AnyConnect用ユーザ数増加　ライセンス追加について

s-ito65535 · ‎2016-09-23

お世話になります。

基本的な事かと思いますが、ライセンスオーダーについて、

http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf

等も確認していますが、間違いが無いようにしたいので教えて下さい。

現在、ASAにて下記状態のライセンス運用をしております。

　AnyConnect Premium Peers : 50 perpetual

　***

　This platform has an ASA5525 VPN Premium license.

現在はユーザー数も50ですが、18ユーザーを追加する必要があります。

この場合、AC-PLS-P-25-Sを追加購入すれば良いのか、AC-PLS-P-100-Sを

購入してactivateしなおす必要があるのかをご教示ください。

私の考えは、AC-PLS-P-100-Sを購入する必要があるという考えです。

尚、「Perpetual Licenses」の考え方に変更はありません。

よろしくお願いします。

Akira Muranaka · ‎2016-09-25

Itoさん、こんにちわ。

AnyConnect 4.xからは、AnyConnect利用ユーザ数(=人)に合わせ、ライセンスを購入する方針に変わってます。機器での接続制限は撤廃されており、その利用機器の最大までAnyConnect接続が収容可能にかわってます。

ASA5525は最大750ピアまで接続可能ですので、AnyConnect 4.xのPAKで発行したライセンスキーを適用すれば、最大750台まで同時接続可能になります。例えば1人あたり PCとモバイルの2台でVPNを利用した場合、最大 375人までの接続が(技術上は)可能になります。しかし、AnyConnectライセンスを100人分しか買ってない場合は、100人以上で利用するとライセンス違反になります。紳士協定です。（あと、ASA5525で750台も収容すると、かなりパフォーマンスも悪化すると思うので、1台で収容する機器はほどほどがいいです。）

各機器の最大AnyConnect接続可能数は以下URLなどで確認できます。
http://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/intro_license.html#wp2162912

なお、AnyConnect 4.xのPAKで発行したライセンスを適用すると、上述の通り機器の最大収容可能数までAnyConnect接続可能になりますが、現在 ASA5525で 50 perpetualということは、ASA5525に適用してたライセンスは AnyConnect 3.x以前のものだと思います。

今も出来るかはわからないのですが、昔はシスコ製品販売店の営業さんでAnyConnect 3.x→AnyConnext 4.xへのマイグレーションを扱ってたと思います。仮にそれが出来た場合は、25ユーザライセンスを買い足せば大丈夫だと思います。ただ、show versionの出力から、恐らく AnyConnect 3.x利用時は Premiumライセンスを利用してたと思うので、本来のマイグレーション先はApexになるはずです。 PlusはAnyConnectを利用するPCとモバイル向けの安価ライセンスです。

何らかの理由で既存50ユーザライセンスの Apexマイグレーションが出来ない or そもそもAPEXライセンスに移行する予定がないのであれば、Itoさん検討中の 100ユーザ Plusライセンスの購入で問題ないと思います。

AnyConnect 4.xのライセンス購入後のPAKから、ASA5525のシリアルを使ってライセンスを発行、ASAにライセンス適用すれば、接続可能数が上書きされ、最大750まで収容可能になると思います。あとは、購入・管理しているAnyConnectユーザ数の最大を超えないよう運用すれば大丈夫かと思います。

ユーザ数の考え方については、以下QAも参考になります。

http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html#anc7

Q. How do I determine how many licenses to purchase?
A. The AnyConnect Plus and Apex model is based on total authorized users that will make use of any AnyConnect service, not simultaneous connections (either on a per-ASA or shared basis) and not total active remote access users. As such, a user can connect with as many devices as he / she wants as long as the you have available hardware capacity and have not exceeded your purchased authorized user count. It is your responsibility to purchase additional authorized user licenses if their usage needs increase. If you currently support 30K simultaneous user connections but have 50K users who need AnyConnect services, you would be required to buy a 50K license. If you have 100K users who need AnyConnect services, you would be required to buy a 100K license. For unattended environments where there are not really individual users on the other side of a connection, each unattended device is considered a unique user.

以下ドキュメントの、PAKからのライセンス発行方法や、ディスカッションも参考になります。

https://supportforums.cisco.com/ja/document/12501781

AnyConnect用ユーザ数増加 ライセンス追加について

AnyConnect用ユーザ数増加　ライセンス追加について