購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
44225
閲覧回数
10
いいね!
0
コメント

ASA: Activation Keyを用いたライセンス有効化と確認

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2016-08-08 12:01 AM - 最終編集日: ‎2023-12-22 05:22 PM 、編集者: Level 7

 

  

1. はじめに

ASAアプライアンスのライセンス有効化は、通常 以下ステップで実施します。

    
本ドキュメントでは、アクティベーションキーの発行や適用の 各ステップについて、より詳しく説明します。

本ドキュメントは ASAバージョン 9.6(1)、ASDMバージョン 7.6(1)を元に確認、作成しております。

   

   

2. show version出力のシリアルの準備

Activation keyの発行には、show versionで確認したシリアルを使います。

show inventoryで確認できる筐体シリアルは 異なる用途(RMAなど)で使いますので、違いに注意してください。

特にASA5500-Xシリーズから、show versionと show inventoryのシリアルの違いが明確になりました。 以下はその出力例です。

ASA# show version

Cisco Adaptive Security Appliance Software Version 9.6(1)
Device Manager Version 7.6(1)
 --- snip ---
This platform has an ASA 5515 Security Plus license.

Serial Number: FCH16157xxx <---- Activation Key発行時に利用
Running Permanent Activation Key: 0x6b3bc050 0x88fd9b64 0xcd4035dc 0xf900549c 0xc32xxxxx
Running Timebased Activation Key: 0x0d1817c4 0xad5043e5 0xa1fa9f77 0xf004ffff 0x0baxxxxx
Configuration register is 0x1

Image type          : Release
Key version         : A

Configuration last modified by cisco at 22:50:44.323 JST Sun Aug 7 2016

ASA# show inventory
Name: "Chassis", DESCR: "ASA 5515-X with SW, 6 GE Data, 1 GE Mgmt, AC"
PID: ASA5515 , VID: V01 , SN: FGL1619404G <---- RMA時に利用

Name: "Storage Device 1", DESCR: "Micron 128 GB SSD MLC, Model Number: C400-MTFDDAC128MAM"
PID: N/A , VID: N/A , SN: MSA173602AT

   
以下は 間違ったシリアルで発行したActivation-keyを適用時の エラー出力例です。 当エラーが出力時は、発行に利用したシリアルが正しいか確認してください。

ASA# activation-key 0xc50bdf5f 0x4c8132c3 0x2d53d90c 0xedd86cdc 0xc23b$
Validating activation key. This may take a few minutes...
not supported yet.
ERROR: The requested activation key was not saved because it is not
valid for this system.

 
なお、ASDMを利用の場合は、Activation Key発行に利用するシリアルは、以下メニューより確認できます。 (操作画面例は 項番4.2を参照。)

  Configuration > Device Management > Licensing > Activation Key

     

   

3. Activation Keyの入手

3.1. Product License Registrationの利用方法

Product License Registration (http://www.cisco.com/go/license) にて、PAKからのActivation Keyの発行や、その管理が可能です。

    
Activation Keyの発行時に、show versionで確認したシリアルを利用します。 詳しくは、ASA5500-X シリーズ製品 シリアル番号の確認に関する留意点 を参照してください。

3DES/AESライセンスは無料で発行可能です。詳しくは、ASA 5500シリーズ 3DES/AESライセンス取得方法 を参照してください。

AnyConnect4.xから ライセンスの考え方と PAK利用方法が変わりました。 詳しくは、AnyConnect 4.x (Plus/Apexライセンス)の PAKの利用方法と、評価ライセンスについて を参照してください。

 

ライセンス関連でトラブル時や、不明点、緊急時のリホスト対応などは、Japan TACにサービスリクエストを申請をする事でサポートを受けることができます。 詳しくは、ライセンス関連の問い合わせ先について を参照してください。

    

3.2. PAKから Activation Keyの発行操作例

以下は実際のPAKから Activation Keyを発行時の操作例です。 本例では AnyConnect 4.x(型番=L-AC-APX-S-3Y-25)の PAKを利用しています。

Get New LicensesにPAKを入力し、Fullfillボタンをクリックします。

  
割り当て数を選択し、Nextボタンをクリックします。 本例はAnyConnect 4.xのPAKのため、各デバイスに1つ 割当を実施。

    
show versionで確認したシリアルを入力し、Nextボタンをクリックします。


    
最終確認画面に進むので、入力情報の確認と、License Agreementに同意の上、Submitボタンをクリックします。

   
発行後、以下のようなメールを受け取る事になると思います。 ご利用のASAバージョンに合わせ、適切なActivation Keyを選んで利用してください。

   
ご利用製品がASAバージョン 8.2以降の場合、"ASA SOFTWARE RELEASE 8.2+ ONLY"のActivation Keyを利用します。 ASA5500-Xシリーズなど新モデルの場合、原則 当Activation Keyを利用します。 なお、発行するライセンスによっては、当Activation Keyのみメールに記載されている事もあります。

"EXCLUDES ANY 8.2+ FEATURES"と記載のあるActivation Keyは、ASAバージョン8.2以降の機能を除外(Exclude)したActivation Keyです。 つまり、ASAバージョン 8.1以前向けです。 ASA5505やASA5510など旧モデルで利用するケースがありますが、ASAバージョン 8.1以前は 大変古いトレインであり、利用者は少ない傾向です。

   

    

4. Activation KeyのASAに適用

4.1. CLIからの適用

"configure terminal"コマンドで コンフィギュレーションモードに入り、"activation-key"コマンドで発行した Activation Keyを適用します。

!! 再起動不要時 !!
ASA# conf t
ASA(config)#
ASA(config)# activation-key 6b3bc050 88fd9b64 cd4035dc f900549c c32fc7ae
Validating activation key. This may take a few minutes...
Both Running and Flash permanent activation key was updated with the requested key.
ASA(config)#

   
適用後、show versionを実行し、想定のライセンスが有効に変わった事を、"Licensed features for this platform"項より確認します。

ASA(config)# show version

Cisco Adaptive Security Appliance Software Version 9.6(1)
Device Manager Version 7.6(1)

Compiled on Fri 18-Mar-16 14:08 PDT by builders
System image file is "disk0:/asa961-smp-k8.bin"
Config file at boot was "startup-config"
     --- 略 ---
Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited perpetual
Maximum VLANs                     : 100 perpetual
Inside Hosts                      : Unlimited perpetual
Failover                          : Active/Active perpetual
Encryption-DES                    : Enabled perpetual
Encryption-3DES-AES               : Enabled perpetual
Security Contexts                 : 2 perpetual
Carrier                           : Disabled perpetual
AnyConnect Premium Peers          : 250 28 days
AnyConnect Essentials             : Disabled perpetual
Other VPN Peers                   : 250 perpetual
Total VPN Peers                   : 250 perpetual
AnyConnect for Mobile             : Enabled perpetual
AnyConnect for Cisco VPN Phone    : Enabled 28 days
Advanced Endpoint Assessment      : Enabled 28 days
Shared License                    : Disabled perpetual
Total UC Proxy Sessions           : 2 perpetual
Botnet Traffic Filter             : Disabled perpetual
IPS Module                        : Disabled perpetual
Cluster                           : Enabled perpetual
Cluster Members                   : 2 perpetual

This platform has an ASA 5515 Security Plus license.
     --- 略 ---
ciscoasa(config)#
ciscoasa(config)# write
Building configuration...

   
何らかの機能を無効化したり、ダウングレード時に、「will become active after the next reload.」のメッセージと共に再起動が求められることがあります。 ライセンス有効化のために、その指示に従い、設定の保存と 機器の再起動を実施してください。

!! 再起動必要時 !!
ciscoasa# configure terminal
ciscoasa(config)#
ciscoasa(config)# activation-key 0xed3df342 0x3488d41e 0xd1b349a8 0xee14f4b8 0$
Validating activation key. This may take a few minutes...
The following features available in running permanent activation key are NOT
available in new permanent activation key:
 AnyConnect for Mobile
WARNING: The running activation key was not updated with the requested key.
Proceed with update flash activation key? [confirm]
The flash permanent activation key was updated with the requested key,
and will become active after the next reload.
ciscoasa(config)#
ciscoasa(config)# write
Building configuration...
Cryptochecksum: 08cedb41 24aa36ad 8a0b2160 cb623ee8

2875 bytes copied in 0.750 secs
[OK]
ciscoasa(config)# reload
Proceed with reload? [confirm]
ciscoasa(config)#

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down sw-module
Shutting down License Controller
Shutting down File system

        

4.2. ASDMからの適用

Configuration > Device Management > Licensing > Activation Key の、"New Activation Key"欄にActivation Keyを入力し、"Update Activation Key"ボタンをクリックし適用します。

   
"Show license details"ボタンをクリックする事で、そのKeyにより有効となるライセンスを確認できます。

Effective Running Licenses欄で、その機器で有効なライセンス状態を確認できます。

    

    

5. よくある質問

Q: 型番にある -k8と -k9の違いは何か?

A: ASAのイメージは デフォルト -k8であり、-k8は DESライセンスがセットで出荷されます。 3DES/AESライセンス(無償)をセット購入した場合、-k9となります。なお、3DES/AESライセンスは無償であり、http://www.cisco.com/go/licenseから発行もできます。

強固な暗号化は、地域により利用が制限されるため、-k8と -k9の2つの型番がある状態となっています。

   

Q: Activation Keyはどこに保存されるのか?

A: フラッシュメモリ内に、隠しファイルとして保存されます。

    

Q: ライセンス適用時にリロードは必須か?

A: 多くの場合 不要です。 しかし、何らかの機能を無効化したり、ダウングレードし、システムが再起動が必要と判断した場合に、再起動が求められる事があります。(例:3DES/AESや AnyConnect Essentialライセンスの無効時、など。)  運用中の重要なシステムに追加ライセンスを適用する場合は、予め再起動のメンテナンス時間を考慮するか、もしくは検証機での事前検証をお勧めします。

    

Q: ある機器用に発行したライセンスを、他の別途購入機に流用することは可能か?

A: ライセンスを発行した場合、その機器のシリアル専用となります。 他の新規購入機に移行することはできません。 例外として、機器故障によるRMA対応時に、リホスト(ライセンス付替え)が可能です。

    

Q: 冗長構成を利用時に、show version内に表示される"Failover cluster licensed features for this platform:"とは何か?

A: ASAバージョン8.3以降で、一部ライセンスが結合(shared)され利用可能になりました。

例えば、Primary機が AnyConnect Premium Peers 100、Secondary機が AnyConnect Premium Peers 250、有効なライセンスを各保持している場合は、冗長ペアとして合計 350 までアクセス可能になります。 ただし、当結合は その利用Hardwareの上限を超える事はできません。 製品毎の最大値は ASAバージョン9.6の場合 コチラを参照してください。

結合情報は、例えペア機が故障などでコミュニケーションが取れなくなっても、30日間 保持されます。

何らかの理由でこの"Failover cluster licensed features for this platform:"を即座に初期化したい場合は、"clear config failover"コマンドで該当機器のFailover設定を削除のうえ、再起動してください。

     

Q: ASAvを利用しているが、スマートライセンスを利用時は どのようにActivation Keyを適用するか?

A: ASAv(仮想アプライアンス)でスマートライセンスを利用時、従来の方式とは異なり、ライセンス有効化にはToken IDを利用します。 詳しくは、ASAv: スマートライセンス認証とトラブルシューティングを参照してください。

 

Q: Firepower Threat Defense (FTD)を利用しているが、Activation Keyは利用可能か?

A: FTDは Activation Keyによるローカルでのライセンス有効化には対応してません。 ライセンス有効化には、スマートライセンスによるクラウド認証が必要です。

 

Q: Firepower2100/4100/9300シリーズで ASAソフトウェアを利用しているが、Activation Keyは利用可能か?

A: Firepower2100/4100/9300シリーズでは、ASAソフトウェアは、ASAvと同様に、スマートライセンスによるクラウド認証が必要になりました。 そのため、Activation Keyには対応してません。

   

   

6. 参考情報

ASA5500 シリーズのライセンスについて
https://supportforums.cisco.com/ja/document/72666

ソフトウェアライセンシングポータル ご利用方法  Module1: PAKを登録する
https://supportforums.cisco.com/ja/video/11932826

ソフトウェアライセンシングポータル ご利用方法  Module 2:有効化されたライセンスの取得
https://supportforums.cisco.com/ja/video/11932851

ソフトウェアライセンシングポータル ご利用方法  Module 3: RehostとRMA
https://supportforums.cisco.com/ja/video/11933076

ASA 5500シリーズ 3DES/AESライセンス取得方法
https://supportforums.cisco.com/ja/video/11932511

Product License Registration のエラーについて
https://supportforums.cisco.com/ja/document/102531

ライセンス関連の問い合わせ先について
https://supportforums.cisco.com/ja/document/147486

ASA 9.6: Chapter: Product Authorization Key Licenses
http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config/intro-license.html

ASDM 7.6: Chapter: Product Authorization Key Licenses
http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/asdm76/general/asdm-76-general-config/intro-license.html

ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents