンスを購入すると、Smart Software Manager でそれらのライセンスを使用できます。すべてのアカウントが永続ライセンスの予約について承認されているわけではありません。設定を開始する前にこの機能についてシスコの承認があることを確認します。

  • ASA 仮想 の起動後に永続ライセンスを要求します。Day 0 設定の一部として永続ライセンスをインストールすることはできません。

手順

ステップ 1

(ASAv5 のみ、柔軟ではないライセンシング)DRAM が 2 GB(9.13 以降で必要な最小容量)の場合に ASAv5 永久ライセンスの使用を許可します。

license smart set_plr5

ステップ 2

(オプション)次のコマンドを実行して、RAM および vCPU に関係なく、永続ライセンスの予約を手動で設定します(フレキシブル永続ライセンス予約モード)。

license smart flex-model { asav5_plr | asav10_plr | asav30_plr | asav50_plr | asav100_plr| asavu_plr}

(注)  

 

ASA 仮想 に 16 を超える vCPU がある場合は、ASAvU(無制限)ライセンスのみを設定できます。

柔軟な永続ライセンスの予約を無効にするには、[ no license smart reservation コマンドを使用して永続ライセンスの予約モードを無効にした後、このコマンドの no 形式を使用します。

柔軟な永続ライセンス予約モードでは、ライセンス予約を有効にする前に任意の数で権限を変更できます。ライセンス予約を有効にした後に権限を変更するには、永続ライセンスの予約を無効にし、新しい権限で有効にしてから、ライセンス予約を有効にする必要があります。

たとえば、 ASA 仮想 に ASAv30 の権限があり、永続ライセンスの予約が有効になっているとします。
asav1# license smart flex-model asav30_plr
asav1# license smart reservation

ここで、権限付与を ASAv50 に変更すると、エラーが発生します。

asav1# license smart flex-model asav50_plr
ERROR: Flexible PLR CLI is disabled when license reservation is enabled

権限付与を ASAv50 に変更するには、次のコマンドを実行する必要があります。

asav1# no license smart reservation
asav1# license smart flex-model asav50_plr
asav1# license smart reservation

ステップ 3

ASA 仮想 CLI で、永続ライセンスの予約を次のように有効にします。

license smart reservation

例:

ciscoasa (config)# license smart reservation
ciscoasa (config)#

通常のスマート ライセンスを使用するには、このコマンド を再入力する必要はありません。

ステップ 4

Smart Software Manager に入力するライセンス コードを次のように要求します。

license smart reservation request universal

例:

ciscoasa# license smart reservation request universal
Enter this request code in the Cisco Smart Software Manager portal:
ABP:ASAv,S:9AU5ET6UQHD{A8ug5/1jRDaSp3w8uGlfeQ{53C13E
ciscoasa#

フレキシブル ライセンスの場合:モデルライセンスを変更せずに、ASA Virtual に割り当てられたメモリと vCPU を変更できます。

非柔軟なライセンスの場合 メモリまたは vCPU を変更する場合は、現在のライセンスを返却し、新しいモデルレベルで新しいライセンスを要求する必要があります。要求されたライセンスは、インストールされているメモリと vCPU と一致する必要があります。ASA 仮想 永続ライセンス予約の vCPU およびメモリとライセンス間のマトリックスの詳細については、 ASA Virtual 永久ライセンス予約「[] 」を参照してください。

展開済みの ASA 仮想 のモデルを変更するには、新しいモデルの要件に合わせるために、ハイパーバイザから vCPU と DRAM の設定を変更します。各値については、 ASA 仮想 のクイックスタートガイドを参照してください。現在のモデルを表示するには、show vm コマンドを使用します。

このコマンドを再入力すると、リロード後にも同じコードが表示されます。このコードをまだ Smart Software Manager に入力していない場合、要求をキャンセルするには、以下を入力します。

license smart reservation cancel

パーマネント ライセンスの予約をディセーブルにすると、保留中のすべての要求がキャンセルされます。すでに Smart Software Manager にコードを入力している場合は、その手順を完了して ASA 仮想 にライセンスを適用する必要があります。その時点から、必要に応じてライセンスを戻すことが可能になります。(オプション)ASA 仮想 の永続ライセンスの返却を参照してください。

ステップ 5

Smart Software Manager インベントリ画面に移動して、[Instances] タブをクリックします。

https://software.cisco.com/#SmartLicensing-Inventory

[Licenses] タブにアカウントに関連するすべての既存のライセンスが、標準およびパーマネントの両方とも表示されます。

ステップ 6

[ライセンス予約(License Reservation)]をクリックし、 [予約要求コード(Reservation Request Code)] フィールドに ASA 仮想 コードを入力します。

ステップ 7

[次へ(Next)] をクリックします。

[予約するライセンス(Licenses to Reserve)]の下に表示される永続ライセンスの予約資格を確認します。これは 、ステップ 2で設定した権限付与である必要があります。

ステップ 8

[次へ(Next)] をクリックします。

ステップ 9

情報を確認し、[承認コードの生成(Generate Authorization Code)] をクリックします。

Smart Software Manager が承認コードを生成します。コードをダウンロードまたはクリップボードにコピーできます。この時点で、ライセンスは、Smart Software Manager に従って使用中です。

ステップ 10

[閉じる(Close)] をクリックします。

ステップ 11

ASA 仮想 CLI から、次のコマンドを実行し、承認コードを入力します。

license smart reservation install code

例:

ciscoasa# license smart reservation install AAu3431rGRS00Ig5HQl2vpzg{MEYCIQCBw$
INFO: ASAv platform license state is Licensed.
ciscoasa#

これで、ASA 仮想 ライセンスが完全に適用されました。

ステップ 12

コマンドを実行して実行設定をスタートアップ設定に保存して、再起動中の設定の損失を避けます。

write memory

ステップ 13

ライセンスのステータスと権限付与の制限を確認します。

  • show license all 

    asav1# show license all

Smart Licensing Status
======================

Smart Licensing is ENABLED
License Reservation is ENABLED

Registration:
  Status: REGISTERED - UNIVERSAL LICENSE RESERVATION
  Export-Controlled Functionality: ALLOWED
  Initial Registration: SUCCEEDED on Nov 12 2024 06:40:36 UTC

License Authorization: 
  Status: AUTHORIZED - RESERVED on Nov 12 2024 06:27:23 UTC

Export Authorization Key:
  Features Authorized:
    <none>

Utility:
  Status: DISABLED

Data Privacy:
  Sending Hostname: yes
    Callhome hostname privacy: DISABLED
    Smart Licensing hostname privacy: DISABLED
  Version privacy: DISABLED

Transport:
  Type: Smart
  URL: https://smartreceiver.cisco.com/licservice/license
  Proxy:
    Not Supported
  VRF:
    Not Supported

Miscellaneous:
  Custom Id: <empty>

License Usage
=============

No licenses in use

Product Information
===================
UDI: PID:ASAv,SN:9A9PJLLB849
              
Agent Version
=============
Smart Agent for Licensing: 5.7.25_asav/5

Reservation Info
================ 
License reservation: ENABLED

Overall status:
  Active: PID:ASAv,SN:9A9PJLLB849
      Reservation status: UNIVERSAL INSTALLED on Nov 12 2024 06:27:23 UTC

  • show license features 

    asav1# show license features
Serial Number:  9AEJMLUP4D4
Export Compliant: YES

License mode: Smart Licensing
License reservation: Enabled
ASAv Platform License State: Licensed
Active entitlement: ASAv50_PLR, enforce mode: Authorized
Firewall throughput limited to 10 Gbps
Licensed features for this platform:
Maximum VLANs                     : 50
Inside Hosts                      : Unlimited
Failover                          : Active/Standby
Encryption-DES                    : Enabled
Encryption-3DES-AES               : Enabled
Security Contexts                 : 0
Carrier                           : Enabled
AnyConnect Premium Peers          : 250
AnyConnect Essentials             : Disabled
Other VPN Peers                   : 250
Total VPN Peers                   : 250
AnyConnect for Mobile             : Enabled
AnyConnect for Cisco VPN Phone    : Enabled
Advanced Endpoint Assessment      : Enabled
Shared License                    : Disabled
Total TLS Proxy Sessions          : 500
Botnet Traffic Filter             : Enabled
Cluster                           : Enabled

(オプション)ASA 仮想 の永続ライセンスの返却

ASA 仮想 を廃棄する場合やモデルレベルの変更によって(新しいライセンスが必要になった場合など)永続ライセンスが不要になった場合、以下の手順に従ってライセンスを正式に Smart Software Manager に戻す必要があります。すべての手順を実行しないと、ライセンスが使用中のままになり、他の場所で使用するために解除できなくなります。

手順

ステップ 1

ASA 仮想 CLI から、戻りコードを生成します。

license smart reservation return

例:

ciscoasa(config)# license smart reservation return 
   WARNING: ASAv platform license state is Limited functionality.

   Enter this return code in Cisco Smart Software Manager portal:
   UDI: PID:ASAv,SN:9A6ST9AXQ24
       Return code: DrT1pZ-8cRT2N-xxxxx-64ABCD-xXYZeM-qD1

ステップ 2

ユニバーサル デバイス識別子(UDI)をコピーして、Smart Software Manager でこの ASA 仮想 インスタンスを見つることができます。

ステップ 3

Smart Software Manager インベントリ画面に移動して、[Product Instances] タブをクリックします。

https://software.cisco.com/#SmartLicensing-Inventory

[Product Instances] タブに、ライセンスが付与されているすべての製品が UDI によって表示されます。

ステップ 4

ライセンスを解除する ASA 仮想 を確認し、[アクション(Actions)] > [削除(Remove)] の順に選択して、ASA 仮想 の戻りコードを [予約戻りコード(Reservation Return Code)] フィールドに入力します。

パーマネント ライセンスが使用可能なライセンスのプールに戻されます。

ステップ 5

をクリックします。

ステップ 6

永久ライセンス予約を無効にするには、次の手順を行います。

  1. 永久ライセンス予約を無効にするには、 次のコマンドを実行します。

    no license smart reservation

  2. 次のコマンドを実行して、柔軟な永続ライセンスの予約を無効にします。

    no license smart flex-model { asav5_plr | asav10_plr | asav30_plr | asav_50_plr | asav100_plr| asavu_plr}

  3. 次のコマンドを実行して、ライセンスの登録が解除されたことを確認します。

    show license features

    コマンド出力には 、 No active entitlementと表示されます。

ステップ 7

コマンドを実行して実行設定をスタートアップ設定に保存して、再起動中の設定の損失を避けます。

write memory

非フレキシブル PLR モードからフレキシブル PLR モードへの切り替え

手順

ステップ 1

スマート アカウントから非柔軟な永続ライセンスの予約ライセンスの登録を解除します。

  1. ASA 仮想 CLI から、戻りコードを生成します。

    license smart reservation return

    例:
    
ciscoasa(config)# license smart reservation return 
   WARNING: ASAv platform license state is Limited functionality.

