Данная статья поможет разобраться в различных лицензиях Cisco ASA, но не стоит её использовать в качестве документа для проектирования сети. Для уточнения и разъяснения обратитесь в наш отдел сетевых решений.
.jpg)
Рис. 1. Cisco ASA серии 5500
Security Plus (усиленная безопасность)
Лицензия Security Plus существует только на ASA 5505 и 5510.
На ASA 5505 активирует следующие функции:
На ASA 5505 активирует следующие функции:
- Увеличивает максимальное количество VPN сессий с 10 до 25.
- Увеличивает максимальное число соединений с 10,000 до 25,000.
- Увеличивает количество VLAN с 3 до 20 и позволяет использовать trunking.
- Работа в режиме отказоустойчивого кластера (stateless active/standby failover) без сохранения состояния.
На ASA 5510 данная лицензия имеет отличия и включает следующие функции:
- Увеличивает максимальное число соединений с 50,000 до 130,000
- Переводит режим работы двух портов FastEthernet (10/100 Мб/сек) в GE (10/100/1000 Мб/сек).
- Увеличивает количество VLAN с 50 до 100.
- Активация двух контекстов безопасности (security contexts). Максимально поддерживается до 5.
- Позволяет работать в режиме отказоустойчивого кластера с сохранением состояния (statefull active/active и active/standby failover).
- Позволяет создать VPN кластеризацию и распределение нагрузки.
.jpg)
Рис.2 Резервирование на аппаратном и канальном уровне
Cisco ASA 5512-X и более старшие модели не имеют лицензии Security Plus, так как имеют свой максимальный потенциал в базовой конфигурации, однако Cisco ASA 5585-X может активировать свои 10GB SFP+ слоты с помощью Security Plus лицензии.
5505 User Licenses (пользовательские лицензии)
Cisco ASA 5505 единственная из серии Cisco ASA 5500, которая имеет ограничения на количество пользователей, находящихся за фаерволом. Под пользователем подразумевается конечное устройство внутри сети, которое пытается передать пакеты через внешний VLAN на Cisco ASA. По умолчанию ASA 5505 поддерживает до 10 устройств (пользовательских лицензий), но может быть расширено до 50 (L-ASA5505-10-50=) либо неограниченного количества пользователей (L-ASA5505-50-UL= либо L-ASA5505-10-UL=) с помощью дополнительной лицензии.
SSL VPN Licenses (лицензии для SSL VPN)
SSL VPN берет свои начала с первых версий Cisco ASA и на протяжении всего времени эволюционировала сильнее всех остальных лицензий на ASA.
.jpg)
Рис. 3. Мобильные пользователи SSL VPN
Лицензии SSL разбиваются на два типа:
Essentials (необходимые) разрешает AnyConnect client based (с установкой ПО) подключения с персональных компьютеров, включая Windows и Mac системы. Установка «необходимых» (Essentials) лицензии позволяет активировать максимальное разрешённое число VPN сессий, ограничиваемое лишь возможностями платформы, для использования с поддержкой SSL. Например, ASA 5510 позволяет до 250 SSL VPN подключений с использованием AnyConnect клиента, а ASA 5505 до 10/25 AnnyConnect клиентов, в зависимости от отсутствия/присутствия лицензии Security Plus. Эти лицензии относительно не дороги, цена составляет около 100$, в зависимости от платформы. Данные лицензии отличаются в зависимости от платформы, так что при покупке убедитесь, что Вы выбрали совместимую с Вашей платформой. Например, на ASA 5510 убедитесь, что лицензия L-ASA-AC-E-5510=. Лицензия AnyConnect «необходимые» (Essentials) появилась с версией ASA v8.2.
Premium (премиум) лицензия более сложная, чем «необходимая» (Essentials), она позволяет подключать оба типа клиентов AnyConnect — с установкой ПО (client based) и без клиентского ПО (clientless) SSL VPN. VPN клиенты без ПО (Clientless) устанавливаются через веб браузер, обладая меньшим функционалом по сравнению с AnyConnect клиентами, требующими установку ПО (client based VPN), VPN клиенты без ПО позволяют организовать доступ для большого числа пользователей. В дополнении, Cisco «безопасный рабочий стол» (Secure Desktop — горячее сканирование и функция проброса) так же включён в лицензию «премиум». Лицензии «премиум» не активируют максимально возможное число VPN SSL клиентских подключений на платформе, как это делают лицензии «необходимые», а продаются пакетами по количеству пользователей, например: 10, 25, 50, 100, 250, 500, 750, 1000, 2500, 5000, 10000. На разных платформах присутствует свой максимум для SSL VPN «премиум» подключений, например ASA 5510 поддерживает до 250 подключений. Этот момент должен учитываться при добавлении новых лицензий, например если системному администратору необходимо добавить новые 35 SSL VPN подключений, ему следует приобрести пакет на 50 подключений. Пакеты на 10 подключений и 25 не могут быть объединены. Cisco предлагает увеличение клиентских подключением путём перехода по ступеням (например с 10 до 25 до 50 и далее до максимума). Лицензии «премиум» намного дороже, чем «необходимые». Свяжитесь с нашим менеджером для уточнения цены на «премиум» лицензии.
Если VPN лицензия активирована на Cisco ASA, она перекрывает все предыдущие установленные VPN лицензии. Будьте бдительны с установкой новых лицензий. При покупке базовой системы можно использовать в качестве VPN клиентов Cisco EasyConnect, число сессий ограничиваются максимальным допустимым на Вашей Cisco ASA платформе.
HA Pair License Dynamics (Лицензирование кластера)
На ASA с версией ОС ранее v8.3, требуется идентичная установка лицензий на каждое устройство в отказоустойчивом кластере. ASA 5510 с установленной SSL VPN лицензией не создаст пару с ASA 5510 с недостающими SSL VPN лицензиями. На версии v8.3, большинство лицензий реплицируются на паре устройств в кластере. На ASA5505, либо ASA 5510 на обеих ASA требуется лицензия «Расширенной безопасности» (Security Plus) с того момента, как активируется функционал отказоустойчивого кластера. Лицензии SSL «необходимые» и «премиум» реплицируются в кластере.
В кластере с состоянием активный/активный (active/active), количество лицензий объединяется (когда это возможно). Например две ASA 5510 в кластере активный/активный с лицензиями на 100 SSL «премиум» пользователей на каждой, позволяют подключить 200 SSL VPN пользователей, находясь в паре. Суммарное количество подключений не должно превышать максимальное ограничение для платформы. Если суммарное число превышает ограничение, например 300 SSL VPN подключений на платформе ASA 5510, конечное максимальное число будет ограничено 250 подключениями.
Flex Licenses («Гибкие лицензии»)
«Гибкие лицензии» для ASA это временные SSL VPN лицензии для чрезвычайных ситуаций, либо для временных пиковых нагрузок по SSL VPN подключениям. Каждая лицензия действует до 60 дней. Далее для лучшего объяснения следует пример.
В компании ЗАО «АБВ», в которой работает около 600 сотрудников, было некоторое нововведени в их корпоративном офисе. Была приобретена ASA 5520 с 50 «премиум» SSL лицензиями. «Гибкие лицензии» Cisco позволяют временно увеличить число SSL VPN подключений до максимального. Временный ключ на 750 SSL пользователей будет добавлен и запущен таймер на 60 дней. После чего ASA 5520 лицензирована на поддержку до 750 SSL VPN пользователей с установкой ПО (client based) либо без установки ПО (clientless) VPN. Спустя 60 дней ключ будет не просрочен.
Если компания ЗАО «АБВ» реактивирует свой постоянный ключ ранее, чем закончатся 60 дней временного ключа, то это остановит таймер «гибких лицензий» и позволит использовать их в будущем.
На сайте Cisco есть подробная инструкция, объясняющая некоторые тонкости и подводные камни ссылка. Проконсультируйтесь с нашими менеджерами до покупки и использования лицензий.
AnyConnect Premium Shared Licenses (Использование «премиум лицензий» с общим доступом)
При масштабном разворачивании SSL VPN может потребоваться множество устройств Cisco ASA, расположенных в географически удалённых областях. «Общая лицензия» позволяет единожды купленную лицензию SSL VPN использовать на нескольких Cisco ASA, так же физически удалённых. Начиная с ОС версии v8.2, Cisco позволяет использовать «общую лицензию» для упрощения управления. «Общая лицензия» подразделяется на два типа: основной и участник. «Основная» лицензия начинается с 500 VPN SSL «премиум» сессий и расширяется до 100,000 сессий. «Основная» лицензия работает, как «лицензионный фонд» с участниками, забирающими от 50 сессий и инкрементируя их. Так же можно использовать вторичную ASA на тот случай, если «основная» выйдет из строя. Не существует специальных резервных лицензий, для ASA требуется только лицензия «участника». Если нет вторичной ASA, ASA «участник» может потерять подключение к «основной» ASA из-за проблем с соединением. ASA «участник» может поддерживать SSL VPN сессии после потери связи с «основной» ASA в течении 24 часов. По истечению 24 часов, подключённые пользователи не отключаются, но новые подключения не смогут установиться.
В отказоустойчивом кластере с режимом «активный/ожидающий» (Active/Standby), функции ASA сервера выполняет «активный», «ожидающий» выполняет роль резервного для кластера, но не для «основного» в «общих лицензиях» SSL VPN. Далее следует объясняющий пример:
.jpg)
Рис. 4. Сервер «общих лицензий» и резервный сервер
“Вы используете сеть с двумя отказоустойчивыми кластерами с двумя ASA в каждом. Устройство из кластера №1 включает лицензию «основного» сервера для «общих лицензий». Устройство из кластера №2 представляет из себя резервный сервер «общих лицензий». В случае выхода из строя устройства кластера №1, «ожидающая» ASA моментально становится новым «основным» сервером «общих лицензий». Резервный сервер «общих лицензий» не будет использоваться до тех пор, пока оба устройства из кластера №1 не выйдут из строя. Если оба устройства в кластере №1 выйдут из строя и «активная» ASA из кластера №2 так же выйдет из строя, тогда «ожидающая» ASA из кластера №2 станет сервером «общих лицензий» – ссылка.
Advanced Endpoint Assessment (Расширенная оценка конечных станций)
Advanced Endpoint Assessment позволяет сканировать компьютер SSL VPN клиента, используя технологию Cisco Secure Desktop для соблюдения политики безопасности и устранения нарушений в безопасности. Данная технология похожа на NAC (Network Admission Control — управление сетевым доступом), но обладает более богатым функционалом. Политикой лицензирования на Advanced Endpoint Assessment требуется наличие одной лицензии на ASA в добавление к лицензии SSL «премиум». Если ASA в отказоустойчивом кластере, то достаточно одной лицензии на пару устройств для версии ОС 8.3(1) либо более поздней.
Security Contexts (Контексты безопасности)
.jpg)
Рис. 5. Контексты безопасности
Контексты безопасности представляют из себя виртуальные фаерволы. Каждый контекст позволяет выполнять индивидуальную настройку с собственными правилами и политиками по умолчанию. Контектсы безопасности продаются в следующем количестве: 5, 10, 20, 50, 100 и не могут суммированы или объединены. Cisco продаёт лицензии, которые инкрементируются для перехода между уровнями. Два контекста безопасности могут быть использованы, когда устройства Cisco ASA сконфигурированы в отказоустойчивый кластер.
Unified Communications Proxy Licenses (Лицензирование прокси сервера для унифицированных коммуникаций)
Cisco UC Proxy позволяют для Cisco IP телефонов создавать TLS туннели между удаленным телефоном и ASA, расположенной в корпоративной сети. Если требуется безопасное соединение между телефоном и офисом, фаервол так же должен располагаться на стороне пользователя. Во многих случаях используют маршрутизаторы серии 800. Разворачивание подобной архитектуры не обладает высоким масштабированием из-за большой цены на техническое обслуживание, управление и стоимость оборудования с ценой на соответствующий SMARTnet. UC Proxy заменяет маршрутизатор и использует IP телефон, как VPN клиента.
Лицензия UC Proxy продается в ярусном номерном диапазоне от 24 до 10,000 отдельных подключений. Лицензии не могут быть объединены, но могут быть инкрементированы.
AnyConnect Mobile Licenses (Лицензии для мобильных клиентов)
Прямо их коробки, ASA не поддерживает подключения от мобильных клиентов, таких как iOS или Android системы. AnyConnect Mobile клиент должен быть установлен на клиентское устройство и в добавок на ASA должны быть установлены лицензии AnyConnect «обязятельные» (Essentials) либо «премиум» (Premium). Лишь одна «мобильная» лицензия (Mobile) требуется на одно устройство ASA. Лицензия «Mobile» наследует количество SSL пользователей, разрешенных лицензиями «необходимые» (Essentials) либо «премиум» (Premium).
.jpg)
Рис. 6. AnyConnect Mobile клиент
Intercompany Media Engine (Механизм унифицированных коммуникаций между офисами корпорации)
IME является функцией унифицированных коммуникаций (UC), позволяющей обеспечить совместимость между организациями, которые используют Communications Manager. Лицензирование просто — одна лицензия IME требуется на одно устройство Cisco ASA.
Данная статья является уникальным переводом . Права на статью принадлежат компании ООО "Адванс Технологии"
Автор перевода: Чинчак Игорь
Автор перевода: Чинчак Игорь