Cisco ASA 5500 バージョン 8.2 の機能ライセンスの管理
一時ライセンス、VPN Flex ライセンス、および評価ライセンス
フェールオーバーのライセンスのアップグレード(リロードは不要)
フェールオーバーのライセンスのアップグレード(リロードが必要)
共有ライセンス参加ユニット、および ASDM でのオプションのバックアップ サーバの設定
このマニュアルでは、アクティベーション キーを取得してアクティブにする方法を説明します。また、各モデルで使用できるライセンスについても説明します。
ここでは、各モデルで使用できるライセンスと、ライセンスに関する重要事項について説明します。この項は、次の内容で構成されています。
• ASA 5505(表 1)
• ASA 5510(表 2)
• ASA 5520(表 3)
• ASA 5540(表 4)
• ASA 5550(表 5)
• ASA 5580(表 6)
イタリック体で示される項目は、基本ライセンスまたは Security Plus ライセンスの代わりに使用できるオプションのライセンスです。ライセンスは混在および一致させることができます。たとえば、10 セキュリティ コンテキスト ライセンスと Strong Encryption を組み合せたり、500 SSL VPN ライセンスと GTP/GPRS ライセンスを組み合せたり、あるいは 4 つのライセンスをすべて組み合せることができます。
ユニファイド コミュニケーションの セッション数1 |
||||||||||||
AnyConnect Essentials1 |
||||||||||||
AnyConnect Mobile1 |
||||||||||||
AnyConnect Premium SSL VPN(セッション数)1 |
||||||||||||
IPSec VPN(セッション数)1 |
||||||||||||
同時接続ユーザ数2 |
103 |
103 |
||||||||||
ユニファイド コミュニケーションの セッション数4 |
||||||||||||
AnyConnect Essentials1 |
||||||||||||
AnyConnect Mobile1 |
||||||||||||
AnyConnect Premium SSL VPN(セッション数)1 |
||||||||||||
オプションの共有ライセンス:参加ユニットまたはサーバ。サーバの場合、これらのライセンスを使用できます。 1 |
オプションの共有ライセンス:参加ユニットまたはサーバ。サーバの場合、これらのライセンスを使用できます。 1 |
|||||||||||
IPSec VPN(セッション数)1 |
||||||||||||
アクティブ/スタンバイまたはアクティブ/アクティブ1 |
||||||||||||
ユニファイド コミュニケーション プロキシのセッション数5 |
||||||||||||
AnyConnect Essentials1 |
||||||||||||
AnyConnect Mobile1 |
||||||||||||
AnyConnect Premium SSL VPN(セッション数)1 |
||||||||||||
オプションの共有ライセンス:参加ユニットまたはサーバ。サーバの場合、これらのライセンスを使用できます。 1 |
||||||||||||
IPSec VPN(セッション数)1 |
||||||||||||
アクティブ/スタンバイまたはアクティブ/アクティブ1 |
||||||||||||
ユニファイド コミュニケーション プロキシのセッション数6 |
||||||||||||
AnyConnect Essentials1 |
||||||||||||
AnyConnect Mobile1 |
||||||||||||
AnyConnect Premium SSL VPN(セッション数)1 |
||||||||||||
オプションの共有ライセンス:参加ユニットまたはサーバ。サーバの場合、これらのライセンスを使用できます。 1 |
||||||||||||
IPSec VPN(セッション数)1 |
||||||||||||
アクティブ/スタンバイまたはアクティブ/アクティブ1 |
||||||||||||
ユニファイド コミュニケーション プロキシのセッション数7 |
||||||||||||
AnyConnect Essentials1 |
||||||||||||
AnyConnect Mobile1 |
||||||||||||
AnyConnect Premium SSL VPN(セッション数)1 |
||||||||||||
オプションの共有ライセンス:参加ユニットまたはサーバ。サーバの場合、これらのライセンスを使用できます。 1 |
||||||||||||
IPSec VPN(セッション数)1 |
||||||||||||
アクティブ/スタンバイまたはアクティブ/アクティブ1 |
||||||||||||
ユニファイド コミュニケーション プロキシのセッション数8 |
||||||||||||
100009 |
||||||||||||
AnyConnect Essentials1 |
||||||||||||
AnyConnect Mobile1 |
||||||||||||
AnyConnect Premium SSL VPN(セッション数)1 |
||||||||||||
オプションの共有ライセンス:参加ユニットまたはサーバ。サーバの場合、これらのライセンスを使用できます。 1 |
||||||||||||
IPSec VPN(セッション数)1 |
||||||||||||
アクティブ/スタンバイまたはアクティブ/アクティブ1 |
||||||||||||
9.10,000 セッション ライセンスでは、結合された合計セッション数を 10,000 にすることができますが、電話プロキシ セッションの最大数は 5000 です。 |
表 7 に 「各モデルでのライセンス」の各表の脚注を示します。
ライセンスは、特定のセキュリティ アプライアンスで有効にするオプションを指定します。これは、160 ビット(5 つの 32 ビットの語または 20 バイト)値で表されます。この値はシリアル番号(11 文字のストリング)と有効な機能を符号化します。
• 「一時ライセンス、VPN Flex ライセンス、および評価ライセンス」
デフォルトでは、セキュリティ アプライアンスにすでにインストールされたライセンスが付属しています。このライセンスは、ユーザが注文した内容およびベンダーがインストールした内容に応じて、ライセンスを追加できる基本ライセンスである場合と、すでにすべてのライセンスがインストールされている場合があります。インストールしたライセンスを確認する方法については、「現在のライセンスの表示」を参照してください。
永続ライセンスに加えて、一時ライセンスの購入、または有効期限の付いた評価ライセンスを受け取ることができます。たとえば、VPN Flex ライセンスを購入して、同時接続 SSL VPN ユーザの数の短期間の急増に対処したり、1 年間有効の Botnet Traffic Filter 一時ライセンスを注文したりできます。
• 一時ライセンスのタイマーは、一時ライセンスをセキュリティ アプライアンスでアクティブにしたときにカウント ダウンが開始されます。
• 永続ライセンスまたは別の一時ライセンスをアクティブにした場合など、一時ライセンスがタイムアウトする前にその使用を停止すると、タイマーは停止します。タイマーは、一時ライセンスを再アクティブ化した場合に限りもう一度開始されます。
• 一時ライセンスがアクティブなときに、セキュリティ アプライアンスをシャットダウンすると、タイマーはカウント ダウンし続けます。期間の延長に備えてセキュリティ アプライアンスをシャットダウン状態にしておく場合は、永続ライセンスをアクティブにしてからシャットダウンして、一時ライセンスを保持する必要があります。
• 一時ライセンスの期限が切れた場合、セキュリティ アプライアンスを次にリロードすると、永続ライセンスが使用されます。ライセンスの期限が切れた後すぐにリロードを実行する必要はありません。
(注) 一時ライセンスをインストールした後にシステム クロックを変更しないことを推奨します。クロックを今よりも後の日付に設定してからリロードすると、セキュリティ アプライアンスは元のインストール時に対してシステム クロックをチェックし、実際に使用されているよりも多くの時間が経過したものと見なします。クロックを元に戻し、実際の実行時間が元のインストール時からシステム クロックまでの時間を超えると、リロード後すぐにライセンスの期限が切れます。
• 一時ライセンスをアクティブにすると、永続ライセンスと一時ライセンスの両方の機能が結合されて実行ライセンスを構成します。セキュリティ アプライアンスは、各機能の各ライセンスにおける最も高い値を使用し、一時アクティベーション キーを入力するときに解決済みのライセンス間の競合を表示します。まれに一時ライセンスが永続ライセンスよりも下位の機能を使用している場合があります。この場合、永続ライセンスの値が使用されます。
• 永続ライセンスをアクティブにすると、現在実行されている永続ライセンスと一時ライセンスが上書きされて、実行ライセンスになります。
(注) 新しい永続ライセンスをインストールし、それが一時ライセンスからのダウングレードである場合は、セキュリティ アプライアンスをリロードして一時ライセンスを無効にし、永続ライセンスを復元する必要があります。リロードするまで一時ライセンスはカウント ダウンを続けます。
すでにインストールされている永続ライセンスを再アクティブ化する場合は、セキュリティ アプライアンスをリロードする必要はありません。一時ライセンスはカウントダウンを続行せず、トラフィックは切断されません。
• 後から永続ライセンスをアクティブ化する場合に一時ライセンスの機能を再有効化するには、単純に一時アクティベーション キーを再入力します。ライセンスをアップグレードする場合、リロードの必要はありません。
• 別の一時ライセンスに切り替えるには、新しいアクティベーション キーを入力します。新しいライセンスは古い一時ライセンスの代わりに使用され、永続ライセンスと組み合わされて新しい実行ライセンスを作成します。セキュリティ アプライアンスには複数の一時ライセンスをインストールできますが、一度にアクティブにできるのは 1 つのライセンスだけです。
永続アクティベーション キーと VPN Flex アクティベーション キーおよびそれらの連携については次の図を参照してください。
図 1 永続アクティベーション キーと VPN Flex アクティベーション キー
1. 前述の図の例 1 では、25 の SSL セッションを使用する一時キーを適用します。VPN Flex 値は 10 セッションの永続キー値を超えているため、結果の実行キーは、25 セッションの VPN Flex 値を使用する結合キーになります。
2. 前述の例 2 では、例 1 の結合キーが永続キーに置き換えられます。VPN Flex ライセンスは無効になります。実行キーはデフォルトで 10 セッションの永続キー値に設定されます。
3. 前述の例 3 では、50 のコンテキストを含む評価ライセンスが永続キーに適用されているため、結果の実行キーは、永続キーと 50 コンテキスト ライセンスのすべての機能を含む結合キーになります。
4. 前述の例 4 では、例 3 の結合キーに VPN Flex キーが適用されています。セキュリティ アプライアンスでは一度に 1 つの一時キーだけが使用できるため、VPN Flex キーで評価キーが置き換えられます。最終的な結果は、例 1 の結合キーと同じになります。
フェールオーバーを使用する場合は、同一のライセンスが必要になります。フェールオーバー目的では、一時ライセンスと永続ライセンスは同一に見えるため、永続ライセンスを 1 つのユニットで使用し、一時ライセンスを他のユニットで使用できます。この機能は緊急の状況で役に立ちます。たとえば、ユニットのいずれかで障害が発生したときに追加のユニットがある場合は、他のユニットを修理している間に追加のユニットを設置できます。通常 SSL VPN で追加のユニットを使用しない場合は、他のユニットの修理中に VPN Flex ライセンスを使用することを推奨します。
一時ライセンスはフェールオーバー ユニットでアクティブになっている限り、カウント ダウンを続行するため、永続フェールオーバーのインストールで一時ライセンスを使用することは推奨されません。一時ライセンスの期限が切れると、フェールオーバーは機能しなくなります。
共有ライセンスを使用すると、多数の SSL VPN セッションを購入し、必要に応じて、セキュリティ アプライアンスのグループでセッションを共有できます。これを行うには、セキュリティ アプライアンスの 1 つを共有ライセンス サーバとして設定し、残りを共有ライセンス参加ユニットとして設定します。ここでは、共有ライセンスの動作について説明します。次のトピックについて取り上げます。
1. 共有ライセンス サーバとなるセキュリティ アプライアンスを決定し、そのデバイス シリアル番号を使用して共有ライセンス サーバ ライセンスを購入します。
2. 共有ライセンス バックアップ サーバを含む共有ライセンス参加ユニットとなるセキュリティ アプライアンスを決定し、各デバイスのシリアル番号を使用して各デバイスの共有ライセンス参加ユニットのライセンスを取得します。
3. (オプション)2 つ目のセキュリティ アプライアンスを共有ライセンス バックアップ サーバとして指定します。指定できるのは 1 つのバックアップ サーバだけです。
(注) 共有ライセンス バックアップ サーバには参加ユニット ライセンスだけが必要です。
4. 共有ライセンス サーバに共有秘密を設定します。共有秘密を持つすべての参加ユニットが共有ライセンスを使用できます。
5. セキュリティ アプライアンスを参加ユニットとして設定する場合は、ローカル ライセンスおよびモデル情報など、そのセキュリティ アプライアンス自身の情報を送信して、共有ライセンス サーバに登録します。
(注) 参加ユニットは、IP ネットワークを介してサーバと通信できるようにする必要があります。参加ユニットは同じサブネット上にある必要はありません。
6. 共有ライセンス サーバは、参加ユニットがサーバをポーリングする頻度に関する情報で応答します。
7. 参加ユニットは、ローカル ライセンスのセッションを使い切ると、共有ライセンス サーバに追加のセッション(50 セッション単位)を求める要求を送信します。
8. 共有ライセンス サーバは共有ライセンスで応答します。参加ユニットによって使用される合計セッション数は、プラットフォーム モデルの最大セッション数を超えることはできません。
(注) 共有ライセンス サーバは共有ライセンス プールにも参加できます。参加するためには、参加ユニット ライセンスとサーバ ライセンスは必要ありません。
a. 共有ライセンス プールに参加ユニット用のセッションが十分に残っていない場合、サーバはできる限り多くの使用可能セッションで応答します。
b. 参加ユニットは、サーバが要求を適切に満たすまで追加のセッションを要求する更新メッセージを送信し続けます。
9. 参加ユニットに対する負荷が減ると、その参加ユニットは共有セッションを開放するようにサーバにメッセージを送信します。
(注) セキュリティ アプライアンスは、サーバと参加ユニット間で SSL を使用してすべての通信を暗号化します。
参加ユニットとサーバ間の通信の問題については次のガイドラインを参照してください。
• 参加ユニットが、3 回の更新間隔の後に更新メッセージを送信できなかった場合、サーバはセッションを開放して共有ライセンス プールに戻します。
• 参加ユニットは、更新メッセージを送信するためにライセンス サーバにアクセスできない場合、最大 24 時間、サーバから受信した共有ライセンスを使用し続けることができます。
• 24 時間が経過して参加ユニットがライセンス サーバと通信できなくなった場合、セッションが必要でも、参加ユニットは共有ライセンスを開放します。参加ユニットは既存の接続を確立したままにしますが、ライセンスの制限を超えて新しい接続を受け入れることはできません。
• 24 時間の期限前でもサーバで参加ユニット セッションの期限が切れた後であれば、参加ユニットはサーバに再接続する場合に、セッションの新しい要求を送信する必要があります。サーバは、その参加ユニットに再割り当てできる数のセッションで応答します。
共有ライセンス バックアップ サーバがバックアップ ロールを引き受けるには、共有ライセンス バックアップ サーバをメインの共有ライセンス サーバに正しく登録する必要があります。登録時に、メインの共有ライセンス サーバは、サーバ設定および共有ライセンス情報(登録済み参加ユニットのリストや現在のライセンスの使用状況を含む)をバックアップと同期します。メイン サーバとバックアップ サーバは 10 秒間隔で同期します。最初の同期の後、バックアップ サーバはリロードの後であっても正常にバックアップ作業を実行できます。
メイン サーバがダウンすると、バックアップ サーバはサーバの処理を引き継ぎます。バックアップ サーバは最大 30 日間連続して動作できます。30 日が経過すると、バックアップ サーバは参加ユニットに対するセッションの発行を停止し、既存のセッションはタイムアウトします。30 日の期間内にメイン サーバを必ず元の状態に戻してください。Critical レベルの syslog メッセージが 15 日目に送信され、30 日目に再送信されます。
メイン サーバはバックアップになると、バックアップ サーバと同期し、サーバの操作を引き継ぎます。
バックアップ サーバはアクティブでない場合、メインの共有ライセンス サーバの通常の参加ユニットとして機能します。
(注) メインの共有ライセンス サーバを最初に起動した場合、バックアップ サーバは 5 日間だけ単独で動作できます。動作上の制限は、30 日まで日毎に増えていきます。また、メイン サーバが後からしばらくの間ダウンした場合、バックアップ サーバの動作上の制限は日毎に減少していきます。メイン サーバがバックアップになると、バックアップ サーバの動作上の制限はまた日毎に増えていきます。たとえば、メイン サーバが 20 日間ダウンしていた場合、その期間中バックアップ サーバはアクティブになり、バックアップ サーバには 10 日間の制限しか残されなくなります。バックアップ サーバは、非アクティブなバックアップとして 20 日間経過した後、最大 30 日まで「再バックアップ」します。この再バックアップ機能は、共有ライセンスの誤用を防ぐために実装されます。
