解決済み: AnyConnect v4用のライセンスとAnyConnect 3.xの組み合わせについて

athirano1 · ‎2015-11-06

初めて投稿させていただきます。

AnyConnect v4用のライセンス（PlusライセンスまたはApexライセンス）を適用したASA上で
AnyConnect v3.1は問題なく動くでしょうか。

現在、ASA5515X ＋OS: 9.1(5)でVPN機器として稼働させています。
VPNクライアント
    Windows 7/8 PC用
      Clientbase SSL-VPN : AnyConnect 3.1.05182
      Clientless SSL-VPN : ブラウザ
      IPsec-VPN           : VPN Client 5.0.07

    iPhone/iPad用
      Clientbase SSL-VPN : AnyConnect 3.0.12269など
      Clientless SSL-VPN : ブラウザ

適用ライセンス：    Any Connect Mobile, SSL VPN100 Peer License
show versionの抜粋は末尾に記載します。

ライセンスを変更し、100→50ユーザーに削減することで保守コストの削減を図ろうとしています。
最近、ライセンス体系が変わり、AnyConnect4.x対応のライセンスしか購入できなくなっています。
（購入するとすれば、Apexマイグレーションライセンス 50 ユーザタイプと考えております。）

新しい体系のライセンスは、AnyConnect4.xとセットでの説明が多いですが、
AnyConnect3.xと新しい体系のライセンスの組み合わせで問題はないでしょうか

AnyConnect3.xはEoLがアナウンス済みで、本来であればAnyConnect4.xに移行することが望ましいのは理解しています。
しかし、エンドユーザ数が多いことから、もうしばらく、AnyConnect3.xを使用したいと考えております。

似たような質問が以下にありますが、明確な回答の記載がなかったため質問させていただきました。
「Anyconnect new licenses clarification」
https://supportforums.cisco.com/discussion/12619511/anyconnect-new-licenses-clarification

よろしくお願いします。

---show versionの出力結果の抜粋---
Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 100            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Enabled        perpetual
Security Contexts                 : 2              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 100            perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 250            perpetual
Total VPN Peers                   : 250            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Enabled        perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual
IPS Module                        : Disabled       perpetual
Cluster                           : Enabled        perpetual
Cluster Members                   : 2              perpetual

This platform has an ASA 5515 Security Plus license.

Taisuke Nakamura · ‎2015-11-08

athirano1さん、こんばんわ。

はい、AnyConnect 4.x用のライセンスを適用した状態で、AnyConnect 3.xの利用は可能です。
　　

従来のライセンス方式の場合、ASAをアクティベートすると、その購入数分のみASAに接続可能でした。ご利用の機器の場合、ライセンスを100で購入・適用頂いているので、以下のAnyConnect Premium Peersも最大100までとなっています。

---show versionの出力結果の抜粋---
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 100 perpetual <---- THIS (ご利用の従来ライセンス時)
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

　　　
AnyConnect 4.xからは、従来の購入したライセンスに基づく接続数制限をASAはしなくなり、そのASA(Hardware)の最大接続可能数まで終端可能になります。ご利用のASA5515の場合は、250まで終端が可能になります。

つまり、ご利用のASA(Hardware)の最大Peerまで接続可能となりますが、購入のユーザ数以上の利用はライセンス違反になってしまうので、ユーザ数が増えた場合は (上限を超える前に) 買い足して頂く必要があります。お客様にてユーザ数の管理と判断をお願いしております。
　　

参考情報となりますが、以下は私のASA5515(ver.9.3.3.1)に、AnyConnect Plus/Apex (ASA) Demoの4週間ライセンスを適用した場合の出力です。適用後に、Premium Peersが、Hardwareの最大終端可能数まで上がっている事を確認できます。及び、当状態でも、このASAに AnyConnect 3.1の接続が可能です。

---show versionの出力結果の抜粋 (4week Demo Lic適用後)---
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 250 28 days <------ THIS (Plus/Apexライセンスに移行後)
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Enabled 28 days
AnyConnect for Cisco VPN Phone : Enabled 28 days
Advanced Endpoint Assessment : Enabled 28 days
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

他、AnyConnect 4.xへの移行に関しては、（既にご確認していただいているかもですが、）以下サイトの情報もご参考になるかと思います。

https://supportforums.cisco.com/ja/document/12501781
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html

モデル毎の最大接続可能数の確認には、以下モデル比較の"AnyConnect またはクライアントレス VPN のユーザセッション数"が参考になります。

http://www.cisco.com/web/JP/product/hs/security/asa/prod_models_comparison.html

元の投稿で解決策を見る

Taisuke Nakamura · ‎2015-11-08

athirano1さん、こんばんわ。

はい、AnyConnect 4.x用のライセンスを適用した状態で、AnyConnect 3.xの利用は可能です。
　　

従来のライセンス方式の場合、ASAをアクティベートすると、その購入数分のみASAに接続可能でした。ご利用の機器の場合、ライセンスを100で購入・適用頂いているので、以下のAnyConnect Premium Peersも最大100までとなっています。

---show versionの出力結果の抜粋---
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 100 perpetual <---- THIS (ご利用の従来ライセンス時)
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

　　　
AnyConnect 4.xからは、従来の購入したライセンスに基づく接続数制限をASAはしなくなり、そのASA(Hardware)の最大接続可能数まで終端可能になります。ご利用のASA5515の場合は、250まで終端が可能になります。

つまり、ご利用のASA(Hardware)の最大Peerまで接続可能となりますが、購入のユーザ数以上の利用はライセンス違反になってしまうので、ユーザ数が増えた場合は (上限を超える前に) 買い足して頂く必要があります。お客様にてユーザ数の管理と判断をお願いしております。
　　

参考情報となりますが、以下は私のASA5515(ver.9.3.3.1)に、AnyConnect Plus/Apex (ASA) Demoの4週間ライセンスを適用した場合の出力です。適用後に、Premium Peersが、Hardwareの最大終端可能数まで上がっている事を確認できます。及び、当状態でも、このASAに AnyConnect 3.1の接続が可能です。

---show versionの出力結果の抜粋 (4week Demo Lic適用後)---
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 250 28 days <------ THIS (Plus/Apexライセンスに移行後)
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Enabled 28 days
AnyConnect for Cisco VPN Phone : Enabled 28 days
Advanced Endpoint Assessment : Enabled 28 days
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

他、AnyConnect 4.xへの移行に関しては、（既にご確認していただいているかもですが、）以下サイトの情報もご参考になるかと思います。

https://supportforums.cisco.com/ja/document/12501781
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html

モデル毎の最大接続可能数の確認には、以下モデル比較の"AnyConnect またはクライアントレス VPN のユーザセッション数"が参考になります。

http://www.cisco.com/web/JP/product/hs/security/asa/prod_models_comparison.html

athirano1 · ‎2015-11-13

Taisuke Nakamura さん

投稿者のathirano1です。
詳しい回答、関連する情報のURLなど、ありがとうございます。
おかげさまで、機器の構築ができそうです。