購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
53028
閲覧回数
5
いいね!
9
コメント

ASA: AnyConnect 4.x (Plus/Apexライセンス)の PAKの利用方法と、評価ライセンスについて

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2015-05-08 03:36 PM - 最終編集日: ‎2024-01-25 03:34 PM 、編集者: Level 8

 

はじめに

AnyConnect Secure Mobility Client 4.0より、ライセンスはASAに紐づくのではなく、ユーザに紐づくという考え方に変わりました。そのため、ASAはデバイス接続数の制限を行わなくなります。また、ユーザ数を元にライセンスを管理頂ければ良くなりましたため、よりシンプルになりました。

当変更の理由としては、従来のハードウェアに紐づく方式の場合では、デバイス接続数を元にライセンスやASAハードウェアの選定・購入と、導入・運用を頂いていましたが、現在のモバイルデバイス利用の急激な増加(単一ユーザの複数デバイス利用の増加を含む)と 利用形態の多様化に伴い、長期的な必要デバイス接続数や接続先の選定と、その運用が、複雑かつ困難になりつつあると考えていたためです。
 

 

PAKの利用方法 (L-AC-PLS-LIC or L-AC-APX-LIC 利用時を除く)

上記変更に伴い、Plus もしくは Apexライセンスを購入すると 入手できる Product Authorization Key(PAK)を、"複数"のASAに利用可能な、当デバイス接続数の制限を解除する multi-useなキーとして利用できます。適用可能数が 99,999に設定されており、複数のASAに、同じPAKを利用いただけます。

ASAへの適用方法は、以下などを参考頂きながら、最初に、www.cisco.com/go/license にアクセスし、PAKと 適用対象のASAのシリアルを元に、Activation Keyを発行します。適用対象が複数ある場合は、対象のASAのシリアル毎に、各Activation Keyを発行してください。 この際、必ず、 Quantity(適用数)は 1個ずつ選択し、各デバイスを登録してください。 All Quantitiesオプションは利用しないでください。また、ASAのシリアルは "show version"コマンドで確認したものを利用してください。  次に、発行した各Activation Keyを、各ASAに適用します。 適用後は、そのASAのハードウェアキャパシティの最大値まで デバイス終端が可能となります。
  
PAKからの発行とASA適用操作について詳しくは、 ASA: Activation Keyを用いたライセンス有効化と確認 ドキュメントを参照してください。

ASA: Activation Keyを用いたライセンス有効化と確認
https://supportforums.cisco.com/ja/document/13091861#PAK_Activation_Key

発行時 画面例

 
運用を開始後、ユーザ数が更に増加する場合は、ご利用のユーザ数に応じたライセンスを追加購入してください。

VPN終端サーバを増やすためのASAハードウェアの新規増設時や、古いASAの更改時は、お客様にてPAKより発行したActivation Keyを 新しいASAに適用するだけで問題ありません。

ご契約のユーザ数や有効期間(term)内の利用であれば、ライセンスを追加購入頂く必要はありません。 つまり、お客様の利用形態に合わせ、ご希望の複数ASAハードウェアのライセンス有効化(activation)と デバイス接続数の制限解除が可能です。

  
AnyConnect 4.xは ASAの保守上も簡便です。 仮にASAハードウェアが故障しRMAを行う際も、PAKの再利用が可能ですので、お客様にて新しいASAに、同様の手順で Activation Keyを発行・適用いただけます。 つまり、AnyConnect 4.x では、機器交換に伴うリホスト(シリアル付け替え)が必須ではなくなります。

  

 

PAKの利用方法 (L-AC-PLS-LIC or L-AC-APX-LIC 利用時)

L-AC-PLS-LIC=、もしくは L-AC-APX-LICを利用時は、新PAK方式となり、制限された回数しかASAに適用できません。 つまり、従来のAnyConnect 4.x用のPAKのような99,999回の利用はできません。 代わりに、Share 機能を利用し、そのライセンスを新デバイスに適用することが可能です。リホスト時の新デバイスへのAnyConnectライセンス適用は、このShare機能を利用します。

詳しくは、以下FAQの「Q. AnyConnect Plus ライセンスまたは Apex ライセンス(L-AC-PLS-LIC= または L-AC-APX-LIC= のみ)の初回ライセンス登録プロセスについて、手順を追って説明してください。」と、「Q. AnyConnect Plus ライセンスまたは Apex ライセンス(L-AC-PLS-LIC= または L-AC-APX-LIC= のみ)のライセンス共有プロセスについて、手順を追って説明してください。」を参照してください。

https://www.cisco.com/c/ja_jp/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html#anc57

