シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA: AnyConnect 4.x (Plus/Apexライセンス)の PAKの利用方法と、評価ライセンスについて

 

はじめに

AnyConnect Secure Mobility Client 4.0より、ライセンスはASAに紐づくのではなく、ユーザに紐づくという考え方に変わりました。そのため、ASAはデバイス接続数の制限を行わなくなります。また、ユーザ数を元にライセンスを管理頂ければ良くなりましたため、よりシンプルになりました。

当変更の理由としては、従来のハードウェアに紐づく方式の場合では、デバイス接続数を元にライセンスやASAハードウェアの選定・購入と、導入・運用を頂いていましたが、現在のモバイルデバイス利用の急激な増加(単一ユーザの複数デバイス利用の増加を含む)と 利用形態の多様化に伴い、長期的な必要デバイス接続数や接続先の選定と、その運用が、複雑かつ困難になりつつあると考えていたためです。
 

 

PAKの利用方法

上記変更に伴い、Plus もしくは Apexライセンスを購入すると 入手できる Product Authorization Key(PAK)を、"複数"のASAに利用可能な、当デバイス接続数の制限を解除する multi-useなキーとして利用できます。複数のASAに、同じPAKを利用いただけます。

ASAへの適用方法は、以下などを参考頂きながら、最初に、www.cisco.com/go/license にアクセスし、PAKと 適用対象のASAのシリアルを元に、Activation Keyを発行します。適用対象が複数ある場合は、対象のASAのシリアル毎に、各Activation Keyを発行してください。 この際、必ず、 Quantity(適用数)は 1個ずつ選択し、各デバイスを登録してください。 All Quantitiesオプションは利用しないでください。また、ASAのシリアルは "show version"コマンドで確認したものを利用してください。  次に、発行した各Activation Keyを、各ASAに適用します。 適用後は、そのASAのハードウェアキャパシティの最大値まで デバイス終端が可能となります。
  
PAKからの発行とASA適用操作について詳しくは、 ASA: Activation Keyを用いたライセンス有効化と確認 ドキュメントを参照してください。

ASA: Activation Keyを用いたライセンス有効化と確認
https://supportforums.cisco.com/ja/document/13091861#PAK_Activation_Key

発行時 画面例

 
運用を開始後、ユーザ数が更に増加する場合は、ご利用のユーザ数に応じたライセンスを追加購入してください。

VPN終端サーバを増やすためのASAハードウェアの新規増設時や、古いASAの更改時は、お客様にてPAKより発行したActivation Keyを 新しいASAに適用するだけで問題ありません。

ご契約のユーザ数や有効期間(term)内の利用であれば、ライセンスを追加購入頂く必要はありません。 つまり、お客様の利用形態に合わせ、ご希望の複数ASAハードウェアのライセンス有効化(activation)と デバイス接続数の制限解除が可能です。

  
AnyConnect 4.xは ASAの保守上も簡便です。 仮にASAハードウェアが故障しRMAを行う際も、PAKの再利用が可能ですので、お客様にて新しいASAに、同様の手順で Activation Keyを発行・適用いただけます。 つまり、AnyConnect 4.x では、機器交換に伴うリホスト(シリアル付け替え)が必須ではなくなります。

        
     

評価ライセンスの利用方法

購入前の評価を行いたい、という場合は、4週間の Apex 評価ライセンスを発行・利用可能です。 Apexライセンスは、Plusライセンスの全ての機能を含んでいます。

 

ASAへの適用方法は、まず、www.cisco.com/go/license にアクセスします。 仮にスマートアカウントの登録を求められた場合、登録は必須ではないため、スマートアカウント登録なしに進む場合は 「All Licenses for xxxx xxxx(ユーザ名)」をクリックします。

AnyConnect-SmartAccount.JPG

 

ポータルでGet Licensesをクリックし、Demo and evaluation... を選択します。

AnyConnect-DemoLicense.JPG

  
Search by Keyword欄にてAPEXを検索した後、Product欄より AnyConnect Plus/Apex(ASA) Demo License を選択し、Nextを押下します。


"2. Specify Target Device and Options"ページに移動しますので、適用対象のASAの"show version"より確認したシリアル番号と 任意ユーザ数を入力した後、Nextを押下します。


確認ページに進みますので、シリアルや activation keyの送付先のメールアドレスなどを再確認した後、Submitを押下します。登録したメールアドレスに、以下のようなメールが届きますので、記載のactivation keyを、該当ASAに適用してください。

 
 
 

 

よくある質問

VPN終端デバイスにASA以外を利用時、AnyConnect PAK登録は必要ですか?

AnyConnect 4.xのPAK登録と物理デバイスに適用は、ASA5500/5500-X利用時のみ必要です。 これは、従来のAnyConnect 3.xの頃の VPNアクセス終端数のデフォルト制限の解除に利用します。

逆に、ASAvや Firepower、Cisco ISRルータ、Cisco  ASRルータ、Cisco CSR1000VルータをVPN終端サーバとして利用する場合は、PAK登録による対応は不要です。
 

 

 

参考情報

Cisco AnyConnect 発注ガイド [英語]
ライセンス管理方法について "6. License Management"も 一読ください
http://www.cisco.com/c/dam/en/us/products/security/anyconnect-og.pdf

AnyConnect Licensing Frequently Asked Questions (FAQ)
AnyConnect 4.xのライセンスに関するFAQ集
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html

AnyConnect 4.0のライセンスについて
https://supportforums.cisco.com/ja/document/12391866

AnyConnect 4.0に関するサービスリクエスト(SR)オープン時の注意事項
https://supportforums.cisco.com/ja/document/12484116

ASA: Activation Keyを用いたライセンス有効化と確認
https://supportforums.cisco.com/ja/document/13091861

コメント
New Member

PAKごとにQuantityは 1個づつとあります。

(実際にGet New Licensesのオーダー画面でQuantityは1以外選択できません)

AC-APX-5YR-100を3個購入しても同梱されてくるPAKは、L-AC-APX-S-5Y-100が1つのみです。

300ユーザー分を同じASAへインストールしたい場合、Product License Registrationを3回繰り返し、最後のactivation keyをASAへインストールすれば良いのでしょうか?

導入後、300ユーザー分利用可能な状態になっていることをどのように確認したらよいのでしょうか?

Cisco Employee

TAKASUさん、こんにちわ

ASAはユーザ数の管理はしておらず、Activationする事で、そのASAのHardwareキャパシティの上限までのリモートVPN終端が可能になります。 具体的には、show versionで確認できる以下のPremium Peersの値が、ご利用機器の上限値まで解放されます。

このPremium Peersの値が、そのASAに同時接続可能な値となります。

ASA# show version
--- 略 ---
AnyConnect Premium Peers : 250 perpetual <--- THIS
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual

つまり、ASAは AnyConnect Premium Peersの値まで リモートVPN接続を受け入れる事ができ、特にライセンスに基づいたユーザ数の接続制限といった 細かな制御は行っておりません。 

その為、お客様には、ご購入のライセンス範囲内での利用ユーザ数の管理を お願いしております。 仮に300名分 ご購入頂いている場合は、AnyConnect利用ユーザ数が、300名を越えないよう ご運用頂ければと存じます。 もしユーザ様数が300名より増える場合は、越える前に、ライセンスの追加購入を ご検討のほどお願いいたします。 

New Member

いつもお世話になっております。

早々のご回答ありがとうございます。

L-AC-APX-S-5Y-100のPAKを1度だけLicense Registrationを実施すれば問題なく300ユーザー接続できるということですね。(3回も同じPAKに対して Registrationする必要はない)

ある意味、紳士協定のようなもので、機器が利用ユーザー数をチェックしているわけではないので、仮に301ユーザー目で突然接続できなくなるわけではないということですね。

実際には、300ユーザー購入し、その後200ユーザー分を追加購入していますので、2つのPAKがありますが、追加ユーザー分はLicense Registrationをしなくても問題なく利用できるということですね。もちろんRegistrationはしますけど、発行されたactivation keyを機器にインストールする必要はないと理解いたしました。どうもありがとうございました。

Cisco Employee

TAKASU様、早速のご確認有難うございます。はい、ご認識の通りです。

お客様のライセンス管理の負荷を大きく下げる事が、今回のライセンス管理方式の変更の主目的の1つとなりますので、引き続き 弊社製品のご愛顧のほど、よろしくお願いいたします。

New Member

ライセンス適用後の有事の際のリストアの観点についてですが、

新ライセンス適用前のアクティベーションキーをコマンド投入すれば、ライセンスの状態は新ライセンス適用前の状態に切り戻されるのでしょうか。

Cisco Employee

Tezさん こんにちわ。

ASAは 1つのPermanent(永続) Activation-keyを持つので、"技術上"は切り戻しが可能かと思います。及び、私の試験環境でも、旧Permanent Activation-keyを適用しなおす事で、ライセンス機能が旧状態に戻る事を確認しております。

しかし、私達のサポートという観点では、発行したキーの速やかな適用をお願いしております。 旧状態とは Ciscoのデータベース情報と違った機能が有効な状態になるので、あまり実行はお勧めできません。

New Member

お世話になります。

Cisco 892J 15.3(3)M や C841M-8X-JAIS/K9 で AnyConnect 4.x を利用したいと思います。

Cisco Router にて AnyConnect 4.x を利用する場合も同様のPAKの発行手順になるでしょうか。

こんにちわ。横から失礼します。

IOSルータの場合、AnyConnect利用時に必要となる、IOSヘッドエンド側のライセンスが異なります。具体的には、AnyConnect利用者側でAnyConnectライセンス(※人数分用意)、IOSルータ側でセキュリティライセンスが必要です。 

詳しくは以下資料やQ&Aが参考になると思います。
https://supportforums.cisco.com/ja/document/12273621
https://supportforums.cisco.com/ja/document/12364196
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html#anc19

New Member

Akira Muranaka様、ありがとうございます。

C892JやC841Mであればデフォルトでセキュリティライセンスをカバーしているので、
特にルータ側へはactivation key 登録はいらないのですね。

参考になりました。ご教示ありがとうございました。

14991
閲覧回数
0
いいね!
9
コメント