   Enter this return code in Cisco Smart Software Manager portal:
   UDI: PID:ASAv,SN:9A6ST9AXQ24
       Return code: DrT1pZ-8cRT2N-xxxxx-64ABCD-xXYZeM-qD1

  2. ユニバーサル デバイス識別子(UDI)をコピーして、Smart Software Manager でこの ASA 仮想 インスタンスを見つることができます。

  3. Smart Software Manager インベントリ画面に移動して、[Product Instances] タブをクリックします。

    https://software.cisco.com/#SmartLicensing-Inventory

    [Product Instances] タブに、ライセンスが付与されているすべての製品が UDI によって表示されます。

  4. ライセンスを解除する ASA 仮想 をUDI を使用して検索します。

  5. [アクション(Actions)] > [削除(Remove)]を選択し、ASA 仮想 戻りコードを [予約戻りコード(Reservation Return Code)] フィールドに入力します。

  6. [Remove Reservation] をクリックします。

    パーマネント ライセンスが使用可能なライセンスのプールに戻されます。

ステップ 2

永久ライセンス予約ライセンスを ASA 仮想 から無効にします。

  1. 永久ライセンス予約を無効にするには、 次のコマンドを実行します。

    no license smart reservation

ステップ 3

ASA 仮想 を柔軟な永続ライセンス予約ライセンスに登録します。詳細については、「ASA 仮想 永続ライセンスのインストール」を参照してください。

回数変更可能な PLR モードから非 Flexible PLR モードへの切り替え

手順

ステップ 1

スマート アカウントからフレキシブルな永続ライセンスの予約ライセンスの登録を解除します。

  1. ASA 仮想 CLI から、戻りコードを生成します。

    license smart reservation return

    例:
    
ciscoasa(config)# license smart reservation return 
   WARNING: ASAv platform license state is Limited functionality.

   Enter this return code in Cisco Smart Software Manager portal:
   UDI: PID:ASAv,SN:9A6ST9AXQ24
       Return code: DrT1pZ-8cRT2N-xxxxx-64ABCD-xXYZeM-qD1

  2. ユニバーサル デバイス識別子(UDI)をコピーして、Smart Software Manager でこの ASA 仮想 インスタンスを見つることができます。

  3. Smart Software Manager インベントリ画面に移動して、[Product Instances] タブをクリックします。

    https://software.cisco.com/#SmartLicensing-Inventory

    [Product Instances] タブに、ライセンスが付与されているすべての製品が UDI によって表示されます。

  4. ライセンスを解除する ASA 仮想 をUDI を使用して検索します。

  5. [アクション(Actions)] > [削除(Remove)]を選択し、ASA 仮想 戻りコードを [予約戻りコード(Reservation Return Code)] フィールドに入力します。

  6. [Remove Reservation] をクリックします。

    パーマネント ライセンスが使用可能なライセンスのプールに戻されます。

ステップ 2

永久ライセンス予約ライセンスを ASA 仮想 から無効にします。

  1. 永久ライセンス予約を無効にするには、 次のコマンドを実行します:

    no license smart reservation

  2. 次のコマンドを実行して、回数変更可能な永続ライセンスの予約を無効にします:

    no license smart flex-model { asav5_plr | asav10_plr | asav30_plr | asav_50_plr | asav100_plr| asavu_plr}

ステップ 3

ASA 仮想 を非 Flexible の永続ライセンス予約ライセンスに登録します。詳細については、「ASA 仮想 永続ライセンスのインストール」を参照してください。

(オプション)ASA 仮想 の登録解除(定期およびオンプレミス)

ASA 仮想 の登録を解除すると、アカウントから ASA 仮想 が削除され、ASA 仮想 のすべてのライセンス資格と証明書が削除されます。登録を解除することで、ライセンスを新しい ASA 仮想 に利用することもできます。あるいは、Smart Software Manager から ASA 仮想 を削除できます。


(注)  

ASA 仮想 を登録解除した場合、ASA 仮想 をリロードすると重大なレート制限状態に戻ります。

手順

ステップ 1

[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] の順に選択します。

ステップ 2

[登録解除(Unregister)] をクリックします。

その後、ASA 仮想 がリロードされます。

(オプション)ASA 仮想 ID 証明書またはライセンス権限付与の更新(定期およびオンプレミス)

デフォルトでは、アイデンティティ証明書は 6 ヵ月ごと、ライセンス資格は 30 日ごとに自動的に更新されます。インターネット アクセスの期間が限られている場合や、Smart Software Manager でライセンスを変更した場合などは、これらの登録を手動で更新することもできます。

手順

ステップ 1

[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] の順に選択します。

ステップ 2

アイデンティティ証明書を更新するには、[Renew ID Certificate] をクリックします。

ステップ 3

ライセンス資格を更新するには、[Renew Authorization] をクリックします。

1000/1200/3100/4200:スマート ソフトウェア ライセンシングの設定

この項では、1000/1200/3100/4200 にスマート ソフトウェア ライセンシングを設定する方法を説明します。次の方法の中から 1 つを選択してください。

1000/1200/3100/4200:定期スマート ソフトウェア ライセンシングの設定

この手順は、Smart Software Manager を使用する ASA に適用されます。

手順

ステップ 1

Smart Software Manager で、このデバイスを追加する仮想アカウントの登録トークンを要求してコピーします。

  1. [Inventory] をクリックします。

  2. [General] タブで、[New Token] をクリックします。

  3. [登録トークンを作成(Create Registration Token)] ダイアログボックスで、以下の設定値を入力してから [トークンを作成(Create Token)] をクリックします。

    • 説明

    • [有効期限(Expire After)]:推奨値は 30 日です。

    • 最大使用回数(Max. Number of Uses)

    • [このトークンに登録された製品で輸出管理機能を許可する(Allow export-controlled functionality on the products registered with this token)]:輸出コンプライアンス フラグを有効にします。

    トークンはインベントリに追加されます。

  4. トークンの右側にある矢印アイコンをクリックして [トークン(Token)] ダイアログボックスを開き、トークン ID をクリップボードにコピーできるようにします。ASA の登録が必要なときに後の手順で使用するために、このトークンを準備しておきます。

    図 11. トークンの表示
    図 12. トークンのコピー

ステップ 2

(任意) スマート ライセンス サーバーとの通信には、デフォルトの Smart Transport の代わりに Smart Call Home を使用します。

Smart Transport の代わりに Smart Call Home を使用する必要があることがわかっている場合は、次の手順を実行します。それ以外の場合は、デフォルトのスマート トランスポートを使用する必要があります。

  1. [設定(Configuration)] > [デバイス管理(Device Management)] > [Smart Call-Home] を選択します。

  2. (任意) [HTTP プロキシの有効化(Enable HTTP Proxy)] をオンにして、および [Proxy サーバー(Proxy server)][プロキシ ポート(Proxy port)] フィールドにプロキシの IP アドレスとポートを入力します。

    たとえば、HTTPS サーバに 443 ポートを入力します。

    (注)  

     

    認証を使用する HTTP プロキシはサポートされません。

  3. [適用(Apply)] をクリックします。

  4. [設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンシング(Licensing)] > [スマートライセンシング(Smart Licensing)] の順に選択します。

  5. [トランスポート(Transport)]では、 [Call Home] オプション ボタンをクリックします。

ステップ 3

(任意)

ステップ 4

(任意) スマート トランスポートの HTTP プロキシを指定します。

スマートトランスポートの代わりに Smart Call Home を使用するには、ステップ ステップ 2を参照してください。

  1. [トランスポート(Transport)]で、 [スマート トランスポート(Smart Transport)] ラジオ ボタンをクリックします。

  2. [プロキシ URL] および [プロキシ ポート(Proxy port)] フィールドにプロキシの IP アドレスとポートを入力します。

ステップ 5

ライセンス権限付与を設定します。

  1. [設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンシング(Licensing)] > [スマートライセンシング(Smart Licensing)] の順に選択します。

  2. [スマート ライセンス構成の有効化(Enable Smart license configuration)] をオンにします。

  3. [機能層(Feature Tier)] ドロップダウンメニューから [Essentials] を選択します。

    使用できるのは Essentials 階層のみですが、 の設定でこれを有効にする必要があります。階層ライセンスは、他の機能ライセンスを追加するための前提条件です。Secure Firewall モデルの場合、Essentialsライセンスは常に有効であり、無効にすることはできません。

  4. (任意) (Firepower 1010)[Security Plus の有効化(Enable Security Plus)] をオンにします。

    Security Plus 階層によってフェールオーバーが有効になります。

  5. (任意) [Context] ライセンスの場合、コンテキストの数を入力します。

    (注)  

     

    このライセンスは、Firepower 1010 ではサポートされていません。

    デフォルトでは、ASA は 2 つのコンテキストをサポートしているため、必要なコンテキストの数から 2 つのデフォルト コンテキストを差し引いたものを要求する必要があります。コンテキストの最大数は、モデルによって異なります。

    • Firepower 1120:5 コンテキスト

    • Firepower 1140:10 コンテキスト

    • Firepower 1150:25 コンテキスト

    • Cisco Secure Firewall 1210:5 コンテキスト

    • Cisco Secure Firewall 1220:10 コンテキスト

    • Cisco Secure Firewall 1230:25 コンテキスト

    • Cisco Secure Firewall 1240:25 コンテキスト

    • Cisco Secure Firewall 1250:25 コンテキスト

    • Secure Firewall 3100:100 コンテキスト

    • Cisco Secure Firewall 4200:100 コンテキスト

    たとえば、Firepower 1150 で最大 25 のコンテキストを使用するには、コンテキストの数として 23 を入力します。この値は、デフォルトの 2 に追加されます。

