ASA CX および Cisco Prime Security Manager 9.0 ユーザ ガイド
システム ライセンスの管理
システム ライセンスの管理
発行日;2013/04/11   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

システム ライセンスの管理

ASA CXPRSM マルチ デバイス モードサーバの両方にライセンスが必要です。 ここでは、ライセンス管理について説明します。

ASA CX と PRSM のライセンス

ASA CXPRSM マルチ デバイス モードは個別のライセンスを使用しますが、PRSM サーバを使用して ASA CX システム上で使用されるライセンスを管理できます。 ここでは、各タイプのライセンスについて説明します。

ASA CX のライセンス

ASA CX の多くの機能は、特別なライセンスなしで利用できます。 ただし、ライセンスの対象となるサービスを取得するには、次のライセンスをインストールする必要があります。
  • Application Visibility and Control ライセンス:このサブスクリプション ベースのライセンスでは、アプリケーション ベースでのアクセス制御の使用が許可されます。 具体的には、アプリケーションまたはアプリケーション サービス ポリシー オブジェクトを含めて、アプリケーションまたはアプリケーションのタイプに基づくアクセス ポリシーを作成する場合に、このライセンスが必要です。
  • Web Security Essentials ライセンス:このサブスクリプション ベースのライセンスでは、URL フィルタリングの使用と、Web レピュテーション ベースのポリシーの使用が許可されます。 具体的には、ポリシーで URL オブジェクトまたは Web レピュテーション プロファイルを使用する場合に、このライセンスが必要です。
  • K9 ライセンス:製品で使用される暗号化アルゴリズムの相対的な強度を決定します。 ライセンスは(シリアル番号によって)ハードウェアに直接対応付けられ、永続的なライセンスであるため更新が不要です。

ASA CX には、60 日間有効な評価用 Application Visibility and Control ライセンスおよび Web Security Essentials ライセンスが含まれています。 評価ライセンスは、1 回更新して期間を 60 日間延長できます。


(注)  


サブスクリプション ベースのライセンスの有効期限が切れたが、そのライセンスが必要なオブジェクトを指定したポリシーがあるという場合、そのポリシーは引き続き機能しますが、新しいライセンスをアップロードするまで、そのオブジェクトを使用するポリシーを編集できません。


Cisco Prime Security Manager のライセンス

Cisco Prime Security Manager マルチ デバイス モードにはライセンスが必要です。 ライセンスにより、PRSM サーバを使用して管理できるデバイス数が決まります。

PRSM には、90 日間有効で、デバイス数無制限のライセンスが含まれています。このライセンスは、新しい評価ライセンスを取得してアップロードすることにより、1 回更新できます。 評価ライセンスを使用できる残り期間は、[Pending Changes] リンクの横にあるメニュー バーに表示されます。

評価ライセンスが期限切れになると、変更をデバイスに展開できなくなります。

十分なデバイス数のライセンスが購入およびアップロードされていることを確認してください。

ASA CX ライセンス期限切れ時の動作

ASA CX で使用されるサブスクリプション ライセンスには、有効期限があります。 使用している機能に必要な、有効で期限切れしていないライセンスがあることを確認する必要があります。 ライセンスの期限切れが近づくと、期限が迫っていることを警告されます。また、期限切れ後には、新しいライセンスをアップロードするために 60 日間の猶予期間が与えられます。 [Pending Changes] リンクの横にあるメニュー バーにリンクが表示され、期限切れライセンスの数が表示されます。 評価ライセンスには猶予期間がありません、

次に、サブスクリプション ライセンスの期限切れについてさらに詳しく説明します。
  • ポリシー セットには、セットに対してイネーブルになっている各機能のアイコンが含まれます。 アイコンの上にマウスを置くと、機能名とライセンスの残り日数、またはライセンスが失効し、有効期限を過ぎているかどうかが表示されます。 PRSM マルチ デバイス モードでは、ライセンスの失効日は、ポリシー セットを使用するデバイス グループのデバイスから取得されます。 複数のデバイス グループがポリシー セットを使用している場合、失効日はさまざまなグループ内のデバイスが割り当てられているライセンスのうち、最初に期限が切れるライセンスのものとなります。 つまり、期限切れの処理は、最も有効期限が長いライセンスではなく、最も有効期限が短いライセンスを持つデバイスによって制御されます。
  • ライセンスの期限が切れ、猶予期間を過ぎている場合は、ライセンスによって制御される機能を使用するポリシーの編集、またその機能を使用する新しいポリシーの作成ができなくなります。 たとえば、Application Visibility and Control ライセンスが失効した場合は、アプリケーション、アプリケーション タイプ、アプリケーション オブジェクト、またはアプリケーション サービス オブジェクトを指定するアクセス ポリシーを編集できなくなります。 ただし、これらのポリシーを削除することは可能です。 期限切れとなったライセンスを必要とするポリシーは、警告アイコンで示されます。

    (注)  


    期限切れとなったライセンスを使用するポリシーは、引き続き機能します。 ただし、デバイスはその機能に関連する更新を受信しなくなります。 たとえば、あるデバイス上で Web Security Essentials ライセンスが期限切れとなると、そのデバイスは URL カテゴリ更新のダウンロードを停止します。 デバイスをライセンスなしで動作する期間が長いほど、ポリシーによって使用されるシグニチャと現在のシグニチャ状態との違いが大きくなります。


  • PRSM マルチ デバイス モードで動作する際に、期限切れライセンスを持つデバイスを少なくとも 1 つ含むデバイス グループにポリシー セットが割り当てられていることにより、ポリシーがロックされている状態の場合は、新しいライセンスを適用することによって最も簡単に問題を解決できます。 新しいライセンスを適用できない場合は、次の一時的なオプションを検討してください。
    • デバイス グループ全体の問題の場合、つまり、グループ内のすべてのデバイスのライセンスが期限切れとなった場合は、ポリシー セットのコピーを作成し、期限切れライセンスを持つデバイス グループにそのコピーを割り当てます。 これにより、元のポリシー セット内のポリシーを編集できます。 次に、有効なライセンスをデバイス グループに適用するときに、元のポリシー セットを再割り当てすることができます。そして、デバイス グループ内のデバイスが、ポリシーに対する変更を取得します。
    • デバイス グループ内の単一のデバイスが問題の場合は、有効なライセンスを適用できるまで、そのデバイスをグループから削除します。 期限切れライセンスを持つデバイスを含むデバイス グループを編集する場合は、有効期限が切れていないライセンスを持つデバイスのみを含むグループのコピーを作成するかどうか尋ねられます。 ポリシー セットはアクティブなライセンスを持つデバイスがある新しいグループに移動され、期限切れライセンスを持つデバイスは古いグループに隔離されます。 デバイス グループを編集するには、[Policies] > [Device Groups] を選択します。
  • ある機能に対するライセンスを持たない場合、またはシングル デバイス モードで機能をグローバルにディセーブルした場合や マルチ デバイス モードのすべてのデバイス グループで機能をディセーブルにした場合は、その機能に対するシグニチャ更新が発生しません。 たとえば、Application Visibility and Control ライセンスを持たない場合、システムはアプリケーション シグニチャを更新しません。 Web Security Essentials ライセンスを持たない場合、Web カテゴリは更新されず、またカテゴリ ベースのフィルタリングでは最後にダウンロードされた分類が使用されます。
  • ライセンスを削除する必要はありません。 ライセンスが期限切れとなった場合は、システムから自動的に削除されます。 マルチ デバイス モードでは、期限切れライセンスが削除される前に、そのライセンスに割り当てられているすべてのデバイスを他のライセンスに割り当てる必要があります。

[Licenses] ページの概要

ライセンスにより、使用できる機能、または PRSM マルチ デバイス モードの場合には管理できるデバイス数が決まります。 [Licenses] ページには、現在システムにインストールされているライセンスが表示されます。 各ライセンスには、ライセンスの対象となるデバイスの最大数、ライセンスを使用しているデバイス数、および設定されている場合はライセンスの有効期限が表示されます。 このページからライセンスをアップロードし、他のライセンス管理アクティビティを実行できます。

使用可能なライセンスの説明については、次のトピックを参照してください。

[Licenses] ページを開くには、[Administration] > [Licenses] を選択します。 メニュー バーにあるライセンス通知リンクをクリックすることによっても、このページを開くことができます。評価ライセンスを使用している場合、またはライセンスが失効している場合、このリンクは [Pending Changes] リンクの横に表示されます。

[Licenses] ページには、次の項目が含まれています。
  • [I want to]:次のコマンドが含まれています。
    • [Upload License File]:Cisco.com から取得したライセンス ファイルを追加します。 シングル デバイス モードでは、新しいライセンスの有効期限が現在使用しているライセンスよりも長い場合、ライセンスをアップロードすると、そのライセンスが自動的にデバイスに適用されます。
    • [Renew Evaluation Licenses]:すべての評価ライセンスを更新します。 新しいライセンスを購入する前に、評価ライセンスを 1 回更新できます。 すでにライセンスを更新している場合、このコマンドは使用できません。
    • [Manage Licensed Features]:(シングル デバイス モードのみ)。ライセンスされた機能を選択してイネーブルまたはディセーブルにします。 サブスクリプション ライセンスを必要とする特定の機能を使用しない場合、ライセンスが必要なポリシーを誤って定義できないようにするため、この機能をディセーブルにすることができます。 マルチ デバイス モードでは、各デバイス グループ用にライセンスされた機能を管理します。 [Policies] > [Device Groups] を選択してグループを編集します。
  • [List of Licenses]:システムで使用可能な各ライセンスを表示します。
    マルチ デバイス モードのみ)。各ライセンスには、そのライセンスを使用しているデバイスのリストも含まれています。 ライセンスまたはデバイスに関連するコマンドを表示するには、ライセンスのヘッダーまたはデバイスの行にマウスを置きます。 使用可能なコマンドは次のとおりです。
    • [Apply to Device]:(ライセンス コマンド)。現在、このタイプのライセンスを持っていないデバイスにライセンスを割り当てます。
    • [Renew License]:(ライセンス コマンド)。このライセンスを使用しているデバイスに、新しい別のライセンスを割り当てます。 期限切れライセンスの場合は、猶予期間が切れる前に、このコマンドを使用して新しいライセンスを割り当てたことを確認します。 このコマンドは、そのライセンスを使用するデバイスが存在しない場合は表示されません。
    • [Revoke License]:(デバイス コマンド)。このデバイスからライセンスを削除します。 ライセンスを取り消す前に、そのデバイスをライセンスを使用しないデバイス グループに移動する必要があります。 つまり、そのデバイスを含むデバイス グループは、ライセンスの対象となる機能を使用するポリシーを含むポリシー セットを使用できません。 ライセンスを取り消す目的は、そのライセンスを解放して、別のデバイスで使用することです。

システム ライセンスの設定

ここでは、システム ライセンスの設定に関する基本的な手順について説明します。

評価ライセンスの使用

ASA CX および PRSM サーバには、Application Visibility and Control ライセンスおよび Web Security Essentials ライセンスが含まれています。 評価ライセンスは、マルチ デバイス モードでは 2 つのデバイスに適用され、シングル デバイス モードではそのデバイスだけに適用されます。 PRSM サーバには、サーバに対する追加の評価ライセンスが含まれており、無制限の数のデバイスを管理できます。
  • Application Visibility and Control ライセンスおよび Web Security Essentials ライセンスは、60 日間有効です。 評価ライセンスを 1 回更新して 60 日間追加できるため、合計 120 日間の評価を行うことができます。 次の手順では、これらのライセンスを更新する方法について説明します。
  • PRSM サーバ ライセンスは、90 日間有効です。 PRSM の評価ライセンスを更新するには、Cisco.com から新しい評価ライセンスを取得し、[I want to] > [Upload License File] コマンドを使用してファイルをアップロードします。
手順
    ステップ 1   [Administration] > [Licenses] を選択します。
    ステップ 2   [I want to] > [Renew Evaluation Licenses] を選択します。

    更新の説明の入力を要求され、両方の評価ライセンスの更新を確認するよう求められます。

    ステップ 3   [Yes] をクリックしてライセンスを更新します。

    ライセンスされた機能の選択的イネーブル化

    デフォルトでは、サブスクリプション ライセンスが必要なすべての機能は、グローバルにイネーブルになります。 現在、機能の使用を許可するライセンスを持っている場合でも、ある機能を使用できないようにする場合は、その機能を選択してディセーブルにできます。


