《CCNP安全防火墙642-618认证考试指南》——1.7节选择ASA设备许可

1.7 选择ASA设备许可
CCNP安全防火墙642-618认证考试指南
Cisco ASA设备拥有大量的安全特性(分为通用型和非通用型),但并非全部的安全特性都适用于所有情况。为使ASA设备更加贴合特定环境和应用要求,不同的许可文件能开启ASA设备不同的特性和能力。每台使用基本许可的ASA设备只具备了基本的特性功能。如需增加额外性能,则必须购买额外许可并在ASA设备永久存储区内激活。一旦在ASA设备上激活,这些许可都将永久性生效,成为永久性许可。

假如需要在购买许可之前试用ASA设备上的特性或功能,那么可以向Cisco申请临时性时效(time-based)许可,用于临时性开启具体的特性或升级ASA设备功能。绝大部分的时效性许可的使用期限为1~52周。一旦向Cisco申请临时许可后,把获得的时效性许可密钥输入到ASA设备中即可激活。

对于运行Cisco ASA 8.0(4)或后续系统版本的ASA设备而言,时效许可可以和永久许可整合或协同使用。在时效许可过期之前,永久性和时效性许可都能够结合。使用诸如统一通信代理和Multiple Security Context等特性,永久性许可和时效性许可将被整合添加。而对于其他大部分特性而言,ASA设备将选择两者中更好的来使用。相比之下,8.0(3)或之前的系统版本,若启用某特性的时效性许可,那么该时效许可将覆盖本特性的永久性许可。从8.3系统版本开始,ASA设备允许激活多个时效性许可密钥,从而对多个特性进行试用。

当两台ASA设备配置为故障倒换对以提供高可用性时,那么两个单元(即设备)上的许可必须相互兼容。在Cisco ASA系统版本8.3(1)之前,配置故障倒换对的两台ASA设备必须激活完全相同的许可。从版本8.3(1)开始,两个单元能够拥有不同的许可。对于涉及性能参数限制的许可,最终将使用两台故障倒换单元许可的限制之和。如果在任意一台ASA设备上存在某特性许可,那么故障倒换对中便可开启相应的特性,而无关另一台设备是否拥有该许可。如果在单元上激活了时效性许可,那么该许可的使用时间将是两台设备激活的时效许可可用时间之和。

ASA许可分为以下6种类型。

关键基本许可:支持默认特性。
特殊平台许可:ASA 5505和ASA 5510上的基本许可可以被升级到增强型的安全许可。ASA 5505的增强型安全许可能够提升最大连接数、最大VPN会话数和最大支持的VLAN数,并开启无状态防火墙高可用性模式。ASA 5510的增强型安全许可能够提升最大连接数、物理接口数、最大支持的VLAN数、开启虚拟防火墙功能、开启VPN负载均衡和所有高可用性模式。基本许可和增强型安全许可的具体差异可以在表1-10、表1-12、表1-14和表1-16中查阅。
ASA 5505能够跟踪并发活动主机或其内部网络接口上的IP地址。但是不同的许可对于设备支持的用户/节点数也不尽相同。基本许可支持10、50或无限用户数,如需扩展支持用户的数量,那么可以对许可进行更新升级。
特性许可:表1-18列出了需要独立许可的特性。

虚拟化许可:每种ASA设备(除5505基本许可外)默认支持两个虚拟防火墙或Security Context。可以对基本许可进行更新,从而使其支持的虚拟防火墙或Security Context数量从原始的5个提升到10个、10个提升到20个,或者20个提升到50个。
基于用户的加密UC代理许可:ASA设备利用加密UC代理特性能够扩展外部网络远程用户的统一通信(UC)服务。可通过这些代理功能对远程用户提供支持:电话代理、移动性代理、网真联邦代理及TLS代理。
每种ASA设备的默认许可支持2个用户的UC代理。根据不同的ASA型号,购买不同的基本许可能够提升UC代理功能所支持的用户数量至24、50、100、250、500、750、1000、2000、5000或10000个。如果后续需要增加用户数量,那么可以对基本许可进行升级。
基于用户的高级SSL VPN许可:ASA支持用户利用SSL VPN进行远程连接。每种ASA设备默认许可支持2个Cisco AnyConnect SSL VPN的用户连接。高级SSL VPN许可将支持使用Cisco AnyConnect客户端软件的用户、无客户端SSL VPN用户和Cisco安全桌面保护环境。
根据使用的ASA设备型号,购买不同的基本许可能够提升支持AnyConnect用户数量至10、25、50、100、250、500、750、1000、2500、5000或10000个。如果后续需要增加用户数量,那么可以对基本许可进行升级。

时间: 2024-11-18 21:46:20

《CCNP安全防火墙642-618认证考试指南》——1.7节选择ASA设备许可的相关文章

《CCNP ROUTE (642-902 )认证考试指南》一导读

前 言 CCNP ROUTE (642-902 )认证考试指南 本书只有一个主要目标,就是帮助您通过ROUTE(642-902)考试.同时,本书也会实现其他实用的目标:阐述各种网络主题,演示如何在Cisco路由器上配置这些功能,介绍如何判断这些功能是否运行正常:因此,也可将本书用于学习IP路由和IP路由协议.然而,本书的主要目标是帮助您通过ROUTE考试,这也是它属于Cisco Press认证考试指南系列丛书的原因. 接下来将重点探讨两个主题:ROUTE考试及本书的内容. CCNP ROUTE考

《CCNP ROUTE (642-902 )认证考试指南》一1.5 结语

1.5 结语 CCNP ROUTE (642-902 )认证考试指南要求规划和记录的CCNP ROUTE考试主题很多,它们都不要求您掌握额外的技术知识,但要求您更熟练地掌握技术主题.为熟练掌握技术主题,最佳的方法是从事一项使用这些功能的工作,但通过学习,也可非常熟练地掌握技术.对于本章介绍的技术,如果您的使用经验不多,请花些时间完成每章末尾的"规划练习"一节的练习,它们将帮助您从规划角度备考ROUTE考试.

《CCNP ROUTE (642-902 )认证考试指南》一第1章 CCNP考试中的规划任务

第1章 CCNP考试中的规划任务 CCNP ROUTE (642-902 )认证考试指南本章介绍以下主题: 与规划相关的CCNP考试主题: 该书CCNP认证的目标. 如何备考CCNP考试中的规划主题: 阐述您需要知道的规划知识,为考试做好准备. 有关实现和验证计划的背景信息: 讨论具体的计划以及考试不使用特定规划的原因. ROUTE考试的前身为组建可扩展的Cisco互联网络(BSCI)考试,它要求考生掌握众多路由协议最常用的功能.ROUTE考试也要求考生掌握这些知识,但还包括很多使用字样"计划&

《CCNP ROUTE (642-902 )认证考试指南》一1.1 与规划相关的CCNP考试主题

1.1 与规划相关的CCNP考试主题 CCNP ROUTE (642-902 )认证考试指南Cisco于1998年推出了CCNP(Cisco Certified Network Professional,Cisco认证资深网络工程师)认证,从那时起,Cisco多次修订了考试纲要和相关课程.在每次重大修订中,都扩大并新增了一些主题,并压缩或删除了一些主题.与此同时,调整了主题的深度--每个主题的深度或更深或更浅了. 在Cisco于2010年1月发布的最新CCNP考试(包括本书针对的642-902考

《CCNP ROUTE (642-902 )认证考试指南》一1.2 将考试主题与典型网络工程师的工作关联起来

1.2 将考试主题与典型网络工程师的工作关联起来 CCNP ROUTE (642-902 )认证考试指南组织的规模越大,越需要规划并编写规划文档.即使公司只有一个人关心路由器和交换机基础设施,这位工程师也可能不想在变更时间窗于星期天凌晨两点打开时去编写配置.因此,即使在小型IT部门,工程师在周末的变更时间窗到来前使用文本编辑器编写配置时,也需要做些规划.当网络人员增加到三四人(尤其是他们轮流值班时),编写设计.实现和验证/运营文档则变得更为重要. 本节将以一家大中型公司为例,介绍一些在实际工作中

《CCNP ROUTE (642-902 )认证考试指南》一1.3 如何备考CCNP考试中的规划主题

1.3 如何备考CCNP考试中的规划主题 CCNP ROUTE (642-902 )认证考试指南对于CCNP考试涉及的每项技术,您都能制定网络实现规划吗?对于这些技术,您都能制定验证规划吗?通过CCNP考试主题可知,最新的CCNP考试将考核这些技能.然而,Cisco不可能提出像下面这样没有明确限制的问题:"根据下面的设计文档制定完整的EIGRP实现计划".回答这种问题需要很长时间,而在典型的Cisco考试中,每个考题的答题时间平均只有75秒. 虽然在考试中可能不会要求您制定计划,但您必

《CCNP ROUTE (642-902 )认证考试指南》一第2章 EIGRP概述及邻接关系

第2章 EIGRP概述及邻接关系 CCNP ROUTE (642-902 )认证考试指南**本章介绍以下主题:** EIGRP CCNA复习: 复习EIGRP概念.配置和验证命令,具体地说是CCNA考试涉及的EIGRP细节. EIGRP邻接关系: 讨论各种影响路由器建立EIGRP邻接关系的功能.要建立邻接关系必须满足的条件以及导致无法建立邻接关系的因素. 通过WAN建立邻接关系: 简要地讨论如何通过各种WAN技术建立EIGRP邻接关系. 只需几个相对简单的命令便可配置增强内部网关路由协议(Enh

《CCNP ROUTE (642-902 )认证考试指南》一2.1 “我已经知道了吗?”测验

2.1 "我已经知道了吗?"测验 CCNP ROUTE (642-902 )认证考试指南"我已经知道了吗?"测验旨在帮助读者判断是否应阅读整章.如果您不能正确回答的测试题不超过1个,可直接跳到"备考任务"一节.表2.1概述了本章讨论的主要主题及对应的测试题,让您能够评估自己对这些领域的掌握情况.答案见附录A. 在一台路由器中,配置了命令route eigrp 9和network 172.16.1.0 0.0.0.255,但没有配置其他与EIGRP

《CCNP ROUTE (642-902 )认证考试指南》一2.3 备考任务

2.3 备考任务 CCNP ROUTE (642-902 )认证考试指南 2.3.1 规划练习 CCNP ROUTE考试要求考生能够审核设计文档以及制定实现计划和验证计划.本节提供了一些练习,帮助读者回顾本章介绍的主题,让您能够从规划的角度考虑这些主题. 您只需填写每个规划练习表即可.请注意,括号中的数字指出了附录F提供了多少个解决方案,该附录可在本书的配套光盘中找到. 1.设计审核表2.5列出了多个与本章相关的设计目标.如果这些设计目标包含在设计文档中,而您需要根据设计文档制定实现计划,您将想