  6. (任意) [強力な暗号化プロトコルの有効化(Enable strong-encryption protocol)] チェックボックスはオンにしてください。

    Smart Software Manager から高度暗号化トークンを受け取った場合、このライセンスは必要ありません。ただし、スマートアカウントで高度暗号化が許可されていないものの、高度暗号化の使用が許可されているとシスコが判断した場合、高度暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

  7. (任意) (Cisco Secure Firewall 3100/4200)Diameter、GTP/GPRS、SCTP インスペクションの [キャリアの有効化(Enable Carrier)] をオンにします。

  8. [適用(Apply)] をクリックします。

ステップ 6

[登録(Register)] をクリックします。

ステップ 7

[ID トークン(ID Token)] フィールドの [Cisco Smart Software Manager] に登録トークンを入力します。

(オプション)[登録を強制(Force registration)] チェック ボックスをオンにして、Smart Software Manager と同期されていない可能性がある登録済みの ASA を登録します。たとえば、Smart Software Manager から誤って ASA を削除した場合に [Force registration] を使用します。

ステップ 8

[Register] をクリックします。

ライセンス ステータスが更新されると、ASDM によってページが更新されます。また、登録が失敗した場合などには、[モニタリング(Monitoring)] > [プロパティ(Properties)] > [スマートライセンス(Smart License)] の順に選択して、ライセンススタータスを確認できます。

ステップ 9

ASDM を終了し、再起動します。

ライセンスを変更する場合、更新された画面を表示するには ASDM を再起動する必要があります。

1000/1200/3100/4200:Smart Software Manager オンプレミス ライセンシングの設定

この手順は、Smart Software Manager オンプレミスを使用する ASA に適用されます。

始める前に

  • Smart Software Manager オンプレミス OVA ファイルを Cisco.com からダウンロードし、VMware ESXi サーバーにインストールして設定します。詳細については、『Cisco Smart Software Manager On-Prem Data Sheet』を参照してください。

  • バージョン 7.0 では、スマート トランスポートが Smart Software Manager On-Prem に追加されました。それよりも古いバージョンを使用している場合、次の手順に従って、ASA で Smart Call Home をイネーブルにします。

  • デバイスをエアギャップ ネットワークに配置する前に、クリプト CA トラストプールをダウンロードする。このトラストプールは通常、自動的にダウンロードされますが、エアギャップ ネットワークでは失効している可能性があります。

    crypto ca trustpool import url http://www.cisco.com/security/pki/trs/ios_core.p7b

手順

ステップ 1

Smart Software Manager オンプレミスサーバーで登録トークンを要求します。

ステップ 2

(任意) スマート ライセンス サーバーとの通信には、デフォルトの Smart Transport の代わりに Smart Call Home を使用します。

Smart Transport の代わりに Smart Call Home を使用する必要があることがわかっている場合は、次の手順を実行します。それ以外の場合は、デフォルトのスマート トランスポートを使用する必要があります。

  1. [設定(Configuration)] > [デバイス管理(Device Management)] > [Smart Call-Home] の順に選択します。

  2. (任意) [HTTP プロキシの有効化(Enable HTTP Proxy)] をオンにして、および [Proxy サーバー(Proxy server)][プロキシ ポート(Proxy port)] フィールドにプロキシの IP アドレスとポートを入力します。

    たとえば、HTTPS サーバに 443 ポートを入力します。

    (注)  

     

    認証を使用する HTTP プロキシはサポートされません。

  3. [サブスクリプション プロファイルの設定(Configure Subscription Profiles)] 領域で、 ライセンス プロファイルを編集し、Smart Software Manager オンプレミスに移動するようにライセンス サーバー URL を編集します。

  4. [Deliver Subscriptions Using HTTP transport] 領域で、[Subscribers] URL を選択し、[Edit] をクリックします。

  5. [Subscribers] URL を次の値に変更し、[OK] をクリックします。

    https://on-prem_ip_address/Transportgateway/services/DeviceRequestHandler

  6. [OK] をクリックします。

  7. [Apply] をクリックします。

  8. >> > [設定(Configuration)] [デバイス管理(Device Management)] [ライセンシング(Licensing)][スマートライセンシング(Smart Licensing)] の順に選択します。

  9. [トランスポート(Transport)]では、 [Call Home] オプション ボタンをクリックします。

ステップ 3

ライセンス権限付与を設定します。

  1. [Configuration] > [Device Management] > [Licensing] > [Smart Licensing] の順に選択します。

  2. [スマート ライセンス構成の有効化(Enable Smart license configuration)] をオンにします。

  3. [機能層(Feature Tier)] ドロップダウンリストから [Essentials] を選択します。

    使用できるのは Essentials 階層のみですが、 の設定でこれを有効にする必要があります。階層ライセンスは、他の機能ライセンスを追加するための前提条件です。Secure Firewall モデルの場合、Essentialsライセンスは常に有効であり、無効にすることはできません。

  4. (任意) (Firepower 1010)Check Enable Security Plus.

    Security Plus 階層によってフェールオーバーが有効になります。

  5. (任意) [Context] ライセンスの場合、コンテキストの数を入力します。

    (注)  

     

    このライセンスは、Firepower 1010 ではサポートされていません。

    デフォルトでは、ASA は 2 つのコンテキストをサポートしているため、必要なコンテキストの数から 2 つのデフォルト コンテキストを差し引いたものを要求する必要があります。コンテキストの最大数は、モデルによって異なります。

    • Firepower 1120:5 コンテキスト

    • Firepower 1140:10 コンテキスト

    • Firepower 1150:25 コンテキスト

    • Cisco Secure Firewall 1210:5 コンテキスト

    • Cisco Secure Firewall 1220:10 コンテキスト

    • Cisco Secure Firewall 1230:25 コンテキスト

    • Cisco Secure Firewall 1240:25 コンテキスト

    • Cisco Secure Firewall 1250:25 コンテキスト

    • Secure Firewall 3100:100 コンテキスト

    • Cisco Secure Firewall 4200:100 コンテキスト

    たとえば、Firepower 1150 で最大 25 のコンテキストを使用するには、コンテキストの数として 23 を入力します。この値は、デフォルトの 2 に追加されます。

  6. (任意) [強力な暗号化プロトコルの有効化(Enable strong-encryption protocol)] チェックボックスはオンにしてください。

    Smart Software Manager から高度暗号化トークンを受け取った場合、このライセンスは必要ありません。ただし、スマートアカウントで高度暗号化が許可されていないものの、高度暗号化の使用が許可されているとシスコが判断した場合、高度暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

  7. (任意) (Cisco Secure Firewall 3100/4200)Diameter、GTP/GPRS、SCTP インスペクションの [キャリアの有効化(Enable Carrier)] をオンにします。

  8. [適用(Apply)] をクリックします。

ステップ 4

ライセンスサーバーの URL を変更して、Smart Software Manager オンプレミスに移動し、任意に HTTP プロキシを指定します。

スマートトランスポートの代わりに Smart Call Home を使用するには、ステップ ステップ 2を参照してください。

  1. [トランスポート(Transport)]で、 [スマート トランスポート(Smart Transport)] ラジオ ボタンをクリックします。

  2. [カスタム URL(Custom URL) ] オプションボタンをクリックして、次の形式で Smart Software Manager オンプレミス URL を設定します。

    https://on-prem_ip_address/SmartTransport

  3. (任意) プロキシ URL の IP アドレスまたは FQDN と プロキシ ポート 番号を設定します。

ステップ 5

[登録(Register)] をクリックします。

ステップ 6

[ID トークン(ID Token)] フィールドの [Cisco Smart Software Manager] に登録トークンを入力します。

(オプション)[登録を強制(Force registration)] チェック ボックスをオンにして、Smart Software Manager と同期されていない可能性がある登録済みの ASA を登録します。たとえば、Smart Software Manager から誤って ASA を削除した場合に [Force registration] を使用します。

ステップ 7

[Register] をクリックします。

ライセンス ステータスが更新されると、ASDM によってページが更新されます。また、登録が失敗した場合などには、[モニタリング(Monitoring)] > [プロパティ(Properties)] > [スマートライセンス(Smart License)] の順に選択して、ライセンススタータスを確認できます。

ステップ 8

ASDM を終了し、再起動します。

ライセンスを変更する場合、更新された画面を表示するには ASDM を再起動する必要があります。

1000/1200/3100/4200:永久ライセンス予約の構成

1000 Cisco Secure Firewall 1200/3100/4200 に永久ライセンスを割り当てることができます。この項では、ASA を廃止する場合にライセンスを返す方法についても説明します。

手順

ステップ 1

1000/1200/3100/4200 永続ライセンスの インストール

ステップ 2

(オプション)1000/1200/3100/4200 永続ライセンスの返却

1000/1200/3100/4200 永続ライセンスの インストール

インターネット アクセスを持たない ASA の場合は、Smart Software Manager から永続ライセンスを要求できます。永続ライセンスでは、すべての機能が有効になります(セキュリティコンテキストが最大のEssentialsライセンス)。


(注)  

永続ライセンスの予約については、ASA を廃棄する前にライセンスを戻す必要があります。ライセンスを正式に戻さないと、ライセンスが使用中の状態のままになり、新しい ASA に再使用できません。(オプション)1000/1200/3100/4200 永続ライセンスの返却を参照してください。

始める前に

永続ライセンスを購入すると、Smart Software Manager でそれらのライセンスを使用できます。すべてのアカウントが永続ライセンスの予約について承認されているわけではありません。設定を開始する前にこの機能についてシスコの承認があることを確認します。

手順

ステップ 1

ASA CLI で、永続ライセンスの予約を次のように有効にします。

license smart reservation

例:

ciscoasa (config)# license smart reservation
ciscoasa (config)#

ステップ 2

Smart Software Manager に入力するライセンス コードを次のように要求します。

license smart reservation request universal

例:

ciscoasa# license smart reservation request universal
Enter this request code in the Cisco Smart Software Manager portal:
BB-ZFPR-2140:JAD200802RR-AzKmHcc71-2A
ciscoasa#

このコマンドを再入力すると、リロード後にも同じコードが表示されます。このコードをまだ Smart Software Manager に入力していない場合、要求をキャンセルするには、以下を入力します。

license smart reservation cancel

パーマネント ライセンスの予約をディセーブルにすると、保留中のすべての要求がキャンセルされます。すでに Smart Software Manager にコードを入力している場合は、その手順を完了して ASA にライセンスを適用する必要があります。その時点から、必要に応じてライセンスを戻すことが可能になります。(オプション)1000/1200/3100/4200 永続ライセンスの返却を参照してください。

ステップ 3

Smart Software Manager インベントリ画面に移動して、[Instances] タブをクリックします。

https://software.cisco.com/#SmartLicensing-Inventory

[Licenses] タブにアカウントに関連するすべての既存のライセンスが、標準およびパーマネントの両方とも表示されます。

ステップ 4

[License Reservation] をクリックして、ASA のコードをボックスに入力します。[Reserve License] をクリックします。

Smart Software Manager が承認コードを生成します。コードをダウンロードまたはクリップボードにコピーできます。この時点で、ライセンスは、Smart Software Manager に従って使用中です。

[License Reservation] ボタンが表示されない場合、お使いのアカウントはパーマネント ライセンスの予約について承認されていません。この場合、パーマネント ライセンスの予約を無効にして標準のスマート ライセンス コマンドを再入力する必要があります。

ステップ 5

ASA で、承認コードを次のように入力します。

license smart reservation install code

例:

ciscoasa# license smart reservation install AAu3431rGRS00Ig5HQl2vpzg{MEYCIQCBw$
ciscoasa#

ステップ 6

ASA でライセンス権限付与を要求します。

(注)  

 

永続ライセンスにより、すべてのライセンスを完全に使用できますが、ASA がライセンスを使用できることを ASA が認識できるように、ASA 設定で権限をオンにする必要があります。

  1. ライセンス スマート コンフィギュレーション モードを開始します。

    license smart

    例:
    
ciscoasa(config)# license smart
ciscoasa(config-smart-lic)#

  2. (Firepower 1000)機能階層を設定します。

    feature tier standard

    使用できるのは標準(Essentials)層のみですが、設定で有効にする必要があります。階層ライセンスは、他の機能ライセンスを追加するための前提条件になります。Essentials ライセンスは、以前は標準ライセンスと呼ばれていました。「標準」は引き続き CLI で使用されています。Secure Firewall モデルの場合、Essentialsライセンスは常に有効であり、無効にすることはできません。

  3. (任意) セキュリティコンテキストのライセンスを有効にします。

    feature context number

    (注)  

     

    このライセンスは、Firepower 1010ではサポートされません。

    デフォルトでは、ASA は 2 つのコンテキストをサポートしているため、必要なコンテキストの数から 2 つのデフォルトコンテキストを差し引いたものを有効にする必要があります。永続ライセンスでは最大数が許可されるため、モデルの最大数を有効にすることができます。コンテキストの最大数は、モデルによって異なります。

    • Firepower 1120:5 コンテキスト

    • Firepower 1140:10 コンテキスト

    • Firepower 1150:25 コンテキスト

    • Cisco Secure Firewall 1210:5 コンテキスト

    • Cisco Secure Firewall 1220:10 コンテキスト

    • Cisco Secure Firewall 1230:25 コンテキスト

    • Cisco Secure Firewall 1240:25 コンテキスト

    • Cisco Secure Firewall 1250:25 コンテキスト

    • Secure Firewall 3100:100 コンテキスト

    • Cisco Secure Firewall 4200:100 コンテキスト

    たとえば、Firepower 1150 で最大 25 のコンテキストを使用するには、コンテキストの数として 23 を入力します。この値は、デフォルトの 2 に追加されます。

    例:
    
ciscoasa(config-smart-lic)# feature context 18

  4. (任意) (Firepower 1010)Security Plus ライセンスを有効にして、フェールオーバーを有効にします。

    feature security-plus

    例:
    
ciscoasa(config-smart-lic)# feature security-plus

  5. (任意) (Cisco Secure Firewall 3100/4200)Diameter、GTP/GPRS、SCTP インスペクションのキャリアライセンスを有効にします。

    feature carrier

    例:
    
ciscoasa(config-smart-lic)# feature carrier

  6. (任意) 高度暗号化を有効にします。

    feature strong-encryption

    Smart Software Manager から高度暗号化トークンを受け取った場合、このライセンスは必要ありません。ただし、スマートアカウントで高度暗号化が許可されていないものの、高度暗号化の使用が許可されているとシスコが判断した場合、高度暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

    例:
    
ciscoasa(config-smart-lic)# feature strong-encryption

(オプション)1000/1200/3100/4200 永続ライセンスの返却

永続ライセンスが不要になった場合(ASA を廃止する場合など)は、この手順を使用して正式に Smart Software Manager にライセンスを返却する必要があります。すべての手順を実行しないと、ライセンスが使用中のままになり、他の場所で使用するために容易に解除できなくなります。

手順

ステップ 1

ASA で返却コードを次のように生成します。

license smart reservation return

例:

ciscoasa# license smart reservation return
Enter this return code in the Cisco Smart Software Manager portal:
Au3431rGRS00Ig5HQl2vpcg{uXiTRfVrp7M/zDpirLwYCaq8oSv60yZJuFDVBS2QliQ=

ただちに ASA のライセンスがなくなり、評価状態に移行します。このコードを再度表示する必要がある場合は、このコマンドを再入力します。新しい永続ライセンス(license smart reservation request universal )を要求すると、このコードを再表示できなくなることに注意してください。必ず、コードをキャプチャして、戻す作業を完了してください。評価期間が終了すると、ASA は期限切れ状態に移行します。コンプライアンス違反状態の詳細については、コンプライアンス逸脱状態を参照してください。

ステップ 2

ASA ユニバーサル デバイス識別子(UDI)が表示されるので、Smart Software Manager で ASA インスタンスを見つることができます。

show license udi

例:

ciscoasa# show license udi    
UDI: PID:FPR-2140,SN:JAD200802RR
ciscoasa#

ステップ 3

Smart Software Manager インベントリ画面に移動して、[Product Instances] タブをクリックします。

https://software.cisco.com/#SmartLicensing-Inventory

[Product Instances] タブに、ライセンスが付与されているすべての製品が UDI によって表示されます。

ステップ 4

ライセンスを解除する ASA を確認し、[Actions] > [Remove] を選択して、ASA の返却コードをボックスに入力します。[Remove Product Instance] をクリックします。

パーマネント ライセンスが使用可能なライセンスのプールに戻されます。

(オプション) 1000/1200/3100/4200 の登録解除(定期およびオンプレミス)

ASA の登録を解除すると、アカウントから ASA が削除されます。ASA のすべてのライセンス権限付与と証明書が削除されます。登録を解除することで、ライセンスを新しい ASA に利用することもできます。あるいは、Smart Software Manager(SSM)から ASA を削除できます。

手順

ステップ 1

[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] の順に選択します。

ステップ 2

[登録解除(Unregister)] をクリックします。

(オプション)1000/1200/3100/4200 ID 証明書またはライセンス権限付与の更新(定期およびオンプレミス)

デフォルトでは、アイデンティティ証明書は 6 ヵ月ごと、ライセンス資格は 30 日ごとに自動的に更新されます。インターネット アクセスの期間が限られている場合や、Smart Software Manager でライセンスを変更した場合などは、これらの登録を手動で更新することもできます。

手順

ステップ 1

[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] の順に選択します。

ステップ 2

アイデンティティ証明書を更新するには、[Renew ID Certificate] をクリックします。

ステップ 3

ライセンス資格を更新するには、[Renew Authorization] をクリックします。

Firepower 4100/9300:スマート ソフトウェア ライセンシングの設定の設定

この手順は、Smart Software Manager、Smart Software Manager オンプレミスを使用するシャーシ、または永続ライセンスの予約に適用されます。ライセンシング通信を事前設定するには FXOS 構成ガイドを参照してください。

永続ライセンス予約の場合、ライセンスはすべての機能、すなわちセキュリティ コンテキストが最大の標準ティアおよびキャリア ライセンスを有効にします。ただし、ASA がこれらの機能を使用することを「認識する」ためには、ASA でそれらを有効にする必要があります。

始める前に

ASA クラスタの場合は、設定作業のために制御ノードにアクセスする必要があります。Firewall Chassis Manager でどのノードが制御ノードなのかを確認してください。

手順

ステップ 1

ASDM で、[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] の順に選択します。

ステップ 2

[機能層(Feature Tier)] ドロップダウン リストから [標準(Standard)] を選択します。

使用できるのは標準層だけです。ティア ライセンスは、他の機能ライセンスを追加するための前提条件です。アカウントに十分なティアライセンスが必要です。そうでないと、他の機能ライセンスまたはライセンスを必要とする機能を設定できません。

ステップ 3

(任意) [強力な暗号化プロトコルの有効化(Enable strong-encryption protocol)] チェックボックスはオンにしてください。

Smart Software Manager から高度暗号化トークンを受け取った場合、このライセンスは必要ありません。ただし、スマートアカウントで高度暗号化が許可されていないものの、高度暗号化の使用が許可されているとシスコが判断した場合、高度暗号化ライセンスをアカウントに手動で追加できます。アクティブユニットのみがこのライセンスを要求し、ライセンスの集約により両方のユニットがこれを使用できます。

ステップ 4

(任意) Carrier] チェックボックスをオンにします。

ステップ 5

(任意) [コンテキスト(Context)]ドロップダウン メニューから、必要なコンテキストの番号を選択します。

永続ライセンスの予約では、最大コンテキスト(248)を指定できます。

ステップ 6

[Apply] をクリックします。

ステップ 7

ASDM を終了し、再起動します。

ライセンスを変更する場合、更新された画面を表示するには ASDM を再起動する必要があります。

モデルごとのライセンス

このセクションでは、ASAv および Firepower 4100/9300 シャーシASA セキュリティ モジュールに使用可能なライセンス資格を示します。

ASA 仮想

ASAの構成設定 を使用してスループットレベルを設定するとき、または柔軟な永続ライセンス予約のためにlicense smart plr set コマンド でモデルを指定する場合は、Smart Software Managerから要求されるライセンスの種類が決定されます。次のスループットレベルとライセンスの関係を参照してください。

  • 100M:ASAv5

  • 1G:ASAv10

  • 2G:ASAv30

  • 10G:ASAv50

  • 20G:ASAv100

  • 無制限:ASAvU

このスループットレベルにより、最大 セキュアクライアント および TLS プロキシセッションも決定されます。ただし、ASA 仮想 メモリプロファイルを小さくすると、実際のセッション数が制限されるため、セッションを決定するには、スループットレベルと搭載されているメモリの両方を確認する必要があります。

使用中の ASA 仮想 のメモリにより、最大同時ファイアウォール接続数と VLAN が決定されます(スループットレベルによっては決定されません)。

次の表に、ASA 仮想 シリーズのライセンス機能を示します。

ライセンス

説明

権限付与ライセンス

スループット レベル

ASA 設定でスループットレベルを指定するには か、柔軟な永続ライセンス予約の場合は、モデルを指定します。このレベルにより、必要なライセンスが決定されます。

100M:ASAv5

1G:ASAv10

2G:ASAv30

10G:ASAv50

20G:ASAv100

無制限:ASAvU

ファイアウォール ライセンス

Botnet Traffic Filter

イネーブル

ファイアウォールの接続、同時

ファイアウォール接続数は、ASA 仮想 のメモリによって決定されます。

2 GB ~ 7.9 GB:100,000

8 GB ~ 15.9 GB:500,000

16 GB ~ 31.9 GB:2,000,000

32 GB ~ 64 GB:4,000,000

ASAvU:64 GB の最小メモリを使用する ASAvU を使用している場合、ファイアウォール接続の最大数は 8,000,000 です。

通信事業者

イネーブル

Total TLS Proxy Sessions

TLS プロキシセッション数は、スループットレベルと ASA 仮想 のメモリによって決定されます。

100M スループット + 任意のメモリ:500

1G スループット + 任意のメモリ:500

2G スループット:

  • 2 GB ~ 7.9 GB のメモリ:500

  • 8 GB 以上のメモリ:1000

10G スループット:

  • 2 GB ~ 7.9 GB のメモリ:500

  • 8 GB ~ 15.9 GB のメモリ:1000

  • 16 GB 以上のメモリ:10,000

20G スループット:

  • 2 GB ~ 7.9 GB のメモリ:500

  • 8 GB ~ 15.9 GB のメモリ:1000

  • 16 GB ~ 31.9 GB のメモリ:10,000

  • 32 GB 以上のメモリ:20,000

無制限のスループット:64 GB の最小メモリを使用する ASAvU を使用している場合、TLS プロキシセッションの最大数は 40,000 です。

VPN ライセンス

セキュアクライアントピア

Unlicensed

セキュアクライアント ピア数は、スループットレベルと ASA 仮想 のメモリによって決定されます。

オプションSecure Client AdvantageまたはSecure Client Premierライセンス、最大:

100M スループット + 任意のメモリ:50

1G スループット + 任意のメモリ:250

2G スループット:

  • 2 GB ~ 7.9 GB のメモリ:250

  • 8 GB 以上のメモリ:750

10G スループット:

  • 2 GB ~ 7.9 GB のメモリ:250

  • 8 GB ~ 15.9 GB のメモリ:750

  • 16 GB 以上のメモリ:10,000

20G スループット:

  • 2 GB ~ 7.9 GB のメモリ:250

  • 8 GB ~ 15.9 GB のメモリ:750

  • 16 GB ~ 31.9 GB:10,000

  • 32 GB 以上のメモリ:20,000

無制限のスループット:64 GB の最小メモリを使用する ASAvU を使用している場合、 セキュアクライアント ピアの最大数は 40,000 です。

その他の VPN ピア

(注)  

 

その他の VPN ピアの数は、スループットレベルと ASA 仮想 のメモリによって決定されます。

100M スループット + 任意のメモリ:50

1G スループット + 任意のメモリ:250

2G スループット:

  • 2 GB ~ 7.9 GB のメモリ:250

  • 8 GB 以上のメモリ:750

10G スループット:

  • 2 GB ~ 7.9 GB のメモリ:250

  • 8 GB ~ 15.9 GB のメモリ:750

  • 16 GB 以上のメモリ:10,000

20G スループット:

  • 2 GB ~ 7.9 GB のメモリ:250

  • 8 GB ~ 15.9 GB のメモリ:750

  • 16 GB ~ 31.9 GB:10,000

  • 32 GB 以上のメモリ:20,000

無制限のスループット:64 GB の最小メモリを使用する ASAvU を使用している場合、他の VPN ピアの最大数は 40,000 です。

合計 VPN ピア。全タイプの合計

(注)  

 

VPN ピアの合計数は、スループットレベルと ASA 仮想 のメモリによって決定されます。

100M スループット + 任意のメモリ:50

1G スループット + 任意のメモリ:250

2G スループット:

  • 2 GB ~ 7.9 GB のメモリ:250

  • 8 GB 以上のメモリ:750

10G スループット:

  • 2 GB ~ 7.9 GB のメモリ:250

  • 8 GB ~ 15.9 GB のメモリ:750

  • 16 GB 以上のメモリ:10,000

20G スループット:

  • 2 GB ~ 7.9 GB のメモリ:250

  • 8 GB ~ 15.9 GB のメモリ:750

  • 16 GB ~ 31.9 GB:10,000

  • 32 GB 以上のメモリ:20,000

無制限のスループット:64 GB の最小メモリを使用する ASAvU を使用している場合、VPN ピアの最大数は 40,000 です。

一般ライセンス

暗号化

アカウントのエクスポート コンプライアンス設定によって、Base(DES)または Strong(3DES/AES)

フェールオーバー

アクティブ/スタンバイ

セキュリティ コンテキスト

サポートなし

クラスタ

有効

VLAN、最大

VLAN 数は、ASA 仮想 のメモリによって決定されます。

2 GB ~ 7.9 GB:50

8 GB ~ 15.9 GB:200

16 GB ~ 31.9 GB:1,024

32 GB ~ 64 GB:1,024

Firepower 1010

次の表に、Firepower 1010 のライセンス機能を示します。

ライセンス

Essentials ライセンス

ファイアウォール ライセンス

Botnet Traffic Filter

サポートなし。

ファイアウォールの接続、同時

100,000

通信事業者

サポートしないSCTP インスペクション マップはサポートされていませんが、ACL を使用した SCTP ステートフル インスペクションがサポートされています。

合計 TLS プロキシ セッション

4,000

VPN ライセンス

セキュアクライアントピア

Unlicensed

オプションSecure Client AdvantageSecure Client PremierまたはSecure Client VPN のみライセンス、最大:75

その他の VPN ピア

75

合計 VPN ピア。全タイプの合計

75

一般ライセンス

暗号化

アカウントのエクスポート コンプライアンス設定によって、Base(DES)または Strong(3DES/AES)

Security Plus(フェールオーバー、VPN ロード バランシング)

無効

オプション

セキュリティ コンテキスト

サポートしない

クラスタ

サポートしない

VLAN、最大

60

Firepower 1100 シリーズ

次の表に、Firepower 1100 シリーズのライセンス機能を示します。

ライセンス

Essentials ライセンス

ファイアウォール ライセンス

Botnet Traffic Filter

サポートなし。

ファイアウォールの接続、同時

Firepower 1120:200,000

Firepower 1140:400,000

Firepower 1150:600,000

通信事業者

サポートしないSCTP インスペクション マップはサポートされていませんが、ACL を使用した SCTP ステートフル インスペクションがサポートされています。

合計 TLS プロキシ セッション

Firepower 1120:4,000

Firepower 1140:8,000

Firepower 1150:8,000

VPN ライセンス

セキュアクライアントピア

Unlicensed

オプションSecure Client AdvantageSecure Client Premier、またはSecure Client VPN のみライセンス、最大:

Firepower 1120:150

Firepower 1140:400

Firepower 1150:800

その他の VPN ピア

Firepower 1120:150

Firepower 1140:400

Firepower 1150:800

合計 VPN ピア。全タイプの合計

Firepower 1120:150

Firepower 1140:400

Firepower 1150:800

一般ライセンス

暗号化

アカウントのエクスポート コンプライアンス設定によって、Base(DES)または Strong(3DES/AES)

セキュリティ コンテキスト

2

オプションライセンス、最大:

Firepower 1120:5

Firepower 1140:10

Firepower 1150:25

クラスタ

サポートしない

VLAN、最大

1024

Cisco Secure Firewall 1210、1220

次の表に、Cisco Secure Firewall 1210 および 1220 のライセンス機能を示します。

ライセンス

Essentials ライセンス

ファイアウォール ライセンス

Botnet Traffic Filter

サポートなし。

ファイアウォールの接続、同時

Cisco Secure Firewall 1210:200000

Cisco Secure Firewall 1220:300000

通信事業者

サポートしないSCTP インスペクション マップはサポートされていませんが、ACL を使用した SCTP ステートフル インスペクションがサポートされています。

合計 TLS プロキシ セッション

Cisco Secure Firewall 1210:320

Cisco Secure Firewall 1220:320

VPN ライセンス

セキュアクライアントピア

Unlicensed

オプションSecure Client AdvantageSecure Client Premier、またはSecure Client VPN のみライセンス、最大:

Cisco Secure Firewall 1210:200

Cisco Secure Firewall 1220:300

その他の VPN ピア

Cisco Secure Firewall 1210:200

Cisco Secure Firewall 1220:300

合計 VPN ピア。全タイプの合計

Cisco Secure Firewall 1210:200

Cisco Secure Firewall 1220:300

一般ライセンス

暗号化

アカウントのエクスポート コンプライアンス設定によって、Base(DES)または Strong(3DES/AES)

セキュリティ コンテキスト

2

オプションライセンス、最大:

Cisco Secure Firewall 1210:5

Cisco Secure Firewall 1220:10

クラスタ

サポートしない

VLAN、最大

1024

Secure Firewall 1230、1240、1250

次の表に、Secure Firewall 1230、1240、1250、のライセンス機能を示します。

ライセンス

Essentials ライセンス

ファイアウォール ライセンス

Botnet Traffic Filter

サポートなし。

ファイアウォールの接続、同時

Cisco Secure Firewall 1230:400000

Cisco Secure Firewall 1240:400000

Cisco Secure Firewall 1250:1000000

サポートしないSCTP インスペクション マップはサポートされていませんが、ACL を使用した SCTP ステートフル インスペクションがサポートされています。

サポートしないSCTP インスペクション マップはサポートされていませんが、ACL を使用した SCTP ステートフル インスペクションがサポートされています。

合計 TLS プロキシ セッション

Cisco Secure Firewall 1230:1000

Cisco Secure Firewall 1240:1000

Cisco Secure Firewall 1250:1000

VPN ライセンス

セキュアクライアントピア

Unlicensed

オプションSecure Client AdvantageSecure Client Premier、またはSecure Client VPN のみライセンス、最大:

