使用可能なライセンスに関する情報
ここでは、Cisco IOS-XE ソフトウェアを実行している Cisco Catalyst 9300 シリーズ スイッチで使用可能なライセンスについて説明します。特に指定のない限り、この情報はシリーズのすべてのモデルに適用されます。
基本ライセンスとアドオンライセンス
次の基本ライセンスとアドオンライセンスを使用できます。
基本ライセンス
基本ライセンスとは、永続的に有効な永久ライセンスです。こうしたライセンスには使用期限日はありません。
-
Network Essentials
-
Network Advantage:Network Essentials ライセンスで使用可能な機能と追加機能が含まれます。
アドオン ライセンス
アドオンライセンスでは、スイッチだけでなく Cisco Digital Network Architecture Center(Cisco DNA Center)でもシスコのイノベーションを提供しています。
アドオンライセンスは特定の日付まで有効です。アドオンライセンスは 3 年、5 年、または 7 年のサブスクリプション期間にわたって購入できます。
-
DNA Essentials
-
DNA Advantage:DNA Essentials ライセンスで使用可能な機能と追加機能が含まれます。
基本ライセンスとアドオンライセンスの使用に関するガイドライン
-
基本ライセンス(Network Essentials および Network-Advantage)の注文および履行は、無期限または永久ライセンスタイプのみとなります。
-
アドオンライセンス(DNA Essentials および DNA Advantage)の注文および履行は、サブスクリプションまたは有効期間付きライセンスタイプのみとなります。
-
ネットワーク ライセンス レベルを選択した場合はアドオンライセンスレベルが含まれています。DNA 機能を使用する場合は、期限が切れる前にライセンスを更新して、使用を継続してください。DNA 機能の使用を継続しない場合は、アドオンライセンスを非アクティブ化してからスイッチをリロードして基本ライセンス機能での運用を継続します。
基本ライセンスとともにアドオンライセンスを購入する場合、許可されている組み合わせと、許可されていない組み合わせに注意してください。
表 1. 表 4 許可されている組み合わせ DNA Essentials DNA Advantage Network Essentials 対応 非対応 Network Advantage 可1 対応 1 この組み合わせは DNA ライセンスの更新時にのみ購入できます。DNA-Essentials の初回購入時には購入できません。 -
機能を使用できるライセンスレベルを確認するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com に進みます。cisco.com のアカウントは必要ありません。
高セキュリティのための輸出規制キー
暗号化機能を提供する製品および機能は、米国輸出管理法、米国政府暗号化および輸出管理規則(EAR)の範囲内です。2高セキュリティの輸出規制キー(HSECK9 キー) は、暗号化機能の使用を許可する輸出規制ライセンスです。
このサブセクションでは、 HSECK9 キー をサポートする Cisco Catalyst 9300 Series Switches、HSECK9 キー を必要とする暗号化機能、それを注文する際の考慮事項、前提条件、およびサポートされるプラットフォームでの設定方法について説明します。
サポートされているプラットフォームとリリース
HSECK9 キー は、Cisco IOS XE Bengaluru 17.6.2 以降の Cisco Catalyst 9300X シリーズ スイッチでのみ使用できます。
シリーズで使用可能な SLU の詳細については、『Cisco Catalyst 9300 Series Switches Hardware Installation Guide』を参照してください。
HSECK9 キーが必要な場合
HSECK9 キー は、米国の輸出規制法の制限対象である、特定の暗号化機能を使用する場合にのみ必要です。これがないと、制限対象の暗号化機能を有効にできません。
IPsec 機能には HSECK9 キー が必要です。
HSECK9 キーを使用するための前提条件
次の要件を満たしていることを確認します。
-
HSECK9 キー をサポートするデバイスであること。サポートされているプラットフォームとリリースを参照してください。
-
デバイスで DNA Advantage ライセンスが設定されていること。DNA Advantage が設定されていない場合、HSECK9 キーを使用することはできません。
-
Cisco Smart Software Manager(CSSM)の該当するスマートアカウントおよびバーチャルアカウントに必要な数の HSECK9 キー ライセンスがあること。暗号化機能を使用する UDI ごとに、HSECK9 キー が 1 つ必要です。必要なキーの数に関しては、スタック構成の考慮事項を確認してください。スタッキングに関する考慮事項を参照してください。
-
サポートされている Smart Licensing Using Policy トポロジのいずれかを実装していること。これにより、使用する HSECK9 キー ライセンスごとにスマートライセンス承認コード(SLAC)をインストールできます。
HSECK9 キー ライセンスは、米国の取引規制法(輸出規制)の制限対象であるため、使用前に承認が必要です。SLAC はこの承認を提供し、輸出規制対象のライセンスの有効化と継続的な使用を可能にします。SLAC は CSSM で生成され、CSSM から取得されます。デバイスを CSSM に接続して SLAC を取得する方法はいくつかあります。CSSM に接続する各方法がトポロジと呼ばれます。設定セクションは、各トポロジで SLAC を取得する方法を示します(HSECK9 キー用の SLAC のインストール)。
(注)
このドキュメント(サポートされているプラットフォームとリリース)の範囲内にあるサポート対象プラットフォームで SLAC を取得してインストールするには、このドキュメントの設定セクションを参照してください。他のシスコ製品と比較すると、設定プロセスに違いがあります。
-
暗号化機能の設定は、SLAC をインストールしてから行います。インストール前に暗号化機能を設定した場合、SLAC のインストール後に再設定する必要があります。
発注時の考慮事項
このセクションでは、HSECK9 キー の発注に関する重要な考慮事項について説明します。
暗号化機能を使用する UDI ごとに、個別の HSECK9 キー が必要です。デバイススタックがある場合は、「スタッキングに関する考慮事項」セクションで必要なキー数に関する情報を参照してください。
注文する新しいハードウェア(サポートされているプラットフォーム)で暗号化機能を使用する予定の場合は、スマートアカウントとバーチャルアカウントの情報を注文時に提供します。これにより、SLAC を工場でインストールできます。
キーの注文については、『Cisco Catalyst 9300 Series Ordering Guide』[英語] を参照してください。
スタッキングに関する考慮事項
このセクションでは、アクティブ、スタンバイ、および 1 つ以上のメンバーを持つデバイススタックに適用される HSECK9 の考慮事項と要件について説明します。
-
混合スタック構成はサポートされていません。スタック内のすべてのデバイスは、Cisco Catalyst 9300X シリーズ スイッチである必要があります。シリーズで使用可能な C9300X SLU の詳細については、『Cisco Catalyst 9300 Series Switches Hardware Installation Guide』[英語] を参照してください。
-
最低限、HSECK9 キーを取得し、スタック内のアクティブデバイスの SLAC をインストールする必要があります。スイッチオーバー時に暗号化機能を中断なく使用するため、スタンバイ用の HSECK9 キー も取得することを推奨します。次のシナリオを考えます。
シナリオ 1:スタンバイに HSECK9 キーと SLAC があるデバイススタック。スイッチオーバーが発生すると、システムは新しいアクティブでの暗号化機能の操作を中断することなく続行します。
シナリオ 2:スタンバイに HSECK9 キーがないデバイススタック。
-
現在のスタンバイに必要な HSECK9 キーがなく、スイッチオーバーが発生すると暗号化機能が無効になる可能性があることを警告するシステムメッセージが毎日表示されます。現在アクティブなデバイスの HSECK9 対応機能の動作には影響しません。 %IOSXE_SMART_AGENT-6-STANDBY_NOT_AUTHORIZED: Standby is in 'not authorized' state for license hseck9
-
スイッチオーバーが発生し、(HSCECK9 キーのない)スタンバイが新たにアクティブになると、次のシステムメッセージが表示されます。メッセージにより、新しいアクティブには HSECK9 キーがなく、デバイスがリロード中になっていると警告されます。 %PLATFORM_IPSEC_HSEC-3-UNAUTHORIZED_HSEC: Switchover happened with IPSec configured but HSEC unauthorized, reloading.
%PMAN-5-EXITACTION: F0/0: pvp: Process manager is exiting: reload fp action requested
%PMAN-5-EXITACTION: R0/0: pvp: Process manager is exiting: rp processes exit with reload switch code
リロード後のスタックブートアップで生じ得る結果が 2 つあります。
-
リロード後のスタックブートアップ時に選択された次の新しいアクティブに HSECK9 キーがある場合、スタートアップ コンフィギュレーションの暗号化機能が適用されるか受け入れられ、システムによる暗号化機能の動作が再開されます。
-
リロード後のスタックブートアップ時に選択された次の新しいアクティブにも HSECK9 キーがない場合、スタートアップ コンフィギュレーションの暗号化機能は拒否され、スタック全体で暗号化機能が無効になります。
-
-
-
暗号化機能がすでに使用されている既存のスタックにデバイスを追加するには、次のいずれかの手順を実行します。
-
デバイスをスタックに追加し、スタック全体の SLAC を再度要求します。例:SLAC の要求とインストール - メンバーの追加と SLAC の再要求を参照してください。
-
スタンドアロンデバイスに SLAC をインストールし、スタンドアロンデバイスで暗号化機能を設定して、最後に既存のスタックにデバイスを追加します。例:SLAC のインストール要求 - スタンドアロンでの SLAC 要求とその後のメンバー追加を参照してください。
-