ここでは、メイン サーバおよびバックアップ サーバとフェールオーバーの連携について説明します。共有ライセンス サーバは、VPN ゲートウェイやファイアウォールとしての機能を実行するなど、セキュリティ アプライアンスとして通常の作業も実行するため、メインの共有ライセンス サーバとバックアップ共有ライセンス サーバにフェールオーバーを設定して信頼性を高める必要があります。
(注) バックアップ サーバ メカニズムはフェールオーバーとは異なりますが、フェールオーバーと互換性があります。
共有ライセンスは単一のコンテキスト モードだけでサポートされるため、アクティブ/アクティブ フェールオーバーはサポートされません。
フェールオーバー ペアの両方のメイン共有ライセンス サーバ ユニットには同じライセンスが必要です。そのため、プライマリ メイン サーバ ユニット用に 10,000 セッション共有ライセンスを購入した場合は、スタンバイ メイン サーバ ユニット用にも 10,000 セッション共有ライセンスを購入する必要があります。スタンバイ ユニットはスタンバイ状態のときにトラフィックを生成しないため、この例のセッションの合計数は、結合された 20,000 セッション ではなく 、10,000 セッションのままになります。
アクティブ/スタンバイ フェールオーバーの場合、プライマリ ユニットはメインの共有ライセンス サーバとして機能し、スタンバイ ユニットがフェールオーバー後、メインの共有ライセンス サーバとして機能します。両方のユニットに同じライセンスが必要であるため、どちらのユニットもメイン ライセンス サーバとして機能できます。スタンバイ ユニットは、バックアップ共有ライセンス サーバとして機能 しません 。代わりに、必要に応じてバックアップ サーバとして機能する 2 つ目のユニットのペアを使用できます。
たとえば、2 つのフェールオーバー ペアを持つネットワークがあるとします。ペア #1 にはメインのライセンス サーバが含まれます。ペア #2 にはバックアップ サーバが含まれます。ペア #1 のプライマリ ユニットがダウンするとすぐにスタンバイ ユニットが新しいメインのライセンス サーバになります。ペア #2 のバックアップ サーバは使用されません。ペア #1 の両方のユニットがダウンした場合に限り、ペア #2 のバックアップ サーバが共有ライセンス サーバとして使用されます。ペア #1 がダウンしたままで、ペア #2 のプライマリ ユニットがダウンすると、ペア #2 のスタンバイ ユニットが共有ライセンス サーバとして使用されます(図 2を参照)。
スタンバイ バックアップ サーバは、プライマリ バックアップ サーバと同じ動作上の制限を共有します。スタンバイ ユニットがアクティブになると、プライマリ ユニットが中止した時点までカウント ダウンを続行します。詳細については、「ライセンス バックアップ サーバに関する情報」を参照してください。
参加ユニットのペアでは、両方のユニットが個別の参加 ID を使用して共有ライセンス サーバに登録します。アクティブなユニットは、その参加ユニットの ID をスタンバイ ユニットと同期します。スタンバイ ユニットは、アクティブ ロールに切り替えるときに、この ID を使用して転送要求を生成します。この転送要求を使用して、それまでアクティブであったユニットから新しいアクティブなユニットに共有セッションを移動します。
セキュリティ アプライアンスでは、共有ライセンスの参加ユニットの数に制限はありませんが、共有ネットワークの規模が非常に大きくなると、ライセンス サーバのパフォーマンスに影響を与えることがあります。この場合は、参加ユニットの更新間の遅延を大きくすることも、2 つの共有ネットワークを作成することもできます。
Q. VPN Flex や Botnet Traffic Filter などの複数の一時ライセンスをアクティブ化できますか。
A. いいえ、できません。一度に使用できるのは 1 つの一時ライセンスだけです。最後にアクティブ化したライセンスが使用されます。複数の機能を 1 つのアクティベーション キーにグループ化した評価ライセンスの場合は、複数の機能が同時にサポートされます。ただし、シスコが販売している一時ライセンスは、アクティベーション キーごとに 1 つの機能に制限されています。
Q. 期限が切れたときに自動的に次のライセンスを使用できるように、一時ライセンスを「スタック」することはできますか。
A. いいえ、できません。複数の一時ライセンスをインストールすることはできますが、アクティブになるのは最後にアクティブ化したライセンスだけです。アクティブなライセンスが期限切れになった場合は、新しいライセンスを手動でアクティブ化する必要があります。機能が失われないように、必ず古いライセンスの期限が切れる直 前に アクティブ化してください(古いライセンスの残り時間は未使用のままになります。たとえば、12 か月のライセンスの 10 か月分を使用し、新しい 12 か月のライセンスをアクティブ化すると、最初のライセンスの残りの 2 か月は、後でそのライセンスをアクティブ化しない限り未使用のままになります。ライセンスを最大限活用するためには、古いライセンスの失効日のできる限り近い時期に新しいライセンスをアクティブ化することを推奨します)。
Q. アクティブな一時ライセンスを保持しながら、新しい永続ライセンスをインストールできますか。
A. いいえ、できません。永続ライセンスを適用すると、一時ライセンスは非アクティブ化されます。一時ライセンスとともに新しい永続ライセンスを使用できるようにするには、永続ライセンスをアクティブ化し、次に一時ライセンスを再びアクティブ化する必要があります。この結果、一時ライセンスに依存している機能が一時的に失われます。