Cisco Secure Firewall 1230:500

Cisco Secure Firewall 1240:1000

Cisco Secure Firewall 1250:1500

その他の VPN ピア

Cisco Secure Firewall 1230:500

Cisco Secure Firewall 1240:1000

Cisco Secure Firewall 1250:1500

合計 VPN ピア。全タイプの合計

Cisco Secure Firewall 1230:500

Cisco Secure Firewall 1240:1000

Cisco Secure Firewall 1250:1500

一般ライセンス

暗号化

アカウントのエクスポート コンプライアンス設定によって、Base(DES)または Strong(3DES/AES)

セキュリティ コンテキスト

2

オプションライセンス、最大:

Cisco Secure Firewall 1230:25

Cisco Secure Firewall 1240:25

Cisco Secure Firewall 1250:25

クラスタ

イネーブル

VLAN、最大

1024

Secure Firewall 3100 シリーズ

次の表に、Secure Firewall 3100 シリーズのライセンス機能を示します。

ライセンス

Essentials ライセンス

ファイアウォール ライセンス

Botnet Traffic Filter

サポートなし。

ファイアウォールの接続、同時

Cisco Secure Firewall 3105:2,000,000

Cisco Secure Firewall 3110:2,000,000

Cisco Secure Firewall 3120:4,000,000

Cisco Secure Firewall 3130:6,000,000

Cisco Secure Firewall 3140:10,000,000

通信事業者

ディセーブル

オプション ライセンス:通信事業者

合計 TLS プロキシ セッション

Cisco Secure Firewall 3105:10,000

Cisco Secure Firewall 3110:10,000

Cisco Secure Firewall 3120:15,000

Cisco Secure Firewall 3130:15,000

Cisco Secure Firewall 3140:15,000

VPN ライセンス

セキュアクライアントピア

Unlicensed

オプションSecure Client AdvantageSecure Client Premier、またはSecure Client VPN のみライセンス、最大:

Cisco Secure Firewall 3105:3,000

Cisco Secure Firewall 3110:3,000

Cisco Secure Firewall 3120:7,000

Cisco Secure Firewall 3130:15,000

Cisco Secure Firewall 3140:20,000

その他の VPN ピア

Cisco Secure Firewall 3105:3,000

Cisco Secure Firewall 3110:3,000

Cisco Secure Firewall 3120:7,000

Cisco Secure Firewall 3130:15,000

Cisco Secure Firewall 3140:20,000

合計 VPN ピア。全タイプの合計

Cisco Secure Firewall 3105:3,000

Cisco Secure Firewall 3110:3,000

Cisco Secure Firewall 3120:7,000

Cisco Secure Firewall 3130:15,000

Cisco Secure Firewall 3140:20,000

一般ライセンス

暗号化

アカウントのエクスポート コンプライアンス設定によって、Base(DES)または Strong(3DES/AES)

セキュリティ コンテキスト

2

オプションライセンス、最大:100

クラスタ

イネーブル

VLAN、最大

1024

Firepower 4100

次の表に、Firepower 4100 のライセンス機能を示します。

ライセンス

Essentials ライセンス

ファイアウォール ライセンス

Botnet Traffic Filter

サポートなし。

ファイアウォールの接続、同時

Firepower 4112:10,000,000

Firepower 4115:15,000,000

Firepower 4125:25,000,000

Firepower 4145:40,000,000

通信事業者

ディセーブル

オプション ライセンス:通信事業者

合計 TLS プロキシ セッション

15,000

VPN ライセンス

セキュアクライアントピア

Unlicensed

オプションSecure Client AdvantageSecure Client Premier、またはSecure Client VPN のみライセンス:

Firepower 4112:10,000

Firepower 4115:15,000

Firepower 4125:20,000

Firepower 4145:20,000

その他の VPN ピア

Firepower 4112:10,000

Firepower 4115:15,000

Firepower 4125:20,000

Firepower 4145:20,000

合計 VPN ピア。全タイプの合計

Firepower 4112:10,000

Firepower 4115:15,000

Firepower 4125:20,000

Firepower 4145:20,000

一般ライセンス

暗号化

アカウントのエクスポート コンプライアンス設定によって、Base(DES)または Strong(3DES/AES)

セキュリティ コンテキスト

10

オプションライセンス:最大 250

クラスタ

イネーブル

VLAN、最大

1024

Cisco Secure Firewall 4200 シリーズ

次の表に、Secure Firewall 4200 シリーズのライセンス機能を示します。

ライセンス

Essentials ライセンス

ファイアウォール ライセンス

Botnet Traffic Filter

サポートなし。

ファイアウォールの接続、同時

Cisco Secure Firewall 4215:40,000,000

Secure Firewall 4225:90,000,000

Secure Firewall 4245:180,000,000

通信事業者

ディセーブル

オプション ライセンス:通信事業者

合計 TLS プロキシ セッション

15,000

VPN ライセンス

セキュアクライアントピア

Unlicensed

オプションSecure Client AdvantageSecure Client Premier、またはSecure Client VPN のみライセンス、最大:

Cisco Secure Firewall 4215:20,000

Cisco Secure Firewall 4225:25,000

Cisco Secure Firewall 4245:30,000

その他の VPN ピア

Cisco Secure Firewall 4215:20,000

Cisco Secure Firewall 4225:25,000

Cisco Secure Firewall 4245:30,000

合計 VPN ピア。全タイプの合計

Cisco Secure Firewall 4215:20,000

Cisco Secure Firewall 4225:25,000

Cisco Secure Firewall 4245:30,000

一般ライセンス

暗号化

アカウントのエクスポート コンプライアンス設定によって、Base(DES)または Strong(3DES/AES)

セキュリティ コンテキスト

10

オプションライセンス、最大:250

クラスタ

イネーブル

VLAN、最大

1024

Firepower 9300

次の表に、Firepower 9300 のライセンス機能を示します。

ライセンス

Essentials ライセンス

ファイアウォール ライセンス

Botnet Traffic Filter

サポートなし。

ファイアウォールの接続、同時

Firepower 9300 SM-56:60,000,000

Firepower 9300 SM-48:60,000,000

Firepower 9300 SM-40:55,000,000
キャリア

無効

オプション ライセンス:通信事業者

合計 TLS プロキシ セッション

15,000

VPN ライセンス

セキュアクライアントピア

Unlicensed

オプションSecure Client AdvantageSecure Client PremierSecure Client VPN のみライセンス:最大 20,000

その他の VPN ピア

20,000

合計 VPN ピア。全タイプの合計

20,000

一般ライセンス

暗号化

アカウントのエクスポート コンプライアンス設定によって、Base(DES)または Strong(3DES/AES)

セキュリティ コンテキスト

10

オプションライセンス:最大 250

クラスタ

イネーブル

VLAN、最大

1024

モデルごとのライセンス PID

ライセンスは、シスコまたは販売代理店からデバイスを購入した際に、スマート ソフトウェア ライセンシング アカウントにリンクされています。ただし、自身でライセンスを追加する必要がある場合は、Cisco Commerce Workspace で [すべて検索(Search All)] フィールドを使用します。

図 13. ライセンス検索
ライセンス検索

結果から、[製品とサービス(Products and Services)] を選択します。

図 14. 結果
結果

ASA 仮想 PID

ASA 仮想 Smart Software Manager 定期およびオンプレミスPID:

  • ASAv5 license—L-ASAV5S-K9=

  • ASAv10 license—L-ASAV10S-K9=

  • ASAv30 license—L-ASAV30S-K9=

  • ASAv50 license—L-ASAV50S-K9=

  • ASAv100 license—L-ASAV100S-1Y=

  • ASAv100 license—L-ASAV100S-3Y=

  • ASAv100 license—L-ASAV100S-5Y=

  • ASAvU license—L-ASA-V-U-K9=


(注)  

ASAv100 はサブスクリプションベースのライセンスで、期間は 1 年、3 年、または 5 年です。

ASA 仮想 永続ライセンス予約 PID:

永続ライセンスには、高度暗号化(3DES / AES)ライセンス(アカウントに資格がある場合)を含むすべての機能が含まれます。セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入すれば、セキュアクライアント の機能もプラットフォームの上限まで有効になります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。

  • ASAv5 license—L-ASAV5SR-K9=

  • ASAv10 license—L-ASAV10SR-K9=

  • ASAv30 license—L-ASAV30SR-K9=

  • ASAv50 license—L-ASAV50SR-K9=

  • ASAv100 license—L-ASAV100SR-K9=

  • ASAvU license—ASA-V-U-ULR-K9=

Firepower 1010 PID

Firepower 1010 Smart Software Manager 定期およびオンプレミス PID:

  • Essentials:L-FPR1000-ASA=。必須。

  • Security Plus:L-FPR1010-SEC-PL=。Security Plus ライセンスによってフェールオーバーが有効になります。

  • 高度暗号化(3DES/AES):L-FPR1K-ENC-K9=。アカウントに強力な暗号が承認されていない場合にのみ必要です。

Firepower 1010 永続ライセンス予約 PID:

永続ライセンスには、高度暗号化(3DES / AES)ライセンス(アカウントに資格がある場合)を含むすべての機能が含まれます。セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入すれば、セキュアクライアント の機能もプラットフォームの上限まで有効になります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。

  • L-FPR1K-ASA-BPU=

Firepower 1100 PID

Firepower 1100 Smart Software Manager 定期およびオンプレミス PID:

  • Essentials :L-FPR1000-ASA=。必須。

  • 5 コンテキスト:L-FPR1K-ASASC-5=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • 10 コンテキスト:L-FPR1K-ASASC-10=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • 高度暗号化(3DES/AES):L-FPR1K-ENC-K9=。アカウントに強力な暗号が承認されていない場合にのみ必要です。

Firepower 1100 永続ライセンス予約 PID:

永続ライセンスには、高度暗号化(3DES / AES)ライセンス(アカウントに資格がある場合)を含むすべての機能が含まれます。セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入すれば、セキュアクライアント の機能もプラットフォームの上限まで有効になります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。

  • L-FPR1K-ASA-BPU=

Secure Firewall 1210/1220 PID

Secure Firewall 1210/1220 Smart Software Manager 定期およびオンプレミス PID:

  • Essentials:自動的に含められます

  • 5 コンテキスト:CSF1200-ASASC-5=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • 高度暗号化(3DES/AES):L-CSF1200-ENCK9=。アカウントに強力な暗号が承認されていない場合にのみ必要です。

Secure Firewall 1210/1220 永続ライセンスの予約 PID:

永続ライセンスには、高度暗号化(3DES / AES)ライセンス(アカウントに資格がある場合)を含むすべての機能が含まれます。セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入すれば、セキュアクライアント の機能もプラットフォームの上限まで有効になります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。

  • L-CSF1200-ASA-BPU=

Cisco Secure Firewall 1230/1240/1250 PID

Secure Firewall 1230/1240/1250 Smart Software Manager 定期およびオンプレミス PID:

  • Essentials:自動的に含められます

  • 5 コンテキスト:CSF1200-ASASC-5=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • 10 コンテキスト:CSF1200-ASASC-10=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • 高度暗号化(3DES/AES):L-CSF1200-ENCK9=。アカウントに強力な暗号が承認されていない場合にのみ必要です。

Secure Firewall 1230/1240/1250 永続ライセンスの予約 PID:

永続ライセンスには、高度暗号化(3DES / AES)ライセンス(アカウントに資格がある場合)を含むすべての機能が含まれます。セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入すれば、セキュアクライアント の機能もプラットフォームの上限まで有効になります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。

  • L-CSF1200-ASA-BPU=

Secure Firewall 3100 PID

Secure Firewall 3100 Smart Software Manager 定期およびオンプレミス PID:

  • Essentials:自動的に含められます

  • 5 コンテキスト:L-FPR3K-ASASC-5=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • 10 コンテキスト:L-FPR3K-ASASC-10=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • キャリア(Diameter、GTP/GPRS、M3UA、SCTP):L-FPR3K-ASA-CAR=

  • 高度暗号化(3DES/AES):L-FPR3K-ENC-K9=。アカウントに強力な暗号が承認されていない場合にのみ必要です。

Firepower 3100 永続ライセンス予約 PID:

永続ライセンスには、高度暗号化(3DES / AES)ライセンス(アカウントに資格がある場合)を含むすべての機能が含まれます。セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入すれば、セキュアクライアント の機能もプラットフォームの上限まで有効になります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。

  • L-FPR3K-ASA-BPU=

Firepower 4100 PID

Firepower 4100 Smart Software Manager 定期およびオンプレミス PID:

  • Essentials:L-FPR4100-ASA=。必須。

  • 10 コンテキスト:L-FPR4K-ASASC-10=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • 230 コンテキスト:L-FPR4K-ASASC-230=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • 250 コンテキスト:L-FPR4K-ASASC-250=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • キャリア(Diameter、GTP/GPRS、M3UA、SCTP):L-FPR4K-ASA-CAR=

  • 高度暗号化(3DES/AES):L-FPR4K-ENC-K9=。アカウントに強力な暗号が承認されていない場合にのみ必要です。

Firepower 4100 永続ライセンス予約 PID:

永続ライセンスには、高度暗号化(3DES / AES)ライセンス(アカウントに資格がある場合)を含むすべての機能が含まれます。セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入すれば、セキュアクライアント の機能もプラットフォームの上限まで有効になります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。

  • L-FPR4K-ASA-BPU=

Secure Firewall 4200 PID

Secure Firewall 4200 Smart Software Manager 定期およびオンプレミス PID:

  • Essentials:自動的に含められます

  • 5 コンテキスト:L-FPR4200-ASASC-5=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • 10 コンテキスト:L-FPR4200-ASASC-10=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • キャリア(Diameter、GTP/GPRS、M3UA、SCTP):L-FPR4200-ASA-CAR=

  • 高度暗号化(3DES/AES):L-FPR4200-ENC-K9=。アカウントに強力な暗号が承認されていない場合にのみ必要です。

Firepower 4200 永続ライセンス予約 PID:

永続ライセンスには、高度暗号化(3DES / AES)ライセンス(アカウントに資格がある場合)を含むすべての機能が含まれます。セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入すれば、セキュアクライアント の機能もプラットフォームの上限まで有効になります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。

  • L-FPR4200-ASA-BPU=

Firepower 9300 PID

Firepower 9300 Smart Software Manager 定期およびオンプレミス PID:

  • Essentials:L-F9K-ASA=。必須。

  • 10 コンテキスト:L-F9K-ASA-SC-10=。コンテキストライセンスは追加的です。複数のライセンスを購入します。

  • キャリア(Diameter、GTP/GPRS、M3UA、SCTP):L-F9K-ASA-CAR=

  • 高度暗号化(3DES/AES):L-F9K-ASA-ENCR-K9=。アカウントに強力な暗号が承認されていない場合にのみ必要です。

Firepower 9300 永続ライセンス予約 PID:

永続ライセンスには、高度暗号化(3DES / AES)ライセンス(アカウントに資格がある場合)を含むすべての機能が含まれます。セキュアクライアント の使用権を有効にする セキュアクライアント ライセンスを購入すれば、セキュアクライアント の機能もプラットフォームの上限まで有効になります(Secure Client Advantage、Secure Client Premier、およびSecure Client VPN のみライセンスを参照)。

  • L-FPR9K-ASA-BPU=

スマート ソフトウェア ライセンシングのモニタリング

デバッグ メッセージをイネーブルにするだけでなく、ライセンスの機能、ステータス、および証明書をモニターすることもできます。

現在のライセンスの表示

ライセンスを表示するには、次の 画面を参照してください。

  • [Configuration] > [Device Management] > [Licensing] > [Smart Licensing] ペインで、[Effective Running Licenses] 領域を表示します。

スマート ライセンス ステータスの表示

ライセンス ステータスを表示するには、次のコマンドを参照してください。

  • :[Monitoring] > [Properties] > [Smart License]

    スマート ソフトウェア ライセンシング、スマート エージェントのバージョン、UDI 情報、スマート エージェントの状態、グローバル コンプライアンス ステータス、資格ステータス、使用許可証明書情報および予定のスマート エージェント タスクを表示します。

UDI の表示

ユニバーサル製品識別子(UDI)を表示するには、次のコマンドを参照してください。

show license udi

次に、ASAv の UDI の例を示します。 


ciscoasa# show license udi    
UDI: PID:ASAv,SN:9AHV3KJBEKE
ciscoasa#

Smart Software Manager 通信

このセクションでは、デバイスが Smart Software Manager と通信する方法について説明します。

デバイスの登録とトークン

各仮想アカウントに登録トークンを作成できます。このトークンは、デフォルトで 30 日間有効です。各デバイスを導入するとき、または既存のデバイスを登録するときにこのトークン ID と権限付与レベルを入力します。既存のトークンの有効期限が切れている場合は、新しいトークンを作成できます。


(注)  

Firepower 4100/9300 シャーシ:デバイス登録は、ASA 論理デバイス上ではなく、シャーシで設定されます。

展開後の起動時、または既存のデバイスでこれらのパラメータを手動で設定した後、デバイスは Smart Software Manager に登録されます。トークンを使用してデバイスを登録すると、Smart Software Manager はデバイスと Smart Software Manager 間の通信用の ID 証明書を発行します。この証明書の有効期間は 1 年ですが、6 か月ごとに更新されます。

Smart Software Manager との定期的な通信

デバイスは、30 日ごとに Smart Software Manager と通信します。Smart Software Manager に変更を加えた場合は、デバイス上で許可を更新し、すぐに変更されるようにすることができます。または、スケジュールどおりにデバイスが通信するのを待ちます。

必要に応じて、HTTP プロキシを設定できます。

ASA 仮想

ASA 仮想では、少なくとも 90 日おきに、直接接続または HTTP プロキシを介したインターネットアクセスが必要です。通常のライセンス通信が 30 日ごとに行われますが、猶予期間によって、デバイスは Call Home なしで最大 90 日間遵守が維持されます。猶予期間終了後は、Smart Software Manager に連絡する必要があり、そうしないと ASA 仮想 がコンプライアンス違反の状態になります。その他の操作には影響ありません。

他のすべてのモデル

ASA は直接または HTTP プロキシ経由で少なくとも 90 日ごとにインターネット アクセスを行う必要があります。通常のライセンス通信が 30 日ごとに行われますが、猶予期間によって、デバイスは Call Home なしで最大 90 日間動作します。猶予期間後、Smart Software Manager に連絡しない限り、特別なライセンスを必要とする機能の設定変更を行えませんが、動作には影響ありません。

コンプライアンス逸脱状態

次の状況では、デバイスがコンプライアンスから逸脱している可能性があります。

  • 使用超過:デバイスが利用できないライセンスを使用している場合。

  • ライセンスの期限切れ:時間ベースのライセンスの期限が切れている場合。

  • 通信の欠落:デバイスが再許可を得るために Licensing Authority に到達できない場合。

アカウントのステータスがコンプライアンス違反状態なのか、違反状態に近づいているのかを確認するには、デバイスで現在使用中の権限付与とスマート アカウントのものを比較する必要があります。

コンプライアンス違反状態では、モデルによってはデバイスが制限されている可能性があります。

  • ASA 仮想ASA 仮想 は影響を受けません。

  • すべての他のモデル:特別なライセンスが必要な機能への設定変更はできなくなりますが、動作には影響ありません。たとえば、Essentialsのライセンス制限を超える既存のコンテキストは実行を継続でき、その構成を変更することもできますが、新しいコンテキストを追加することはできません。最初の登録時に十分なEssentialsライセンスがない場合、高度な暗号化機能を含むライセンス機能を設定できません。

Smart Call Home インフラストラクチャ

デフォルトでは、Smart Call Home のプロファイルは、Smart Software Manager の URL を指定する設定内にあります。このプロファイルは削除できません。ライセンスプロファイルの設定可能なオプションは、Smart Software Manager の宛先アドレス URL のみであることに注意してください。Cisco TAC に指示されない限り、Smart Software Manager の URL は変更しないでください。


(注)  

Firepower 4100/9300 シャーシ の場合、ライセンスの Smart Call Home は ASA ではなく Firepower 4100/9300 シャーシ スーパバイザで設定されます。