    ヒント


    ポリシーですでに使用している機能は、ディセーブルにできません。 たとえば、URL オブジェクトを使用するようアクセス ポリシーを設定している場合は、(ポリシーをディセーブルにしても)URL フィルタリング機能をディセーブルにできません。 ポリシー オブジェクトは存在でき、新しいポリシーを作成できますが、そのオブジェクトをポリシーで使用することはできません。


    次の機能の使用を制御できます。
    • [Application Services]:Application Visibility and Control ライセンスが必要です。 この機能は、アクセス ポリシーにおけるアプリケーション、アプリケーション タイプ、アプリケーション オブジェクト、またはアプリケーション サービス オブジェクトの使用と、[Applications] フィールドを制御します。
    • [URL Filtering]:Web Security Essentials ライセンスが必要です。 この機能は URL オブジェクトの使用を制御します。
    • [Web Reputation]:Web Security Essentials ライセンスが必要です。 この機能は Web レピュテーション プロファイル オブジェクトの使用を制御します。

    注意    


    マルチ デバイス モードでデバイス グループの機能をディセーブルにすると、その機能はそのデバイス グループで使用する各ポリシー セットに対してディセーブルになります。 別のデバイス グループが同じポリシー セットを使用している場合、他のデバイス グループの機能が実質的にディセーブルになります。 つまり、機能のイネーブル ステータスを変更すると、編集しているデバイス グループだけでなく、他のデバイス グループにも影響を与えることがあります。 機能をディセーブルにする前に、他のデバイス グループが影響を受けるかどうか十分に注意して確認する必要があります。


    機能をイネーブルまたはディセーブルにする方法は、次のように動作モードによって異なります。
    • シングル デバイス モード:[Licensing] ページから機能を管理します。
      1. [Administration] > [Licenses] を選択します。
      2. [I want to] > [Manage Licensed Features] を選択します。
      3. 目的とする設定に応じて、各機能に対して [Enable] または [Disable] を選択します。
      4. [Save Settings] をクリックします。
    • マルチ デバイス モード:各デバイス グループの機能を管理します。
      1. [Policies] > [Device Groups] を選択します。
      2. デバイス グループを選択します。
      3. [Manage Licensed Features] セクションで、目的とする設定に応じて、各機能に対して [Enable] または [Disable] を選択します。
      4. [Save Device Group] をクリックします。 ある機能をイネーブルにしたが、その機能で必要とされるライセンスがグループのデバイスない場合は、ライセンスの適用を求められます。 必要に応じて、新しいライセンスをアップロードできます。
      5. また、グループ内のすべてのデバイスに関して、ディセーブルにされた機能のライセンスを取り消す必要があります。 影響を受けるデバイスをメモしておき、変更をコミットします。 次に、[Administration] > [Licenses] を選択して、割り当てられた機能ライセンス内の各デバイスの上にマウスを置き、[Revoke License] をクリックします。

    ライセンス ファイルのアップロード

    ライセンスを取得するときには、ファイル拡張子 .lic を持つライセンス ファイルを取得します。 そのファイルをシステムにアップロードする必要があります。 ライセンスのアップロード方法はシングル デバイス モードマルチ デバイス モードで同じですが、実行しているモードに基づいて正しいタイプのライセンスをアップロードしていることを確認する必要があります。

    ライセンスをアップロードする場所には、次の 2 つがあります。
    • [Administration] > [Licenses] ページ。 この方法が推奨され、その手順について以下で説明します。
    • マルチ デバイス モードのみ)。[License Manager] パネル。 ライセンスを持たないデバイスにライセンスを適用すると、[License Manager] が表示されます。 [Licenses] ページから、またはデバイス グループの編集時にライセンスを適用できます。 通常、システムにアップロード済みのライセンスを適用するには License Manager を使用しますが、パネルから新しいライセンスをアップロードすることもできます。
    手順
      ステップ 1   [Administration] > [Licenses] を選択します。
      ステップ 2   [I want to] > [Upload License File] を選択します。
      ステップ 3   [Upload License File] パネルで [Browse] をクリックし、ワークステーションまたはネットワーク ドライブからライセンス ファイルを選択します。
      ステップ 4   [Upload] をクリックします。
      そのライセンスがライセンスのリストに追加され、それ以降のアクションは、次のように実行しているモードに基づいたものになります。
      • シングル デバイス モード:ライセンスはすぐに適用され、アクティブにされます。 変更を保存する必要はありません。 あるタイプのライセンスが複数存在する場合、残りの有効期間が最も長いライセンスが使用され、その他のライセンスは使用されません。
      • マルチ デバイス モードASA CX ライセンス:ライセンスを使用できます。 デバイス グループにライセンスを適用する必要があります。 ただし、K9 ライセンスは該当する ASA CX に自動的に適用されます。 K9 ライセンスは、シリアル番号に基づいて特定のデバイスと対応付けられています。正しいシリアル番号を持つデバイスがインベントリに存在する場合、ライセンスは自動的に適用されます。 正しいデバイスがインベントリに存在する必要があり、そうでない場合はアップロードがブロックされます。
      • マルチ デバイス モードPRSM ライセンス:ライセンスはすぐにアクティブにされ、評価ライセンスが存在する場合は、その評価ライセンスを置き換えます。 複数のライセンスをアップロードした場合は、ライセンス数が加算されます(たとえば、5 デバイスのライセンスに 10 デバイスのライセンスを加算すると、15 デバイスのライセンスになります)。 これ以上の操作は必要ありません。

      デバイス ライセンスの適用と更新

      サブスクリプション ベースの機能を使用する各デバイスには、その機能のライセンスが必要です。 ライセンス ファイルを ASA CX にアップロードすると、ライセンス ファイルはデバイスに自動的に適用されます。 PRSM マルチ デバイス モードでは、ライセンスをデバイスに明示的に割り当てる必要があります。 ここでは、現在ライセンスを持たないデバイスに PRSM のライセンスを適用する方法を説明します。

      ライセンスを適用または更新(置換)するには、License Manager を使用します。License Manager は、ライセンスを適用または更新する場合、または無効なライセンスを持つデバイスを少なくとも 1 つ含むデバイス グループを編集する場合に表示されるポップアップ パネルです。 License Manager の内容は、開いたときのコンテキストによって異なります。
      • [Administration] > [Licenses] ページからライセンスを適用または更新する場合、License Manager はウィザードとなります。 これを開くには、そのライセンスの上にマウスを置き、[Apply to Device] コマンドまたは [Renew License] コマンドのいずれかをクリックします。 ウィザードでは、まずデバイス グループを選択し、グループに適用されるライセンスを選択します。 ライセンス リストには、クリックしたライセンスだけでなく、そのライセンス タイプの使用可能なすべてのライセンスが表示されます。
      • デバイス グループを編集する場合は、Web Security Essentials ライセンス用と Application Visibility and Control ライセンス用の 2 つのリストが、License Manager に表示されます。 必要なライセンス数が個別に表示されます。また、ライセンスをまだ持っていないデバイス、およびライセンスが失効しているデバイスが含まれます。 次の条件が適用される場合、デバイス グループへの編集を保存したときに License Manager が自動的に表示されます。
        • デバイスをグループに追加し、そのデバイスにはグループ内でイネーブルにされた機能に対するライセンスが必要。
        • イネーブルにされた機能に対するライセンスがないか、またはライセンスが失効しているデバイスがすでに存在するグループを編集した。
        • グループで以前にディセーブルにした機能をイネーブルにしたが、グループ内のデバイスがその機能のライセンスをまだ持っていない。
        デバイス グループを編集するには、[Policies] > [Device Groups] を選択してカルーセルからグループを選択し、変更してから [Save Device Group] をクリックします。
      いずれの場合にも、必要なライセンス数に等しい十分な数のライセンスを選択する必要があります。そうしないと、License Manager で変更を保存できません。
      • ライセンスの適用時には、ライセンスをまだ持っていないデバイス、およびライセンスが失効しているデバイスが必要数として表示されます。 選択したライセンスは、それらのライセンスを必要とするデバイスにのみ適用されます。グループ内の他のデバイスのライセンスは変更されません。
      • ライセンスを更新(置換)する場合、必要な数は、グループ内でライセンスを使用しているすべてのデバイス数です。 選択したライセンスは、そのライセンスを使用していたデバイス上で「更新される」ライセンスを置換します。グループ内で別のライセンスを使用するデバイスは変更されません。

      ヒント


      License Manager を使用してライセンスをアップロードできます。 通常は、適用または更新するタイプと同じタイプのライセンスをアップロードします。その場合はライセンス リストに表示されるため、そのライセンスを適用できます。 ただし、システムで使用される任意のタイプのライセンスをアップロードできます。ライセンスは追加されますが、License Manager には表示されません、


      はじめる前に

      デバイス グループに基づいてライセンスを適用または更新するには、ライセンスを持たないデバイスまたはライセンスを置換するデバイスを含む各デバイス グループごとに、この手順を繰り返す必要があります。

      K9 ライセンスは、シリアル番号に基づいて特定のデバイスと対応付けられています。正しいシリアル番号を持つデバイスがインベントリに存在する場合、ライセンスは自動的に適用されます。 したがって、K9 ライセンスの場合は、この手順に従う必要がありません。 K9 ライセンスが License Manager に表示されることはありません。 また、失効することもありません。

      手順
        ステップ 1   上記で説明したいずれかの方式を使用して、License Manager を開きます。
        ステップ 2   ([Licenses] ページのみ)。[Step 1, Select device group] で、ライセンスを必要とするデバイスを含むデバイス グループを選択します。
        リストされるグループは、次のように決定されます。
        • [Apply to Device]:ライセンスを持たないデバイス、またはライセンスが失効しているデバイスが少なくとも 1 つ含まれている場合、そのデバイス グループがリストされます。 このリストが空の場合は、すべてのデバイスにこのタイプの有効なライセンスが存在するため、変更を加えることができません。
        • [Renew License]:クリックした失効ライセンスを使用するデバイスが少なくとも 1 つ含まれている場合、そのデバイス グループがリストされます。
        ステップ 3   [Step 2, Choose license files to use] で、デバイスに適用するライセンス ファイルを選択します。

        必要なライセンス数に対応できる、十分な数のライセンス ファイルの組み合わせを選択する必要があります。 アップロードされたファイル内に使用可能な十分なライセンス ファイルが存在しない場合は、[Browse] をクリックしてワークステーションから新しいライセンス ファイルを選択し、[Upload] をクリックしてシステムに追加します。

        デバイス グループの編集中に License Manager を使用すると、Application Visibility and Control ライセンスおよび Web Security Essentials ライセンスの個別のリストが表示される場合があります。 [Licenses] ページからライセンスを適用すると、1 つのライセンス タイプのみ表示されます。

        ヒント   

        ライセンスを更新(置換)する場合は、置換するライセンスの選択を必ず解除してください。

        ステップ 4   [Apply] をクリックして、ライセンスを必要とするデバイスに適用します。

        新しいライセンスを適用する場合、このアクションは、選択したタイプのライセンスが現在失効していない、グループ内のデバイスには影響しません。 ライセンスを更新すると、グループ内で古いライセンスを使用していたすべてのデバイスに新しいライセンスが割り当てられます。


        ライセンスの取り消し

        マルチ デバイス モードのみ)。ライセンスを取り消すことができるのは、デバイスがそのライセンスを必要とする機能を使用しない場合だけです。 たとえば、デバイスがデバイス グループに属し、そのグループがアプリケーション ベースのルールを含むポリシー セットを使用している場合、Application Visibility and Control ライセンスを取り消すことはできません。

        デバイス上でサブスクリプション ベースの機能を使用しない場合にのみ、ライセンスを取り消してください。 ベスト プラクティスは、デバイスを含むデバイス グループの機能もディセーブルにすることです。 ライセンスを取り消すと、そのライセンスが解放され、他のデバイスで使用できるようになります。

        K9 ライセンスを取り消すことはできません。

        手順
          ステップ 1   [Administration] > [Licenses] を選択します。
          ステップ 2   取り消すライセンス内のデバイスの上にマウスを置き、[Revoke License] をクリックします。

          ライセンスがデバイスから取り消されます。