Introduction
Este documento descreve como configurar e remover a chave de ativação baseada em tempo no Cisco Adaptive Security Appliance (ASA) para Peers Premium do AnyConnect. A chave de ativação baseada em tempo é usada para ativar recursos por um período de tempo específico.
Informações de Apoio
O AnyConnect Premium e o AnyConnect Essential foram usados em modelos de licenciamento antigos e estão obsoletos agora. De acordo com o novo modelo de licenciamento, o AnyConnect Apex corresponde ao AnyConnect Premium e o AnyConnect Plus corresponde ao AnyConnect Essential. O AnyConnect Apex não é compatível com licenças antigas. Portanto, se você habilitar a Apex, a Premium não será usada, no entanto, a licença consumida será na forma de licenças Premium. O Essentials está desabilitado, pois não são compatíveis. O comando para verificar se a licença Apex está ativada ou desativada é debug menu license 23
A licença Plus do AnyConnect inclui estes tipos de VPN:
- VPN SSL
- VPN de acesso remoto IPsec usando IKEv2
A licença Apex do AnyConnect inclui estes tipos de VPN:
- VPN SSL
- VPN SSL sem cliente
- VPN de acesso remoto IPsec usando IKEv2
A diferença de recursos detalhada entre as duas licenças pode ser encontrada neste guia de licenciamento:
https://www.cisco.com/c/en/us/products/collateral/security/anyconnect-og.html
Note: A nova chave de licença Plus, Apex ou VPN Only do AnyConnect não usa mais a opção Essentials. Para fazer uso de uma nova licença, o recurso anyconnect-essentials deve ser desabilitado em seu ASA, emitindo um no anyconnect-essentials em webvpn. Enquanto uma nova chave de licença é instalada, um aviso mostra que a chave Essentials não é usada quando a nova licença está sendo instalada. Desde que o anyconnect-essentials em seu ASA esteja desabilitado corretamente, você pode continuar.
Configuração
Etapa 1. Você precisa obter sua chave de ativação do produto (PAK) para o dispositivo. A equipe de Licenciamento da Cisco pode ajudar a obter uma chave de ativação baseada no tempo para o período de tempo necessário.
Note: O número de série (SN) do ASA para atender a esse requisito deve ser buscado na saída show version do seu ASA e não no show inventário.
ciscoasa# show version
Cisco Adaptive Security Appliance Software Version 9.12(2)
Firepower Extensible Operating System Version 2.6(1.141)
Device Manager Version 7.12(2)
---omitted for brevity---
Licensed features for this platform:
Maximum VLANs : 50 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 100 perpetual
Total VPN Peers : 100 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Enabled perpetual
Shared License : Disabled perpetual
Total TLS Proxy Sessions : 320 perpetual
Botnet Traffic Filter : Disabled perpetual
Cluster : Disabled perpetual
Serial Number: 9A5KG6HTQSB
Running Permanent Activation Key: 0xa339d567 0xa8df641f 0x9193bd58 0xc6344cb4 0x031bfbaa
Etapa 2. Você receberá duas chaves de ativação para o mesmo SN da plataforma ASA da equipe de licenciamento.
Um exemplo de PAK recebido do licenciamento:
-------------------------------------------------------------
THE FOLLOWING ACTIVATION KEY IS VALID FOR:
ASA SOFTWARE RELEASE 8.2+ ONLY
Platform = asa
9A5KG6HTQSB: 0x5376dfc2 0x99806c06 0x9d8c5acf 0xc0a4da97 0x8512c481
--------------------------------------------------------------
THE FOLLOWING ACTIVATION KEY IS VALID FOR:
ALL ASA SOFTWARE RELEASES, BUT EXCLUDES ANY
8.2+ FEATURES FOR BACKWARDS COMPATIBILITY.
Platform = asa
9A5KG6HTQSB: 0x2722ea6c 0x6041d059 0xc930c908 0xcfe8c498 0x463cc092
---------------------------------------------------------------
Etapa 3. Copie a chave de ativação e aplique a chave copiada no ASA.
ASA(config)# activation-key 0x5376dfc2 0x99806c06 0x9d8c5acf 0xc0a4da97 0x8512c481
Etapa 4. Depois que a licença for aplicada, você precisará salvar a configuração (gravar memória).
Isso conclui o processo para aplicar temporariamente o recurso de licença na plataforma ASA.
Verificar
A nova licença pode ser verificada como mostrado aqui:
ciscoasa# show version
Cisco Adaptive Security Appliance Software Version 9.12(2)
Firepower Extensible Operating System Version 2.6(1.141)
Device Manager Version 7.12(2)
---omitted for brevity---
Licensed features for this platform:
Maximum VLANs : 50 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 500 14 days
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 100 perpetual
Total VPN Peers : 100 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Enabled perpetual
Shared License : Disabled perpetual
Total TLS Proxy Sessions : 320 perpetual
Botnet Traffic Filter : Disabled perpetual
Cluster : Disabled perpetual
Serial Number: 9A5KG6HTQSB
Running Permanent Activation Key: 0xa339d567 0xa8df641f 0x9193bd58 0xc6344cb4 0x031bfbaa
Running Timebased Activation Key: 0x5376dfc2 0x99806c06 0x9d8c5acf 0xc0a4da97 0x8512c481
Na saída acima, temos a nova licença baseada em tempo válida por 2 semanas (14 dias). Após a conclusão de 14 dias, a licença do AnyConnect Premium seria substituída pela chave de ativação permanente no ASA.
Note: Se o ASA estiver sendo executado apenas na chave de ativação baseada no tempo, o dispositivo após esse período específico voltará ao recurso de licença padrão.
Para remover a chave de ativação baseada no tempo em 14 dias e aplicar novamente a licença perpétua pré-existente, desative a chave baseada no tempo de execução conforme mostrado aqui:
ASA(config)# activation-key 0x5376dfc2 0x99806c06 0x9d8c5acf 0xc0a4da97 0x8512c481 deactivate