スマート ソフトウェア ライセンスの Smart Call Home をディセーブルにすることはできません。たとえば、no service call-home コマンドを使用して Smart Call Home を無効化しても、スマート ソフトウェア ライセンシングは無効化されません。

他の Smart Call Home の機能は、特に設定しない限り、有効になりません。

スマート ライセンス証明書の管理

ASA はスマート転送または、Smart Call Home サーバー証明書を発行した CA の証明書を含むトラストポイントを自動的に作成します。サーバー証明書を発行する階層が変更される場合、サービスの中断を防ぐため、定期的な trustpool バンドルの自動更新が有効になるように、 [構成(Configuration)] > [リモート アクセス VPN(Remote Access VPN)] > [証明書管理(Certificate Management)] > [信頼できる証明書プール(Trusted Certificate Pool)] > [信頼できる証明書プール ポリシーの編集(Edit Trusted Certificate Pool Policy)] 画面の [自動インポート(Automatic Import)] エリアを構成します。

スマート ライセンス サーバーから受信したサーバー証明書は、[Extended Key Usage] フィールドに「ServAuth」が含まれていなければなりません。このチェックは、自己署名証明書以外の証明書にのみ実行されます。自己署名証明書の場合、このフィールドに値は表示されません。

Smart Software Licensing の履歴

機能名

プラットフォーム リリース

説明

Secure Firewall 4200 の最大接続数の引き上げ

9.23(1)

最大接続数が引き上げられました。

  • 4225:3,000 万 → 9,000 万

  • 4245:6,000 万 → 18,000 万

ASA 仮想 柔軟な永続ライセンスの予約

9.23(1)

柔軟な永続ライセンスの予約では、 ASA 仮想に割り当てられた RAM および vCPU に関係なく、モデル固有のライセンスを設定できます。

モデルライセンスは ASA 仮想 のスループットレベルを設定し、 ASA 仮想 のメモリは最大 セキュアクライアント セッション、TLS プロキシセッション、最大同時ファイアウォール接続、および VLAN を決定します。ただし、 ASA 仮想 メモリプロファイルを小さくすると、セッションと機能の実際の数が制限されます。

すべての Cisco Secure Firewall 1200 モデルでマルチ コンテキストをサポート

9.23(1)

マルチ コンテキスト モードのサポートが追加されました。Cisco Secure Firewall 1210/1220

  • Cisco Secure Firewall 1210CE-5 コンテキスト。

  • Cisco Secure Firewall 1210CP:5 コンテキスト。

  • Cisco Secure Firewall 1220CX:10 コンテキスト。

スイッチポートはマルチ コンテキスト モードではサポートされていません。マルチ コンテキスト モードに変換する前に、すべてのインターフェイスをルータ インターフェイスに変換する必要があります。

Cisco Secure Firewall 1230/1240/1250 も最初のリリースでマルチ コンテキスト モードをサポートしています。

  • Cisco Secure Firewall 1230:25 コンテキスト。

  • Cisco Secure Firewall 1240:25 コンテキスト。

  • Cisco Secure Firewall 1250:25 コンテキスト。

スマート トランスポートは、CSSM サーバーと通信するためのデフォルトのトランスポート メカニズムです。

9.22(1)

スマートライセンスでは現在、デフォルトの転送として Smart Transport を使用しています。必要に応じて、旧タイプの Smart Call Home を任意で有効にできます。

新規/変更された画面:[設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンス(Licensing)] > [スマートライセンス(Smart Licensing)]

ASAvU ライセンス

9.22(1)

ASAvU ライセンスは、32 コアおよび 64 コアの展開で最大のスループットを実現します。このライセンスは、VMware および KVM でのみサポートされています。

新規/変更された画面:[設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンス(Licensing)] > [スマートライセンス(Smart Licensing)]

Secure Firewall 4200 の最大接続数の引き上げ

9.20(2)

最大接続数が引き上げられました。

  • 4215:15M → 40M

  • 4225:30M → 80M

  • 4245:60M → 80M

キャリアライセンスの Secure Firewall 3100 サポート

9.18(1)

キャリアライセンスは、Diameter、GTP/GPRS、SCTP 検査を有効にします。

新規/変更された画面:[設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンス(Licensing)] > [スマートライセンス(Smart Licensing)]

ASAv100 永続ライセンス予約

9.14(1.30)

ASAv100 で製品 ID L-ASAV100SR-K9= を使用した永続ライセンス予約がサポートされるようになりました。注:すべてのアカウントが永続ライセンス予約について承認されているわけではありません。

ASA 仮想 MSLA サポート

9.13(1)

ASA 仮想 は、シスコのマネージド サービス ライセンス契約(MSLA)プログラムをサポートしています。このプログラムは、マネージド ソフトウェア サービスをサード パーティに提供するシスコのお客様およびパートナー向けに設計された、ソフトウェアのライセンスおよび消費のフレームワークです。

MSLA はスマートライセンスの新しい形式で、ライセンス スマート エージェントは時間単位でライセンス権限付与の使用状況を追跡します。

新規/変更された画面:[設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンス(Licensing)] > [スマートライセンス(Smart Licensing)]

ASA 仮想 柔軟なライセンス

9.13(1)

すべての ASA 仮想 ライセンスは、サポートされているすべての ASA 仮想 vCPU/メモリ構成で使用できるようになりました。セキュアクライアント および TLS プロキシのセッション制限は、モデルタイプに関連付けられたプラットフォーム制限ではなく、インストールされた ASA 仮想 プラットフォームの権限付与によって決まります。

新規/変更された画面:[設定(Configuration)] > [デバイス管理(Device Management)] > [ライセンス(Licensing)] > [スマートライセンス(Smart Licensing)]

Firepower 4100/9300 シャーシのフェールオーバー ペアのライセンスの変更

9.7(1)

アクティブなユニットのみがライセンス権限を要求します。以前は、両方のユニットがライセンスの権限付与を要求していました。FXOS 2.1.1 でサポートされます。

ASA 仮想 の短かい文字列の拡張機能向けの永続ライセンス予約

9.6(2)

スマート エージェント(1.6.4 への)の更新により、要求と認証コードには短い文字列が使用されます。

変更された画面はありません。

ASA 仮想 のサテライトサーバーのサポート

9.6(2)

デバイスがセキュリティ上の理由でインターネットにアクセスができない場合、オプションで、仮想マシン(VM)としてローカル Smart Software Manager サテライト サーバーをインストールできます。

変更された画面はありません。

Firepower 4100/9300 シャーシ 上の ASA の永続ライセンス予約

9.6(2)

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、FirePOWER 9300 および FirePOWER 4100 の ASA 用に永続ライセンスを要求できます。永続ライセンスには、標準層、高度暗号化(該当する場合)、セキュリティ コンテキスト、キャリア ライセンスをはじめ、使用可能なすべてのライセンス権限が含まれます。FXOS 2.0.1 が必要です。

すべての設定はFirepower 4100/9300 シャーシで実行され、ASA の設定は不要です。

ASA 仮想 の永続ライセンス予約

9.5(2.200)

9.6(2)

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、ASA 仮想 用に永続ライセンスを要求できます。 9.6(2) では、Amazon Web Services の ASA 仮想 向けに、この機能のサポートが追加されました。この機能は Microsoft Azure ではサポートされません。

次のコマンドが導入されました。license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return

ASDM サポートはありません。

スマート エージェントの v1.6 へのアップグレード

9.5(2.200)

9.6(2)

スマート エージェントはバージョン 1.1 からバージョン 1.6 へアップグレードされました。このアップグレードは永続ライセンス予約をサポートするほか、ライセンス アカウントに設定された権限に従って、高度暗号化(3DES/AES)ライセンス権限の設定もサポートします。

(注)  

 

バージョン 9.5 (2.200)からダウングレードした場合、ASA 仮想 はライセンス登録状態を保持しません。[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] ページで [Force registration] オプションを指定して再登録する必要があります。Smart Software Manager から ID トークンを取得します。

変更された画面はありません。

FirePOWER 9300 の ASA に高度暗号化(3DES)ライセンスを自動的に適用

9.5(2.1)

通常の Cisco Smart Software Manager(SSM)ユーザーの場合、FirePOWER 9300 で登録トークンを適用すると、対象となるお客様には強力な暗号化ライセンスが自動的に有効になります。

(注)  

 

スマート ソフトウェア マネージャ サテライトが導入されている場合、ASDM や他の高度暗号機能を使用するには、ASA の展開後に ASA CLI を使用して、高度暗号化ライセンスを有効にする必要があります。

この機能には、FXOS 1.1.3 が必要です。

次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Smart License]

サーバー証明書の発行階層が変更された場合の Smart Call Home/スマート ライセンス証明書の検証

9.5(2)

スマート ライセンスでは、Smart Call Home インフラストラクチャが使用されます。ASA はバックグラウンドで Smart Call Home 匿名レポートを最初に設定するときに、Call Home サーバー証明書を発行した CA の証明書を含むトラストポイントを自動的に作成します。ASA はサーバー証明書の発行階層が変更された場合の証明書の検証をサポートします。トラストプール バンドルの定期的な自動更新を有効にできます。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] > [Edit Trusted Certificate Pool Policy]

新しいキャリア ライセンス

9.5(2)

新しいキャリア ライセンスは既存の GTP/GPRS ライセンスを置き換え、SCTP と Diameter インスペクションもサポートします。Firepower 9300 上の ASA の場合、feature mobile-sp コマンドは feature carrier コマンドに自動的に移行します。

次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Smart License]

FirePOWER 9300 の ASA のシスコ スマート ソフトウェア ライセンシング

9.4(1.150)

FirePOWER 9300 に ASA のシスコ スマート ソフトウェア ライセンシングが導入されました。

次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Smart License]

ASA 仮想 のシスコ スマート ソフトウェア ライセンス

9.3(2)

Smart Software Licensing では、ライセンスのプールを購入して管理することができます。PAK ライセンスとは異なり、スマート ライセンスは特定のシリアル番号に関連付けられません。各ユニットのライセンスキーを管理しなくても、簡単に ASA 仮想 を展開したり使用を終了したりできます。スマート ソフトウェア ライセンスを利用すれば、ライセンスの使用状況と要件をひと目で確認することもできます。

次の画面が導入または変更されました。

[Configuration] > [Device Management] > [Licensing] > [Smart License]
[Configuration] > [Device Management] > [Smart Call-Home]
[Monitoring] > [Properties] > [Smart License]