1.7 选择ASA设备许可
CCNP安全防火墙642-618认证考试指南
Cisco ASA设备拥有大量的安全特性(分为通用型和非通用型),但并非全部的安全特性都适用于所有情况。为使ASA设备更加贴合特定环境和应用要求,不同的许可文件能开启ASA设备不同的特性和能力。每台使用基本许可的ASA设备只具备了基本的特性功能。如需增加额外性能,则必须购买额外许可并在ASA设备永久存储区内激活。一旦在ASA设备上激活,这些许可都将永久性生效,成为永久性许可。
假如需要在购买许可之前试用ASA设备上的特性或功能,那么可以向Cisco申请临时性时效(time-based)许可,用于临时性开启具体的特性或升级ASA设备功能。绝大部分的时效性许可的使用期限为1~52周。一旦向Cisco申请临时许可后,把获得的时效性许可密钥输入到ASA设备中即可激活。
对于运行Cisco ASA 8.0(4)或后续系统版本的ASA设备而言,时效许可可以和永久许可整合或协同使用。在时效许可过期之前,永久性和时效性许可都能够结合。使用诸如统一通信代理和Multiple Security Context等特性,永久性许可和时效性许可将被整合添加。而对于其他大部分特性而言,ASA设备将选择两者中更好的来使用。相比之下,8.0(3)或之前的系统版本,若启用某特性的时效性许可,那么该时效许可将覆盖本特性的永久性许可。从8.3系统版本开始,ASA设备允许激活多个时效性许可密钥,从而对多个特性进行试用。
当两台ASA设备配置为故障倒换对以提供高可用性时,那么两个单元(即设备)上的许可必须相互兼容。在Cisco ASA系统版本8.3(1)之前,配置故障倒换对的两台ASA设备必须激活完全相同的许可。从版本8.3(1)开始,两个单元能够拥有不同的许可。对于涉及性能参数限制的许可,最终将使用两台故障倒换单元许可的限制之和。如果在任意一台ASA设备上存在某特性许可,那么故障倒换对中便可开启相应的特性,而无关另一台设备是否拥有该许可。如果在单元上激活了时效性许可,那么该许可的使用时间将是两台设备激活的时效许可可用时间之和。
ASA许可分为以下6种类型。
关键基本许可:支持默认特性。
特殊平台许可:ASA 5505和ASA 5510上的基本许可可以被升级到增强型的安全许可。ASA 5505的增强型安全许可能够提升最大连接数、最大VPN会话数和最大支持的VLAN数,并开启无状态防火墙高可用性模式。ASA 5510的增强型安全许可能够提升最大连接数、物理接口数、最大支持的VLAN数、开启虚拟防火墙功能、开启VPN负载均衡和所有高可用性模式。基本许可和增强型安全许可的具体差异可以在表1-10、表1-12、表1-14和表1-16中查阅。
ASA 5505能够跟踪并发活动主机或其内部网络接口上的IP地址。但是不同的许可对于设备支持的用户/节点数也不尽相同。基本许可支持10、50或无限用户数,如需扩展支持用户的数量,那么可以对许可进行更新升级。
特性许可:表1-18列出了需要独立许可的特性。
虚拟化许可:每种ASA设备(除5505基本许可外)默认支持两个虚拟防火墙或Security Context。可以对基本许可进行更新,从而使其支持的虚拟防火墙或Security Context数量从原始的5个提升到10个、10个提升到20个,或者20个提升到50个。
基于用户的加密UC代理许可:ASA设备利用加密UC代理特性能够扩展外部网络远程用户的统一通信(UC)服务。可通过这些代理功能对远程用户提供支持:电话代理、移动性代理、网真联邦代理及TLS代理。
每种ASA设备的默认许可支持2个用户的UC代理。根据不同的ASA型号,购买不同的基本许可能够提升UC代理功能所支持的用户数量至24、50、100、250、500、750、1000、2000、5000或10000个。如果后续需要增加用户数量,那么可以对基本许可进行升级。
基于用户的高级SSL VPN许可:ASA支持用户利用SSL VPN进行远程连接。每种ASA设备默认许可支持2个Cisco AnyConnect SSL VPN的用户连接。高级SSL VPN许可将支持使用Cisco AnyConnect客户端软件的用户、无客户端SSL VPN用户和Cisco安全桌面保护环境。
根据使用的ASA设备型号,购买不同的基本许可能够提升支持AnyConnect用户数量至10、25、50、100、250、500、750、1000、2500、5000或10000个。如果后续需要增加用户数量,那么可以对基本许可进行升级。