关于 PAK 许可证
许可证指定在给定 ASA 上启用的选项。它由一个表示 160 位(5 个 32 位字或 20 个字节)值的激活密钥表示。该值对序列号(11 个字符的字符串)和已启用的功能进行编码。
预安装的许可证
默认情况下,ASA 已预安装了一个许可证。此许可证可能是基础许可证,您要向其添加更多许可证,或者其可能已经安装所有许可证,具体取决于您的订购以及供应商为您安装的内容。
永久许可证
您可以安装一个永久激活密钥。永久激活密钥在单个密钥中包含所有许可功能。如果您还安装了基于时间的许可证,则 ASA 会将永久许可证和基于时间的许可证合并为运行许可证。
基于时间的许可证
除永久许可证以外,您还可以购买基于时间的许可证,或者接收具有时间限制的评估许可证。例如,您可能会购买基于时间的 AnyConnect 高级版许可证,以处理并发 SSL VPN 用户数的短期激增的基于时间的僵尸网络流量过滤器许可证。
注 |
ASA 5506-X 和 ASA 5506W-X 不支持基于时间的许可证。 |
基于时间的许可证激活准则
-
您可以安装多个基于时间的许可证,包括同一功能的多个许可证。但是,每个功能一次只能有一个基于时间的许可证处于活动状态。非活动许可证保持已安装状态,并可随时使用。例如,如果安装一个 1000 会话的 AnyConnect 高级版许可证和一个 2500 会话的 AnyConnect 高级版许可证,则其中仅有一个许可证可处于活动状态。
-
如果激活在密钥中具有多个功能的评估许可证,则无法为所包含的其中一个功能也同时激活另一基于时间的许可证。
基于时间的许可证计时器工作方式
-
当在 ASA 上激活基于时间的许可证时,其计时器便开始倒计时。
-
如果在基于时间的许可证超时之前停止对其进行使用,则计时器会停止。仅当重新激活基于时间的许可证时,计时器才会再次启动。
-
如果基于时间的许可证处于活动状态,并且您关闭 ASA,则计时器会停止倒计时。仅当 ASA 正在运行时,基于时间的许可证才会倒计时。系统时钟设置不影响许可证;只有 ASA 正常运行时间会计入许可证持续时间。
永久许可证与基于时间的许可证的合并方式
激活基于时间的许可证时,通过永久许可证与基于时间的许可证获得的功能将合并以形成正在运行的许可证。永久许可证与基于时间的许可证的合并方式取决于许可证的类型。下表列出了每个功能许可证的合并规则。
注 |
即使使用了永久许可证,如果基于时间的许可证处于活动状态,也会继续倒计时。 |
基于时间的功能 |
合并许可证规则 |
---|---|
AnyConnect 高级版会话 |
使用基于时间的许可证或永久许可证两者中的较高值。例如,如果永久许可证是 1000 个会话,基于时间的许可证是 2500 个会话,则会启用 2500 个会话。通常,不会安装功能弱于永久许可证的基于时间的许可证,但是,如果您这么做,则会使用永久许可证。 |
统一通信代理会话 |
基于时间的许可证会话会添加到永久会话中,最高值为平台限制。例如,如果永久许可证为 2500 个会话,基于时间的许可证为 1000 个会话,则只要基于时间的许可证处于活动状态,就会启用 3500 个会话。 |
安全情景 |
基于时间的许可证情景会添加到永久情景中,最高值为平台限制。例如,如果永久许可证为 10 个情景,基于时间的许可证为 20 个情景,则只要基于时间的许可证处于活动状态,就会启用 30 个情景。 |
其他所有 |
使用基于时间的许可证或永久许可证两者中的较高值。对于状态为启用或禁用的许可证,将会使用状态为启用的许可证。对于具有数字层的许可证,将使用较高的值。通常,不会安装功能弱于永久许可证的基于时间的许可证,但是,如果您这么做,则会使用永久许可证。 |
堆叠基于时间的许可证
在许多情况下,您可能需要续订基于时间的许可证,并从旧许可证无缝过渡到新许可证。对于只有基于时间的许可证时才可提供的功能,在应用新许可证之前,许可证没有到期尤为重要。ASA 允许堆叠基于时间的许可证,从而让您不必担忧许可证到期或由于提前安装了新许可证而损害许可证上的时间。
当安装与已安装的许可证相同的基于时间的许可证时,许可证会进行合并,并且持续时间等于合并后的持续时间。
例如:
-
您安装有一个 8 周的 1000 会话 AnyConnect 高级版许可证,并且该许可证已使用 2 周(剩余 6 周)。
-
然后,您又安装了另一个 8 周 1000 个会话许可证,许可证合并具有 14 周 1000 个会话(8 周加上 6 周)。
如果许可证不同(例如,1000 会话 AnyConnect 高级版许可证和 2500 会话许可证),则许可证不会合并。由于每个功能仅能有一个基于时间的许可证处于活动状态,这些许可证中仅有一个许可证可以处于活动状态。
虽然不能合并不相同的许可证,但在当前许可证到期时,ASA 会自动激活已安装的功能相同的许可证(如果可用)。
基于时间的许可证到期
当某个功能的当前许可证到期时,ASA 会自动激活同一功能的已安装许可证(如果适用)。如果没有其他适用于此功能的基于时间的许可证,则会使用永久许可证。
如果为某个功能安装了多个额外的基于时间的许可证,则 ASA 会使用其找到的第一个许可证;将会使用哪个许可证不是用户可配置的,而是取决于内部操作。如果您希望使用的许可证不是 ASA 激活的基于时间的许可证,则必须手动激活您希望使用的许可证。
例如,您有一个基于时间的 2500 个会话 AnyConnect Premium 许可证(活动)、一个基于时间的 1000 个会话 AnyConnect Premium 许可证(非活动),以及一个永久的 500 个会话的 AnyConnect Premium 许可证。当 2500 个会话许可证到期时,ASA 会激活 1000 个会话许可证。在 1000 个会话许可证到期后,ASA 会使用 500 个会话永久许可证。
许可证说明
以下部分包括有关许可证的其他信息。
AnyConnect Plus 版和 Apex 版许可证
AnyConnect Plus 或 Apex 许可证是可应用于多个 ASA 的多用途许可证,所有这些 ASA 都共享许可证指定的一个用户池。请参阅 https://www.cisco.com/go/license,并单独为每个 ASA 分配 PAK。将生成的激活密钥应用于 ASA 时,会将 VPN 功能切换到允许的最大值,但共享该许可证的所有 ASA 中唯一用户的实际数量不应超出此许可证限制。有关详情,请参阅:
注 |
多情景模式下需要 AnyConnect Apex 许可证。此外,在多情景模式下,此许可证必须应用于故障转移对中的每台设备;该许可证不进行聚合。 |
其他 VPN 许可证
其他 VPN 会话包括以下 VPN 类型:
-
使用 IKEv1 的 IPsec 远程访问 VPN
-
使用 IKEv1 的 IPsec 站点间 VPN
-
使用 IKEv2 的 IPsec 站点间 VPN
此许可证包含在基础许可证中。
组合所有类型的 VPN 会话总数
-
虽然最大总 VPN 会话数累计超过最大 VPN AnyConnect 会话数和其他 VPN 会话数,但是合并会话数不应超过 VPN 会话限制。如果超出了最大 VPN 会话数,可以对 ASA 实施过载,以确保相应地调整网络大小。
-
如果启动无客户端 SSL VPN 会话,然后从门户启动 AnyConnect 客户端会话,则总共会使用 1 个会话。但是,如果先启动 AnyConnect 客户端(例如,通过独立客户端),然后登录无客户端 SSL VPN 门户,则会使用 2 个会话。
VPN 负载均衡
VPN 负载均衡需要强加密 (3DES/AES) 许可证。
传统 VPN 许可证
有关许可的所有相关信息,请参阅《AnyConnect 补充最终用户许可协议》。
注 |
多情景模式下需要 AnyConnect Apex 许可证;您无法使用默认或传统许可证。 |
加密许可证
无法禁用 DES 许可证。如果您安装有 3DES 许可证,则 DES 仍然可用。要在希望仅使用强加密时防止使用 DES,请务必将所有相关命令都配置为仅使用强加密。
TLS 代理会话总数
用于加密语音检测的每个 TLS 代理会话都会计入 TLS 许可证限制中。
使用 TLS 代理会话的其他应用不计入 TLS 限制,例如移动性优势代理(无需许可证)。
某些应用可能会在一个连接中使用多个会话。例如,如果为一部电话配置了主用和备用思科 Unified Communications Manager,则有 2 个 TLS 代理连接。
使用 tls-proxy maximum-sessions 命令,或在 ASDM 中使用 Configuration > Firewall > Unified Communications > TLS Proxy 窗格,单独设置 TLS 代理限制。要查看型号的限制,请输入 tls-proxy maximum-sessions ? 命令。如果应用的 TLS 代理许可证高于默认的 TLS 代理限制,则 ASA 自动设置 TLS 代理限制以与许可证匹配。TLS 代理限制的优先级高于许可证限制;如果设置的 TLS 代理限制低于许可证限制,则无法使用许可证中的所有会话。
注 |
对于以“K8”结尾的许可证部件号(例如,用户数少于 250 的许可证),TLS 代理会话数限制为 1000。对于以“k9”结尾的许可证部件号(例如,用户数为 250 或更多的许可证),TLS 代理限制取决于配置,最高值为型号限制。K8 和 K9 是指许可证是否有出口限制:K8 不受限制,K9 受限制。 如果清除配置(例如使用 clear configure all 命令),TLS 代理限制将设置为模型的默认值;如果默认值低于许可证限制,会显示一条错误消息,让您使用 tls-proxy maximum-sessions 命令再次增加该限制(在 ASDM 中,使用 TLS Proxy 窗格)。如果使用故障切换并输入 write standby 命令,或者在 ASDM 中,在主设备上使用 File > Save Running Configuration to Standby Unit 来强制进行配置同步,则会在辅助设备上自动生成 clear configure all 命令,因此,您可能会在辅助设备上看到警告消息。由于配置同步会恢复在主设备上设置的 TLS 代理限制,因此可以忽略该警告。 |
您也可能为连接使用 SRTP 加密会话:
-
对于 K8 许可证,SRTP 会话数限制为 250。
-
对于 K9 许可证,则没有任何限制。
注 |
只有需要对媒体进行加密/解密的呼叫会计入 SRTP 限制;如果将呼叫设置为直通式,即使两端均为 SRTP,这些呼叫也不计入限制。 |
最大 VLAN 数量
对于根据 VLAN 限制计数的接口,您必须向其分配 VLAN。 例如:
interface gigabitethernet 0/0.100
vlan 100
共享 AnyConnect 高级许可证(AnyConnect 3 及更早版本)
注 |
AnyConnect 4 及更高版本的许可不支持 ASA 上的共享许可证功能。AnyConnect 许可证可进行共享,并且不再需要共享服务器或参与者许可证。 |
通过共享许可证,您可以购买大量的 AnyConnect 高级会话,并且通过将一组 ASA 中的一个 ASA 配置为共享许可服务器,将剩余 ASA 配置为共享许可参与者,来根据需要在这组 ASA 之间共享会话。
故障转移或 ASA 群集许可证
除一些例外情况之外,故障切换和集群设备不要求每台设备上具有相同的许可证。对于早期版本,请参阅您的版本的许可文档。
故障切换许可证要求和例外
对于绝大多数型号,故障切换设备不要求每个设备上具有同一许可证。如果您在两台设备上都有许可证,则这两个许可证会合并为一个运行故障切换群集许可证。此规则存在一些例外情况。有关故障切换的具体许可要求,请参阅下表。
型号 |
许可证要求 |
||
---|---|---|---|
ASA 5506-X 和 ASA 5506W-X |
|
||
ASAv |
请参阅 ASAv 的故障切换许可证。 |
||
Firepower 1010 |
两个设备上都有增强型安全许可证。请参阅Firepower 1010 的故障切换许可证。 |
||
Firepower 1100 |
|||
Firepower 2100 |
|||
Firepower 4100/9300 |
|||
ISA 3000 |
两个设备上都有增强型安全许可证。
|
注 |
需要有效的永久密钥;在极少数情况下, 可以删除您的 PAK 身份验证密钥。如果密钥全部由 0 组成,则需要重新安装有效的身份验证密钥,然后才能启用故障切换。 |
ASA 集群许可证要求和例外
群集设备不要求每台设备上具有相同的许可证。通常情况下,只需为控制设备购买许可证;数据设备会继承控制设备的许可证。如果您在多台设备上都有许可证,它们将整合为单个运行 ASA 群集许可证。
此准则也存在例外。有关群集的精确许可要求,请参阅下表。
型号 |
许可证要求 |
||
---|---|---|---|
ASA 5516-X |
基础许可证支持 2 台设备。
|
||
Firepower 4100/9300 机箱 |
|||
所有其他型号 |
不支持。 |
如何合并故障切换或 ASA 群集许可证
对于故障切换对或 ASA 集群,每台设备上的许可证会合并为单个运行集群许可证。如果您为每台设备购买单独的许可证,则合并的许可证使用以下规则:
-
对于具有数字层(例如,会话数)的许可证,每台设备的许可证的值会合并,最高值为平台限制。如果正在使用的所有许可证都基于时间,则许可证将同时倒计时。
例如,对于故障切换:
-
您有两台 ASA,每台安装了 10 个 TLS 代理会话;许可证将进行合并以获得总共 20 个 TLS 代理会话。
-
您有一台具有 1000 个 TLS 代理会话的 ASA ,以及另一台具有 2000 个会话的 ASA 5545-X;由于平台限制为 2000 个,因此合并的许可证可允许 2000 个 TLS 代理会话。
-
您有两台 ASA,一台包含 20 个情景,另一台包含 10 个情景;则合并的许可证允许包含 30 个情景。对于主用/主用故障切换,情景将在两台设备之间划分。例如,一台设备可以使用 18 个情景,而另一台设备可以使用 12 个情景,总共 30 个情景。
例如,对于 ASA 集群:
-
您有 2 台 ASA 5516-X ASA,分别具有 2 个默认情景。由于平台限制是 5 个,因此合并后的许可证允许最多 4 个情景。因此,您在主设备上最多可以配置 4 个情景;每台辅助设备通过配置复制也将具有 4 个情景。
-
您有四台 ASA 5516-X ASA,其中三台设备各具有 5 个情景,一台设备具有 2 个默认情景。由于平台限制为 5 个,因此这些许可证将进行合并,从而拥有总共 5 个情景。因此,您在主设备上最多可以配置 5 个情景;每台辅助设备通过配置复制也将具有 5 个情景。
-
-
对于状态为启用或禁用的许可证,将会使用状态为启用的许可证。
-
对于启用或禁用的基于时间的许可证(并且没有数字层),持续时间是所有许可证的合并后的持续时间。主/控制单位首先对其许可证进行倒计时,当其许可证到期时,辅助/数据单位开始对其许可证进行倒计时,依此类推。此规则也适用于主用/主用故障切换和 ASA 集群,即使所有设备都以主用状态在运行也如此。
故障切换或 ASA 群集设备之间的通信丢失
如果设备丢失通信超过 30 天,则每台设备将还原到本地安装的许可证。在 30 天宽限期内,所有设备将继续使用合并的运行许可证。
如果在 30 天的宽限期内恢复通信,则对于基于时间的许可证,将从主/主许可证中减去耗用时间;如果主/主许可证已到期,则仅在此时辅助/从属许可证才会开始倒计时。
如果在 30 天内没有恢复通信,则对于基于时间的许可证,将从所有设备许可证(如果已安装)中减去耗用时间。它们会被视为独立许可证,不会受益于合并后的许可证。耗用时间包括 30 天的宽限期。
升级故障切换对
由于故障切换对不要求在两台设备上具有同一许可证,因此可以将新许可证应用于每台设备而不会产生任何停机时间。如果应用要求重新加载的永久许可证,则可以在重新加载时故障切换到另一台设备。如果两台设备都需要重新加载,则可以将其分开重新加载,以便不会产生停机时间。
无负载加密型号
您可以购买一些具有无负载加密功能的型号。如要出口至某些国家/地区,则在思科 ASA 系列上不能启用负载加密。ASA 软件可感知无负载加密型号,并会禁用以下功能:
-
统一通信
-
VPN
您仍然可以安装强加密 (3DES/AES) 许可证,以便用于管理连接。例如,可以使用 ASDM HTTPS/SSL、SSHv2、Telnet 和 SNMPv3。
当您查看许可证时,将不会列出 VPN 许可证和统一通信许可证。
许可证 FAQ
- 我是否可以激活多个基于时间的许可证?
-
是。对于每个功能,您可以一次使用一个基于时间的许可证。
- 我是否可以“堆叠”基于时间的许可证,以便在时间限制解除时,将自动使用下一个许可证?
-
是。对于相同的许可证,当安装多个基于时间的许可证时,时间限制会合并。对于不相同的许可证(例如一个 1000 会话 AnyConnect 高级版许可证和一个 2500 会话许可证),ASA 将自动激活它所发现的适用于此功能的基于下次的许可证。
- 我是否可以在使基于时间的许可证保持活动的同时,安装新的永久许可证?
-
是。激活永久许可证不会影响基于时间的许可证。
- 对于故障切换,我是否可以将共享许可服务器用作主设备,并将共享许可备用服务器用作辅助设备?
-
否。辅助设备具有与主设备相同的运行许可证;对于共享许可服务器,它们需要服务器许可证。备用服务器需要参与者许可证。备用服务器可以处于由两台备用服务器组成的一个单独故障切换对中。
- 我是否需要为故障切换对中的辅助设备购买相同的许可证?
-
否。从版本 8.3(1) 开始,不必在两台设备上拥有匹配的许可证。通常,您仅为主设备购买许可证;辅助设备在变为主用状态时会继承主许可证。对于您在辅助设备上也有独立许可证的情况(例如,如果您为版本 8.3 之前的软件购买了匹配的许可证),这些许可证会合并为运行故障切换集群许可证,其数量最高值为型号限制。
- 除共享型 AnyConnect 高级版许可证之外,我是否可以使用基于时间的或永久的 AnyConnect 高级版许可证?
-
是。仅在本地安装的许可证(基于时间的许可证或永久许可证)中的会话用尽后,才会使用共享许可证。
注
在共享许可服务器上,不使用永久 AnyConnect 高级版许可证;但您可以与共享许可服务器许可证同时使用基于时间的许可证。在这种情况下,基于时间的许可证会话仅适用于本地 AnyConnect 高级版会话;不能将其添加到共享许可池供参与者使用。