PAK ライセンスについて
ライセンスでは、特定の ASA 上でイネーブルにするオプションを指定します。ライセンスは、160 ビット(32 ビットのワードが 5 個、または 20 バイト)値であるアクティベーション キーで表されます。この値は、シリアル番号(11 文字の文字列)とイネーブルになる機能とを符号化します。
事前インストール済みライセンス
デフォルトでは、ASA は、ライセンスがすでにインストールされた状態で出荷されます。このライセンスは、注文した内容およびベンダーがインストールした内容に応じて、ライセンスを追加できる基本ライセンスの場合と、すべてのライセンスがすでにインストールされている場合があります。
永続ライセンス
永続アクティベーション キーを 1 つインストールできます。永続アクティベーション キーは、1 つのキーにすべてのライセンス機能を格納しています。時間ベース ライセンスもインストールすると、ASA は永続ライセンスと時間ベース ライセンスを 1 つの実行ライセンスに結合します。
時間ベース ライセンス
永続ライセンスに加えて、時間ライセンスを購入したり、時間制限のある評価ライセンスを入手したりできます。たとえば、SSL VPN の同時ユーザの短期増加に対処するために時間ベースの AnyConnect Premium ライセンスを購入したり、1 年間有効なボットネット トラフィック フィルタ時間ベース ライセンスを注文したりできます。
(注) |
ASA 5506-X および ASA 5506W-X は、時間ベース ライセンスをサポートしません。 |
時間ベース ライセンス有効化ガイドライン
-
複数の時間ベース ライセンスをインストールし、同じ機能に複数のライセンスを組み込むことができます。ただし、一度にアクティブ化できる時間ベース ライセンスは、1 機能につき 1 つだけです。非アクティブのライセンスはインストールされたままで、使用可能な状態です。たとえば、1000 セッション AnyConnect Premium ライセンスと 2500 セッション AnyConnect Premium ライセンスをインストールした場合、これらのライセンスのうちいずれか 1 つだけをアクティブにできます。
-
キーの中に複数の機能を持つ評価ライセンスをアクティブにした場合、そこに含まれている機能のいずれかに対応する時間ベース ライセンスを同時にアクティブ化することはできません。たとえば、評価ライセンスにボットネット トラフィック フィルタと 1000 セッション AnyConnect Premium ライセンスが含まれる場合、スタンドアロンの時間ベース 2500 セッション AnyConnect Premium ライセンスをこの評価ライセンスと同時にアクティブ化することはできません。
時間ベース ライセンス タイマーの動作
-
時間ベース ライセンスのタイマーは、ASA 上でライセンスをアクティブにした時点でカウント ダウンを開始します。
-
タイムアウト前に時間ベース ライセンスの使用を中止すると、タイマーが停止します。時間ベース ライセンスを再度アクティブ化すると、タイマーが再開します。
-
時間ベース ライセンスがアクティブになっているときに ASA をシャットダウンすると、タイマーはカウント ダウンを停止します。時間ベース ライセンスでは、ASA が動作している場合にのみカウント ダウンします。システム クロック設定はライセンスに影響しません。つまり、ASA 稼働時間ではライセンス継続期間に対してのみカウントします。
永続ライセンスと時間ベース ライセンスの結合
時間ベース ライセンスをアクティブにすると、永続ライセンスと時間ベース ライセンスに含まれる機能を組み合わせた実行ライセンスが作成されます。永続ライセンスと時間ベース ライセンスの組み合わせ方は、ライセンスのタイプに依存します。次の表に、各機能ライセンスの組み合わせルールを示します。
(注) |
永続ライセンスが使用されていても、時間ベース ライセンスがアクティブな場合はカウント ダウンが続行されます。 |
時間べース機能 |
結合されたライセンスのルール |
---|---|
AnyConnect Premium(セッション) |
時間ベース ライセンスまたは永続ライセンスのうち、値の高い方が使用されます。たとえば、永続ライセンスが 1000 セッション、時間ベース ライセンスが 2500 セッションの場合、2500 セッションがイネーブルになります。通常は、永続ライセンスよりも機能の低い時間ベース ライセンスをインストールすることはありませんが、そのようなインストールが行われた場合は永続ライセンスが使用されます。 |
