2015-11-06 06:30 PM
初めて投稿させていただきます。
AnyConnect v4用のライセンス(PlusライセンスまたはApexライセンス)を適用したASA上で
AnyConnect v3.1は問題なく動くでしょうか。
現在、ASA5515X +OS: 9.1(5)でVPN機器として稼働させています。
VPNクライアント
Windows 7/8 PC用
Clientbase SSL-VPN : AnyConnect 3.1.05182
Clientless SSL-VPN : ブラウザ
IPsec-VPN : VPN Client 5.0.07
iPhone/iPad用
Clientbase SSL-VPN : AnyConnect 3.0.12269など
Clientless SSL-VPN : ブラウザ
適用ライセンス: Any Connect Mobile, SSL VPN100 Peer License
show versionの抜粋は末尾に記載します。
ライセンスを変更し、100→50ユーザーに削減することで保守コストの削減を図ろうとしています。
最近、ライセンス体系が変わり、AnyConnect4.x対応のライセンスしか購入できなくなっています。
(購入するとすれば、Apexマイグレーションライセンス 50 ユーザタイプと考えております。)
新しい体系のライセンスは、AnyConnect4.xとセットでの説明が多いですが、
AnyConnect3.xと新しい体系のライセンスの組み合わせで問題はないでしょうか
AnyConnect3.xはEoLがアナウンス済みで、本来であればAnyConnect4.xに移行することが望ましいのは理解しています。
しかし、エンドユーザ数が多いことから、もうしばらく、AnyConnect3.xを使用したいと考えております。
似たような質問が以下にありますが、明確な回答の記載がなかったため質問させていただきました。
「Anyconnect new licenses clarification」
https://supportforums.cisco.com/discussion/12619511/anyconnect-new-licenses-clarification
よろしくお願いします。
---show versionの出力結果の抜粋---
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 100 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual
This platform has an ASA 5515 Security Plus license.
解決済! 解決策の投稿を見る。
2015-11-08 12:09 AM
athirano1さん、こんばんわ。
はい、AnyConnect 4.x用のライセンスを適用した状態で、AnyConnect 3.xの利用は可能です。
従来のライセンス方式の場合、ASAをアクティベートすると、その購入数分のみASAに接続可能でした。 ご利用の機器の場合、ライセンスを100で購入・適用頂いているので、以下のAnyConnect Premium Peersも最大100までとなっています。
---show versionの出力結果の抜粋---
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 100 perpetual <---- THIS (ご利用の従来ライセンス時)
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual
This platform has an ASA 5515 Security Plus license.
AnyConnect 4.xからは、従来の購入したライセンスに基づく接続数制限をASAはしなくなり、そのASA(Hardware)の最大接続可能数まで 終端可能になります。 ご利用のASA5515の場合は、250まで終端が可能になります。
つまり、ご利用のASA(Hardware)の最大Peerまで接続可能となりますが、購入のユーザ数以上の利用はライセンス違反になってしまうので、ユーザ数が増えた場合は (上限を超える前に) 買い足して頂く必要があります。 お客様にて ユーザ数の管理と判断をお願いしております。
参考情報となりますが、以下は 私のASA5515(ver.9.3.3.1)に、AnyConnect Plus/Apex (ASA) Demoの4週間ライセンスを適用した場合の出力です。 適用後に、Premium Peersが、Hardwareの最大終端可能数まで上がっている事を確認できます。 及び、当状態でも、このASAに AnyConnect 3.1の接続が可能です。
---show versionの出力結果の抜粋 (4week Demo Lic適用後)---
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 250 28 days <------ THIS (Plus/Apexライセンスに移行後)
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Enabled 28 days
AnyConnect for Cisco VPN Phone : Enabled 28 days
Advanced Endpoint Assessment : Enabled 28 days
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual
This platform has an ASA 5515 Security Plus license.
他、AnyConnect 4.xへの移行に関しては、(既にご確認していただいているかもですが、)以下サイトの情報も ご参考になるかと思います。
https://supportforums.cisco.com/ja/document/12501781
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html
モデル毎の最大接続可能数の確認には、以下モデル比較の"AnyConnect またはクライアントレス VPN のユーザ セッション数"が参考になります。
http://www.cisco.com/web/JP/product/hs/security/asa/prod_models_comparison.html
2015-11-08 12:09 AM
athirano1さん、こんばんわ。
はい、AnyConnect 4.x用のライセンスを適用した状態で、AnyConnect 3.xの利用は可能です。
従来のライセンス方式の場合、ASAをアクティベートすると、その購入数分のみASAに接続可能でした。 ご利用の機器の場合、ライセンスを100で購入・適用頂いているので、以下のAnyConnect Premium Peersも最大100までとなっています。
---show versionの出力結果の抜粋---
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 100 perpetual <---- THIS (ご利用の従来ライセンス時)
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual
This platform has an ASA 5515 Security Plus license.
AnyConnect 4.xからは、従来の購入したライセンスに基づく接続数制限をASAはしなくなり、そのASA(Hardware)の最大接続可能数まで 終端可能になります。 ご利用のASA5515の場合は、250まで終端が可能になります。
つまり、ご利用のASA(Hardware)の最大Peerまで接続可能となりますが、購入のユーザ数以上の利用はライセンス違反になってしまうので、ユーザ数が増えた場合は (上限を超える前に) 買い足して頂く必要があります。 お客様にて ユーザ数の管理と判断をお願いしております。
参考情報となりますが、以下は 私のASA5515(ver.9.3.3.1)に、AnyConnect Plus/Apex (ASA) Demoの4週間ライセンスを適用した場合の出力です。 適用後に、Premium Peersが、Hardwareの最大終端可能数まで上がっている事を確認できます。 及び、当状態でも、このASAに AnyConnect 3.1の接続が可能です。
---show versionの出力結果の抜粋 (4week Demo Lic適用後)---
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 250 28 days <------ THIS (Plus/Apexライセンスに移行後)
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Enabled 28 days
AnyConnect for Cisco VPN Phone : Enabled 28 days
Advanced Endpoint Assessment : Enabled 28 days
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual
This platform has an ASA 5515 Security Plus license.
他、AnyConnect 4.xへの移行に関しては、(既にご確認していただいているかもですが、)以下サイトの情報も ご参考になるかと思います。
https://supportforums.cisco.com/ja/document/12501781
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html
モデル毎の最大接続可能数の確認には、以下モデル比較の"AnyConnect またはクライアントレス VPN のユーザ セッション数"が参考になります。
http://www.cisco.com/web/JP/product/hs/security/asa/prod_models_comparison.html
2015-11-13 11:35 PM
Taisuke Nakamura さん
投稿者のathirano1です。
詳しい回答、関連する情報のURLなど、ありがとうございます。
おかげさまで、機器の構築ができそうです。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド