シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

ASA: Activation Keyを用いたライセンス有効化と確認

 

  

1. はじめに

ASAアプライアンスのライセンス有効化は、通常 以下ステップで実施します。

    
本ドキュメントでは、アクティベーションキーの発行や適用の 各ステップについて、より詳しく説明します。

本ドキュメントは ASAバージョン 9.6(1)、ASDMバージョン 7.6(1)を元に確認、作成しております。

   

   

2. show version出力のシリアルの準備

Activation keyの発行には、show versionで確認したシリアルを使います。

show inventoryで確認できる筐体シリアルは 異なる用途(RMAなど)で使いますので、違いに注意してください。

特にASA5500-Xシリーズから、show versionと show inventoryのシリアルの違いが明確になりました。 以下はその出力例です。

ASA# show version

Cisco Adaptive Security Appliance Software Version 9.6(1)
Device Manager Version 7.6(1)
--- snip ---
This platform has an ASA 5515 Security Plus license.

Serial Number: FCH16157xxx <---- Activation Key発行時に利用
Running Permanent Activation Key: 0x6b3bc050 0x88fd9b64 0xcd4035dc 0xf900549c 0xc32xxxxx
Running Timebased Activation Key: 0x0d1817c4 0xad5043e5 0xa1fa9f77 0xf004ffff 0x0baxxxxx
Configuration register is 0x1

Image type          : Release
Key version         : A

Configuration last modified by cisco at 22:50:44.323 JST Sun Aug 7 2016

ASA# show inventory
Name: "Chassis", DESCR: "ASA 5515-X with SW, 6 GE Data, 1 GE Mgmt, AC"
PID: ASA5515 , VID: V01 , SN: FGL1619404G <---- RMA時に利用

Name: "Storage Device 1", DESCR: "Micron 128 GB SSD MLC, Model Number: C400-MTFDDAC128MAM"
PID: N/A , VID: N/A , SN: MSA173602AT

   
以下は 間違ったシリアルで発行したActivation-keyを適用時の エラー出力例です。 当エラーが出力時は、発行に利用したシリアルが正しいか確認してください。

ASA# activation-key 0xc50bdf5f 0x4c8132c3 0x2d53d90c 0xedd86cdc 0xc23b$
Validating activation key. This may take a few minutes...
not supported yet.
ERROR: The requested activation key was not saved because it is not
valid for this system.

 
なお、ASDMを利用の場合は、Activation Key発行に利用するシリアルは、以下メニューより確認できます。 (操作画面例は 項番4.2を参照。)

  Configuration > Device Management > Licensing > Activation Key

     

   

3. Activation Keyの入手

3.1. Product License Registrationの利用方法

Product License Registration (http://www.cisco.com/go/license) にて、PAKからのActivation Keyの発行や、その管理が可能です。

    
Activation Keyの発行時に、show versionで確認したシリアルを利用します。 詳しくは、ASA5500-X シリーズ製品 シリアル番号の確認に関する留意点 を参照してください。

3DES/AESライセンスは無料で発行可能です。詳しくは、ASA 5500シリーズ 3DES/AESライセンス取得方法 を参照してください。

AnyConnect4.xから ライセンスの考え方と PAK利用方法が変わりました。 詳しくは、AnyConnect 4.x (Plus/Apexライセンス)の PAKの利用方法と、評価ライセンスについて を参照してください。

 

ライセンス関連でトラブル時や、不明点、緊急時のリホスト対応などは、Japan TACにサービスリクエストを申請をする事でサポートを受けることができます。 詳しくは、ライセンス関連の問い合わせ先について を参照してください。

    

3.2. PAKから Activation Keyの発行操作例

以下は実際のPAKから Activation Keyを発行時の操作例です。 本例では AnyConnect 4.x(型番=L-AC-APX-S-3Y-25)の PAKを利用しています。

Get New LicensesにPAKを入力し、Fullfillボタンをクリックします。

  
割り当て数を選択し、Nextボタンをクリックします。 本例はAnyConnect 4.xのPAKのため、各デバイスに1つ 割当を実施。

    
show versionで確認したシリアルを入力し、Nextボタンをクリックします。


    
最終確認画面に進むので、入力情報の確認と、License Agreementに同意の上、Submitボタンをクリックします。

   
発行後、以下のようなメールを受け取る事になると思います。 ご利用のASAバージョンに合わせ、適切なActivation Keyを選んで利用してください。

   
ご利用製品がASAバージョン 8.2以降の場合、"ASA SOFTWARE RELEASE 8.2+ ONLY"のActivation Keyを利用します。 ASA5500-Xシリーズなど新モデルの場合、原則 当Activation Keyを利用します。 なお、発行するライセンスによっては、当Activation Keyのみメールに記載されている事もあります。

"EXCLUDES ANY 8.2+ FEATURES"と記載のあるActivation Keyは、ASAバージョン8.2以降の機能を除外(Exclude)したActivation Keyです。 つまり、ASAバージョン 8.1以前向けです。 ASA5505やASA5510など旧モデルで利用するケースがありますが、ASAバージョン 8.1以前は 大変古いトレインであり、利用者は少ない傾向です。

   

    

4. Activation KeyのASAに適用

4.1. CLIからの適用

"configure terminal"コマンドで コンフィギュレーションモードに入り、"activation-key"コマンドで発行した Activation Keyを適用します。

!! 再起動不要時 !!
ASA# conf t
ASA(config)#
ASA(config)# activation-key 6b3bc050 88fd9b64 cd4035dc f900549c c32fc7ae
Validating activation key. This may take a few minutes...
Both Running and Flash permanent activation key was updated with the requested key.
ASA(config)#

   
適用後、show versionを実行し、想定のライセンスが有効に変わった事を、"Licensed features for this platform"項より確認します。

ASA(config)# show version

Cisco Adaptive Security Appliance Software Version 9.6(1)
Device Manager Version 7.6(1)

Compiled on Fri 18-Mar-16 14:08 PDT by builders
System image file is "disk0:/asa961-smp-k8.bin"
Config file at boot was "startup-config"
     --- 略 ---
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 250 28 days
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Enabled 28 days
Advanced Endpoint Assessment : Enabled 28 days
Shared License : Disabled perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.
--- 略 ---
ciscoasa(config)#
ciscoasa(config)# write
Building configuration...

   
何らかの機能を無効化したり、ダウングレード時に、「will become active after the next reload.」のメッセージと共に再起動が求められることがあります。 ライセンス有効化のために、その指示に従い、設定の保存と 機器の再起動を実施してください。

!! 再起動必要時 !!
ciscoasa# configure terminal
ciscoasa(config)#
ciscoasa(config)# activation-key 0xed3df342 0x3488d41e 0xd1b349a8 0xee14f4b8 0$
Validating activation key. This may take a few minutes...
The following features available in running permanent activation key are NOT
available in new permanent activation key:
AnyConnect for Mobile
WARNING: The running activation key was not updated with the requested key.
Proceed with update flash activation key? [confirm]
The flash permanent activation key was updated with the requested key,
and will become active after the next reload.
ciscoasa(config)#
ciscoasa(config)# write
Building configuration...
Cryptochecksum: 08cedb41 24aa36ad 8a0b2160 cb623ee8

2875 bytes copied in 0.750 secs
[OK]
ciscoasa(config)# reload
Proceed with reload? [confirm]
ciscoasa(config)#

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down sw-module
Shutting down License Controller
Shutting down File system

        

4.2. ASDMからの適用

Configuration > Device Management > Licensing > Activation Key の、"New Activation Key"欄にActivation Keyを入力し、"Update Activation Key"ボタンをクリックし適用します。

   
"Show license details"ボタンをクリックする事で、そのKeyにより有効となるライセンスを確認できます。

Effective Running Licenses欄で、その機器で有効なライセンス状態を確認できます。

    

    

5. よくある質問

Q: 型番にある -k8と -k9の違いは何か?

A: ASAのイメージは デフォルト -k8であり、-k8は DESライセンスがセットで出荷されます。 3DES/AESライセンス(無償)をセット購入した場合、-k9となります。なお、3DES/AESライセンスは無償であり、http://www.cisco.com/go/licenseから発行もできます。

強固な暗号化は、地域により利用が制限されるため、-k8と -k9の2つの型番がある状態となっています。

   

Q: Activation Keyはどこに保存されるのか?

A: フラッシュメモリ内に、隠しファイルとして保存されます。

    

Q: ライセンス適用時にリロードは必須か?

A: 多くの場合 不要です。 しかし、何らかの機能を無効化したり、ダウングレードし、システムが再起動が必要と判断した場合に、再起動が求められる事があります。(例:3DES/AESや AnyConnect Essentialライセンスの無効時、など。)  運用中の重要なシステムに追加ライセンスを適用する場合は、予め再起動のメンテナンス時間を考慮するか、もしくは検証機での事前検証をお勧めします。

    

Q: ある機器用に発行したライセンスを、他の別途購入機に流用することは可能か?

A: ライセンスを発行した場合、その機器のシリアル専用となります。 他の新規購入機に移行することはできません。 例外として、機器故障によるRMA対応時に、リホスト(ライセンス付替え)が可能です。

    

Q: 冗長構成を利用時に、show version内に表示される"Failover cluster licensed features for this platform:"とは何か?

A: ASAバージョン8.3以降で、一部ライセンスが結合(shared)され利用可能になりました。

例えば、Primary機が AnyConnect Premium Peers 100、Secondary機が AnyConnect Premium Peers 250、有効なライセンスを各保持している場合は、冗長ペアとして合計 350 までアクセス可能になります。 ただし、当結合は その利用Hardwareの上限を超える事はできません。 製品毎の最大値は ASAバージョン9.6の場合 コチラを参照してください。

結合情報は、例えペア機が故障などでコミュニケーションが取れなくなっても、30日間 保持されます。

何らかの理由でこの"Failover cluster licensed features for this platform:"を即座に初期化したい場合は、"clear config failover"コマンドで該当機器のFailover設定を削除のうえ、再起動してください。

     

Q: ASAvを利用しているが、スマートライセンスを利用時は どのようにActivation Keyを適用するか?

A: ASAv(仮想アプライアンス)でスマートライセンスを利用時、従来の方式とは異なり、ライセンス有効化にはToken IDを利用します。 詳しくは、ASAv: スマートライセンス認証とトラブルシューティングを参照してください。

 

Q: Firepower Threat Defense (FTD)を利用しているが、Activation Keyは利用可能か?

A: FTDは Activation Keyによるローカルでのライセンス有効化には対応してません。 ライセンス有効化には、スマートライセンスによるクラウド認証が必要です。

 

Q: Firepower2100/4100/9300シリーズで ASAソフトウェアを利用しているが、Activation Keyは利用可能か?

A: Firepower2100/4100/9300シリーズでは、ASAソフトウェアは、ASAvと同様に、スマートライセンスによるクラウド認証が必要になりました。 そのため、Activation Keyには対応してません。

   

   

6. 参考情報

ASA5500 シリーズのライセンスについて
https://supportforums.cisco.com/ja/document/72666

ソフトウェアライセンシングポータル ご利用方法  Module1: PAKを登録する
https://supportforums.cisco.com/ja/video/11932826

ソフトウェアライセンシングポータル ご利用方法  Module 2:有効化されたライセンスの取得
https://supportforums.cisco.com/ja/video/11932851

ソフトウェアライセンシングポータル ご利用方法  Module 3: RehostとRMA
https://supportforums.cisco.com/ja/video/11933076

ASA 5500シリーズ 3DES/AESライセンス取得方法
https://supportforums.cisco.com/ja/video/11932511

Product License Registration のエラーについて
https://supportforums.cisco.com/ja/document/102531

ライセンス関連の問い合わせ先について
https://supportforums.cisco.com/ja/document/147486

ASA 9.6: Chapter: Product Authorization Key Licenses
http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config/intro-license.html

ASDM 7.6: Chapter: Product Authorization Key Licenses
http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/asdm76/general/asdm-76-general-config/intro-license.html

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841#hdr-1

8490
閲覧回数
5
いいね!
0
コメント