        
     

評価ライセンスの利用方法

購入前の評価を行いたい、という場合は、4週間の Apex 評価ライセンスを発行・利用可能です。 Apexライセンスは、Plusライセンスの全ての機能を含んでいます。

 

ASAへの適用方法は、まず、www.cisco.com/go/license にアクセスします。 仮にスマートアカウントの登録を求められた場合、登録は必須ではないため、スマートアカウント登録なしに進む場合は 「All Licenses for xxxx xxxx(ユーザ名)」をクリックします。

AnyConnect-SmartAccount.JPG

 

ポータルでGet Licensesをクリックし、Demo and evaluation... を選択します。

AnyConnect-DemoLicense.JPG

  
Search by Keyword欄にてAPEXを検索した後、Product欄より AnyConnect Plus/Apex(ASA) Demo License を選択し、Nextを押下します。


"2. Specify Target Device and Options"ページに移動しますので、適用対象のASAの"show version"より確認したシリアル番号と 任意ユーザ数を入力した後、Nextを押下します。


確認ページに進みますので、シリアルや activation keyの送付先のメールアドレスなどを再確認した後、Submitを押下します。登録したメールアドレスに、以下のようなメールが届きますので、記載のactivation keyを、該当ASAに適用してください。

 
 
 

 

よくある質問

VPN終端デバイスにASA以外を利用時、AnyConnect PAK登録は必要ですか

AnyConnect 4.xのPAK登録と物理デバイスに適用は、ASA5500/5500-X利用時のみ必要です。 これは、従来のAnyConnect 3.xの頃の VPNアクセス終端数のデフォルト制限の解除に利用します。

逆に、ASAvや Firepower、Cisco ISRルータ、Cisco  ASRルータ、Cisco CSR1000VルータをVPN終端サーバとして利用する場合は、PAK登録による制限解除は不要です。

  

ASAのスマートライセンス利用時、デバイス側での有効化は必要ですか

スマートライセンス方式の ASAデバイス(ASAvや FPR1000/2100/3100/4100/9300シリーズなど)をご利用の場合、明示的なデバイスへのAnyConnect Plus/Apexライセンス有効化は不要となります。なお、ご利用のユーザ様分、従来通りAnyConnect Plus/Apexライセンスは購入頂き、ご契約番号に紐付は頂けますようお願いいたします。

より詳しくは、ご利用バージョンのConfiguration Guideを参照してください。 以下はASAバージョン9.8の Configuration Guideとなります。

ASA9.8: Licenses: Smart Software Licensing (ASAv, ASA on Firepower)
 

 

 

参考情報

Cisco AnyConnect 発注ガイド [英語]
ライセンス管理方法について "6. License Management"も 一読ください
http://www.cisco.com/c/dam/en/us/products/security/anyconnect-og.pdf


AnyConnect Licensing Frequently Asked Questions (FAQ)
AnyConnect 4.xのライセンスに関するFAQ集

[日本語] https://www.cisco.com/c/ja_jp/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html

[英語最新] http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html


AnyConnect 4.0のライセンスについて
https://supportforums.cisco.com/ja/document/12391866


AnyConnect 4.0に関するサービスリクエスト(SR)オープン時の注意事項
https://supportforums.cisco.com/ja/document/12484116


ASA: Activation Keyを用いたライセンス有効化と確認
https://supportforums.cisco.com/ja/document/13091861

コメント
KATSUMI TAKASU
Level 1
Level 1
‎2016-02-03 01:49 PM

PAKごとにQuantityは 1個づつとあります。

(実際にGet New Licensesのオーダー画面でQuantityは1以外選択できません)

AC-APX-5YR-100を3個購入しても同梱されてくるPAKは、L-AC-APX-S-5Y-100が1つのみです。

300ユーザー分を同じASAへインストールしたい場合、Product License Registrationを3回繰り返し、最後のactivation keyをASAへインストールすれば良いのでしょうか?

導入後、300ユーザー分利用可能な状態になっていることをどのように確認したらよいのでしょうか?

Taisuke Nakamura
Cisco Employee
Cisco Employee
‎2016-02-03 02:53 PM

TAKASUさん、こんにちわ

ASAはユーザ数の管理はしておらず、Activationする事で、そのASAのHardwareキャパシティの上限までのリモートVPN終端が可能になります。 具体的には、show versionで確認できる以下のPremium Peersの値が、ご利用機器の上限値まで解放されます。

このPremium Peersの値が、そのASAに同時接続可能な値となります。

ASA# show version
   --- 略 ---
AnyConnect Premium Peers : 250 perpetual <--- THIS
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual

つまり、ASAは AnyConnect Premium Peersの値まで リモートVPN接続を受け入れる事ができ、特にライセンスに基づいたユーザ数の接続制限といった 細かな制御は行っておりません。 

その為、お客様には、ご購入のライセンス範囲内での利用ユーザ数の管理を お願いしております。 仮に300名分 ご購入頂いている場合は、AnyConnect利用ユーザ数が、300名を越えないよう ご運用頂ければと存じます。 もしユーザ様数が300名より増える場合は、越える前に、ライセンスの追加購入を ご検討のほどお願いいたします。 

KATSUMI TAKASU
Level 1
Level 1
‎2016-02-03 03:20 PM

いつもお世話になっております。

早々のご回答ありがとうございます。

L-AC-APX-S-5Y-100のPAKを1度だけLicense Registrationを実施すれば問題なく300ユーザー接続できるということですね。(3回も同じPAKに対して Registrationする必要はない)

ある意味、紳士協定のようなもので、機器が利用ユーザー数をチェックしているわけではないので、仮に301ユーザー目で突然接続できなくなるわけではないということですね。

実際には、300ユーザー購入し、その後200ユーザー分を追加購入していますので、2つのPAKがありますが、追加ユーザー分はLicense Registrationをしなくても問題なく利用できるということですね。もちろんRegistrationはしますけど、発行されたactivation keyを機器にインストールする必要はないと理解いたしました。どうもありがとうございました。

Taisuke Nakamura
Cisco Employee
Cisco Employee
‎2016-02-03 05:59 PM

TAKASU様、早速のご確認有難うございます。はい、ご認識の通りです。

お客様のライセンス管理の負荷を大きく下げる事が、今回のライセンス管理方式の変更の主目的の1つとなりますので、引き続き 弊社製品のご愛顧のほど、よろしくお願いいたします。

TetsuNishimura
Level 1
Level 1
‎2016-02-17 05:27 PM

ライセンス適用後の有事の際のリストアの観点についてですが、

新ライセンス適用前のアクティベーションキーをコマンド投入すれば、ライセンスの状態は新ライセンス適用前の状態に切り戻されるのでしょうか。

Taisuke Nakamura
Cisco Employee
Cisco Employee
‎2016-02-20 11:12 AM

Tezさん こんにちわ。

ASAは 1つのPermanent(永続) Activation-keyを持つので、"技術上"は切り戻しが可能かと思います。及び、私の試験環境でも、旧Permanent Activation-keyを適用しなおす事で、ライセンス機能が旧状態に戻る事を確認しております。

しかし、私達のサポートという観点では、発行したキーの速やかな適用をお願いしております。 旧状態とは Ciscoのデータベース情報と違った機能が有効な状態になるので、あまり実行はお勧めできません。

Y.Hasumi
Community Member
‎2017-04-14 06:53 PM

お世話になります。

Cisco 892J 15.3(3)M や C841M-8X-JAIS/K9 で AnyConnect 4.x を利用したいと思います。

Cisco Router にて AnyConnect 4.x を利用する場合も同様のPAKの発行手順になるでしょうか。

Akira Muranaka
Level 8
Level 8
‎2017-04-15 02:31 PM

こんにちわ。横から失礼します。

IOSルータの場合、AnyConnect利用時に必要となる、IOSヘッドエンド側のライセンスが異なります。具体的には、AnyConnect利用者側でAnyConnectライセンス(※人数分用意)、IOSルータ側でセキュリティライセンスが必要です。 

詳しくは以下資料やQ&Aが参考になると思います。
https://supportforums.cisco.com/ja/document/12273621
https://supportforums.cisco.com/ja/document/12364196
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html#anc19

Y.Hasumi
Community Member
‎2017-04-21 12:12 AM

Akira Muranaka様、ありがとうございます。

C892JやC841Mであればデフォルトでセキュリティライセンスをカバーしているので、
特にルータ側へはactivation key 登録はいらないのですね。

参考になりました。ご教示ありがとうございました。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents