1. No category

この章

CHAPTER
3
機能のライセンスの管理
ライセンスでは、特定の適応型セキュリティ アプライアンス上でイネーブルにするオプションを指定
します。ライセンスは、160 ビット(32 ビットのワードが 5 個、または 20 バイト)値であるアクティ
ベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)とイネーブルになる機能
とを符号化します。
この章では、アクティベーション キーを取得してアクティブにする方法について説明します。また、
各モデルに使用できるライセンスについても説明します。この章には、次の項があります。
• 「モデルごとにサポートされている機能のライセンス」(P.3-1)
• 「機能のライセンスに関する情報」(P.3-9)
• 「ガイドラインと制限事項」(P.3-17)
• 「現在のライセンスの表示」(P.3-18)
• 「アクティベーション キーの取得」(P.3-20)
• 「新しいアクティベーション キーの入力」(P.3-21)
• 「フェールオーバー ペア用ライセンスのアップグレード」(P.3-22)
• 「共有ライセンスの設定」(P.3-24)
• 「ライセンスの機能履歴」(P.3-29)
モデルごとにサポートされている機能のライセンス
この項では、各モデルに使用できるライセンスと、ライセンスに関する特記事項について説明します。
この項は、次の内容で構成されています。
• 「モデルごとのライセンス」(P.3-1)
• 「ライセンスの注釈」(P.3-8)
モデルごとのライセンス
この項では、各モデルに使用できる機能のライセンスを示します。
• ASA 5505、表 3-1(P.3-2)
• ASA 5510、表 3-2(P.3-3)
• ASA 5520、表 3-3(P.3-4)
• ASA 5540、表 3-4(P.3-5)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-1
第3章
機能のライセンスの管理
モデルごとにサポートされている機能のライセンス
• ASA 5550、表 3-5(P.3-6)
• ASA 5580、表 3-6(P.3-7)
イタリック体で示された項目は、基本ライセンスまたは Security Plus ライセンスと置換できる、個別
のオプション ライセンスです。ライセンスは、混合し組み合せることができます。たとえば、10 セ
キュリティ コンテキスト ライセンスと Strong Encryption ライセンス、500 Clientless SSL VPN ライセ
ンスと GTP/GPRS ライセンス、または 4 つのライセンスを同時に使用することができます。
表 3-1
ASA 5505 適応型セキュリティ アプライアンス ライセンスの機能
ASA 5505
Security Plus
基本ライセンス
ファイアウォール ライセンス
オプションの一時ライセン
ス:使用可能
オプションの一時ライセン
ス:使用可能
ボットネット トラフィック
フィルタ
ディセーブル
ファイアウォールの接続、
同時
10 K
25 K
GTP/GPRS
サポートしない
サポートしない
2
2
Unified Comm. セッション
1
オプション ライセンス:24
ディセーブル
オプション ライセンス:24
VPN ライセンス
Adv.Endpoint Assessment
ディセーブル
オプション ライセンス:使用
可能
ディセーブル
オプション ライセンス:使用
可能
AnyConnect Essentials1
ディセーブル
オプション ライセンス:使用
可能
ディセーブル
オプション ライセンス:使用
可能
AnyConnect Mobile1
ディセーブル
オプション ライセンス:使用
可能
ディセーブル
オプション ライセンス:使用
可能
IPSec セッション 1
10(最大 25 の組み合せた IPSec と SSL VPN) 25(最大 25 の組み合せた IPSec と SSL VPN)
2
2
オプションの永続ライセンス:
オプションの永続ライセンス:
プレミアム SSL VPN セッ
ション 1
VPN ロードバランシング
10
25
10
25
サポートしない
サポートしない
暗号化
基本(DES)
基本(DES)
フェールオーバー
サポートしない
一般ライセンス
オプション ライセンス:強化
(3DES/AES)
オプション ライセンス:強化
(3DES/AES)
Active/Standby(ステートフル フェールオー
バーなし)
セキュリティ コンテキスト サポートしない
ユーザ、同時
2
10
3
オプション ライセンス:
50
制限なし
サポートしない
103
オプション ライセンス:
50
制限なし
VLAN/ ゾーン、最大
3(2 つの正規ゾーンと 1 つの制限ゾーン)
20
VLAN トランク、最大
サポートしない
8 トランク
1. 「ライセンスの注釈」の項を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-2
OL-18970-01-J
第3章
機能のライセンスの管理
モデルごとにサポートされている機能のライセンス
2. ルーテッド モードでは、内部(ビジネス VLAN およびホーム VLAN)のホストでは、それらが外部(インターネット VLAN)と通信する
場合にだけ、制限に対してカウントされます。インターネット ホストは制限に対してカウントされません。ビジネスとホーム間のトラ
フィックを開始するホストも制限に対してカウントされません。デフォルトのルートと関連付けられているインターフェイスは、インター
ネット インターフェイスであると見なされます。デフォルトのルートがない場合、すべてのインターフェイス上のホストは制限に対してカ
ウントされます。トランスペアレント モードでは、ホストの数が最小のインターフェイスがホストの制限に対してカウントされます。ホス
トの制限を表示するには、show local-host コマンドを参照してください。
3. 10 ユーザ ライセンスの場合、最大 DHCP クライアント数は 32 です。50 ユーザの場合、最大数 は 128 です。ユーザ制限なしの場合、最大
数 は 250 です。これは、他のモデルの最大数です。
表 3-2
ASA 5510 適応型セキュリティ アプライアンス ライセンスの機能
ASA 5510
Security Plus
基本ライセンス
ファイアウォール ライセンス
オプションの一時ライセン
ス:使用可能
ボットネット トラフィック
フィルタ
ディセーブル
ファイアウォールの接続、
同時
50 K
130 K
サポートしない
サポートしない
2
2
GTP/GPRS
Unified Comm. セッション
1
オプション ライセンス:
24
50
100
ディセーブル
オプションの一時ライセン
ス:使用可能
オプション ライセンス:
24
50
100
VPN ライセンス
Adv.Endpoint Assessment
ディセーブル
オプション ライセンス:使用 ディセーブル
可能
オプション ライセンス:使用
可能
AnyConnect Essentials1
ディセーブル
オプション ライセンス:使用 ディセーブル
可能
オプション ライセンス:使用
可能
AnyConnect Mobile1
ディセーブル
オプション ライセンス:使用 ディセーブル
可能
オプション ライセンス:使用
可能
IPSec セッション 1
250(最大 250 の組み合せた IPSec と SSL
VPN)
2
オプションの永続ライセンス:
プレミアム SSL VPN セッ
ション 1
10
25
50
100
250
250(最大 250 の組み合せた IPSec と SSL
VPN)
2
オプションの永続ライセンス:
10
25
50
100
250
オプションの共有ライセンス、クライアント
またはサーバ。サーバの場合:1
オプションの共有ライセンス、クライアント
またはサーバ。サーバの場合:1
500 ~ 50,000(500
単位で増加)
500 ~ 50,000(500
単位で増加)
50,000 ~ 545,000
(1000 単位で増加)
オプションの VPN Flex ライセンス:250
50,000 ~ 545,000
(1000 単位で増加)
オプションの VPN Flex ライセンス:250
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-3
第3章
機能のライセンスの管理
モデルごとにサポートされている機能のライセンス
表 3-2
ASA 5510 適応型セキュリティ アプライアンス ライセンスの機能 (続き)
ASA 5510
基本ライセンス
Security Plus
VPN ロードバランシング
サポートしない
サポート対象
一般ライセンス
暗号化
基本(DES)
オプション ライセンス:強化 基本(DES) オプション ライセンス:強化
(3DES/AES)
(3DES/AES)
フェールオーバー
サポートしない
セキュリティ コンテキスト
サポートしない
Active/Standby または Active/Active1
2
オプション ライセンス:
5
50
VLAN、最大
100
1. 「ライセンスの注釈」の項を参照してください。
表 3-3
ASA 5520 適応型セキュリティ アプライアンス ライセンスの機能
ASA 5520
基本ライセンス
ファイアウォール ライセンス
ボットネット トラフィック
フィルタ
ディセーブル
ファイアウォールの接続、
同時
280 K
GTP/GPRS
ディセーブル
Unified Communications
Proxy セッション1
2
オプションの一時ライセンス:使用可能
オプション ライセンス:使用可能
オプション ライセンス:
24
50
100
250
500
750
1000
VPN ライセンス
Adv.Endpoint Assessment
AnyConnect Essentials
AnyConnect Mobile
IPSec セッション
1
1
1
ディセーブル
オプション ライセンス:使用可能
ディセーブル
オプション ライセンス:使用可能
ディセーブル
オプション ライセンス:使用可能
750(最大 750 の組み合せた IPSec と SSL VPN)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-4
OL-18970-01-J
第3章
機能のライセンスの管理
モデルごとにサポートされている機能のライセンス
表 3-3
ASA 5520 適応型セキュリティ アプライアンス ライセンスの機能 (続き)
ASA 5520
基本ライセンス
プレミアム SSL VPN セッ
ション 1
2
オプションの永続ライセンス:
10
25
50
100
250
500
750
オプションの共有ライセンス、クライアントまたはサーバ。サーバの場合:1
500 ~ 50,000(500 単位で増加)
50,000 ~ 545,000(1000 単位で増加)
オプションの VPN Flex ライセンス:
250
VPN ロードバランシング
750
サポート対象
一般ライセンス
基本(DES)
暗号化
オプション ライセンス:強化(3DES/AES)
Active/Standby または Active/Active1
セキュリティ コンテキスト 2
オプション ライセンス:
5
10
20
フェールオーバー
150
VLAN、最大
1. 「ライセンスの注釈」の項を参照してください。
表 3-4
ASA 5540 適応型セキュリティ アプライアンス ライセンスの機能
ASA 5540
基本ライセンス
ファイアウォール ライセンス
ボットネット トラフィック
フィルタ
ディセーブル
ファイアウォールの接続、
同時
400 K
GTP/GPRS
ディセーブル
Unified Communications
Proxy セッション1
2
オプションの一時ライセンス:使用可能
オプション ライセンス:使用可能
オプション ライセンス:
24
50
100
250
500
750
1000
2000
VPN ライセンス
Adv.Endpoint Assessment
AnyConnect Essentials
1
ディセーブル
オプション ライセンス:使用可能
ディセーブル
オプション ライセンス:使用可能
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-5
第3章
機能のライセンスの管理
モデルごとにサポートされている機能のライセンス
表 3-4
ASA 5540 適応型セキュリティ アプライアンス ライセンスの機能 (続き)
ASA 5540
基本ライセンス
AnyConnect Mobile
IPSec セッション
1
1
プレミアム SSL VPN セッ
ション 1
ディセーブル
オプション ライセンス:使用可能
5000(最大 5000 の組み合せた IPSec と SSL VPN)
2
オプションの永続ライセンス:
10
25
50
100
250
500
750
1000
2500
オプションの共有ライセンス、クライアントまたはサーバ。サーバの場合:1
500 ~ 50,000(500 単位で増加)
50,000 ~ 545,000(1000 単位で増加)
オプションの VPN Flex ライセンス:
250
VPN ロードバランシング
750
1000
2500
サポート対象
一般ライセンス
基本(DES)
暗号化
オプション ライセンス:強化(3DES/AES)
Active/Standby または Active/Active1
セキュリティ コンテキスト 2
オプション ライセンス:
5
10
20
50
フェールオーバー
200
VLAN、最大
1. 「ライセンスの注釈」の項を参照してください。
表 3-5
ASA 5550 適応型セキュリティ アプライアンス ライセンスの機能
ASA 5550
基本ライセンス
ファイアウォール ライセンス
ボットネット トラフィック
フィルタ
ディセーブル
ファイアウォールの接続、
同時
650 K
GTP/GPRS
ディセーブル
Unified Communications
Proxy セッション1
2
オプションの一時ライセンス:使用可能
オプション ライセンス:使用可能
オプション ライセンス:
24
50
100
250
500
750
1000
2000
3000
VPN ライセンス
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-6
OL-18970-01-J
第3章
機能のライセンスの管理
モデルごとにサポートされている機能のライセンス
表 3-5
ASA 5550 適応型セキュリティ アプライアンス ライセンスの機能 (続き)
ASA 5550
基本ライセンス
Adv.Endpoint Assessment
AnyConnect Essentials
AnyConnect Mobile
IPSec セッション
1
1
1
プレミアム SSL VPN セッ
ション 1
ディセーブル
オプション ライセンス:使用可能
ディセーブル
オプション ライセンス:使用可能
ディセーブル
オプション ライセンス:使用可能
5000(最大 5000 の組み合せた IPSec と SSL VPN)
2
オプションの永続ライセンス:
10
25
50
100
250
500
750
1000
2500
5000
オプションの共有ライセンス、クライアントまたはサーバ。サーバの場合:1
500 ~ 50,000(500 単位で増加)
50,000 ~ 545,000(1000 単位で増加)
オプションの VPN Flex ライセンス:
250
750
1000 2500 5000
VPN ロードバランシング
サポート対象
一般ライセンス
基本(DES)
暗号化
オプション ライセンス:強化(3DES/AES)
Active/Standby または Active/Active1
セキュリティ コンテキスト 2
オプション ライセンス:
5
10
20
50
フェールオーバー
250
VLAN、最大
1. 「ライセンスの注釈」の項を参照してください。
表 3-6
ASA 5580 適応型セキュリティ アプライアンス ライセンスの機能
ASA 5580
基本ライセンス
ファイアウォール ライセンス
ボットネット トラフィック
フィルタ
ディセーブル オプションの一時ライセンス:使用可能
ファイアウォールの接続、
同時
650 K
GTP/GPRS
ディセーブル オプション ライセンス:使用可能
Unified Communications
Proxy セッション1
2
オプション ライセンス:
24
50
100
250
500
750
1000
2000
3000
5000
100002
VPN ライセンス
Adv.Endpoint Assessment
AnyConnect Essentials
AnyConnect Mobile
1
1
VPN ロードバランシング
IPSec セッション
1
ディセーブル オプション ライセンス:使用可能
ディセーブル オプション ライセンス:使用可能
ディセーブル オプション ライセンス:使用可能
サポート対象
5000(最大 5000 の組み合せた IPSec と SSL VPN)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-7
第3章
機能のライセンスの管理
モデルごとにサポートされている機能のライセンス
表 3-6
ASA 5580 適応型セキュリティ アプライアンス ライセンスの機能 (続き)
ASA 5580
基本ライセンス
プレミアム SSL VPN セッ
ション 1
2
オプションの永続ライセンス:
10
25
50
100
250
500
750
1000
2500
5000
1
オプションの共有ライセンス、クライアントまたはサーバ。サーバの場合:
500 ~ 50,000(500 単位で増加)
50,000 ~ 545,000(1000 単位で増加)
オプションの VPN Flex ライセンス:
250
750
1000
2500
5000
一般ライセンス
基本(DES) オプション ライセンス:強化(3DES/AES)
暗号化
Active/Standby または Active/Active1
セキュリティ コンテキスト 2
オプション ライセンス:
5
10
20
50
フェールオーバー
250
VLAN、最大
1. 「ライセンスの注釈」の項を参照してください。
2. 10,000 セッション ライセンスの場合、組み合せたセッション数は合計 10,000 までですが、Phone Proxy セッションの最大数は 5000 です。
ライセンスの注釈
表 3-7
ライセンスの注釈
ライセンス
注
AnyConnect Essentials
AnyConnect Essentials では、基本の AnyConnect クライアント機能を使用でき、プラット
フォームの制限値までの SSL VPN セッションがサポートされます。このライセンスは、
Windows Mobile 5.0、6.0、および 6.1 を実行しているタッチスクリーン デバイスでの SSL
VPN へのアクセスを提供します。CSD やクライアントレス SSL VPN など、一部の高度な機能
はサポートされません。AnyConnect Essentials ライセンスは、プレミアム SSL VPN ライセン
ス、プレミアム SSL VPN 共有ライセンス、VPN Flex プレミアム SSL VPN ライセンス、およ
び Advanced Endpoint Assessment ライセンスとは互換性がありません。デフォルトでは、上記
のライセンスの代わりに AnyConnect Essentials ライセンスが使用されますが、no
anyconnect-essentials コマンドを使用することで、コンフィギュレーションで AnyConnect
Essentials ライセンスをディセーブルにし、他のライセンスの使用を復元することができます。
AnyConnect Mobile
AnyConnect Mobile ライセンスは、AnyConnect Essentials と同様に、Windows Mobile 5.0、
6.0、および 6.1 を実行しているタッチスクリーン デバイスでの SSL VPN へのアクセスを提供
します。AnyConnect 2.3 へのモバイル アクセスのサポートが必要で、AnyConnect Essentials
と互換性のないライセンスを使用している場合は、このライセンスの使用をお勧めします。この
ライセンスは、プレミアム SSL VPN ライセンスと互換性があります。このライセンスと
AnyConnect Essentials はモバイル アクセス機能が重複するため、同時に使用することはお勧め
しません。ただし、AnyConnect 2.3 では、これら 2 つのライセンスに互換性があります。
Active/Active フェール
オーバー
Active/Active フェールオーバーと VPN は同時に使用できません。VPN を使用する必要がある
場合は、Active/Standby フェールオーバーを使用します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-8
OL-18970-01-J
第3章
機能のライセンスの管理
機能のライセンスに関する情報
表 3-7
ライセンスの注釈
ライセンス
注
Unified Communications
Proxy セッション
Phone Proxy、Mobility Proxy、Presence Federation Proxy、および TLS Proxy は、すべて UC
Proxy 傘下でライセンスされ、混合や組み合せが可能です。たとえば、プライマリとバックアッ
プの Cisco Unified Communications Manager を電話に設定した場合は、TLS/SRTP 接続が 2 つ
あるため、UC Proxy セッションも 2 つ使用されます。
IPSec と SSL VPN セッ
ション
• IPSec セッションと SSL VPN セッションの最大数の合計が、VPN セッションの最大数より
も多くなっても、組み合せたセッション数が VPN セッションの制限を超えることはできま
せん。VPN の最大セッション数を超えた場合、適応型セキュリティ アプライアンスをオー
バーロードして、ネットワークのサイズを適切にすることができます。合計の限界のセッ
ション構成を決定する場合、SSL VPN セッションの数はライセンスが与えられている SSL
VPN セッション セキュリティ アプライアンスの数(デフォルトでは 2)を超えることはで
きません。
• クライアントレス SSL VPN セッションを開始した後、ポータルから AnyConnect クライア
ント セッションを開始した場合は、合計 1 つのセッションが使用されています。これに対
して、最初に AnyConnect クライアントを(スタンドアロン クライアントなどから)開始
した後、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが
使用されています。
共有 プレミアム SSL
VPN セッション
共有ライセンスによって、適応型セキュリティ アプライアンスは複数のクライアントの適応型
セキュリティ アプライアンスの共有ライセンス サーバとして機能します。共有ライセンス プー
ルは大規模ですが、個々の適応型セキュリティ アプライアンスによって使用されるセッション
の最大数は、永続的なライセンスで指定される最大数を超えることはできません。
機能のライセンスに関する情報
ライセンスでは、特定の適応型セキュリティ アプライアンス上でイネーブルにするオプションを指定
します。ライセンスは、160 ビット(32 ビットのワードが 5 個、または 20 バイト)値であるアクティ
ベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)とイネーブルになる機能
とを符号化します。
この項は、次の内容で構成されています。
• 「事前インストールされているライセンス」(P.3-9)
• 「一時ライセンス、VPN Flex ライセンス、および評価ライセンス」(P.3-10)
• 「共有ライセンス」(P.3-12)
• 「ライセンスの FAQ」(P.3-16)
事前インストールされているライセンス
デフォルトでは、適応型セキュリティ アプライアンスの出荷時にライセンスが事前インストールされ
ています。このライセンスは、発注内容や、ベンダーによるインストール内容によって異なります。基
本ライセンスがインストールされていて、さらにライセンスを追加する必要がある場合もあれば、すで
にすべてのライセンスがインストールされている場合もあります。インストールされているライセンス
を特定するには、「現在のライセンスの表示」(P.3-18)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-9
第3章
機能のライセンスの管理
機能のライセンスに関する情報
一時ライセンス、VPN Flex ライセンス、および評価ライセンス
永続ライセンスに加えて、一時ライセンスを購入したり、時間制限のある評価ライセンスを入手したり
できます。たとえば、SSL VPN の同時ユーザの短期増加に対処するために VPN Flex ライセンスを購
入したり、1 年間有効なボットネット トラフィック フィルタ一時ライセンスを注文したりできます。
この項は、次の内容で構成されています。
• 「一時ライセンス タイマーの動作」(P.3-10)
• 「複数ライセンスの相互作用」(P.3-10)
• 「フェールオーバーと一時ライセンス」(P.3-12)
一時ライセンス タイマーの動作
• 一時ライセンスのタイマーは、適応型セキュリティ アプライアンス上でライセンスをアクティブ
にした時点でカウントダウンを開始します。
• 永続ライセンスや別の一時ライセンスのアクティブ化などによって、タイムアウト前に一時ライセ
ンスの使用を中止すると、タイマーが停止します。一時ライセンスを再度アクティブ化すると、タ
イマーが再開します。
• 一時ライセンスがアクティブになっているときに適応型セキュリティ アプライアンスをシャット
ダウンしても、タイマーはカウントダウンを続行します。適応型セキュリティ アプライアンスを
長期にわたってシャットダウンしたままにする場合、一時ライセンスを維持するためには、シャッ
トダウンする前に永続ライセンスをアクティブにする必要があります。
• 一時ライセンスの有効期限が切れると、次に適応型セキュリティ アプライアンスをリロードした
際に永続ライセンスが使用されます。期限が切れた時点ですぐにリロードする必要はありません。
(注)
一時ライセンスをインストールした後は、システム クロックを変更しないことをお勧めします。シス
テム クロックを先の日付に進めてからリロードした場合、適応型セキュリティ アプライアンスではク
ロックが元のインストール日時と比較され、実際よりも長い使用時間が経過したものと見なされます。
システム クロックを遅らせて、元のインストール日時との時間差よりも実際の実行時間が長くなった
場合は、リロード直後にライセンスが無効になります。
複数ライセンスの相互作用
• 一時ライセンスをアクティブにすると、永続ライセンスと一時ライセンスに含まれる機能を組み合
せた実行ライセンスが作成されます。適応型セキュリティ アプライアンスでは、それぞれのライ
センスから各機能に対する最高値が使用されます。ライセンス間で解決された競合があれば、一時
アクティベーション キーの入力時に表示されます。まれに、一時ライセンスに永続ライセンスよ
りも低い機能が含まれていた場合は、永続ライセンスの値が使用されます。
• 永続ライセンスをアクティブにすると、現在実行されている永続ライセンスと一時ライセンスが上
書きされ、アクティブにしたライセンスが実行ライセンスになります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-10
OL-18970-01-J
第3章
機能のライセンスの管理
機能のライセンスに関する情報
(注)
新しくインストールした永続ライセンスが一時ライセンスからのダウングレードである場
合、一時ライセンスをディセーブルにして永続ライセンスを復元するには、適応型セキュ
リティ アプライアンスをリロードする必要があります。リロードするまでは、一時ライセ
ンスのカウントダウンが続行されます。
すでにインストールされている永続ライセンスを再度アクティブにした場合は、適応型セ
キュリティ アプライアンスをリロードする必要がありません。一時ライセンスのカウント
ダウンは続行されず、トラフィックの中断もありません。
• 後で永続ライセンスをアクティブにした場合、一時ライセンスの機能を再度イネーブルにするに
は、一時アクティベーション キーを再度入力します。ライセンス アップグレードの際は、リロー
ドする必要がありません。
• 別の一時ライセンスに切り替えるには、新しいアクティベーション キーを入力します。古い一時
ライセンスの代わりに新しいライセンスが使用され、永続ライセンスと組み合せた新しい実行ライ
センスが作成されます。適応型セキュリティ アプライアンスには複数の一時ライセンスをインス
トールできますが、常に 1 つだけがアクティブになります。
次の図に、永続アクティベーション キーおよび VPN Flex アクティベーション キーの例と、それらの
相互作用について示します。
永続アクティベーション キーと VPN Flex アクティベーション キー
᳗⛯ࠠ࡯
1.
ࡌ࡯ࠬ + 10 SSL ធ⛯
VPN Flex ࠠ࡯
+
ࡑ࡯ࠫ ࠠ࡯
2.
ࡌ࡯ࠬ + 25 SSL ធ⛯
ࡌ࡯ࠬ + 10 SSL ធ⛯
+
ࡌ࡯ࠬ + 10 SSL ធ⛯
+
50 ࠦࡦ࠹ࠠࠬ࠻
=
25 SSL ធ⛯
ࡌ࡯ࠬ + 10 SSL ធ⛯
ࡑ࡯ࠫ ࠠ࡯
=
VPN Flex ࠠ࡯
ࡌ࡯ࠬ + 10 SSL ធ⛯ + +
50 ࠦࡦ࠹ࠠࠬ࠻
ࡌ࡯ࠬ + 25 SSL ធ⛯
᳗⛯ࠠ࡯
⹏ଔࠠ࡯
ࡑ࡯ࠫ ࠠ࡯
4.
ࡑ࡯ࠫ ࠠ࡯
=
᳗⛯ࠠ࡯
᳗⛯ࠠ࡯
3.
25 SSL ធ⛯
ࡌ࡯ࠬ + 10 SSL ធ⛯ +
50 ࠦࡦ࠹ࠠࠬ࠻
ᣂߒ޿ࡑ࡯ࠫ ࠠ࡯
=
Base + 25 SSL ធ⛯
251137
図 3-1
1. 上記の図の例 1 では、25 SSL セッションの一時キーを適用しています。VPN Flex 値が永続キー値
の 10 セッションよりも大きいため、VPN Flex 値の 25 セッションを使用したマージ キーが実行
キーになります。
2. 上記の例 2 では、例 1 のマージ キーが永続キーに置き換えられ、VPN Flex ライセンスがディセー
ブルになります。実行キーは、デフォルトの永続キー値の 10 セッションに戻ります。
3. 上記の例 3 では、50 コンテキストの評価ライセンスを永続キーに適用しています。その結果、永続
キーのすべての機能に加えて 50 コンテキスト ライセンスを含むマージ キーが実行キーになります。
4. 上記の例 4 では、例 3 のマージ キーに VPN Flex キーを適用しています。適応型セキュリティ ア
プライアンスで使用できる一時キーは常に 1 つだけなので、評価キーが VPN Flex キーに置き換え
られ、最終結果は例 1 のマージ キーと同じになります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-11
第3章
機能のライセンスの管理
機能のライセンスに関する情報
フェールオーバーと一時ライセンス
フェールオーバーには、同内容の複数のライセンスが必要です。フェールオーバーの目的上、一時ライ
センスと永続ライセンスが同一と見なされるため、一方の装置に永続ライセンスを、もう一方の装置に
一時ライセンスを使用できます。この機能性は緊急時に役立ちます。たとえば、いずれかの装置に障害
が発生した場合に予備の装置があれば、一方の修理中に予備の装置をインストールできます。予備の装
置で SSL VPN を通常使用しなければ、一方の修理中の解決策として VPN Flex ライセンスが最適です。
一時ライセンスは、フェールオーバー装置でアクティブになっている限りカウントダウンし続けるた
め、永続的なフェールオーバー インストールに使用することはお勧めしません。一時ライセンスの有
効期限が切れると、フェールオーバーが機能しなくなります。
共有ライセンス
共有ライセンスを使用すると、購入した多数の SSL VPN セッションを、適応型セキュリティ アプライ
アンスのグループ間で必要に応じて共有できます。そのためには、いずれかの適応型セキュリティ ア
プライアンスを共有ライセンス サーバとして、残りを共有ライセンス参加システムとして設定します。
この項では、共有ライセンスのしくみについて説明します。次の項目を取り上げます。
• 「共有ライセンスのサーバと参加システムに関する情報」(P.3-12)
• 「参加システムとサーバの間の通信に関する問題」(P.3-13)
• 「共有ライセンス バックアップ サーバに関する情報」(P.3-13)
• 「フェールオーバーと共有ライセンス」(P.3-14)
• 「参加システムの最大数」(P.3-16)
共有ライセンスのサーバと参加システムに関する情報
次の手順では、共有ライセンスの使用方法を示します。
1. 共有ライセンス サーバにする適応型セキュリティ アプライアンスを決定し、そのデバイスのシリ
アル番号を使用して共有ライセンス サーバ ライセンスを購入します。
2. 共有ライセンス参加システム(共有ライセンス バックアップ サーバを含む)にする適応型セキュ
リティ アプライアンスを決定し、それらのデバイスのシリアル番号を使用して、デバイスごとに
共有ライセンス参加ライセンスを取得します。
3. (オプション)2 番目の適応型セキュリティ アプライアンスを共有ライセンス バックアップ サーバ
として指定します。バックアップ サーバとして指定できるのは 1 台だけです。
(注)
共有ライセンス バックアップ サーバに必要なライセンスは参加ライセンスだけです。
4. 共有ライセンス サーバで共有秘密を設定します。この共有秘密を持つ参加システムが、共有ライ
センスを使用できます。
5. 適応型セキュリティ アプライアンスを参加システムとして設定する際は、ローカル ライセンスや
モデル情報を含むシステム情報を送信することによって、共有ライセンス サーバに登録します。
(注)
参加システムは、IP ネットワーク経由でサーバと通信できる必要があります。サーバと同
じサブネット上にある必要はありません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-12
OL-18970-01-J
第3章
機能のライセンスの管理
機能のライセンスに関する情報
6. 参加システムがサーバをポーリングする頻度に関する情報が、共有ライセンス サーバから返され
ます。
7. 参加システムがローカル ライセンスのセッションを使い果たすと、追加セッションの要求を 50
セッション単位で共有ライセンス サーバに送信します。
8. 共有ライセンスが共有ライセンス サーバから返されます。参加システムが使用できる合計セッ
ション数は、そのプラットフォーム モデルの最大セッション数を超えることができません。
(注)
共有ライセンス サーバは、共有ライセンス プールに参加することもできます。参加時には
参加ライセンスもサーバ ライセンスも必要ありません。
a. 参加システム用に十分な数のセッションが共有ライセンス プールに残っていない場合は、使
用できる限りのセッション数がサーバから返されます。
b. 参加システムは、サーバで要求が完全に満たされるまで、さらにセッションを要求するリフ
レッシュ メッセージを送信し続けます。
9. 参加システムにおける負荷が減少した場合は、メッセージをサーバに送信して共有セッションを解
放します。
(注)
適応型セキュリティ アプライアンスでは、サーバと参加システムの間のすべての通信が SSL で暗号化
されます。
参加システムとサーバの間の通信に関する問題
参加システムとサーバの間の通信に関する問題については、次のガイドラインを参照してください。
• 参加システムがリフレッシュを送信することなくリフレッシュ間隔の 3 倍の時間が経過した場合
は、サーバがセッションを解放して共有ライセンス プールに戻します。
• 参加システムがリフレッシュを送信しようとしてもライセンス サーバに到達できない場合、参加
システムは、サーバから取得した共有ライセンスを最長 24 時間使用し続けることができます。
• 24 時間の経過後も参加システムがライセンス サーバと通信できない場合、参加システムは、引き
続きセッションを必要としていても共有ライセンスを解放します。参加システムの既存の接続は確
立されたままですが、ライセンス制限を超えて新しい接続を受け入れることはできません。
• 24 時間が経過する前に参加システムがサーバに再接続できたが、すでにサーバによって参加システ
ムのセッションが無効にされていた場合、参加システムは新しいセッション要求を送信する必要が
あります。その参加システムに再割り当てできる限りのセッション数が、サーバから返されます。
共有ライセンス バックアップ サーバに関する情報
共有ライセンス バックアップ サーバは、バックアップの役割を引き受ける前に、メインの共有ライセ
ンス サーバに正しく登録する必要があります。登録時に、メインの共有ライセンス サーバのサーバ設
定と共有ライセンス情報がバックアップに同期されます。同期内容には、登録されている参加システム
の一覧や、現在のライセンス使用状況が含まれます。メイン サーバとバックアップ サーバのデータは、
10 秒間隔で同期されます。最初の同期の後は、バックアップ サーバでバックアップ処理を正しく実行
できるようになります。これはリロードしても変わりません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-13
第3章
機能のライセンスの管理
機能のライセンスに関する情報
メイン サーバがダウンした場合は、バックアップ サーバがサーバの動作を引き継ぎます。バックアッ
プ サーバが機能するのは、最長で連続 30 日間です。その後、バックアップ サーバは参加システムに対
するセッションの発行を停止し、既存のセッションはタイムアウトします。必ず、この 30 日間以内に
メイン サーバを再適用してください。15 日目と 30 日目に、重大度が critical の syslog メッセージが送
信されます。
メイン サーバが復旧すると、バックアップ サーバと同期した後、サーバの動作を引き継ぎます。
アクティブになっていないバックアップ サーバは、メインの共有ライセンス サーバに対する通常の参
加システムとして機能します。
(注)
メインの共有ライセンス サーバを初めて起動した時点では、バックアップ サーバが独立して動作でき
るのは 5 日間だけです。この動作制限は、毎日 1 日ずつ、30 日間に達するまで延長されます。一方、
メイン サーバがダウンした場合は、バックアップ サーバの動作制限が毎日 1 日ずつ短縮されます。メ
イン サーバが復旧すると、バックアップ サーバの動作制限は再度、毎日 1 日ずつ延長され始めます。
たとえば、メイン サーバが 20 日間停止している間にバックアップ サーバがアクティブであった場合、
バックアップ サーバに残された動作制限は 10 日間だけです。その後、バックアップ サーバが非アク
ティブなバックアップとして 20 日間「充電」されると、最長の 30 日間に戻ります。この充電機能の
実装により、共有ライセンスの悪用を防ぎます。
フェールオーバーと共有ライセンス
この項では、共有ライセンスとフェールオーバーの相互作用について説明します。次の項目を取り上げ
ます。
• 「フェールオーバーと共有ライセンス サーバ」(P.3-14)
• 「フェールオーバーと共有ライセンス参加システム」(P.3-15)
フェールオーバーと共有ライセンス サーバ
この項では、メイン サーバおよびバックアップ サーバと、フェールオーバーとの相互作用について説
明します。共有ライセンス サーバでは、VPN ゲートウェイやファイアウォールなど、適応型セキュリ
ティ アプライアンスとしての通常機能も実行されます。このため、メインとバックアップの共有ライ
センス サーバにフェールオーバーを設定して、信頼性を高めることをお勧めします。
(注)
バックアップ サーバ メカニズムとフェールオーバーは異なりますが、両者には互換性があります。
共有ライセンスはシングルコンテキスト モードでだけサポートされるため、Active/Active フェール
オーバーはサポートされません。
フェールオーバー ペアとなるメイン共有ライセンス サーバ装置の両方に、同じライセンスが必要です。
したがって、メイン サーバのプライマリ装置用に 10,000 セッションの共有ライセンスを購入する場合
は、メイン サーバのスタンバイ装置用にも 10,000 セッションの共有ライセンスを購入する必要があり
ます。スタンバイ状態にあるスタンバイ装置はトラフィックを通過させないため、この場合の合計セッ
ション数は、両方を足した 20,000 セッションではなく、10,000 セッションです。
Active/Standby フェールオーバーでは、プライマリ装置がメインの共有ライセンス サーバとして機能
し、フェールオーバー後はスタンバイ装置がメインの共有ライセンス サーバとして機能します。両方
の装置に同じライセンスが必要であるため、どちらの装置もメイン ライセンス サーバとして機能でき
ます。スタンバイ装置は、バックアップの共有ライセンス サーバとしては機能しません。必要に応じ
て、バックアップ サーバとして機能する装置のペアを追加します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-14
OL-18970-01-J
第3章
機能のライセンスの管理
機能のライセンスに関する情報
たとえば、2 組のフェールオーバー ペアがあるネットワークを使用するとします。ペア #1 にはメイン
のライセンス サーバが含まれます。ペア #2 にはバックアップ サーバが含まれます。ペア #1 のプライ
マリ装置がダウンすると、ただちに、スタンバイ装置が新しくメイン ライセンス サーバになります。
ペア #2 のバックアップ サーバが使用されることはありません。ペア #1 の装置が両方ともダウンした
場合だけ、ペア #2 のバックアップ サーバが共有ライセンス サーバとして使用されるようになります。
ペア #1 がダウンしたままで、ペア #2 のプライマリ装置もダウンした場合は、ペア #2 のスタンバイ装
置が共有ライセンス サーバとして使用されるようになります(図 3-2 を参照)。
図 3-2
フェールオーバーと共有ライセンス サーバ
ǭȸ
㕍 = ౒᦭࡜ࠗ࠮ࡦࠬ
૶↪ߐࠇߡ޿ࠆࠨ࡯ࡃ
ȕǧȸȫǪȸȐȸ ȚǢ #1
ȕǧȸȫǪȸȐȸ ȚǢ #2
㧔ǢǯȆǣȖ㧕 = ࠕࠢ࠹ࠖࡉߥ
ࡈࠚ࡯࡞ࠝ࡯ࡃ࡯ⵝ⟎
1. ദࠝƳ ࡔࠗࡦ㧔ࠕࠢ࠹ࠖࡉ㧕 ࡔࠗࡦ㧔ࠬ࠲ࡦࡃࠗ㧕
ѣ˺Ჴ
ȕǧȸȫǪȸȐȸ ȚǢ #1
2. ȗȩǤȞȪ ȡǤȳ
ǵȸȐȸƷȕǧȸȫǪȸȐȸέᲴ
ࡔࠗࡦ㧔ᄬᢌ㧕
ࡔࠗࡦ㧔ࠕࠢ࠹ࠖࡉ㧕
ȕǧȸȫǪȸȐȸ ȚǢ #1
3. ɲ૾ƷȡǤȳ ǵȸȐƕ
‫ڂ‬૗ƢǔᲴ
ࡔࠗࡦ㧔ᄬᢌ㧕
ࡔࠗࡦ㧔ᄬᢌ㧕
ȕǧȸȫǪȸȐȸ ȚǢ #1
ࡔࠗࡦ㧔ᄬᢌ㧕
ࡔࠗࡦ㧔ᄬᢌ㧕
ࡃ࠶ࠢࠕ࠶ࡊ㧔ࠬ࠲ࡦࡃࠗ㧕
ȕǧȸȫǪȸȐȸ ȚǢ #2
ࡃ࠶ࠢࠕ࠶ࡊ㧔ࠕࠢ࠹ࠖࡉ㧕
ࡃ࠶ࠢࠕ࠶ࡊ㧔ࠬ࠲ࡦࡃࠗ㧕
ȕǧȸȫǪȸȐȸ ȚǢ #2
ࡃ࠶ࠢࠕ࠶ࡊ㧔ࠕࠢ࠹ࠖࡉ㧕 ࡃ࠶ࠢࠕ࠶ࡊ㧔ࠬ࠲ࡦࡃࠗ㧕
ȕǧȸȫǪȸȐȸ ȚǢ #2
ࡃ࠶ࠢࠕ࠶ࡊ㧔ᄬᢌ㧕
ࡃ࠶ࠢࠕ࠶ࡊ㧔ࠕࠢ࠹ࠖࡉ㧕
251356
4. ɲ૾ƷȡǤȳ ǵȸȐƱ
ȗȩǤȞȪ ȐȃǯǢȃȗƕ‫ڂ‬૗ƢǔᲴ
ࡃ࠶ࠢࠕ࠶ࡊ㧔ࠕࠢ࠹ࠖࡉ㧕
スタンバイ バックアップ サーバは、プライマリ バックアップ サーバと同じ動作制限を共有します。ス
タンバイ装置がアクティブになると、その時点からプライマリ装置のカウントダウンを引き継ぎます。
詳細については、「共有ライセンス バックアップ サーバに関する情報」(P.3-13)を参照してください。
フェールオーバーと共有ライセンス参加システム
参加システムのペアについては、両方の装置を共有ライセンス サーバに登録します。登録時には、個
別の参加システム ID を使用します。アクティブ装置の参加システム ID は、スタンバイ装置と同期さ
れます。スタンバイ装置は、アクティブに切り替わるときに、この ID を使用して転送要求を生成しま
す。この転送要求によって、以前にアクティブだった装置から新しくアクティブになる装置に共有セッ
ションが移動します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-15
第3章
機能のライセンスの管理
機能のライセンスに関する情報
参加システムの最大数
適応型セキュリティ アプライアンスでは、共有ライセンスの参加システム数に制限がありません。た
だし、共有ネットワークの規模が非常に大きいと、ライセンス サーバのパフォーマンスに影響する場
合があります。この場合は、参加システムのリフレッシュ間隔を長くするか、共有ネットワークを 2 つ
作成することをお勧めします。
ライセンスの FAQ
Q. VPN Flex とボットネット トラフィック フィルタのように、複数の一時ライセンスをアクティブに
できますか。
A. いいえ。一度に使用できる一時ライセンスは 1 つだけです。最後にアクティブにしたライセンスが
使用されます。複数の機能が 1 つのアクティベーション キーにグループ化された評価ライセンス
の場合は、一度に複数の機能がサポートされます。ただし、シスコが販売する一時ライセンスの場
合は、1 つのアクティベーション キーでサポートされる機能が 1 つに限られます。
Q. 複数の一時ライセンスを「スタック」して、時間制限が切れると自動的に次のライセンスが使用さ
れるようにできますか。
A. いいえ。複数の一時ライセンスをインストールすることはできますが、アクティブなのは最後にア
クティブにしたライセンスだけです。アクティブなライセンスの有効期限が切れたら、新しいライ