Unified Communications Proxy セッション |
時間ベース ライセンスのセッションは、プラットフォームの制限数まで永続セッションに追加されます。たとえば、永続ライセンスが 2500 セッション、時間ベース ライセンスが 1000 セッションの場合、時間ベース ライセンスがアクティブである限り、3500 セッションがイネーブルになります。 |
セキュリティ コンテキスト |
時間ベース ライセンスのコンテキストは、プラットフォームの制限数まで永続コンテキストに追加されます。たとえば、永続ライセンスが 10 コンテキスト、時間ベース ライセンスが 20 コンテキストの場合、時間ベース ライセンスがアクティブである限り、30 コンテキストがイネーブルになります。 |
Botnet Traffic Filter |
使用可能な永続ボットネット トラフィック フィルタ ライセンスはありません。時間ベース ライセンスが使用されます。 |
その他 |
時間ベース ライセンスまたは永続ライセンスのうち、値の高い方が使用されます。ライセンスのステータスがイネーブルまたはディセーブルの場合、イネーブル ステータスのライセンスが使用されます。数値ティアを持つライセンスの場合、高い方の値が使用されます。通常は、永続ライセンスよりも機能の低い時間ベース ライセンスをインストールすることはありませんが、そのようなインストールが行われた場合は永続ライセンスが使用されます。 |
時間ベース ライセンスのスタッキング
多くの場合、時間ベース ライセンスは更新の必要があり、旧ライセンスから新しいライセンスへシームレスに移行する必要があります。時間ベース ライセンスだけで使用される機能では、新しいライセンスが適用される前に、ライセンスの有効期限が切れてしまわないことが特に重要です。ASA では時間ベース ライセンスをスタックできるので、ライセンスの有効期限が切れたり、新しいライセンスを早めにインストールしたために時間が無駄になったりする心配はありません。
すでにインストールされているのと同じ時間ベース ライセンスをインストールすると、それらのライセンスは結合され、有効期間は両者を合わせた期間になります。
次に例を示します。
-
52 週のボットネット トラフィック フィルタ ライセンスをインストールし、このライセンスを 25 週間使用します(残り 27 週)。
-
次に、別の 52 週ボットネット トラフィック フィルタ ライセンスを購入します。2 つめのライセンスをインストールすると、ライセンスが結合され、有効期間は 79 週(52 + 27 週)になります。
同様の例を示します。
-
8 週 1000 セッションの AnyConnect Premium ライセンスをインストールし、これを 2 週間使用します(残り 6 週)。
-
次に、別の 8 週 1000 セッションのライセンスをインストールすると、これらのライセンスは結合され、14 週(8 + 6 週)1000 セッションのライセンスになります。
これらのライセンスが同一でない場合(たとえば、1000 セッション AnyConnect Premium ライセンスと 2500 セッション ライセンス)、これらのライセンスは結合されません。1 つの機能につき時間ベース ライセンスを 1 つだけアクティブにできるので、ライセンスのうちいずれか 1 つだけをアクティブにすることができます。
同一でないライセンスは結合されませんが、現在のライセンスの有効期限が切れた場合、同じ機能のインストール済みライセンスが使用可能であれば、ASA はそのライセンスを自動的にアクティブにします。
時間ベース ライセンスの有効期限
機能に対応する現在のライセンスが期限切れになると、同じ機能のインストール済みライセンスが使用可能であれば、ASA はそのライセンスを自動的にアクティブにします。その機能に使用できる時間ベース ライセンスが他にない場合は、永続ライセンスが使用されます。
その機能に対して複数の時間ベース ライセンスを追加でインストールした場合、ASA は最初に検出されたライセンスを使用します。どのライセンスを使用するかは、ユーザが設定することはできず、内部動作に依存します。ASA がアクティブ化したライセンスとは別の時間ベース ライセンスを使用するには、目的のライセンスを手動でアクティブにする必要があります。
たとえば、2500 セッションの時間ベース AnyConnect Premium ライセンス(アクティブ)、1000 セッションの時間ベース AnyConnect Premium ライセンス(非アクティブ)、500 セッションの永続 AnyConnect Premium ライセンスを所有しているとします。2500 セッション ライセンスの有効期限が切れた場合、ASA は 1000 セッション ライセンスを有効化します。1000 セッション ライセンスの有効期限が切れた後、ASA は 500 セッション永久ライセンスを使用します。
