Rispondere alle domande frequenti sulle licenze Secure Client
Introduzione
In questo documento vengono fornite le risposte alle domande frequenti sulle licenze di Cisco Secure Client.
Panoramica
Cisco Secure Client 4.x ha introdotto un nuovo modello di licenza. Non è sempre facile infatti per i clienti stabilire con precisione il numero di dispositivi che verranno usati in una sessione di lavoro o gestire le licenze per singola appliance. Il numero di dispositivi mobili che usano connessioni VPN è in aumento e le appliance ASA devono essere aggiornate alle nuove versioni, due fattori che incidono sulle decisioni di spesa allo scadere delle licenze. Nel tentativo di risolvere queste criticità, abbiamo ideato per Cisco Secure Client un modello di licenza basato sulla durata e sul numero totale dei singoli utenti. Il calcolo del numero di licenze e il monitoraggio del consumo risulteranno notevolmente semplificati sotto diversi aspetti.
In primo luogo, contare gli utenti risponde meglio alle esigenze delle aziende orientate a un modello di licenza entreprise, ovvero un modello che tenga conto delle postazioni di lavoro, perché più facile da controllare e gestire rispetto a un modello basato sugli endpoint. In secondo luogo, spostare l'attenzione dagli endpoint agli utenti finali permette di conoscere con maggiore certezza il numero di dispositivi connessi, in quanto spesso gli utenti remoti usano più dispositivi contemporaneamente. Una situazione molto diffusa tra i knowledge worker. In terzo luogo, calcolare il totale degli utenti permette di individuare gli utenti che devono ricevere il servizio, evitando di acquistare un numero troppo elevato di licenze destinate per lo più a rimanere inutilizzate. Anche questo aspetto soddisfa la tendenza generale delle aziende, che desiderano avere dipendenti più produttivi e sempre connessi. In quarto luogo, le licenze basate sulla durata permettono di pianificare meglio gli investimenti, evitando impennate nei costi in conto capitale a favore di una gestione più controllata dei costi operativi. Infine, una licenza standalone basata sul volume per l'endpoint distinta dalla licenza dell'headend offre una maggiore libertà di scelta delle piattaforme e dei servizi. Con il nuovo modello non sarà necessario acquistare nuove licenze se si cambia headend, si aggiunge capacità o si aggiungono altri servizi (Cisco Secure Client Apex per i servizi VPN può essere acquistato insieme all'ISE).
I servizi Cisco Secure Client continuano ad avere prezzi competitivi e sono compatibili con altre iniziative per il calcolo dei prezzi dei software Cisco come Cisco ONE.
Il complesso modello di licenza Cisco Secure Client è stato semplificato a partire da Cisco Secure Client 4.x e si compone ora di due offerte. La prima è Cisco Secure Client Plus, che include servizi VPN base come i servizi VPN per dispositivo e per app (e il supporto di VPN ad accesso remoto IKEv2 di terze parti), operatività costante, raccolta di contesto base sui dispositivi e conformità FIPS. Cisco Secure Client Plus include anche altri servizi non VPN, quali Cisco Secure Client Network Access Manager usato come supplicant 802.1X e il modulo Cloud Web Security. Nella prima metà del 2015 con Cisco Secure Client 4.1, Cisco Secure Client Plus ha aggiunto funzionalità di distribuzione di AMP for Endpoint con AMP Enabler. Per i clienti che già usano Cisco Secure Client, potremmo paragonare Cisco Secure Client Plus al precedente Cisco Secure Client Essentials.La seconda offerta è AnyConnect Apex, che include servizi VPN più avanzati, come le verifiche della postura degli endpoint, la crittografia di nuova generazione (Suite B inclusa), l'autenticazione SAML e la VPN ad accesso remoto senza client, oltre ovviamente alle funzionalità di Cisco Secure Client Plus. Nella seconda metà del 2015 con Cisco Secure Client 4.2MR1, Cisco Secure Client Apex ha aggiunto il Network Visibility Module, una nuova funzionalità che offre dati sul flusso di traffico a livello di endpoint, in grado di rilevare i comportamenti di utenti e dispositivi on-premises e in remoto. I clienti che già usano Cisco Secure Client troveranno analogie tra Cisco Secure Client Apex e i precedenti Cisco Secure Client Premium e Shared. Continuando ad aggiungere nuove funzionalità e servizi a Cisco Secure Client Plus e Apex, il valore delle licenze Cisco Secure Client basate sulla durata può continuare a crescere nel tempo.
Per informazioni dettagliate sulle licenze, consultare la Guida agli ordini di Cisco Secure Client.
D. Quali fattori hanno contribuito alle modifiche ai modelli di licenze Cisco Secure Client?
R. Abbiamo ascoltato i clienti che da molti anni ci chiedevano di semplificare il modello di licenza. Il nuovo modello elimina le complessità derivanti dall'aggiunta successiva di licenze e permette di usare insieme licenze di tipo diverso.Inoltre, permette di condividere le licenze tra le varie opzioni senza dover predisporre componenti hardware ed elimina la necessità di acquistare licenze Cisco Secure Client per singola ASA. Una valida soluzione quando si migrano i dispositivi. Inoltre, il nuovo modello ha un supporto integrato per situazioni di pandemia. Tutte le licenze basate sulla durata includono diritti di accesso al software e ai servizi di assistenza e permettono quindi di scaricare le versioni software aggiornate.
D. Come vengono conteggiati gli utenti autorizzati disponibili per le nuove licenze Cisco Secure Client?
R. Le licenze Plus e Apex sono basate sul volume (L-AC-PLS-LIC= e L-AC-APX-LIC=). Ciò permette di scegliere il numero di utenti (ad esempio 873), la durata (ad esempio, 30 mesi) e la data di inizio (decidendo ad esempio di far partire la licenza in una data X nei 60 giorni successivi). All'aumento del numero di utenti e/o della durata selezionati, il prezzo per utente per mese diminuisce. Ove possibile, questo metodo sarà da preferire al metodo L-AC-PLS-xYR-G/L-AC-APX-xYR-G per ordinare le licenze Plus e Apex basate sulla durata. Il metodo L-AC-PLS-LIC= e L-AC-APX-LIC= offre una maggiore libertà di scelta del numero di utenti e della durata e rende più semplice il rinnovo.
