ご要望に応じて一連の出版物を開始したいと思います:)
ASA 8.2の新機能から簡単に説明します(広告の非難をもう一度聞かせてください:))
大企業では、いくつかの暗号化されたトンネル接続ポイントがあるときに状況がしばしば発生します。 ユーザーは、自分に近いハードウェアに接続します(デフォルトで構成され、動的に選択されます)。 以前は、鉄片ごとにかなり多くのライセンスを購入する必要がありました。 ライセンスが安価であれば、これは小さな問題になります。 しかし、tsiskaにとって便利なSSLVPNテクノロジーは高価です。
さらに、tsiskaは公式に、IPSec VPNではなくSSLVPNに全員を転送する傾向を発表しました。
OSバージョン8.2では、この問題は解決されました。
共有ライセンスなどの機能が登場しました。 彼らの本質は、1パックのライセンスが購入されることです;ライセンスサーバー(ASashka)はそれを知っています。 残りの接続ポイント(これまではASashkiのみでしたが、その後のルーター)は、必要に応じてライセンスサーバーに登り、クォータの拡張を要求します。
猫の下でもっと読む
それで、私たちが持っていたのは、すべてのN SSLVPNライセンスに分散されたASAShKでした。
共有ライセンスの購入時に取得するもの:すべての接続ポイントで共有される共通のライセンスバンドル。 同時に、購入した古いライセンスはどこにも失われません:個別のライセンスがある場合、それらが最初に使用され、その後、追加のクォータのリクエストがライセンスサーバーに行われます(すぐに50ユニットがリクエストされます)。
したがって、鉄片は、ライセンスサーバーに十分な数のライセンスがある限り、それ自体に多くのクライアントを接続できますが、このプラットフォームが設計されているSSLVPNトンネルの最大数以下です。
制限は次のとおりです。
ASA 5505 25
ASA 5510 250
ASA 5520 750
ASA 5540 2500
ASA 5550 5000
ASA 5580 10000
さらに、信頼性のために、ライセンスサーバーのバックアップとして1つのASashkaを選択できます。 ライセンスデータベースをサーバーと同期し、サーバーがクラッシュした場合、その機能を引き継ぎます(ただし、5日以内)
設定方法。
まず、共有ライセンス機能を有効にするには、すべてのASachekに必要なライセンスを購入する必要があります。 新しいアクティベーションキーが送信され、アクティベーション後に機能自体が使用可能になります。
次に、必要な数のライセンスを購入する必要があります(500個から500-50000個のライセンスを含む500個のパッケージで販売され、5000個のライセンスのパッケージで最大545,000個を含む)。
第三に、ライセンスサーバーを構成する必要があります
asa(config)#ライセンスサーバーシークレット[シークレットキー]4番目に、クライアントを構成する必要があります(いわゆるスタンドアロンASA)
asa(config)#ライセンスサーバー[アドレス]シークレット[シークレットキー]ポート[#]addressはライセンスサーバーのIPアドレス、portはTCPポート(デフォルトは50544)
機能を有効にするために残ります:
asa(config)#license-server enable [インターフェイス]さらに、スタンドアロンASAの1つをバックアップサーバーとして設定できます
サーバー自体で:
asa(config)#ライセンスサーバーバックアップアドレス[アドレス]バックアップID [シリアル番号] ha-バックアップID [ha-シリアル番号]backup-idがスペアASashkaのシリアル番号である場合、
hw-bachup-id-アクティブ/スタンビーフェールオーバーペアがバックアップとして機能する場合、feyloverペアのアクティブな鉄片のシリアル番号
予備のASashkaでは、インターフェイスでリッスンを有効にする必要があります
asa(config)#license-server backup enable [インターフェイス]チームが何をしたかを見ることができます
asa#共有ライセンスの表示[バックアップ|クライアント|詳細]例:
5510-P(config)#共有ライセンスを表示
共有ライセンスの使用:
SSLVPN:
ネットワークの合計:200000
利用可能:200000
使用済み:0
このデバイス:
プラットフォーム制限:250
現在の使用:0
高い使用率:0
クライアントID使用ホスト名
XXXXXXXXXXX 0 5540-A
次のように機能します。
1.新しいSSLVPN接続を接続するとき、ASashkaは独自の無料ライセンスがあるかどうかを確認し、存在する場合は接続を許可します。
2.ライセンスはないが、ライセンスサーバーが構成されている場合、ASashkaは新しいクォータ(50個)のリクエストを送信します。 サーバーから以前に取得したライセンスが10個未満の場合、同じ要求を送信します。
3. 60を超える無料ライセンスがある場合は、50個をサーバーに返送して、他のユーザーが利用できるようにします。