ライセンスに関する注意事項
次の項で、ライセンスに関する追加情報について説明します。
AnyConnect Plus および Apex ライセンス
AnyConnect Plus および Apex ライセンスは、ライセンスが指定するユーザ プールを共有するすべての複数の ASA に適用できる同時使用ライセンスです。https://www.cisco.com/go/license [英語] を参照し、各 ASA に個別に PAK を割り当てます。ASA に取得したアクティベーション キーを適用すると、VPN 機能が最大許容数に切り替わりますが、ライセンスを共有するすべての ASA 上の実際の一意のユーザ数はライセンス限度を超えることはできません。詳細については、以下を参照してください。
(注) |
マルチ コンテキスト モードには AnyConnect Apex ライセンスが必要です。さらに、マルチ コンテキスト モードでは、フェールオーバー ペアの各ユニットにこのライセンスを適用する必要があります。ライセンスは集約されません。 |
その他の VPN ライセンス
その他の VPN セッションには、次の VPN タイプが含まれています。
-
IKEv1 を使用した IPsec リモート アクセス VPN
-
IKEv1 を使用した IPsec サイトツーサイト VPN
-
IKEv2 を使用した IPsec サイトツーサイト VPN
このライセンスは基本ライセンスに含まれています。
合計 VPN セッション、全タイプ
-
VPN セッションの最大数の合計が、VPN AnyConnect とその他の VPN セッションの最大数よりも多くなっても、組み合わせたセッション数が VPN セッションの制限を超えることはできません。VPN の最大セッション数を超えた場合、ASA をオーバーロードして、適切なネットワークのサイズに設定してください。
-
クライアントレス SSL VPN セッションを開始した後、ポータルから AnyConnect クライアント セッションを開始した場合は、合計 1 つのセッションが使用されています。これに対して、最初に AnyConnect クライアントを(スタンドアロン クライアントなどから)開始した後、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが使用されています。
VPN ロード バランシング
VPN ロード バランシングには、強力な暗号化(3DES/AES)ライセンスが必要です。
レガシー VPN ライセンス
既存の導入では、2 つの AnyConnect プレミアム セッション(ASA 5506-X with Security Plus、5508-X および 5516-X には 4 セッション)が含まれているデフォルト ライセンスを含む、レガシー ライセンスがまだサポートされています。ただし、完全互換性を確保するためには、AnyConnect Plus または Apex ライセンスにアップグレードする必要があります。
(注) |
マルチ コンテキスト モードでは AnyConnect Apex ライセンスが必要です。デフォルトやレガシーのライセンスは使用できません。 |
AnyConnect Essentials
AnyConnect Essentials セッションには、次の VPN タイプが含まれています。
-
SSL VPN
-
IKEv2 を使用した IPsec リモート アクセス
このライセンスは、ブラウザベース(クライアントレス)の SSL VPN アクセスまたは Cisco Secure Desktop はサポートしていません。これらの機能に対しては、AnyConnect Essentials ライセンスの代わりに AnyConnect Premium ライセンスがアクティブ化されます。
(注) |
AnyConnect Essentials ライセンスを所有する VPN ユーザは、Web ブラウザを使用してログインし、AnyConnect クライアントをダウンロードおよび起動(WebLaunch)することができます。 |
このライセンスと AnyConnect Premium ライセンスのいずれでイネーブル化されたかには関係なく、AnyConnect クライアント ソフトウェアには同じクライアント機能のセットが装備されています。
特定の ASA では、AnyConnect Premium ライセンス(全タイプ)または Advanced Endpoint Assessment ライセンスを、AnyConnect Essentials ライセンスと同時にアクティブにすることはできません。ただし、同じネットワーク内の異なる ASA で、AnyConnect Essentials ライセンスと AnyConnect Premium ライセンスを実行することは可能です。
webvpn を使用し、次に no anyconnect-essentials コマンドまたは ASDM で [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials]ペインを使用することで、このライセンスを無効にして他のライセンスを使用できます。
Cisco VPN Phone 用の AnyConnect
このライセンスを AnyConnect Premium ライセンスとともに使用すると、AnyConnect の互換性に組み込まれているハードウェア IP 電話からアクセスできます。
Mobile 用の AnyConnect
このライセンスは、Windows Mobile 5.0、6.0、および 6.1 を実行しているタッチスクリーン モバイル デバイスでの AnyConnect クライアントへのアクセスを提供します。AnyConnect 2.3 以降のバージョンへのモバイル アクセスをサポートする場合は、このライセンスを使用することをお勧めします。このライセンスを使用する場合は、AnyConnect Essentials または AnyConnect Premium のいずれかのライセンスをアクティブにする必要があります。これは、許可される SSL VPN セッションの合計数を指定するためです。
Mobile Posture サポート
リモート アクセス コントロールを適用し、モバイル デバイスからポスチャ データを収集するには、AnyConnect Mobile ライセンスと、AnyConnect Essentials または AnyConnect Premium ライセンスのいずれかが ASA にインストールされている必要があります。インストールしたライセンスに基づいて、次の機能を使用できます。
-
AnyConnect Premium ライセンス機能
-
DAP 属性およびその他の既存のエンドポイント属性に基づいて、サポート対象モバイル デバイスに DAP ポリシーを適用します。これには、モバイル デバイスからのリモート アクセスの許可または拒否が含まれます。
-
-
AnyConnect Essentials ライセンス機能
-
モバイル デバイス アクセスをグループ単位でイネーブルまたはディセーブルにします。この機能を、ASDM を使用して設定します。
-
CLI または ASDM を使用して接続モバイル デバイスに関する情報を表示します(ただし、DAP ポリシーを適用したり、これらのモバイル デバイスへのリモート アクセスを拒否/許可したりする機能はありません)。
-
AnyConnect Premium
AnyConnect Premium セッションには、次の VPN タイプが含まれています。
-
SSL VPN
-
クライアントレス SSL VPN
-
IKEv2 を使用した IPsec リモート アクセス
AnyConnect Premium Shared
暗号化ライセンス
DES ライセンスはディセーブルにできません。3DES ライセンスをインストールしている場合、DES は引き続き使用できます。強力な暗号化だけを使用したい場合に DES の使用を防止するには、強力な暗号化だけを使用するようにすべての関連コマンドを設定する必要があります。
キャリア ライセンス
キャリア ライセンスでは、以下のインスペクション機能が有効になります。
-
Diameter
-
GTP/GPRS
-
SCTP
合計 TLS プロキシ セッション
Encrypted Voice Inspection の各 TLS プロキシ セッションは、TLS ライセンスの制限に対してカウントされます。
TLS プロキシ セッションを使用するその他のアプリケーション(ライセンスが不要な Mobility Advantage Proxy など)では、TLS 制限に対してカウントしません。
アプリケーションによっては、1 つの接続に複数のセッションを使用する場合があります。たとえば、プライマリとバックアップの Cisco Unified Communications Manager を電話に設定した場合は、TLS プロキシ接続は 2 つ使用されます。
TLS プロキシの制限は、tls-proxy maximum-sessions コマンドまたは ASDM で [Configuration] > [Firewall] > [Unified Communications] > [TLS Proxy] ペインを使用して個別に設定できます。モデルの制限を表示するには、tls-proxy maximum-sessions ? コマンドを入力します。デフォルトの TLS プロキシ制限よりも高い TLS プロキシライセンスを適用する場合、ASA では、そのライセンスに一致するように TLS プロキシの制限が自動的に設定されます。ライセンスの制限よりも TLS プロキシ制限が優先されます。TLS プロキシ制限をライセンスよりも少なく設定すると、ライセンスですべてのセッションを使用できません。
(注) |
「K8」で終わるライセンス製品番号(たとえばユーザ数が 250 未満のライセンス)では、TLS プロキシ セッション数は 1000 までに制限されます。「K9」で終わるライセンス製品番号(たとえばユーザ数が 250 以上のライセンス)では、TLS プロキシの制限はコンフィギュレーションに依存し、モデルの制限が最大数になります。K8 と K9 は、エクスポートについてそのライセンスが制限されるかどうかを示します。K8 は制限されず、K9 は制限されます。 (たとえば clear configure all コマンドを使用して)コンフィギュレーションをクリアすると、TLS プロキシ制限がモデルのデフォルトに設定されます。このデフォルトがライセンスの制限よりも小さいと、tls-proxy maximum-sessions コマンドを使用したときに、再び制限を高めるようにエラー メッセージが表示されます(ASDM の [TLS Proxy] ペインを使用)。フェールオーバーを使用して、write standby コマンドを入力するか、または ASDM でプライマリ装置に対して [File] > [Save Running Configuration to Standby Unit] を使用して強制的にコンフィギュレーションの同期を行うと、セカンダリ装置で clear configure all コマンドが自動的に生成され、セカンダリ装置に警告メッセージが表示されることがあります。コンフィギュレーションの同期によりプライマリ装置の TLS プロキシ制限の設定が復元されるため、この警告は無視できます。 |
接続には、SRTP 暗号化セッションを使用する場合もあります。
-
K8 ライセンスでは、SRTP セッション数は 250 までに制限されます。
-
K9 ライセンスでは、制限はありません。
(注) |
メディアの暗号化/復号化を必要とするコールだけが、SRTP 制限に対してカウントされます。コールに対してパススルーが設定されている場合は、両方のレッグが SRTP であっても、SRTP 制限に対してカウントされません。 |
VLAN、最大
VLAN 制限の対象としてカウントするインターフェイスに、VLAN を割り当てます。 次に例を示します。
interface gigabitethernet 0/0.100
vlan 100
ボットネット トラフィック フィルタ ライセンス
ダイナミック データベースをダウンロードするには、強力な暗号化(3DES/AES)ライセンスが必要です。
IPS モジュールのライセンス
IPS モジュール ライセンスがあると、ASA で IPS ソフトウェア モジュールを実行することができます。また、IPS 側の IPS シグニチャ サブスクリプションが必要です。
次のガイドラインを参照してください。
-
IPS シグニチャ サブスクリプションを購入するには、IPS がプリインストールされた ASA が必要です(製品番号に、たとえば ASA5515-IPS-K9 のように「IPS」が含まれている必要があります)。IPS ではない製品番号の ASA に IPS シグニチャ サブスクリプションを購入することはできません。
-
フェールオーバーについては、両方のユニットで IPS シグネチャ サブスクリプションが必要です。このサブスクリプションは ASA ライセンスでないため、フェールオーバー時に共有されません。
-
フェールオーバーについて、IPS シグニチャ サブスクリプションには、装置ごとに個別の IPS モジュール ライセンスが必要です。他の ASA のライセンスと同様に、IPS モジュール ライセンスも技術的にはフェールオーバー クラスタ ライセンスで共有されます。しかし、IPS シグニチャ サブスクリプションの要件によって、フェールオーバーの装置ごとに個別の IPS モジュール ライセンスを購入する必要があります。
AnyConnect Premium 共有ライセンス(AnyConnect 3 以前)
(注) |
ASAの共有ライセンス機能は、AnyConnect 4 以降のライセンスではサポートされていません。AnyConnect ライセンスが共有されているため、共有サーバまたは参加ライセンスは不要になりました。 |
共有ライセンスを使用すると、多数の AnyConnect Premium セッションを購入し、それらのセッションを ASA のグループ間で必要に応じて共有できます。そのためには、いずれかの ASA を共有ライセンス サーバとして、残りを共有ライセンス参加システムとして設定します。
フェールオーバーまたは ASA クラスタ ライセンス
いくつかの例外を除き、フェールオーバーおよびクラスタ ユニットは、各ユニット上で同一のライセンスを必要としません。以前のバージョンについては、お使いのバージョンに該当するライセンシング マニュアルを参照してください。
フェールオーバー ライセンスの要件および例外
フェールオーバー ユニットは、各ユニット上で同一のライセンスを必要としません。両方のユニット上にライセンスがある場合、これらのライセンスは単一の実行フェールオーバー クラスタ ライセンスに結合されます。このルールには、いくつかの例外があります。フェールオーバーの正確なライセンス要件については、次の表を参照してください。
モデル |
ライセンス要件 |
||
---|---|---|---|
ASA 5506-X および ASA 5506W-X |
|
||
ASA 5512-X ~ ASA 5555-X |
|
||
ASAv |
ASAv のフェールオーバー ライセンスを参照してください。 |
||
Firepower 2100 の ASA |
Firepower 2100 のフェールオーバー ライセンスを参照してください。 |
||
Firepower 4100/9300 シャーシ 上の ASA |
|||
他のすべてのモデル |
基本ライセンスまたは標準ライセンス。
|
(注) |
有効な永続キーが必要です。まれに、PAK 認証キーを削除できることもあります。キーがすべて 0 の場合は、フェールオーバーを有効化するには有効な認証キーを再インストールする必要があります。 |
ASA クラスタ ライセンスの要件および例外
クラスタ ユニットは、各ユニット上で同じライセンスを必要としません。一般的には、マスター ユニット用のライセンスのみを購入します。スレーブ ユニットはマスターのライセンスを継承します。複数のユニットにライセンスがある場合は、これらが統合されて単一の実行 ASA クラスタ ライセンスとなります。
このルールには、例外があります。クラスタリングの正確なライセンス要件については、次の表を参照してください。
モデル |
ライセンス要件 |
||
---|---|---|---|
ASA 5585-X |
クラスタ ライセンス、最大 16 ユニットをサポートします。
|
||
ASA 5516-X |
基本ライセンス、2 ユニットをサポートします。
|
||
ASA 5512-X |
Security Plus ライセンス、2 ユニットをサポートします。
|
||
ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X |
基本ライセンス、2 ユニットをサポートします。
|
||
Firepower 4100/9300 シャーシ 上の ASA |
|||
他のすべてのモデル |
サポートしない |
フェールオーバーまたは ASA クラスタ ライセンスの結合方法
フェールオーバー ペアまたは ASA クラスタでは、各ユニットのライセンスが結合されて 1 つの実行クラスタ ライセンスとなります。ユニットごとに別のライセンスを購入した場合は、結合されたライセンスには次のルールが使用されます。
-
数値ティアを持つライセンスの場合は(セッション数など)、各ユニットのライセンスの値が合計されます。ただし、プラットフォームの制限を上限とします。使用されているライセンスがすべて時間ベースの場合は、ライセンスのカウント ダウンは同時に行われます。
たとえば、フェールオーバーの場合は次のようになります。
-
2 つの ASA があり、それぞれに 10 個の TLS プロキシ セッションが設定されている場合、ライセンスは結合され、合計で 20 個の TLS プロキシ セッションになります。
-
1000 個の TLS プロキシ セッションを設定した ASA 5545-X と、2000 個のセッションを設定した ASA 5545-X がある場合、プラットフォームの制限が 2000 であるため、結合されたライセンスでは 2000 個の TLS プロキシ セッションを使用できます。
-
2 つの ASA 5545-X ASA があり、一方は 20 コンテキスト、もう一方は 10 コンテキストである場合、結合されたライセンスでは 30 コンテキストを使用できます。アクティブ/アクティブ フェールオーバーの場合は、コンテキストが 2 つのユニットに分配されます。たとえば、一方のユニットが 18 コンテキストを使用し、他方が 12 コンテキストを使用します(合計 30 の場合)。
たとえば、ASA クラスタリングの場合は次のようになります。
-
デフォルトの 2 コンテキストの 2 つの ASA 5516-X ASA があります。プラットフォームの制限が 5 であるため、結合されたライセンスでは最大 4 のコンテキストが許容されます。したがって、プライマリ ユニット上で最大 4 のコンテキストを設定できます。各セカンデリ ユニットも、コンフィギュレーションの複製経由で 4 のコンテキストを持つことになります。
-
4 つの ASA 5516-X ASA があります。これは、それぞれが 5 コンテキストの 3 つのユニットと、デフォルトの 2 コンテキストの 1 つのユニットです。プラットフォームの制限が 5 であるため、ライセンスは合計で 5 コンテキストに結合されます。したがって、プライマリ ユニット上で最大 5 のコンテキストを設定できます。各セカンデリ ユニットも、コンフィギュレーションの複製経由で 5 のコンテキストを持つことになります。
-
-
ライセンスのステータスがイネーブルまたはディセーブルの場合、イネーブル ステータスのライセンスが使用されます。
-
イネーブルまたはディセーブル状態(かつ数値ティアを持たない)の時間ベース ライセンスの場合、有効期間はすべてのライセンスの期間の合計となります。最初にプライマリ/マスター ユニットのライセンスがカウント ダウンされ、期限切れになると、セカンダリ/スレーブ ユニットのライセンスのカウント ダウンが開始し、以下も同様です。このルールは、アクティブ/アクティブ フェールオーバーと ASA クラスタリングにも適用されます(すべてのユニットがアクティブに動作していても適用されます)。
たとえば、2 つのユニットのボットネット トラフィック フィルタ ライセンスの有効期間が 48 週残っている場合は、結合された有効期間は 96 週です。
フェールオーバーまたは ASA クラスタ ユニット間の通信の途絶
ユニットの通信が途絶えてからの期間が 30 日を超えた場合は、各ユニットにはローカルにインストールされたライセンスが適用されます。30 日の猶予期間中は、結合された実行ライセンスが引き続きすべてのユニットで使用されます。
30 日間の猶予期間中に通信が復旧した場合は、時間ベース ライセンスについては、経過した時間がプライマリ/マスター ライセンスから差し引かれます。プライマリ/マスター ライセンスが期限切れになるまでは、セカンダリ/スレーブ ライセンスのカウント ダウンが開始することはありません。
30 日間の期間が終了しても通信が復旧しなかった場合は、時間ベース ライセンスについては、その時間がすべてのユニットのライセンスから差し引かれます(インストールされている場合)。これらはそれぞれ別のライセンスとして扱われ、ライセンスの結合によるメリットはありません。経過時間には 30 日の猶予期間も含まれます。
次に例を示します。
-
52 週のボットネット トラフィック フィルタ ライセンスが 2 つのユニットにインストールされています。結合された実行ライセンスでは、合計期間は 104 週になります。
-
これらのユニットが、1 つのフェールオーバー ユニット/ASA クラスタとして 10 週間動作すると、結合ライセンスの期間の残りは 94 週となります(プライマリ/マスターに 42 週、セカンダリ/スレーブに 52 週)。
-
ユニットの通信が途絶えた場合(たとえば、プライマリ/マスター ユニットが停止した場合)は、セカンダリ/スレーブ ユニットは結合されたライセンスを引き続き使用し、94 週からカウント ダウンを続行します。
-
時間ベース ライセンスの動作は、通信がいつ復元されるかによって次のように異なります。
-
30 日以内:経過した時間がプライマリ/マスター ユニットのライセンスから差し引かれます。この場合、通信は 4 週間後に復元されます。したがって、4 週がプライマリ/マスター ライセンスから差し引かれて、残りは合計 90 週となります(プライマリに 38 週、セカンダリに 52 週)。
-
30 日経過以降:経過時間が両方の装置から差し引かれます。この場合、通信は 6 週間後に復元されます。したがって、6 週がプライマリ/マスターとセカンダリ/スレーブの両方のライセンスから差し引かれて、残りは合計 84 週となります(プライマリ/マスターに 36 週、セカンダリ/スレーブに 46 週)。
-
フェールオーバー ペアのアップグレード
フェールオーバー ペアでは、両方の装置に同一のライセンスがインストールされている必要はないので、ダウンタイムなしに各装置に新しいライセンスを適用できます。リロードが必要な永続ライセンスを適用する場合、リロード中に他の装置へのフェールオーバーを実行できます。両方の装置でリロードが必要な場合は、各装置を個別にリロードするとダウンタイムは発生しません。
ペイロード暗号化機能のないモデル
ペイロード暗号化機能のないモデルを購入することができます。輸出先の国によっては、Cisco ASA シリーズでペイロード暗号化をイネーブルにできません。ASA ソフトウェアは、ペイロード暗号化なしモデルを検出し、次の機能をディセーブルにします。
-
ユニファイド コミュニケーション
-
[VPN]
このモデルでも管理接続用に高度暗号化(3DES/AES)ライセンスをインストールできます。たとえば、ASDM HTTPS/SSL、SSHv2、Telnet、および SNMPv3 を使用できます。ボットネット トラフィック フィルタ(SSL を使用)用のダイナミック データベースをダウンロードすることもできます。
ライセンスを表示すると、VPN およびユニファイド コミュニケーションのライセンスはリストに示されません。
ライセンスの FAQ
- AnyConnect Premium とボットネット トラフィック フィルタなど、複数の時間ベース ライセンスをアクティブにできますか。
-
はい。一度に使用できる時間ベース ライセンスは、1 機能につき 1 つです。
- 複数の時間ベース ライセンスを「スタック」し、時間制限が切れると自動的に次のライセンスが使用されるようにできますか。
-
はい。ライセンスが同一の場合は、複数の時間ベース ライセンスをインストールすると、時間制限が結合されます。ライセンスが同一でない場合(1000 セッション AnyConnect Premium ライセンスと 2500 セッション ライセンスなど)、ASA はその機能に対して検出された次の時間ベース ライセンスを自動的にアクティブにします。
- アクティブな時間ベース ライセンスを維持しながら、新しい永続ライセンスをインストールできますか。
-
はい。永続ライセンスをアクティブ化しても、時間ベース ライセンスには影響しません。
- フェールオーバーのプライマリ装置として共有ライセンス サーバを、セカンダリ装置として共有ライセンス バックアップ サーバを使用できますか。
-
いいえ。セカンダリ装置は、プライマリ装置と同じ実行ライセンスを使用します。共有ライセンス サーバには、サーバ ライセンスが必要です。バックアップ サーバには、参加ライセンスが必要です。バックアップ サーバは、2 つのバックアップ サーバの別々のフェールオーバー ペアに配置できます。
- フェールオーバー ペアのセカンダリ装置用に、同じライセンスを購入する必要がありますか。
-
いいえ。バージョン 8.3(1) から、両方の装置に同一のライセンスをインストールする必要はなくなりました。一般的に、ライセンスはプライマリ装置で使用するために購入されます。セカンダリ装置は、アクティブになるとプライマリ ライセンスを継承します。セカンダリ装置に別のライセンスを持っている場合は(たとえば、8.3 よりも前のソフトウェアに一致するライセンスを購入した場合)、ライセンスは実行フェールオーバー クラスタ ライセンスに結合されます。ただし、モデルの制限が最大数になります。
- AnyConnect Premium(共有)ライセンスに加えて、時間ベースまたは永続の AnyConnect Premium ライセンスを使用できますか。
-
はい。ローカルにインストールされたライセンス(時間ベース ライセンスまたは永続ライセンス)のセッション数を使い果たした後、共有ライセンスが使用されます。
(注)
共有ライセンス サーバでは、永続 AnyConnect Premium ライセンスは使用されません。ただし、共有ライセンス サーバ ライセンスと同時に時間ベース ライセンスを使用することはできます。この場合、時間ベース ライセンスのセッションは、ローカルの AnyConnect Premium セッションにだけ使用できます。共有ライセンス プールに追加して参加システムで使用することはできません。