D. Come viene gestita la conversione 4.x sulle versioni Cisco Secure Client per dispositivi mobili?
R. L'uso di Cisco Secure Client su Cisco IOS® e Android senza una licenza Plus, Apex o VPN Only attiva (basata sulla durata o sul contratto) non è più possibile dal 30 aprile 2016. I clienti Cisco Secure Client con licenze Essentials/Premium e Mobile (non più disponibile) non possono più utilizzare il software. Sulle piattaforme più recenti, quali Windows Phone 8.1, Windows 10 Mobile, BlackBerry 10 e Google Chrome OS, da sempre è necessario usare una licenza Plus, Apex o VPN Only.
D. Posso acquistare una licenza Cisco Secure Client perpetua? Vorrei conoscere meglio le licenze Cisco Secure Client VPN Only e Cisco Secure Client Plus Perpetual.
R. Sì. Oltre agli abbonamenti da 1, 3 o 5 anni, le licenze Cisco Secure Client Plus sono offerte anche come licenze perpetue.
Cisco offre anche una licenza VPN Only perpetua. Questa licenza offre le stesse funzionalità di Cisco Secure Client Premium più le funzionalità di Advanced Endpoint Assessment, Mobile e Phone VPN.
Le licenze VPN Only sono progettate esclusivamente per ambienti VPN con un elevato numero di utenti finali potenziali, ma poco frequentati (ad esempio, un'università con 10.000 iscritti, ma solo 100 utenti attivi contemporaneamente). Con le licenze Plus Perpetual o VPN Only, è necessario acquistare separatamente i servizi di assistenza per poter accedere al software e al supporto tecnico.
Cisco Secure Client VPN Only è concesso in licenza per un unico headend e connessioni simultanee (utenti non autorizzati). Su coppie di dispositivi attivo/standby, solo l'headend principale deve avere una licenza VPN Only. Le licenze VPN Only sono un'alternativa ai modelli Cisco Secure Client Plus e Apex. Le licenze Cisco Secure Client VPN Only non offrono altre funzionalità o servizi Cisco Secure Client (Web Security Module, ISE Posture, Network Visibility, ASA Multi-Context VPN, ecc.). Le licenze VPN Only supportano VPN SSL senza client, IPsec IKEv2 di terze parti, Suite B e VPN HostScan con ASA. Le licenze VPN Only non possono essere trasferite, riallocate, condivise, combinate, suddivise o aggiornate direttamente a un'altra licenza VPN Only. Queste licenze non possono coesistere con le licenze Plus o Apex o altre versioni precedenti delle licenze Cisco Secure Client.
Le licenze VPN Only e Plus Perpetual richiedono un contratto SWSS su tutti gli headend per poter accedere al software, agli aggiornamenti e al supporto tecnico.
D. Sono previste altre limitazioni per le licenze Cisco Secure Client VPN Only?
R. Sì. Le licenze Cisco Secure Client VPN Only sono basate sulle connessioni simultanee all'endpoint a differenza delle licenze Cisco Secure Client Plus e Apex che si basano sul totale di utenti attivi. Le licenze VPN Only vengono distribuite sulle singole appliance ASA e non possono essere condivise tra più appliance, a differenza delle licenze Cisco Secure Client Plus e Apex. Su coppie di dispositivi attivo/standby, solo l'headend principale deve avere una licenza VPN Only. Le licenze VPN Only non possono essere trasferite; se si acquista una nuova appliance ASA, occorre acquistare anche altre licenze. Le licenze VPN Only non permettono di iniziare con un numero di licenze (ad esempio, 500 alla data x) per poi aumentare la capacità nel tempo (ad esempio, altre 100 alla data x + y). Né possono essere acquistate per soddisfare una capacità aumentata. Come accennato in precedenza, le licenze VPN Only richiedono l'acquisto di servizi di supporto, che sono invece integrati nelle licenze Cisco Secure Client Plus e Apex basate sulla durata.
D. Come posso calcolare il numero di licenze da acquistare?
R. Il modello Cisco Secure Client Plus e Apex si basa sul totale di utenti autorizzati che possono usare un servizio Cisco Secure Client, non sulle connessioni simultanee (per appliance ASA o su base condivisa) e non sugli utenti remoti attivi. Pertanto, è possibile connettersi con tutti i dispositivi che si desidera finché non si supera la capacità hardware disponibile e il numero di utenti autorizzati acquistati con la licenza. In caso il numero di utenti dovesse aumentare, sarà responsabilità del cliente acquistare altre licenze. Se al momento si supportano 30.000 connessioni simultanee, ma gli utenti che devono usare i servizi Cisco Secure Client sono 50.000, sarà sufficiente acquistare una licenza per 50.000 utenti. Se gli utenti che devono usare i servizi Cisco Secure Client sono 100.000, sarà sufficiente acquistare una licenza per 100.000 utenti. Se dall'altro lato della connessione non ci sono persone fisiche, ciascun dispositivo incustodito è considerato comunque un singolo utente.
D. In cosa si differenziano Cisco Secure Client Plus e Cisco Apex?
R. La licenza Plus offre una connettività simile a quella della licenza Essentials, la licenza Apex è invece più simile alla licenza Premium o Shared.Per una descrizione dettagliata delle caratteristiche, consultare la Guida agli ordini di Cisco Secure Client.
D. Su quali versioni ASA possono essere usate le licenze Cisco Secure Client Plus/Apex? Le licenze possono essere usate sia su ASA serie 5500 che su ASA serie 5550-X?
R. Non ci sono restrizioni alle versioni ASA su cui è possibile usare le licenze Plus/Apex. Ogni appliance ASA che supporti Cisco Secure Client supporta il nuovo modello di licenza. Per alcune funzionalità della VPN per applicazione è necessario avere versioni o dispositivi ASA più recenti. Le licenze sono compatibili sia con i modelli ASA originali sia con quelli attuali. La registrazione della chiave PAK è una funzionalità specifica delle appliance ASA 5500/5500-X e non è supportata sugli headend VPN di ASAv, Firepower o Cisco ISR / ASR / CSR 1000V. Occorre comunque registrare il contratto per avere diritto ad accedere al software e a ricevere supporto tecnico.
D. Quale licenza è la più adatta per configurare una VPN con protocollo IKEv2 tra i client VPN di terze parti e l'appliance ASA?
R. Per il supporto di client VPN IKEv2 di terze parti, è necessario acquistare la licenza Cisco Secure Client Plus. Analogamente, la licenza Cisco Secure Client Apex è richiesta per il supporto di configurazioni senza client. Cisco Secure Client Apex, che include tutte le funzionalità Plus, può essere utilizzata anche per abilitare la VPN IKEv2 di client VPN di terze parti.
D. Quante licenze Cisco Secure Client Plus devo acquistare per configurazioni VPN ad accesso remoto con protocollo IKEv2 basato su standard oppure quante licenze Apex per configurazioni senza client?
R. Per individuare il numero di licenze Cisco Secure Client Plus o Apex, contare il totale di singoli utenti che devono usare i servizi Cisco Secure Client, l'accesso IKEv2 di terze parti o le configurazioni senza client (siano essi attivi sulla rete o meno).
D. Quante appliance ASA posso utilizzare con la licenza Cisco Secure Client Plus o Apex?
R. È possibile usare una licenza Plus o Apex su tutte le ASA in possesso e per tutta la durata della licenza, a condizione che non si superi il numero di utenti autorizzati specificato. Con l'acquisto di una licenza, viene fornita una chiave di attivazione del prodotto (PAK) che consente di sbloccare i servizi su più appliance ASA. Le licenze Plus / Apex non sono limitate a una singola appliance ASA come accadeva con le licenze Essentials o Premium / Shared.
D. Come ordinare una licenza Cisco Secure Client Plus o Apex quando l'headend è un'appliance ASA?
R. Le licenze Cisco Secure Client Plus o Apex devono essere ordinate separatamente dall'headend, in quanto non sono legate a un'appliance ASA/un headend specifico, bensì all'implementazione generale. Il modo più conveniente per acquistare una licenza è che questa copra l'intera implementazione. Ciò detto, per alcuni pacchetti ASA, le licenze Cisco Secure Client Plus e Apex possono essere opzioni facoltative al pari di altri prodotti di sicurezza. Per ulteriori informazioni, consultare la Guida agli ordini di Cisco Secure Client.
D. Come devo ordinare le licenze Cisco Secure Client destinate a clienti diversi?
R. Le licenze di clienti diversi devono essere ordinate separatamente, preferibilmente con un unico ordine di vendita. In questo modo, sarà possibile registrare correttamente le informazioni degli utenti e concedere loro il diritto a usare i servizi di supporto. Se si ordinano più licenze Cisco Secure Client con PID di primo o secondo livello nello stesso processo, si riceveranno normalmente tutte le risorse e si avranno tutti i diritti per cui si è pagato, ma non verranno generate altre chiavi PAK. Per ordinare licenze destinate a clienti diversi, occorre completare ordini separati per ciascuno di essi. È necessario che ciascuna licenza venga ordinata nell'apposita riga predisposta di primo livello, anziché aumentarne la quantità su una riga condivisa. Ad esempio, se si vuole ordinare una licenza Cisco Secure Client Plus Perpetual, non si deve specificare: L-AC-PLS-P-G Q.tà:2 né la quantità 2 sul secondo livello. Al contrario, l'ordine dovrà essere emesso su due righe distinte, entrambe con il codice L-AC-PLS-G e la Q.tà: 1.
D. Quante implementazioni ISE posso usare con la licenza Cisco Secure Client Plus o Apex?
R. Le licenze Cisco Secure Client Plus o Apex possono essere utilizzate in una serie di appliance o implementazioni ISE, a condizione che non si superi il numero di utenti autorizzati. L'acquisto di un'opzione di licenza con ISE non richiede alcuna registrazione del file PAK né alcun caricamento nell'ISE (i file PAK di Cisco Secure Client vengono applicati solo alle appliance ASA). Pertanto, in un'implementazione ISE, le licenze Cisco Secure Client Plus e Apex conferiscono semplicemente il diritto a usare la licenza.
D. È possibile usare Cisco Secure Client Hosts/Posture senza Cisco ISE?
R. Sì. Cisco Secure Client 4.x supporta ancora la funzionalità Hostscan per la postura della VPN con Cisco ASA. AnyConnect 4.x ha anche un agente di postura unificato che funziona su VPN cablate e wireless, ma richiede l'uso di ISE versione 1.3 o successive. Per entrambe le opzioni, è richiesta una licenza Cisco Secure Client Apex.
D. Se uso una licenza Cisco ISE Plus, devo avere anche la licenza Cisco Secure Client Plus?
R. No. Tuttavia, l'uso combinato di una licenza Cisco Secure Client Plus con una licenza Cisco ISE Plus permette di raccogliere e condividere il contesto dell'endpoint in scenari VPN. La licenza Cisco Secure Client Plus e la licenza Cisco ISE Base sono compatibili, ma non è possibile raccogliere informazioni dettagliate sull'endpoint.
D. Quali sono i diversi servizi forniti da Cisco ISE Apex rispetto a Cisco ISE Apex con Cisco Secure Client Apex?
R. Cisco ISE Apex supporta la raccolta di informazioni sul contesto relative alla conformità e l'uso di tali informazioni come attributi di autorizzazione nelle policy ISE. Ad esempio, se si usa una piattaforma MDM/EMM di terze parti per rilevare e controllare l'accesso in base allo stato di blocco PIN e allo stato jailbreak, ordinare una licenza Cisco ISE Apex. Per calcolare il numero di licenze Cisco ISE Apex richieste in questo scenario, considerare il numero massimo di potenziali endpoint mobili con registrazione MDM/EMM simultanei, attivi sulla rete e controllati da Cisco ISE, e non tutti gli endpoint con registrazione MDM/EMM. Cisco ISE Apex con Cisco Secure Client Apex consente di usare Cisco Secure Client come agente unificato per la conformità PC insieme a tutti gli altri servizi a valore aggiunto di Cisco Secure Client, come la funzionalità always on (operatività costante), TND (Trusted Network Detection), ecc. Come nell'esempio precedente, per il numero di licenze Cisco ISE Apex, considerare il numero massimo di sessioni simultanee in cui Cisco Cisco Secure Client opera come agente unificato nell'implementazione di Cisco ISE per la postura, ecc., e non necessariamente i singoli endpoint con Cisco Secure Client. Il numero di licenze Cisco Cisco Secure Client Apex richiesto si basa sul totale dei singoli utenti che potrebbero usare i servizi Cisco Secure Client Apex, e non sui singoli dispositivi con Cisco Secure Client. Cisco Secure Client Plus e Apex usano un modello basato sul numero di utenti, mentre le licenze Cisco ISE usano una struttura basata su numero di sessioni dell'endpoint.
D. Sto utilizzando Cisco Secure Client per un servizio non VPN o un headend Cisco IOS®. Quali licenze devo acquistare?
A. Il tipo di licenza da acquistare dipende dall'headend in uso e dai relativi servizi. Ad esempio, per i servizi VPN sugli headend Cisco IOS®, è richiesto Cisco Secure Client Plus, ma è possibile usare anche Cisco Secure Client Apex. Per usare le funzionalità di postura di Cisco Secure Client con ISE 1.3, è necessario ordinare Cisco Secure Client Apex e ISE Apex. In altri scenari, tra cui Network Access Manager, Cisco Cloud Web Security (CWS) e così via. occorre avere Cisco Secure Client Plus, ma anche in questo caso si può usare Cisco Secure Client Apex. Prima di poter utilizzare i servizi Cisco Secure Client, gli headend Cisco IOS devono essere provvisti anche di una Security License. Cisco Secure Client è compatibile con le piattaforme ISR G2, CSR 1000V e ASR 1000. Le funzionalità disponibili variano a seconda della piattaforma in uso.
Nota: la registrazione fisica della chiave di attivazione del prodotto (PAK) sul portale delle licenze Cisco va effettuata solo per l'appliance ASA. Sugli headend ASAv e Cisco IOS e nelle configurazioni non VPN, memorizzare il PAK in un luogo sicuro come prova d'acquisto. Sarà comunque necessario completare la registrazione del contratto per poter accedere al Software Center e ricevere il supporto tecnico.
D. A partire da quale versione del sistema operativo ISR G2 o CSR 1000v supporta Cisco Secure Client?
R. ISR G2 - Cisco IOS 15.0(1)M, CSR1000v - Cisco IOS XE 3.12 S.
D. È possibile condividere le licenze Cisco Secure Client Plus o Apex tra ambienti ASA e VPN per Cisco IOS?
R. Sì, a condizione che non si superi il numero di utenti autorizzati e che si rispettino i termini della scadenza, è possibile usare la licenza su qualsiasi headend coperto da licenza. Se l'headend non è un'appliance ASA, non è necessario registrare la chiave PAK.
D. Uso solo Network Access Manager. Quale licenza devo scegliere?
R. Le funzionalità di Network Access Manager richiedono una licenza Plus o Apex per ciascun (singolo) utente autorizzato.
D. Come devo ordinare le licenze Cisco Secure Client Plus o Apex per altri headend o servizi?
R. Le licenze Cisco Secure Client Plus o Apex devono essere ordinate separatamente per altri headend o servizi diversi dall'appliance ASA.
D. Posso ordinare Cisco Secure Client Network Visibility Module in versione standalone?
R. No. Network Visibility Module è disponibile solo con le licenze Cisco Secure Client Apex.
Nota: Network Visibility Module usa la funzionalità di rilevamento di reti attendibili di Cisco Secure Client nel modulo VPN, ma, se escludiamo questa funzionalità, può funzionare senza altri moduli Cisco Secure Client.
D. Le licenze Cisco Secure Client Plus e Apex possono essere usate insieme o l'una esclude l'altra? L'uso di una licenza Plus o Apex rende superfluo l'acquisto di una licenza Shared o Flex?
R. Sì. È possibile usare le licenze Cisco Secure Client Plus e Apex nello stesso ambiente di implementazione. Cisco Secure Client Plus e Apex offrono le stesse funzionalità di implementazione condivisa delle licenze Shared oggi non più disponibili. Le licenze Cisco Secure Client Plus e Apex sono basate sul totale degli utenti che useranno uno specifico servizio Cisco Secure Client, a prescindere dalla frequenza con cui si connetteranno o dal numero di dispositivi che useranno. Con le nuove licenze Cisco Secure Client Plus e Apex, non è più necessario avere licenze Flex per garantire la continuità aziendale.
D. Posso usare le licenze Cisco Secure Client Plus, VPN o VPN Only insieme alle prime licenze Essentials o Premium?
R. No. Le licenze Essentials o Premium non sono più disponibili e non possono coesistere sullo stesso hardware con le nuove licenze Plus, Apex o VPN Only. Inoltre, le licenze VPN Only non possono essere utilizzate sullo stesso hardware coperto da licenze Plus o Apex.
D. L'accesso remoto è supportato sulle appliance ASAv quando si usano le licenze Cisco Secure Client Plus e Apex?
R. Sì. Tuttavia, ASAv usa Cisco Smart Licensing e non ha bisogno di una licenza Cisco Secure Client per essere applicata fisicamente alla piattaforma in uso. Sarà comunque necessario acquistare le stesse licenze e associare il numero di contratto all'ID Cisco.com per poter accedere al Software Center e ricevere il supporto tecnico.
D. Quale licenza devo usare per i telefoni IP Cisco che si connettono a una VPN Cisco Secure Client?
A. Cisco Secure Client Plus (o Apex). In precedenza, la VPN usata per i telefoni richiedeva una licenza Premium E una licenza per la VPN del telefono.
Nota: questa considerazione fa riferimento ai telefoni VPN e NON ai proxy UC. Le licenze per i proxy UC non sono correlate alle licenze Cisco Secure Client.
D. Perché quando acquisto una licenza Cisco Secure Client Plus perpetua o una licenza Cisco Secure Client Plus o Apex non basata sul volume, lo SKU si espande fino a 99999?
R. Si tratta di un comportamento normale. Gli SKU si espandono per permettere di registrare la licenza Cisco Secure Client Plus o Apex su tutti i numeri di serie delle appliance ASA. Lo SKU non si espande se si ordinano le nuove licenze Plus (L-AC-PLS-LIC=) o Apex (L-AC-APX-LIC=) basate sul volume o le licenze VPN Only (L-AC-VPNO-xxxx=). Per i dettagli sulla registrazione della licenza per ciascun tipo di SKU, consultare la Guida agli ordini di Cisco Secure Client.
D. Come interagiscono le nuove licenze con l'appliance ASA?
R. L'utente può ricevere una chiave di attivazione del prodotto multiuso per ciascuna licenza Plus o Apex acquistata. Questa chiave di attivazione deve essere attivata su ciascuna ASA in Cisco Software Central. Dopo aver attivato la chiave, l'ASA viene sbloccata in base alla capacità massima. Il rispetto del numero di singoli utenti/utenti autorizzati e della durata è una responsabilità del cliente e non prevede un'applicazione fisica da parte dell'ASA o di Cisco Secure Client. Se si acquistano più licenze Apex o una licenza Plus e una licenza Apex, è necessario registrare ciascuna PAK su ciascuna ASA, anche se questa operazione non modifica la chiave di licenza generata per l'ASA. In questo modo, se si apre una richiesta di assistenza in futuro, si troverà traccia della licenza acquistata,.
Avviso: è importante NON registrare tutte le quantità sullo strumento di licenza, altrimenti è possibile disattivare la chiave di attivazione del prodotto. Sul portale delle licenze Cisco, questa operazione non è consentita per impostazione predefinita; tuttavia, se è stato abilitato il blocco popup, la funzione non viene applicata.
D. Cosa succede se perdo la chiave di attivazione del prodotto (PAK)?
R. È estremamente importante conservare con cura la chiave di attivazione del prodotto (PAK). Se viene persa prima di essere utilizzata, l'unico modo per recuperarla è tramite il numero dell'ordine di vendita. Se la chiave PAK è stata già usata per registrare un'ASA, potrebbe trovarsi sul portale delle licenze sul sito Cisco.com, associata all'utente che ha registrato la licenza. Cisco può cercare queste informazioni usando il numero di serie immesso nella precedente registrazione.
D. Ho appena acquistato le licenze Plus/Apex e vorrei poterle usare subito. Come posso fare?
R. Per abilitare un'ASA e poter accedere al supporto tecnico e al software, le licenze Plus/Apex devono avere una chiave di attivazione del prodotto (PAK). Di conseguenza, non è possibile usufruire della licenza ASA prima che tale chiave di attivazione sia stata generata. Visita: Cisco Software Central. Quindi, andare su Traditional Licensing e scegliere Get Other Licenses > Demo and Evaluation > Security Products > Cisco Secure Client Plus/Apex (ASA) Demo License (Ottieni altre licenze > Demo e valutazioni > Prodotti di sicurezza > Licenze demo Cisco Secure Client Plus/Apex (ASA)) per ottenere una licenza ASA temporanea di un mese. Le licenze non possono essere usate nel momento stesso in cui si riceve la notifica elettronica. Per diventare attiva sul portale delle licenze, la chiave di attivazione può impiegare fino a 24 ore.
D. Cosa significa il messaggio di errore Serial number cannot be blank (Il numero di serie non può essere vuoto) visualizzato mentre si registra una licenza?
R. È molto probabile che sia stato inserito uno spazio alla fine del numero di serie. Rimuovere gli spazi alla fine del numero di serie e inviare nuovamente la richiesta. Oppure, durante la registrazione iniziale, è stato selezionato il pulsante Add Device (Aggiungi dispositivo), che permette di aggiungere altri numeri di serie, ma questi non sono stati realmente aggiunti. In questo caso, fare clic sul pulsante Delete Device (Elimina dispositivo) e inoltrare nuovamente la richiesta senza lo spazio che indica la possibilità di aggiungere altri numeri di serie.
D. Come posso accedere a Cisco Secure Client v4.x Software Center sul sito Cisco.com e chiedere assistenza al centro TAC?
R. Quando si acquista una licenza Plus o Apex (o SWSS per una licenza Plus perpetua o VPN Only), è possibile generare un numero di contratto. In genere, l'operazione richiede almeno qualche giorno dalla consegna elettronica della chiave di licenza. Se non è stato ricevuto alcun numero di contratto, rivolgersi al proprio rivenditore. Per poter accedere al Software Center e rivolgersi al centro TAC per assistenza, il numero di contratto deve essere associato all'ID Cisco.com. Per associare il contratto all'ID Cisco.com ID, si consiglia di inviare un'e-mail a web-help-sr@cisco.com con il numero di contratto e l'ID. Prima di associare il contratto o inviare l'e-mail, è molto importante verificare che l'indirizzo specificato nel profilo del cliente corrisponda a quello indicato sul contratto. Il numero di contratto è diverso dalla chiave di attivazione del prodotto (PAK).
D. Cosa succede alla chiave di licenza ASA durante una procedura di autorizzazione al reso (RMA)?
R. Tutte le chiavi di licenza ASA vengono eliminate durante un'autorizzazione al reso (RMA); è una procedura Cisco del tutto normale e non riguarda solo queste licenze. Poiché la chiave di attivazione del prodotto può essere riutilizzata, non è necessaria una richiesta RMA per iniziare il trasferimento, è sufficiente registrare nuovamente la chiave PAK per il numero di serie della nuova ASA.
D. In che modo viene calcolata la durata della licenza? L'installazione della licenza sull'appliance ASA fa partire una sorta di conto alla rovescia?
R. La durata di una licenza viene calcolata allo stesso modo per tutte le licenze Cisco che abbiano una scadenza. Nell'ambito di questa procedura, non sono previsti client protetti Cisco specifici. La validità del contratto inizia a decorrere dal giorno successivo alla spedizione (consegna elettronica delle licenze). Ad esempio, se un ordine viene inviato il 25 ottobre 2014, la data di inizio del servizio è il 26 ottobre 2014.
D. Dopo aver installato la chiave di licenza sull'appliance ASA, è possibile richiedere il riavvio?
R. Anche se le nuove licenze non sono state programmate per chiedere un riavvio dell'ASA, il codice delle licenze ASA e il comportamento dell'appliance all'installazione di una nuova licenza sono cambiati molte volte nel corso degli ultimi dieci anni. Il riavvio può essere richiesto o meno. Molte di queste funzionalità dipendono dalla licenza in uso in quel momento e dalla versione software dell'ASA, in quanto alcune funzionalità non possono essere eliminate completamente finché il dispositivo non viene riavviato. Per sicurezza si consiglia di prevedere comunque il riavvio. Il riavvio può essere rinviato a un momento successivo.
D. Quali precauzioni devo adottare quando passo alle nuove licenze da una licenza Shared?
R. Prima di sostituire la licenza sul dispositivo che agirà come server delle licenze condiviso, accertarsi di sostituire le licenze su tutti i dispositivi interessati e di disattivare le licenze condivise su tali dispositivi.
D. Quali procedure particolari devo seguire quando passo alle nuove licenze da una licenza Essentials?
R. La nuova chiave di licenza Plus, Apex o VPN Only non può usare l'opzione Essentials. Per usare la nuova chiave di licenza, è necessario disabilitare la funzione Cisco Secure Client-essentials sull'appliance ASA usando il comando no Cisco Secure Client-essentials in webvpn. Quando si installa la nuova chiave di licenza, un messaggio avvisa l'utente che la chiave Essentials non può essere inclusa nella nuova licenza che si sta installando. Questo messaggio di avviso deve essere confermato. Se la funzione Cisco Secure Client-essentials è stata disabilitata correttamente sull'appliance ASA, si può procedere normalmente. Per verificare la corretta attivazione, alcune versioni potrebbero richiedere il riavvio dell'appliance ASA quando si installa una nuova chiave di licenza.
D. Sono previste notifiche proattive per il rinnovo del contratto? Come posso verificare quando scade il contratto?
R. Al momento non sono previste notifiche di rinnovo proattive. È responsabilità dell'utente verificare quando scadrà la licenza. A tal fine, è possibile controllare il campo Sales Order Subscription (Ordini di vendita abbonamento) o la riga SWSS oppure accedere in qualsiasi momento al sito Cisco.com con l'account associato al contratto (CSCC) e verificare la data di inizio e la data di fine del contratto. Per gli SKU Plus/Apex basati sul volume (L-AC-PLS-LIC= e L-AC-APX-LIC=), la data di scadenza può essere specificata nell'e-mail di registrazione. Inoltre, può essere visibile sul portale delle licenze Cisco quando si visualizzano tutte le licenze registrate.
Nota: non è possibile verificare il livello della licenza Cisco Secure Client, il numero di utenti autorizzato o la data di scadenza usando il comando show version su un headend.
D. Le notifiche proattive per il rinnovo del contratto possono essere modificate?
R: Stiamo individuando alcune possibilità di miglioramento a riguardo.
D. Cosa succede alle vecchie licenze Cisco Secure Client quando installo quelle nuove?
R. Quando si installa la nuova chiave di attivazione del prodotto (PAK), tutte le licenze Cisco Secure Client precedenti possono essere rimosse e sostituite dal nuovo modello di licenza.
D. Cosa acquisto esattamente con il rinnovo? In che modo viene gestita la licenza sull'appliance ASA?
R. I rinnovi devono essere gestiti usando gli SKU L-AC-PLS-LIC= (Cisco Secure Client Plus) e L-AC-APX-LIC= (Cisco Secure Client Apex), a prescindere dallo SKU usato nell'ordine originale. Per i rinnovi, proprio come per gli acquisti iniziali, è richiesta la registrazione del dispositivo ASA e la condivisione della funzione su tutte le appliance. Al momento del rinnovo, non è necessario usare la chiave di licenza ricevuta nell'e-mail; in altri termini, non è necessario reinstallare una chiave di licenza diversa sull'appliance ASA.
D. Posso acquistare o rinnovare le licenze Cisco Secure Client Plus o Apex su Cisco Service Contract Center (CSCC)?
R. Le licenze Cisco Secure Client Plus (L-AC-PLS-LIC=) e Apex (L-AC-APX-LIC=) basate sul volume possono essere rinnovate su CSCC e acquistate su Cisco.com Cisco Commerce, le licenze Plus basate sui blocchi o le licenze Apex possono essere rinnovate o acquistate esclusivamente su Cisco.com Cisco Commerce. In caso di dubbi sull'acquisto o il rinnovo di una licenza, rivolgersi al rivenditore autorizzato Cisco o al team Cisco che gestisce gli account. Per semplificare le procedure, usare sempre gli SKU basati sul volume sia per i nuovi acquisti sia per i rinnovi.
D. Devo effettuare l'aggiornamento a Cisco Secure Client 4.x?
R. L'acquisto di una nuova licenza non comporta l'obbligo di usare Cisco Secure Client 4.x. Cisco Secure Client 3.x non è più commercializzato (non è possibile fornire ulteriori aggiornamenti). Senza le licenze Cisco Secure Client Plus o Apex, non è possibile accedere neanche alle nuove versioni di Cisco Secure Client. Le licenze Plus o Apex non richiedono di aggiornare contemporaneamente anche il software Cisco Secure Client.
D. Quando cerco di registrare una licenza su Cisco Software Central, ricevo il messaggio PAK/s or Token/s xxxxxxx is / are either Invalid or Inactive (PAK o Token xxxxxxx non valido o non attivo). Cosa devo fare?
R. Dopo la creazione della chiave PAK e la consegna elettronica della licenza, possono trascorrere fino a 24 ore prima che la chiave PAK venga registrata sul portale delle licenze. Questo messaggio viene visualizzato quando si cerca di registrare una chiave PAK che non può ancora esserlo. Se sono trascorse più di 24 ore dalla consegna elettronica della licenza e il messaggio di errore persiste, aprire una richiesta di assistenza in Cisco Global Licensing (GLO) utilizzando il supporto Case Manager (SCM). Quindi scegliere Licenze software > Licenze relative alla sicurezza > Cisco Secure Client.
D. Da quando era possibile acquistare le nuove licenze Cisco Secure Client?
R. Dall'autunno del 2014. Gli SKU delle licenze Cisco Secure Client Plus e Apex basate sul volume e gli SKU delle licenze VPN Only sono disponibili dall'aprile del 2016.
D. Da quando gli SKU Cisco Secure Client/VPN originali non sono più disponibili?
R. Il ritiro graduale degli SKU originali è iniziato a gennaio 2015 e si è concluso il 31 agosto 2015. Le licenze precedenti non possono più essere acquistate.
D. Come posso ottenere una licenza Cisco Secure Client Apex di prova per la mia appliance ASA?
R. Cisco offre licenze Apex di valutazione per 4 settimane che includono tutte le funzionalità delle licenze Plus. Per ottenere una licenza di valutazione, visitare: Cisco Software Central. Quindi, selezionare Traditional Licensing e scegliere Get Other Licenses > Demo and Evaluation > Security Products > Cisco Secure Client Plus/Apex (ASA) Demo License (Ottieni altre licenze > Demo e valutazioni > Prodotti di sicurezza > Licenze demo Cisco Secure Client Plus/Apex (ASA)).
Nota: la licenza sblocca le funzionalità dell'ASA, ma non consente di accedere al software Windows/Mac OS X/Linux di Cisco Secure Client. Per le versioni Cisco Secure Client per dispositivi mobili, usare lo store delle applicazioni del sistema operativo in uso. Le versioni di prova sono accompagnate da una licenza di valutazione.
D. L'installazione della nuova licenza sull'appliance ASA è andata a buon fine, ma un messaggio allarmante mi ha avvisato che alcune funzionalità potevano essere disabilitate.
R. Finché le funzionalità della licenza ricevute tramite e-mail sono visualizzate correttamente, il messaggio può essere ignorato. Confermare il messaggio, memorizzare la chiave e riavviare l'appliance ASA per completare l'installazione della licenza. In alcune versioni, le funzionalità non possono essere confermate correttamente se prima l'appliance ASA non viene riavviata. Se nell'e-mail della licenza ricevuta da Cisco non sono visualizzate le funzionalità corrette, aprire una richiesta di assistenza in Global Licensing (GLO), tramite Support Case Manager (SCM), quindi scegliere Software Licensing > Security Related Licensing > Cisco Secure Client, per risolvere il problema prima di procedere all'installazione della chiave.
D. Dove posso trovare i termini e le condizioni della licenza con l'utente finale e l'informativa sulla privacy di Cisco Secure Client?
A. I termini e le condizioni della licenza sono contenuti nel contratto di licenza con l'utente finale supplementare (SEULA). L'informativa sulla privacy di Cisco Secure Client è disponibile all'indirizzo: Riepilogo dell'informativa sulla privacy di Cisco Online
D. In che modo è classificata la licenza Cisco Secure Client ai fini dell'esportazione in paesi diversi dagli Stati Uniti?
A.Commodity Classification Automated Tracking System (CCATS): Self-classified / Mass Market
Numero di classificazione del controllo delle esportazioni degli USA (ECCN
Numero di registrazione della crittografia (
Numero di richiesta di approvazione e dichiarazione ANSSI francese: 1211725
Ulteriori informazioni sono disponibili all'indirizzo: Public Export Product Data
D. Posso utilizzare Cisco Secure Client per realizzare connessioni VPN con headend di terze parti?
R. No, i servizi VPN di Cisco Secure Client possono essere utilizzati solo su apparecchiature Cisco con una licenza adeguata. L'uso di Cisco Secure Client con apparecchiature VPN di terze parti è severamente vietato dal nostro contratto di licenza.
D. Quali documenti posso consultare per conoscere meglio le caratteristiche delle nuove licenze?
R. Per ulteriori informazioni, consultare il collegamento Cisco Secure Client Ordering Guide
D. La lettura delle domande frequenti (FAQ) o della Guida agli ordini non ha risolto il mio problema con le licenze Cisco Secure Client. A chi posso rivolgermi?
R. Inviare la propria domanda a Cisco Secure Client-pricing@cisco.com.
D. Qual è la procedura per registrare la licenza Cisco Secure Client in modo da poterla usare con Firepower Threat Defense (FTD) versione 6.2.1 e successive?
R. Per usare Cisco Secure Client con FTD 6.2.1 e versioni successive, aprire una richiesta di assistenza in Cisco Global Licensing (GLO) con Support Case Manager (SCM). Quindi scegliere Licenze software > Licenze relative alla sicurezza > Cisco Secure Client. Dopo aver fornito le informazioni richieste ed essere stati ritenuti idonei, i diritti della licenza nello Smart Account possono essere estesi.
D. Qual è la procedura di registrazione iniziale per una licenza Cisco Secure Client Plus o Apex (solo L-AC-PLS-LIC= o L-AC-APX-LIC=)?
R.
Per registrare la licenza Cisco Secure Client Plus/Apex (L-AC-PLS-LIC= o L-AC-APX-LIC=), accedere al portale di registrazione delle licenze Cisco Cisco Software Central, quindi selezionare il tipo di licenza corretto, Licenze Smart o Licenze Tradizionali.
Nota: è necessario eseguire l'accesso con il proprio Cisco.com ID.
Dopo aver inserito la chiave PAK, fare clic sul pulsante Fulfill (Completa richiesta). Se la chiave di attivazione del prodotto è appena arrivata, aspettare fino a 4 ore prima di registrare la chiave. Se si prova a effettuare la registrazione troppo presto, viene visualizzato followingil messaggio di errore PAK/s or Token/s xxxxxxx is / are either Invalid or Inactive (PAK o Token xxxxxxx non valido o non attivo).
Non aprire una richiesta di assistenza per un problema di licenza per questo messaggio di errore, a meno che la chiave di attivazione del prodotto non sia stata ricevuta da almeno 24 ore. Il team che gestisce le licenze non può intervenire sulla registrazione prima che la chiave PAK sia diventata completamente attiva.
Se al momento si condivide una licenza con altri dipendenti dell'azienda con uno Smart Account, scegliere questo account prima di procedere. In questa schermata viene mostrata la licenza specifica che si sta registrando, il numero totale di utenti autorizzati acquistati (quantità) e le date di inizio e di fine della licenza.
Nel campo ASA Serial number (Numero di serie ASA), immettere il numero di serie dell'appliance. Questo numero di serie DEVE essere richiamato con il comando show version. I modelli ASA 5500-X hanno numeri di serie diversi ed è importante usare quello corretto, altrimenti la chiave non può funzionare. In caso di errore nell'immissione della chiave, è possibile seguire la procedura di condivisione descritta per correggere il problema, ma una corretta immissione della chiave al primo tentativo farà risparmiare molto tempo. Questo processo di registrazione della chiave PAK non è valido sugli headend ASAv e non ASA. Per accedere al software e al supporto tecnico, è possibile associare il numero di contratto all'ID Cisco.com.
Se si hanno più appliance e si desidera registrare le licenze di tutti i dispositivi insieme, fare clic sul pulsante Add Device (Aggiungi dispositivo). Altre appliance ASA possono essere aggiunte anche in un secondo momento usando le istruzioni di condivisione elencate.
A questo punto, è necessario confermare l'indirizzo e-mail. Facoltativamente, è possibile scegliere altri utenti a cui inviare la notifica della chiave di licenza. Quindi, confermare il messaggio sui termini e le condizioni della licenza e fare clic su Submit (Invia).
È possibile ricevere una schermata di popup con le informazioni sullo stato della richiesta di licenza. Controllare se la licenza è arrivata tramite e-mail. Se l'e-mail non arriva subito, verificare anche nella cartella della posta indesiderata.
Di seguito viene riportato un esempio di e-mail con la chiave di licenza iniziale. La chiave si trova nella sezione Product Authorization Key (Chiave di autorizzazione prodotto). Il numero di serie visualizzato deve coincidere esattamente con quello restituito dal comando show version sull'appliance ASA, altrimenti non sarà possibile installare la chiave.
D. Qual è la procedura per condividere una licenza Cisco Secure Client Plus o Apex (solo L-AC-PLS-LIC= o L-AC-APX-LIC=)?
R.
Condivisione della licenza (aggiunta di altre appliance ASA che usano tutte la stessa licenza).
Per condividere la licenza con un altro dispositivo ASA, tornare al portale di registrazione delle licenze Cisco a Cisco Software Central, quindi scegliere le licenze tradizionali o le licenze Smart, in base alle esigenze. Selezionare Get Other Licenses > Share License Process > Get Activation Codes (Ottieni altre licenze > Procedura di condivisione licenze > Ottieni codici di attivazione). Dopo aver ricevuto il codice di attivazione per e-mail, tornare in questa pagina e selezionare l'opzione Use Activation Codes (Usa codici di attivazione). Questa procedura va ripetuta per ciascuna appliance ASA aggiuntiva con cui si intende condividere la licenza. Se si hanno più chiavi di attivazione del prodotto per licenze con opzioni diverse (totale degli utenti autorizzati, durata o livello), si consiglia di registrare tutte le licenze con il numero di serie iniziale. Potendo condividere tutte le licenze disponibili contemporaneamente, i successivi passaggi della procedura di condivisione risulteranno semplificati.
Nota: per questa procedura, occorre usare l'ID Cisco.com con cui è stata registrata la chiave di attivazione del prodotto originale. Se il dipendente non lavora più per l'azienda, è necessario aprire una richiesta di assistenza in Cisco Global Licensing per ricevere ulteriore assistenza. Per ulteriori istruzioni sull'apertura di una richiesta di assistenza relativa alle licenze, selezionare l'opzione Contact Us (Contattaci) sul portale di registrazione delle licenze.
Selezionare il numero di serie dell'appliance ASA che già ha la licenza che si desidera condividere, quindi specificare il numero di serie aggiuntivo. Affinché la licenza venga attivata, questo numero di serie DEVE corrispondere a quello restituito dal comando show version.
Di seguito è riportata un'e-mail di esempio con il codice di attivazione. Se l'e-mail non arriva subito, verificare anche la cartella della posta indesiderata.
Fare clic sul link contenuto nell'e-mail, quindi selezionare Get Other Licenses > Share License Process > Get Activation Codes (Ottieni altre licenze > Procedura di condivisione licenze > Ottieni codici di attivazione).
Selezionare tutte le licenze che si desidera condividere con questo numero di serie aggiuntivo. Confermare che i numeri di serie di origine e di destinazione siano corretti, come visualizzati da show version. In caso contrario, la procedura di condivisione dovrà essere iniziata di nuovo con i numeri di serie corretti.
Confermare l'indirizzo e-mail e immettere gli altri indirizzi e-mail a cui inviare la licenza. Selezionare la casella per accettare i termini, quindi fare clic su Get License (Ottieni licenza).
La nuova licenza può essere inviata immediatamente tramite e-mail. Se l'e-mail non arriva, verificare anche nella cartella della posta indesiderata. La licenza aggiuntiva viene recapitata in un allegato ZIP.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
5.0 |
28-May-2024 |
Cisco rimosso dal titolo. Il corsivo è stato rimosso. Collegamenti corretti. Marchio Cisco IOS. |
4.0 |
26-Jun-2023 |
Aggiornamento di titolo, introduzione, requisiti di branding, requisiti di stile, traduzione automatica e formattazione. |
3.0 |
31-Aug-2022 |
Collegamenti fissi per raggiungere il team GLO per assistenza sulle licenze. Inoltre, sono state apportate alcune modifiche minori per maggiore chiarezza. |
2.0 |
11-May-2022 |
Modifiche minori per maggiore chiarezza. |
1.0 |
15-Oct-2015 |
Versione iniziale |
Feedback