Q. フェールオーバー用に共有ライセンス サーバをプライマリ ユニットとして、共有ライセンス バックアップ サーバをセカンダリ ユニットとして使用できますか。
A. いいえ、できません。セカンダリ ユニットにも共有ライセンス サーバ ライセンスが必要です。参加ライセンスを持つバックアップ サーバは、2 つのバックアップ サーバで構成される個別のフェールオーバー ペアに入れることができます。
Q. フェールオーバー ペアのセカンダリ ユニットのために同じライセンスを購入する必要はありますか。共有ライセンス サーバの場合でもその必要はありますか。
A. はい。両方のユニットに同じライセンスが必要です。共有ライセンス サーバでは、両方のユニットに同じ共有ライセンス サーバ ライセンスを購入する必要があります。 注: アクティブ/スタンバイ フェールオーバーの場合、セッション数を指定するライセンスでは、両方のユニットのセッションは互いに加算されず、アクティブなユニットのセッションだけを使用できます。たとえば、共有 SSL VPN ライセンスでは、アクティブなユニットとスタンバイ ユニットの両方に 10,000 のユーザ セッションを購入する必要があります。セッションの合計は、合わせて 20,000 ではなく 、10,000 です。
Q. 共有 SSL VPN ライセンスに加えて VPN Flex または永続 SSL VPN ライセンスを使用できますか。
A. はい。共有ライセンスは、ローカルにインストールされたライセンス(VPN Flex または永続)を使い切った後に限り使用されます。 注 :共有ライセンス サーバでは、永続 SSL VPN ライセンスは使用されません。ただし、VPN Flex ライセンスを共有ライセンス サーバ ライセンスと同時に使用することができます。この場合は、VPN Flex ライセンス セッションをローカル SSL VPN セッションだけに使用できます。参加ユニットが使用する共有ライセンス プールには追加できません。
アクティベーション キーについては、次のガイドラインを参照してください。
• マルチ コンテキスト モードでは、アクティベーション キーをシステム実行領域に適用します。
• 共有ライセンスはマルチ コンテキスト モードではサポートされません。
すべてのライセンス タイプは、ルーテッド モードとトランスペアレント モードの両方で使用できます。
• プライマリ ユニットとセカンダリ ユニットの両方で同じライセンスをアクティブ化している必要があります。
(注) フェールオーバーが目的の場合、2 つのユニット間でフィーチャ セットが同一である限り、永続ライセンスと一時ライセンスに違いはありません。詳細については、「フェールオーバー ライセンスと一時ライセンス」を参照してください。
• アクティブ/アクティブ モードでは共有ライセンスはサポートされません。詳細については、「フェールオーバーおよび共有ライセンス」を参照してください。
バージョン 8.2 以降にアップグレードする場合、また後でダウングレードする場合は、アクティベーション キーの互換性は維持されます。アップグレード後に、 8.2 以前に 導入された追加の機能ライセンスをアクティブ化した場合は、ダウングレードすると、アクティベーション キーは以前のバージョンとの互換性を維持します。ただし、 8.2 以降 に導入された機能ライセンスをアクティブ化すると、アクティベーション キーの後方互換性はなくなります。互換性のないライセンス キーがある場合は、次のガイドラインを参照してください。
• 以前に旧バージョンでアクティベーション キーを入力した場合は、セキュリティ アプライアンスはそのキーを使用します(バージョン 8.2 以降でアクティブ化した新しいライセンスは除く)。
• システムが新しく、以前のアクティベーション キーを持っていない場合は、旧バージョンと互換性がある新しいアクティベーション キーを請求する必要があります。
• アクティベーション キーはコンフィギュレーション ファイルには保存されず、フラッシュ メモリの隠しファイルに保存されます。
• アクティベーション キーはデバイスのシリアル番号に関連付けられています。機能ライセンスはデバイス間で転送できません(ハードウェアで障害が発生した場合を除く)。ハードウェアの障害が原因でデバイスを交換する必要がある場合は、シスコ ライセンス チームに連絡し、既存のライセンスを新しいシリアル番号に転送するよう要請してください。シスコ ライセンス チームに、Product Authorization Key の参照番号と既存のシリアル番号をお伝えください。
• 一度購入したライセンスは、返金またはライセンスのアップグレードの目的では返品できません。
• 同じ機能について 2 つの個別のライセンスを同時に追加できません。たとえば、25 セッションの SSL VPN ライセンスを購入し、後に 50 セッションのライセンスを購入しても、75 のセッションは使用できません。使用できるセッションの数は最大で 50 です。
• すべてのライセンス タイプをアクティブ化することはできますが、マルチ コンテキスト モードと VPN のように互換性がない機能もあります。AnyConnect Essentials ライセンスの場合、このライセンスは、フル SSL VPN ライセンス、共有 SSL VPN ライセンス、および Advanced Endpoint Assessment ライセンスとは互換性がありません。デフォルトでは、AnyConnect Essentials ライセンスがこれらのライセンスの代わりに使用されます。ただし、 no anyconnect-essentials コマンドを使用することにより、コンフィギュレーションの AnyConnect Essentials ライセンスを無効にして、他のライセンスを再び使用することができます。
ここでは、現在のライセンスを表示する方法と、一時アクティベーション キーのライセンスの残り時間を表示する方法について説明します。
現在のライセンスを表示するには、[Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択します。
マルチ コンテキスト モードでは、[Configuration] > [Device Management] > [Activation Key] を選択し、システム実行領域でアクティベーション キーを表示します。
アクティベーション キーを取得するには、シスコの代理店から購入できる Product Authorization Key が必要です。機能ライセンスごとに個別の製品アクティベーション キーを購入する必要があります。たとえば、基本ライセンスを持っている場合は、Advanced Endpoint Assessment や追加の SSL VPN セッション用に個別のキーを購入することができます。
(注) フェールオーバー ペアでは、ユニットごとに個別のアクティベーション キーが必要です。キーに含まれるライセンスが両方のユニットで同じであることを確認します。
Product Authorization Key を取得した後、次の手順に従って Cisco.com で登録します。
ステップ 1 セキュリティ アプライアンスのシリアル番号を、(ASDM の場合)[Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択して(マルチ コンテキスト モードでは、システム実行領域でシリアル番号を表示)、または次のコマンドを入力して取得します。
• Cisco.com の登録済みユーザであれば、次の Web サイトを使用します。
• Cisco.com の登録済みユーザでなければ、次の Web サイトを使用します。
• Product Authorization Key(複数のキーがある場合は、いずれかのキーを最初に入力します。各キーは個別の手順を使用して入力する必要があります)。
アクティベーション キーが自動的に生成され、指定した E メール アドレスに送信されます。このキーには、永続ライセンスについてこれまでに登録したすべての機能が含まれます。VPN Flex ライセンスでは、各ライセンスに個別のアクティベーション キーがあります。
ステップ 4 追加の Product Authorization Key がある場合は、Product Authorization Key ごとにステップ 3 を繰り返します。すべての Product Authorization Key を入力すると、提供される最終的なアクティベーション キーに登録したすべての永続機能が含まれるようになります。
ここでは、新しいアクティベーション キーの入力方法について説明します。
• アクティベーション キーを入力する前に、 show activation-key コマンドを入力することにより、フラッシュ メモリのイメージと実行イメージが同一であることを確認します。これは、新しいアクティベーション キーを入力する前にセキュリティ アプライアンスをリロードすることで確認できます。
• すでにマルチ コンテキスト モードになっている場合は、システム実行領域にアクティベーション キーを入力します。
• 一部のライセンスでは、アクティブ化した後にセキュリティ アプライアンスをリロードする必要があります。 表 8 に、リロードが必要なライセンスの一覧を示します。
バージョン 8.2 以降にアップグレードする場合、また後でダウングレードする場合は、アクティベーション キーの互換性は維持されます。アップグレード後に、 8.2 以前に 導入された追加の機能ライセンスをアクティブ化した場合は、ダウングレードすると、アクティベーション キーは以前のバージョンとの互換性を維持します。ただし、 8.2 以降 に導入された機能ライセンスをアクティブ化すると、アクティベーション キーの後方互換性はなくなります。互換性のないライセンス キーがある場合は、次のガイドラインを参照してください。
• 以前に旧バージョンでアクティベーション キーを入力した場合は、セキュリティ アプライアンスはそのキーを使用します(バージョン 8.2 以降でアクティブ化した新しいライセンスは除く)。
• システムが新しく、以前のアクティベーション キーを持っていない場合は、旧バージョンと互換性がある新しいアクティベーション キーを請求する必要があります。
hostname# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490 |
セキュリティ アプライアンスにアクティベーション キーを適用します。このキーは、5 つの要素からなる 16 進文字列で、各要素間にスペースが入ります。先頭の 0x 指定子はオプションです。すべての値は 16 進数と見なされます。 1 つの永続キーと複数の一時キーを入力することができます。最後に入力した一時キーがアクティブな一時キーになります。詳細については、「一時ライセンス、VPN Flex ライセンス、および評価ライセンス」を参照してください。実行アクティベーション キーを変更するには、キーの新しい値を使用して activation-key コマンドを入力します。 |
|
(場合によっては必要)セキュリティ アプライアンスをリロードします。一部のライセンスでは、新しいアクティベーション キーを入力した後にセキュリティ アプライアンスをリロードする必要があります。リロードが必要なライセンスの一覧は、表 8 を参照してください。リロードする必要がある場合は、次のメッセージが表示されます。 |
ステップ 1 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択します。
ステップ 2 [New Activation Key] フィールドに新しいアクティベーション キーを入力します。
このキーは、5 つの要素からなる 16 進文字列で、各要素間にスペースが入ります。先頭の 0x 指定子はオプションです。すべての値は 16 進数と見なされます。次の例を参考にしてください。
0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490
1 つの永続キーと複数の一時キーを入力することができます。最後に入力した一時キーがアクティブな一時キーになります。詳細については、「一時ライセンス、VPN Flex ライセンス、および評価ライセンス」を参照してください。実行アクティベーション キーを変更するには、新しい値を入力します。
ステップ 3 [Update Activation Key] をクリックします。
フェールオーバー ペアのライセンスをアップグレードする必要がある場合は、ライセンスにリロードが必要かどうかに応じて、ある程度のダウンタイムが発生することがあります。リロードが必要なライセンスの詳細については、表 8 を参照してください。この項は、次の内容で構成されています。
• 「フェールオーバーのライセンスのアップグレード(リロードは不要)」
• 「フェールオーバーのライセンスのアップグレード(リロードが必要)」
新しいライセンスにリロードが不要な場合は、次の手順に従います。リロードが必要なライセンスの詳細については、表 8 を参照してください。この手順では、ダウンタイムが発生しないことを確認します。
ライセンスをアップグレードする前に、両方のユニットが正しく動作していること、フェールオーバー LAN インターフェイスが起動していること、フェールオーバー イベントが直後に発生しないこと(監視対象のインターフェイスが正常に動作しているなど)を確認します。
各ユニットで、 show failover コマンドを入力するか、または ASDM の場合は [Monitoring] > [Properties] > [Failover] > [Status] を選択し、フェールオーバーの状態と監視対象のインターフェイスの状態を表示します。
ステップ 1 アクティブなユニットで、[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択し、[Enable Failover] チェックボックスをオフにします。
スタンバイ ユニットは擬似スタンバイ状態のままになります。アクティブなユニットでフェールオーバーを非アクティブにすると、スタンバイ ユニットは、ライセンスが一致していない間にアクティブになるよう試みません。
ステップ 3 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択し、アクティブなユニットのシリアル番号を使用して取得した新しいアクティベーション キーを入力します。
ステップ 4 [Update Activation Key] をクリックします。
ステップ 5 デバイス リストでアドレスをダブルクリックし、スタンバイ ユニットにログインします。
そのデバイスがデバイス リストにない場合は、[Add] をクリックして追加します。ログインするための認定証を求められることがあります。
ステップ 6 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択し、スタンバイ ユニットのシリアル番号を使用して取得した新しいアクティベーション キーを入力します。
ステップ 7 [Update Activation Key] をクリックします。
ステップ 8 デバイス リストでアドレスをダブルクリックし、アクティブなユニットに再びログインします。
ステップ 9 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択し、[Enable Failover] チェックボックスを再びオンにします。
新しいライセンスにリロードが必要な場合は、次の手順に従います。リロードが必要なライセンスの詳細については、表 8 を参照してください。フェールオーバー ペアのリロードにより、リロード中に接続が失われます。
ライセンスをアップグレードする前に、両方のユニットが正しく動作していること、フェールオーバー LAN インターフェイスが起動していること、フェールオーバー イベントが直後に発生しないこと(監視対象のインターフェイスが正常に動作しているなど)を確認します。
各ユニットで、 show failover コマンドを入力するか、または ASDM の場合は [Monitoring] > [Properties] > [Failover] > [Status] を選択し、フェールオーバーの状態と監視対象のインターフェイスの状態を表示します。
ステップ 1 アクティブなユニットで、[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択し、[Enable Failover] チェックボックスをオフにします。
スタンバイ ユニットは擬似スタンバイ状態のままになります。アクティブなユニットでフェールオーバーを非アクティブにすると、スタンバイ ユニットは、ライセンスが一致していない間にアクティブになるよう試みません。
ステップ 3 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択し、アクティブなユニットのシリアル番号を使用して取得した新しいアクティベーション キーを入力します。
ステップ 4 [Update Activation Key] をクリックします。
ステップ 5 デバイス リストでアドレスをダブルクリックし、スタンバイ ユニットにログインします。
そのデバイスがデバイス リストにない場合は、[Add] をクリックして追加します。ログインするための認定証を求められることがあります。
ステップ 6 [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択し、スタンバイ ユニットのシリアル番号を使用して取得した新しいアクティベーション キーを入力します。
ステップ 7 [Update Activation Key] をクリックします。
ステップ 8 デバイス リストでアドレスをダブルクリックし、アクティブなユニットに再びログインします。
ステップ 9 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択し、[Enable Failover] チェックボックスを再びオンにします。
ステップ 11 [Tools] > [System Reload] を選択して、セキュリティ アプライアンスのリロードをスケジュールします。
ステップ 12 希望の時刻にセキュリティ アプライアンスをリロードするようにリロード オプションを選択し、[Schedule Reload] をクリックします。
ステップ 13 デバイス リストでアドレスをダブルクリックし、スタンバイ ユニットに再びログインします。
ステップ 14 [Tools] > [System Reload] を選択して、セキュリティ アプライアンスのリロードをスケジュールします。
ステップ 15 アクティブなユニットについて選択した時刻と同じ時刻にセキュリティ アプライアンスをリロードするようにリロード オプションを選択し、[Schedule Reload] をクリックします。
両方のユニットが同時にリロードされ、新しいライセンスが有効になります。
ここでは、共有ライセンス サーバと参加ユニットを設定する方法について説明します。共有ライセンスの詳細については、「共有ライセンス」を参照してください。
• 「共有ライセンス バックアップ サーバの設定(オプション)」
• 「共有ライセンス参加ユニット、および ASDM でのオプションのバックアップ サーバの設定」
ステップ 1 [Configuration] > [Device Management] > [Licenses] > [Shared SSL VPN Licenses] を選択します。
ステップ 2 [Shared Secret] フィールドに、共有秘密を 4 ~ 128 ASCII 文字のストリングで入力します。
この秘密を持つすべての参加ユニットがライセンス サーバを使用できます。
ステップ 3 (オプション)[TCP IP Port] フィールドに、サーバが参加ユニットからの SSL 接続を受信するポート(1 ~ 65535)を入力します。
ステップ 4 (オプション)[Refresh interval] フィールドで、10 ~ 300 秒の更新間隔を入力します。
この値は、サーバと通信する頻度を設定するために参加ユニットに提供されます。デフォルト値は 30 秒です。
ステップ 5 共有ライセンス領域を提供するインターフェイスで、参加ユニットがサーバと通信する任意のインターフェイスの [Shares Licenses] チェックボックスをオンにします。
ステップ 6 (オプション)バックアップ サーバを指定するには、オプションのバックアップ共有 SSL VPN ライセンス サーバ領域で次の手順を実行します。
a. [Backup server IP address] フィールドにバックアップ サーバの IP アドレスを入力します。
b. [Primary backup server serial number] フィールドにバックアップ サーバのシリアル番号を入力します。
c. バックアップ サーバがフェールオーバー ペアの一部の場合は、[Secondary backup server serial number] フィールドでスタンバイ ユニットのシリアル番号を指定します。
1 つのバックアップ サーバとオプションのスタンバイ ユニットだけを指定できます。
次の例では、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスと dmz インターフェイス上の共有ライセンス サーバとしてイネーブルにします。
「共有ライセンス バックアップ サーバの設定(オプション)」(CLI の場合)、または「共有ライセンス参加ユニット、および ASDM でのオプションのバックアップ サーバの設定」を参照してください。
次の例では、ライセンス サーバと共有秘密を指定し、このユニットを inside インターフェイスと dmz インターフェイスのバックアップ共有ライセンス サーバとしてイネーブルにします。
hostname(config)# license-server address 10.1.1.1 secret farscape
ここでは、共有ライセンス サーバと通信するように共有ライセンス参加ユニットを設定する方法について説明します。ASDM の場合は、オプションで参加ユニットをバックアップ サーバとして設定する方法についても説明します。CLI でバックアップ サーバを設定する方法については、「共有ライセンス バックアップ サーバの設定(オプション)」を参照してください。
ステップ 1 [Configuration] > [Device Management] > [Licenses] > [Shared SSL VPN Licenses] ペインの順に選択します。
ステップ 2 [Shared Secret] フィールドに、共有秘密を 4 ~ 128 ASCII 文字のストリングで入力します。
ステップ 3 (オプション)[TCP IP Port] フィールドに、SSL を使用してサーバと通信するポート(1 ~ 65535)を入力します。
ステップ 4 (オプション)参加ユニットをバックアップ サーバとして指定するには、[Select backup role of participant] エリアで、次の手順を実行します。
a. [Backup Server] オプション ボタンをクリックします。
b. 参加ユニットがバックアップ サーバにアクセスするには、使用するインターフェイスの [Shares Licenses] チェックボックスをオンにします。
次の例では、ライセンス サーバの IP アドレスと共有秘密、およびバックアップ ライセンス サーバの IP アドレスを設定します。
hostname(config)# license-server address 10.1.1.1 secret farscape
共有ライセンスを監視するには、ASDM で、[Monitoring] > [VPN] > [Clientless SSL VPN] > [Shared Licenses] の順に選択するか、次のコマンドのいずれかを入力します。
表 9 に、この機能のリリース履歴を示します。