センスを手動でアクティブにする必要があります。機能が失われないように、古いライセンスの有
効期限が切れる少し前にアクティブにしてください (古いライセンスの残り時間は、未使用のま
ま残ります。たとえば、12 か月ライセンスを 10 か月間使用してから、新しい 12 か月ライセンス
をアクティブにした場合、最初のライセンスに残っている 2 か月は、後でこのライセンスを再度ア
クティブにしない限り使用されません。ライセンスを最大限に使用するため、古いライセンスの期
限終了直前に新しいライセンスをアクティブにすることをお勧めします)。
Q. アクティブな一時ライセンスを維持しながら、新しい永続ライセンスをインストールできますか。
A. いいえ。永続ライセンスを適用すると、一時ライセンスは非アクティブになります。新しい永続ラ
イセンスを一時ライセンスと並行して使用するには、永続ライセンスをアクティブにした後、一時
ライセンスを再度アクティブにする必要があります。このため、一時ライセンスに依存する機能は
一時的に失われます。
Q. フェールオーバーのプライマリ装置として共有ライセンス サーバを、セカンダリ装置として共有
ライセンス バックアップ サーバを使用できますか。
A. いいえ。セカンダリ装置も共有ライセンス サーバ ライセンスを持っている必要があります。参加
ライセンスを持っているバックアップ サーバは、2 台のバックアップ サーバからなる別のフェー
ルオーバー ペアに使用できます。
Q. フェールオーバー ペアのセカンダリ装置用に、同じライセンスを購入する必要がありますか。共
有ライセンス サーバの場合でも同様ですか。
A. はい。両方の装置に同じライセンスが必要です。共有ライセンス サーバの場合は、どちらの装置
にも同じ共有ライセンス サーバ ライセンスを購入する必要があります。注:Active/Standby
フェールオーバーで、セッション数が指定されたライセンスを使用する場合、両方の装置のセッ
ション数が互いに加算されることはありません。アクティブ装置のセッション数だけを使用できま
す。たとえば、共有 SSL VPN ライセンスで、アクティブ装置とスタンバイ装置の両方に 10,000
ユーザ セッションを購入する必要がある場合、合計セッション数は、両方を足した 20,000 ではな
く、10,000 です。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-16
OL-18970-01-J
第3章
機能のライセンスの管理
ガイドラインと制限事項
Q. 共有 SSL VPN ライセンスに加えて、VPN Flex ライセンスや永続 SSL VPN ライセンスを使用でき
ますか。
A. はい。ローカルにインストールされたライセンス(VPN Flex ライセンスや永続ライセンス)の
セッション数を使い果たした後、共有ライセンスが使用されます。注:共有ライセンス サーバで
は、永続 SSL VPN ライセンスは使用されません。ただし、共有ライセンス サーバ ライセンスと
同時に VPN Flex ライセンスを使用することはできます。この場合、VPN Flex ライセンスのセッ
ションは、ローカル SSL VPN セッションにだけ使用できます。共有ライセンス プールに追加して
参加システムに使用することはできません。
ガイドラインと制限事項
アクティベーション キーについては、次のガイドラインを参照してください。
コンテキスト モードのガイドライン
• マルチコンテキスト モードでは、アクティベーション キーをシステム実行スペースに適用します。
• 共有ライセンスは、マルチコンテキスト モードではサポートされません。
ファイアウォール モードのガイドライン
ルーテッド モードとトランスペアレント モードの両方で、すべてのライセンス タイプを使用できます。
フェールオーバーのガイドライン
• プライマリ装置とセカンダリ装置で同じライセンスをアクティブにする必要があります。
(注)
フェールオーバーの目的上、2 つの装置の機能セットが同じである限り、永続ライセンス
と一時ライセンスが区別されません。詳細については、「フェールオーバーと一時ライセン
ス」(P.3-12)を参照してください。
• 共有ライセンスは、Active/Active モードではサポートされません。詳細については、「フェール
オーバーと共有ライセンス」(P.3-14)を参照してください。
アップグレードのガイドライン
バージョン 8.2 以降にアップグレードした場合も、その後ダウングレードした場合も、アクティベー
ション キーには互換性があります。アップグレードした後、8.2 よりも前に導入された機能のライセン
スを追加でアクティブにした場合は、以前のバージョンにダウングレードしても、アクティベーション
キーに互換性があります。ただし、8.2 以降に導入された機能のライセンスをアクティブにした場合
は、アクティベーション キーに下位互換性がありません。互換性のないライセンス キーを持っている
場合は、次のガイドラインを参照してください。
• 以前のバージョンでアクティベーション キーを入力したことがある場合は、適応型セキュリティ
アプライアンスによってそのキーが使用されます(バージョン 8.2 以降でアクティブにした新しい
ライセンスは使用されません)。
• システムが新しく、以前のアクティベーション キーがない場合は、以前のバージョンと互換性の
あるアクティベーション キーを新しく要求する必要があります。
その他のガイドラインと制限事項
• アクティベーション キーは、設定ファイルには保存されません。隠しファイルとしてフラッシュ
メモリに保存されます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-17
第3章
機能のライセンスの管理
現在のライセンスの表示
• アクティベーション キーはデバイスのシリアル番号に結び付けられます。機能のライセンスはデ
バイス間で転送できません(ハードウェア障害時は除きます)。ハードウェア障害が発生して、デ
バイスを交換する必要がある場合は、既存のライセンスを新しいシリアル番号に転送するように、
シスコ ライセンス チームに依頼してください。シスコ ライセンス チームは、Product
Authorization Key の参照番号と既存のシリアル番号をお尋ねします。
• ライセンス購入後の返金や、アップグレードされたライセンスとの交換はできません。
• 同一機能の 2 つのライセンスを足し合せることはできません。たとえば、25 セッションの SSL
VPN ライセンスを購入した後、50 セッションのライセンスを購入しても、75 セッションを使用す
ることはできません。使用できるのは最大 50 セッションです。
• すべてのライセンス タイプをアクティブにできますが、マルチコンテキスト モードと VPN などの
ように、一部の機能には互換性がありません。AnyConnect Essentials ライセンスは、フル SSL
VPN ライセンス、共有 SSL VPN ライセンス、および Advanced Endpoint Assessment ライセンス
とは互換性がありません。デフォルトでは、上記のライセンスの代わりに AnyConnect Essentials
ライセンスが使用されますが、no anyconnect-essentials コマンドを使用することで、コンフィ
ギュレーションで AnyConnect Essentials ライセンスをディセーブルにし、他のライセンスの使用
を復元することができます。
現在のライセンスの表示
この項では、現在のライセンスと、一時アクティベーション キーの残り時間を表示する方法について
説明します。
詳細な手順
コマンド
目的
show activation-key detail
一時ライセンスに関する情報も含めて、インストールされているライセン
スを表示します。
例:
hostname# show activation-key detail
例
次に、show activation-key detail コマンドの出力例を示します。これには、2 SSL VPN ピアの永続ア
クティブ化ライセンス(太字部分)、5000 SSL VPN ピアのアクティブな一時ライセンス(太字部分)、
一時ライセンスの SSL VPN ピア数が採用されたマージ後の実行ライセンス(太字部分)、および非ア
クティブな一時ライセンスのアクティベーション キーが表示されています。
hostname# show activation-key detail
Serial Number:
JMX0916L0Z4
Permanent Flash Activation Key: 0xf412675d 0x48a446bc 0x8c532580 0xb000b8c4 0xcc21f48e
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs
: 200
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
Security Contexts
: 2
GTP/GPRS
: Disabled
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-18
OL-18970-01-J
第3章
機能のライセンスの管理
現在のライセンスの表示
VPN Peers
SSL VPN Peers
Total VPN Peers
Shared License
Shared SSL VPN Peers
AnyConnect for Mobile
AnyConnect for Linksys phone
AnyConnect Essentials
Advanced Endpoint Assessment
UC Phone Proxy Sessions
Total UC Proxy Sessions
Botnet Traffic Filter
:
:
:
:
:
:
:
:
:
:
:
:
2
2
250
Enabled
5000
Disabled
Disabled
Disabled
Disabled
24
24
Enabled
Temporary Flash Activation Key: 0xcb0367ce 0x700dd51d 0xd57b98e3 0x6ebcf553 0x0b058aac
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs
: 200
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
Security Contexts
: 2
GTP/GPRS
: Disabled
SSL VPN Peers
: 5000
Total VPN Peers
: 250
Shared License
: Enabled
Shared SSL VPN Peers
: 10000
AnyConnect for Mobile
: Disabled
AnyConnect for Linksys phone : Disabled
AnyConnect Essentials
: Disabled
Advanced Endpoint Assessment : Disabled
UC Phone Proxy Sessions
: 24
Total UC Proxy Sessions
: 24
Botnet Traffic Filter
: Enabled
This is a time-based license that will expire in 27 day(s).
Running Activation Key: 0xcb0367ce 0x700dd51d 0xd57b98e3 0x6ebcf553 0x0b058aac
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs
: 200
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
Security Contexts
: 2
GTP/GPRS
: Disabled
SSL VPN Peers
: 5000
Total VPN Peers
: 250
Shared License
: Enabled
Shared SSL VPN Peers
: 10000
AnyConnect for Mobile
: Disabled
AnyConnect for Linksys phone : Disabled
AnyConnect Essentials
: Disabled
Advanced Endpoint Assessment : Disabled
UC Phone Proxy Sessions
: 24
Total UC Proxy Sessions
: 24
Botnet Traffic Filter
: Enabled
This platform has an ASA 5540 VPN Premium license.
This is a Shared SSL VPN License server.
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-19
第3章
機能のライセンスの管理
アクティベーション キーの取得
This is a time-based license that will expire in 27 day(s).
The flash activation key is the SAME as the running key.
Non-active temporary keys:
Time left
-----------------------------------------------------------------0x2a53d6
0xfc087bfe 0x691b94fb 0x73dc8bf3 0xcc028ca2 28 day(s)
0xa13a46c2 0x7c10ec8d 0xad8a2257 0x5ec0ab7f 0x86221397 27 day(s)
アクティベーション キーの取得
アクティベーション キーを取得するには、シスコの代理店から購入できる Product Authorization Key
が必要になります。機能のライセンスごとに個別の Product Activation Key を購入する必要がありま
す。たとえば、基本ライセンスを持っている場合に、Advanced Endpoint Assessment のキーや、追加
の SSL VPN セッションのキーを、別途購入できます。
(注)
フェールオーバー ペアには、装置ごとに個別のアクティベーション キーが必要です。キーに含まれる
ライセンスが、両方の装置に対して同じであることを確認してください。
Product Authorization Key を取得したら、次の手順を実行して Cisco.com に登録します。
ステップ 1
次のコマンドを入力して、適応型セキュリティ アプライアンスのシリアル番号を取得します。
hostname# show activation-key
ステップ 2
次のいずれかの URL にアクセスします。
• Cisco.com の登録ユーザの場合は、次の Web サイトを使用します。
http://www.cisco.com/go/license
• Cisco.com の登録ユーザ以外の場合は、次の Web サイトを使用します。
http://www.cisco.com/go/license/public
ステップ 3
プロンプトが表示されたら、次の情報を入力します。
• Product Authorization Key(キーが複数ある場合は、まず 1 つを入力します。キーごとに個別のプ
ロセスとして入力する必要があります。)
• 適応型セキュリティ アプライアンスのシリアル番号
• 電子メール アドレス
アクティベーション キーが自動的に生成され、指定した電子メール アドレスに送信されます。この
キーには、永続ライセンス用にそれまでに登録した機能がすべて含まれています。VPN Flex ライセン
スの場合は、ライセンスごとに個別のアクティベーション キーがあります。
ステップ 4
Product Authorization Key がさらにある場合は、Product Authorization Key ごとにステップ 3 を繰り
返します。すべての Product Authorization Key を入力した後、最後に送信されるアクティベーション
キーには、登録した永続機能がすべて含まれています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-20
OL-18970-01-J
第3章
機能のライセンスの管理
新しいアクティベーション キーの入力
新しいアクティベーション キーの入力
この項では、新しいアクティベーション キーを入力する方法について説明します。
前提条件
• アクティベーション キーを入力する前に、show activation-key コマンドを入力して、フラッシュ
メモリ内のイメージと実行イメージが同一であることを確認します。これは、適応型セキュリティ
アプライアンスをリロードしてからアクティベーション キーを入力することで確認できます。
• すでにマルチコンテキスト モードに入っている場合は、システム実行スペースにこのアクティ
ベーション キーを入力します。
• ライセンスによっては、アクティブにした後に適応型セキュリティ アプライアンスをリロードす
る必要があります。表 3-8 に、リロードが必要なライセンスを示します。
表 3-8
ライセンスのリロード要件
モデル
リロードが必要なライセンス アクション
ASA 5505 および ASA 5510
基本ライセンスと Security Plus ライセンスの間
の切り替え。
すべてのモデル
暗号化ライセンスの変更。
すべてのモデル
ライセンスのダウングレード(10 コンテキスト
から 2 コンテキストへの変更など)。
(注)
一時ライセンスの有効期限が切れ、永続
ライセンスがダウングレードに当たる場
合は、適応型セキュリティ アプライアン
スをすぐにリロードする必要がありませ
ん。次回リロードした際に、永続ライセ
ンスが復元します。
制限事項
バージョン 8.2 以降にアップグレードした場合も、その後ダウングレードした場合も、アクティベー
ション キーには互換性があります。アップグレードした後、8.2 よりも前に導入された機能のライセン
スを追加でアクティブにした場合は、以前のバージョンにダウングレードしても、アクティベーション
キーに互換性があります。ただし、8.2 以降に導入された機能のライセンスをアクティブにした場合
は、アクティベーション キーに下位互換性がありません。互換性のないライセンス キーを持っている
場合は、次のガイドラインを参照してください。
• 以前のバージョンでアクティベーション キーを入力したことがある場合は、適応型セキュリティ
アプライアンスによってそのキーが使用されます(バージョン 8.2 以降でアクティブにした新しい
ライセンスは使用されません)。
• システムが新しく、以前のアクティベーション キーがない場合は、以前のバージョンと互換性の
あるアクティベーション キーを新しく要求する必要があります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-21
第3章
機能のライセンスの管理
フェールオーバー ペア用ライセンスのアップグレード
詳細な手順
ステップ 1
コマンド
目的
activation-key key
適応型セキュリティ アプライアンスにアクティベーション キー
を適用します。キーは、5 つのエレメントからなる 16 進文字列
です。各エレメントは 1 つのスペースで区切られます。先頭部分
の 0x 指定子は省略できます。値は、すべて 16 進数であると見
なされます。
例:
hostname# activation-key 0xd11b3d48
0xa80a4c0a 0x48e0fd1c 0xb0443480
0x843fc490
1 つの永続キーと複数の一時キーを入力できます。最後に入力し
た一時キーがアクティブになります。詳細については、「一時ラ
イセンス、VPN Flex ライセンス、および評価ライセンス」
(P.3-10)を参照してください。実行アクティベーション キーを
変更するには、activation-key コマンドと新しいキー値を入力し
ます。
ステップ 2 reload
例:
hostname# reload
(場合によって必須)適応型セキュリティ アプライアンスをリ
ロードします。ライセンスによっては、新しいアクティベー
ション キーの入力後に適応型セキュリティ アプライアンスをリ
ロードする必要があります。リロードが必要なライセンスの一
覧については、表 3-8(P.3-21)を参照してください。リロード
が必要な場合は、次のメッセージが表示されます。
WARNING: The running activation key was not updated with
the requested key. The flash activation key was updated
with the requested key, and will become active after the
next reload.
フェールオーバー ペア用ライセンスのアップグレード
フェールオーバー ペアのライセンスをアップグレードする場合、そのライセンスにリロードが必要か
どうかによって、ダウンタイムが発生する場合があります。リロードが必要なライセンスの詳細につい
ては、表 3-8(P.3-21)を参照してください。この項は、次の内容で構成されています。
• 「フェールオーバー用ライセンスのアップグレード(リロードが不要な場合)」(P.3-22)
• 「フェールオーバー用ライセンスのアップグレード(リロードが必要な場合)」(P.3-23)
フェールオーバー用ライセンスのアップグレード(リロードが不要な場合)
新しいライセンスにリロードの必要がない場合は、次の手順を使用します。リロードが必要なライセン
スの詳細については、表 3-8(P.3-21)を参照してください。この手順ではダウンタイムが発生しませ
ん。
前提条件
ライセンスのアップグレード前に、両方の装置が正常に動作していること、Failover LAN インター
フェイスが実行中であること、差し迫ったフェールオーバー イベントがないこと(監視対象インター
フェイスが正常に動作しているなど)を確認します。
各装置で show failover コマンドを入力して、フェールオーバー ステータスと監視対象インターフェイ
スのステータスを表示します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-22
OL-18970-01-J
第3章
機能のライセンスの管理
フェールオーバー ペア用ライセンスのアップグレード
詳細な手順
コマンド
目的
アクティブ装置で次のコマンドを入力します。
ステップ 1 no failover
アクティブ装置でフェールオーバーをディセーブルにします。ス
タンバイ装置は擬似スタンバイ状態のままです。アクティブ装置
でフェールオーバーを非アクティブにすると、ライセンスが一致
しない間は、スタンバイ装置のアクティブ化が試行されません。
例:
active(config)# no failover
ステップ 2 activation-key key
例:
active(config)# activation-key 0xd11b3d48
0xa80a4c0a 0x48e0fd1c 0xb0443480
0x843fc490
アクティブ装置に新しいライセンスをインストールします。この
ライセンスがアクティブ装置のシリアル番号用であることを確認
してください。
スタンバイ装置で次のコマンドを入力します。
ステップ 3 activation-key key
スタンバイ装置に新しいライセンスをインストールします。この
ライセンスがスタンバイ装置のシリアル番号用であることを確認
してください。
例:
standby# activation-key 0xc125727f
0x903de1ee 0x8c838928 0x92dc84d4
0x003a2ba0
アクティブ装置で次のコマンドを入力します。
ステップ 4 failover
フェールオーバーを再度イネーブルにします。
例:
active(config)# failover
フェールオーバー用ライセンスのアップグレード(リロードが必要な場合)
新しいライセンスにリロードが必要な場合は、次の手順を使用します。リロードが必要なライセンスの
詳細については、表 3-8(P.3-21)を参照してください。フェールオーバー ペアをリロードすると、リ
ロード中は接続が失われます。
前提条件
ライセンスのアップグレード前に、両方の装置が正常に動作していること、Failover LAN インター
フェイスが実行中であること、差し迫ったフェールオーバー イベントがないこと(監視対象インター
フェイスが正常に動作しているなど)を確認します。
各装置で show failover コマンドを入力して、フェールオーバー ステータスと監視対象インターフェイ
スのステータスを表示します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-23
第3章
機能のライセンスの管理
共有ライセンスの設定
詳細な手順
コマンド
目的
アクティブ装置で次のコマンドを入力します。
ステップ 1 no failover
例:
active(config)# no failover
ステップ 2 activation-key key
例:
active(config)# activation-key 0xd11b3d48
0xa80a4c0a 0x48e0fd1c 0xb0443480
0x843fc490
アクティブ装置でフェールオーバーをディセーブルにします。ス
タンバイ装置は擬似スタンバイ状態のままです。アクティブ装置
でフェールオーバーを非アクティブにすると、ライセンスが一致
しない間は、スタンバイ装置のアクティブ化が試行されません。
アクティブ装置に新しいライセンスをインストールします。
リロードが必要な場合は、次のメッセージが表示されます。
WARNING: The running activation key was not updated with
the requested key. The flash activation key was updated
with the requested key, and will become active after the
next reload.
リロードの必要がない場合は、この手順ではなく、「フェール
オーバー用ライセンスのアップグレード(リロードが不要な場
合)」(P.3-22)を参照してください。
スタンバイ装置で次のコマンドを入力します。
ステップ 3 activation-key key
スタンバイ装置に新しいライセンスをインストールします。
例:
standby# activation-key 0xc125727f
0x903de1ee 0x8c838928 0x92dc84d4
0x003a2ba0
ステップ 4 reload
スタンバイ装置をリロードします。
例:
standby# reload
アクティブ装置で次のコマンドを入力します。
ステップ 5 reload
例:
active(config)# reload
アクティブ装置をリロードします。リロード前に設定を保存す
るように求められたら、No と入力します。これによって、アク
ティブ装置の復旧時に、フェールオーバーがイネーブルになっ
た状態が維持されます。
共有ライセンスの設定
この項では、共有ライセンス サーバと参加システムを設定する方法について説明します。共有ライセ
ンスの詳細については、「共有ライセンス」(P.3-12)を参照してください。
この項は、次の内容で構成されています。
• 「共有ライセンス サーバの設定」(P.3-25)
• 「共有ライセンス バックアップ サーバの設定(オプション)」(P.3-26)
• 「共有ライセンス参加システムの設定」(P.3-26)
• 「共有ライセンスの監視」(P.3-27)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-24
OL-18970-01-J
第3章
機能のライセンスの管理
共有ライセンスの設定
共有ライセンス サーバの設定
この項では、適応型セキュリティ アプライアンスを共有ライセンス サーバとして設定する方法につい
て説明します。
前提条件
サーバが共有ライセンス サーバ キーを持っている必要があります。
詳細な手順
コマンド
目的
ステップ 1 license-server secret secret
例:
hostname(config)# license-server secret
farscape
ステップ 2 (オプション)
共有秘密として 4 ~ 128 文字の ASCII 文字列を設定します。この
秘密を持つ参加システムが、ライセンス サーバを使用できます。
10 ~ 300 秒のリフレッシュ間隔を設定します。この値が、サー
license-server refresh-interval seconds
バと通信する頻度として参加システムに設定されます。デフォ
ルトは、30 秒です。
例:
hostname(config)# license-server
refresh-interval 100
ステップ 3 (オプション)
サーバが参加システムからの SSL 接続をリスンするポートを、1
~ 65535 の間で設定します。デフォルトは、TCP ポート 50554
です。
license-server port port
例:
hostname(config)# license-server port
40000
ステップ 4 (オプション)
license-server backup address backup-id
serial_number [ha-backup-id
ha_serial_number]
例:
hostname(config)# license-server backup
10.1.1.2 backup-id JMX0916L0Z4
ha-backup-id JMX1378N0W3
ステップ 5 license-server enable interface_name
例:
hostname(config)# license-server enable
inside
バックアップ サーバの IP アドレスとシリアル番号を指定しま
す。バックアップ サーバがフェールオーバー ペアの一部である
場合は、スタンバイ装置のシリアル番号も指定します。指定で
きるのは、バックアップ サーバ 1 台と、そのスタンバイ装置
(使用する場合)だけです。
この装置を共有ライセンス サーバとしてイネーブルにします。
参加システムがサーバと通信するインターフェイスを指定しま
す。必要なインターフェイスの数に応じて、このコマンドを繰
り返します。
例
次の例では、共有秘密を設定し、リフレッシュ間隔とポートを変更し、バックアップ サーバを設定し、
この装置を内部インターフェイス上と dmz インターフェイス上で共有ライセンス サーバとしてイネー
ブルにしています。
hostname(config)# license-server secret farscape
hostname(config)# license-server refresh-interval 100
hostname(config)# license-server port 40000
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-25
第3章
機能のライセンスの管理
共有ライセンスの設定
hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id
JMX1378N0W3
hostname(config)# license-server enable inside
hostname(config)# license-server enable dmz
次の作業
「共有ライセンス バックアップ サーバの設定(オプション)」(P.3-26)または「共有ライセンス参加シ
ステムの設定」(P.3-26)を参照してください。
共有ライセンス バックアップ サーバの設定(オプション)
この項では、共有ライセンスのメイン サーバがダウンした場合にバックアップ サーバとして機能する
参加システムをイネーブルにします。
前提条件
バックアップ サーバが共有ライセンス参加キーを持っている必要があります。
詳細な手順
コマンド
目的
ステップ 1 license-server address address secret
secret [port port]
例:
hostname(config)# license-server address
10.1.1.1 secret farscape
ステップ 2 license-server backup enable
interface_name
例:
hostname(config)# license-server backup
enable inside
共有ライセンス サーバの IP アドレスと共有秘密を指定します。
デフォルト ポートをサーバ コンフィギュレーションで変更した
場合は、同じポートをバックアップ サーバにも設定します。
この装置を共有ライセンス バックアップ サーバとしてイネーブ
ルにします。参加システムがサーバと通信するインターフェイ
スを指定します。必要なインターフェイスの数に応じて、この
コマンドを繰り返します。
例
次の例では、ライセンス サーバと共有秘密を指定し、この装置を内部インターフェイス上と dmz イン
ターフェイス上で共有ライセンス バックアップ サーバとしてイネーブルにしています。
hostname(config)# license-server address 10.1.1.1 secret farscape
hostname(config)# license-server backup enable inside
hostname(config)# license-server backup enable dmz
次の作業
「共有ライセンス参加システムの設定」(P.3-26)を参照してください。
共有ライセンス参加システムの設定
この項では、共有ライセンス サーバと通信する共有ライセンス参加システムを設定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-26
OL-18970-01-J
第3章
機能のライセンスの管理
共有ライセンスの設定
前提条件
参加システムが共有ライセンス参加キーを持っている必要があります。
詳細な手順
コマンド
目的
ステップ 1 license-server address address secret
secret [port port]
例:
hostname(config)# license-server address
10.1.1.1 secret farscape
ステップ 2 (オプション)
共有ライセンス サーバの IP アドレスと共有秘密を指定します。
デフォルト ポートをサーバ コンフィギュレーションで変更した
場合は、同じポートを参加システムにも設定します。
バックアップ サーバを設定した場合は、バックアップ サーバの
アドレスを入力します。
license-server backup address address
例:
hostname(config)# license-server backup
address 10.1.1.2
例
次の例では、ライセンス サーバの IP アドレスと共有秘密に加えて、バックアップのライセンス サーバ
の IP アドレスも設定しています。
hostname(config)# license-server address 10.1.1.1 secret farscape
hostname(config)# license-server backup address 10.1.1.2
共有ライセンスの監視
共有ライセンスを監視するには、次のいずれかのコマンドを入力します。
コマンド
目的
show shared license [detail | client
[hostname] | backup]
共有ライセンスの統計情報を表示します。オプション キーワードはライ
センス サーバだけに使用できます。detail キーワードを使用すると、参
加システムごとの統計情報が表示されます。表示内容を 1 台の参加シス
テムに限定するには、client キーワードを使用します。backup キーワー
ドを使用すると、バックアップ サーバに関する情報が表示されます。
共有ライセンスの統計情報をクリアするには、clear shared license コマ
ンドを入力します。
show activation-key
適応型セキュリティ アプライアンスにインストールされているライセン
スを表示します。show version コマンドでもライセンス情報が表示され
ます。
show vpn-sessiondb
VPN セッションに関するライセンス情報を表示します。
例
次に、ライセンス参加システムでの show shared license コマンドの出力例を示します。
hostname>
show shared license
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-27
第3章
機能のライセンスの管理
共有ライセンスの設定
Primary License Server : 10.3.32.20
Version
: 1
Status
: Inactive
Shared license utilization:
SSLVPN:
Total for network :
Available
:
Utilized
:
This device:
Platform limit
:
Current usage
:
High usage
:
Messages Tx/Rx/Error:
Registration
: 0 / 0
Get
: 0 / 0
Release
: 0 / 0
Transfer
: 0 / 0
5000
5000
0
250
0
0
/
/
/
/
0
0
0
0
次に、ライセンス サーバでの show shared license detail コマンドの出力例を示します。
hostname> show shared license detail
Backup License Server Info:
Device ID
: ABCD
Address
: 10.1.1.2
Registered
: NO
HA peer ID
: EFGH
Registered
: NO
Messages Tx/Rx/Error:
Hello
: 0 / 0 / 0
Sync
: 0 / 0 / 0
Update
: 0 / 0 / 0
Shared license utilization:
SSLVPN:
Total for network :
Available
:
Utilized
:
This device:
Platform limit
:
Current usage
:
High usage
:
Messages Tx/Rx/Error:
Registration
: 0 / 0
Get
: 0 / 0
Release
: 0 / 0
Transfer
: 0 / 0
500
500
0
250
0
0
/
/
/
/
0
0
0
0
Client Info:
Hostname
: 5540-A
Device ID
: XXXXXXXXXXX
SSLVPN:
Current usage
: 0
High
: 0
Messages Tx/Rx/Error:
Registration
: 1 / 1 / 0
Get
: 0 / 0 / 0
Release
: 0 / 0 / 0
Transfer
: 0 / 0 / 0
...
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-28
OL-18970-01-J
第3章
機能のライセンスの管理
ライセンスの機能履歴
ライセンスの機能履歴
表 3-9 に、この機能のリリース履歴の一覧を示します。
表 3-9
ライセンスの機能履歴
機能名
リリース
機能情報
接続数と VLAN 数の増加
7.0(5)
次の制限値が変更されました。
• ASA5510 基本ライセンスの接続数が 32000 から 5000
に、VLAN 数が 0 から 10 に増えました。
• ASA5510 Security Plus ライセンスの接続数が 64000 か
ら 130000 に、VLAN 数が 10 から 25 に増えました。
• ASA5520 の接続数が 130000 から 280000 に、VLAN
数が 25 から 100 に増えました。
• ASA5540 の接続数が 280000 から 400000 に、VLAN
数が 100 から 200 に増えました。
SSL VPN ライセンス
7.1(1)
SSL VPN ライセンスが導入されました。
SSL VPN ライセンスの追加
7.2(1)
ASA 5550 以降のモデル用に 5000 ユーザの SSL VPN ライ
センスが導入されました。
VLAN 数の増加
7.2(2)
ASA 5505 適応型セキュリティ アプライアンスの Security
Plus ライセンスに対する VLAN の最大数が 5(3 つはフル
機能用、1 つはフェールオーバー用で、バックアップ イン
ターフェイス用は 1 つに制限されています)から 20(フル
機能のインターフェイス)に増えました。さらに、トラン
ク ポート数が 1 から 8 に増えました。フル機能のインター
フェイスの数が 20 になり、バックアップ ISP インター
フェイスを停止するために backup interface コマンドを使
用する必要がなくなりました。つまり、バックアップ ISP
インターフェイス用にフル機能のインターフェイスを使用
できるようになりました。backup interface コマンドは、
これまでどおり Easy VPN 設定用に使用できます。
VLAN の制限値も変更されました。ASA 5510 適応型セ
キュリティ アプライアンスの基本ライセンスでは 10 から
50 に、Security Plus ライセンスでは 25 から 100 に、ASA
5520 では 100 から 150 に、ASA 5550 では 200 から 250
に増えています。
ASA 5510 Security Plus ライセンスに対するギ 7.2(3)
ガビット イーサネット サポート
ASA 5510 適応型セキュリティ アプライアンスの Security
Plus ライセンスで、ポート 0 と 1 に対する Gigabit
Ethernet(GE; ギガビット イーサネット)がサポートされ
るようになりました。基本ライセンスから Security Plus ラ
イセンスにアップグレードすると、外部の Ethernet0/0
ポートと Ethernet0/1 ポートのキャパシティが元の Fast
Ethernet(FE; ファスト イーサネット)(100 Mbps)から
GE(1000 Mbps)に増えます。インターフェイス名は
Ethernet 0/0 および Ethernet 0/1 のままになります。イン
ターフェイスの速度を変更するには speed コマンドを使用
し、インターフェイスごとに現在設定されている速度を確
認するには show interface コマンドを使用します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-29
第3章
機能のライセンスの管理
ライセンスの機能履歴
表 3-9
ライセンスの機能履歴 (続き)
機能名
リリース
Advanced Endpoint Assessment ライセンス
8.0(2)
機能情報
Advanced Endpoint Assessment ライセンスが導入されまし
た。Cisco AnyConnect またはクライアントレス SSL VPN
接続の条件としてリモート コンピュータでスキャン対象と
なる、ウイルス対策アプリケーションやスパイウェア対策
アプリケーション、ファイアウォール、オペレーティング
システム、および関連アップデートの種類が、大幅に拡張
されました。また、任意のレジストリ エントリ、ファイル
名、およびプロセス名を指定してスキャン対象にすること
もできます。スキャン結果は適応型セキュリティ アプライ
アンスに送信されます。適応型セキュリティ アプライアン
スは、ユーザ ログイン クレデンシャルとコンピュータ ス
キャン結果の両方を使用して、Dynamic Access Policy
(DAP; ダイナミック アクセス ポリシー)を割り当てます。
Advanced Endpoint Assessment ライセンスを使用すると、
バージョン要件を満たすように非準拠コンピュータのアッ
プデートを試行する機能を設定して、Host Scan を拡張で
きます。
シスコは、Host Scan でサポートされるアプリケーション
とバージョンの一覧に、Cisco Secure Desktop とは異なる
パッケージで、タイムリーなアップデートを提供できま
す。
ASA 5510 の VPN ロードバランシング
8.0(2)
ASA 5510 Security Plus ライセンスで VPN ロードバラン
シングがサポートされるようになりました。
AnyConnect for Mobile ライセンス
8.0(3)
AnyConnect for Mobile ライセンスでは、Windows モバイ
ル デバイスで AnyConnect クライアントを使用して適応型
セキュリティ アプライアンスに接続できます。
VPN Flex ライセンスと評価ライセンス
8.0(4)/8.1(2)
一時ライセンスがサポートされるようになりました。VPN
Flex ライセンスでは、使用できる SSL VPN セッション数
が一時的に増加します。
ASA 5510 基本ライセンスに対するギガビット 7.2(4)/8.0(4)
イーサネット サポート
ASA 5510 適応型セキュリティ アプライアンスの基本ライ
センスで、ポート 0 と 1 に対する GE(ギガビット イーサ
ネット)がサポートされるようになりました(Security
Plus ライセンスに対するサポートはすでに追加されていま
す)。外部の Ethernet0/0 ポートと Ethernet0/1 ポートの
キャパシティが、元の FE(ファスト イーサネット)(100
Mbps)から GE(1000 Mbps)に増えています。インター
フェイス名は Ethernet 0/0 および Ethernet 0/1 のままにな
ります。インターフェイスの速度を変更するには speed コ
マンドを使用し、インターフェイスごとに現在設定されて
いる速度を確認するには show interface コマンドを使用し
ます。
ASA 5580 の VLAN 数の増加
8.1(2)
ASA 5580 でサポートされる VLAN 数が 100 から 250 に
増えました。
Unified Communications Proxy セッション ラ
8.0(4)
UC Proxy セッション ライセンスが導入されました。この
機能は、バージョン 8.1 では使用できません。
イセンス
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-30
OL-18970-01-J
第3章
機能のライセンスの管理
ライセンスの機能履歴
表 3-9
ライセンスの機能履歴 (続き)
機能名
リリース
機能情報
ボットネット トラフィック フィルタ ライセン
ス
8.2(1)
ボットネット トラフィック フィルタ ライセンスが導入さ
れました。ボットネット トラフィック フィルタでは、既
知の不正なドメインや IP アドレスに対する接続を追跡し
て、マルウェア ネットワーク アクティビティから保護し
ます。
AnyConnect Essentials ライセンス
8.2(1)
AnyConnect Essentials ライセンスを使用すると、SSL
VPN セッションのプラットフォームの制限をサポートしな
がら、AnyConnect クライアントの基本的な機能を使用す
ることができます。たとえば、ASA 5540 では 2500 セッ
ションを使用できますが、IPv6、CSD、自動セッション再
開、ダイナミック アップデート、クライアントレス SSL
VPN、WebLaunch などの多くの高度な機能はサポートさ
れません。
AnyConnect Essentials ライセンスは、フル SSL VPN ライ
センス、共有 SSL VPN ライセンス、Advanced Endpoint
Connection ライセンスとは互換性がありません。デフォル
トでは、上記のライセンスの代わりに AnyConnect
Essentials ライセンスが使用されますが、no
anyconnect-essentials コマンドを使用することで、コン
フィギュレーションで AnyConnect Essentials ライセンス
をディセーブルにし、他のライセンスの使用を復元するこ
とができます。
SSL VPN の共有ライセンス
8.2(1)
SSL VPN の共有ライセンスが導入されました。複数の適
応型セキュリティ アプライアンスで、SSL VPN セッショ
ンのプールを必要に応じて共有できます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
3-31
第3章
機能のライセンスの管理
ライセンスの機能履歴
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
3-32
OL-18970-01-J

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz