简介
本文档介绍如何在适用于AnyConnect高级对等体的思科自适应安全设备(ASA)上配置和删除基于时间的激活密钥。基于时间的激活密钥用于在特定时间段内激活功能。
背景信息
AnyConnect Premium和AnyConnect Essential已用于旧许可模式,现已过时。根据新的许可模式,AnyConnect Apex对应于AnyConnect Premium,AnyConnect Plus对应于AnyConnect Essential。AnyConnect Apex与旧许可证不兼容。因此,如果启用Apex,则不会使用高级版,但使用的许可证将以高级版许可证的形式。基本版已禁用,因为它们不兼容。用于检查Apex许可证是启用还是禁用的命令是debug menu license 23
AnyConnect Plus许可证包括以下VPN类型:
- SSL VPN
- 使用IKEv2的IPsec远程访问VPN
AnyConnect Apex许可证包括以下VPN类型:
- SSL VPN
- 无客户端SSL VPN
- 使用IKEv2的IPsec远程访问VPN
2个许可证之间的详细功能差异可在本许可指南中找到:
https://www.cisco.com/c/en/us/products/collateral/security/anyconnect-og.html
注意:新的AnyConnect Plus、Apex或VPN专用许可证密钥不再使用Essentials选项。要使用新许可证,必须在ASA上通过在webvpn下发出no anyconnect-essentials命令来禁用anyconnect-essentials功能。安装新许可证密钥时,出现警告,表明安装新许可证时未使用Essentials密钥。只要ASA上的anyconnect-essentials已正确禁用,您就可以继续。
配置
步骤1.您需要获取设备的产品激活密钥(PAK)。思科许可团队可以帮助获取所需时间段的基于时间的激活密钥。
注意:要满足此要求,必须从ASA的show version输出中获取ASA的序列号(SN),而不是从show inventory中获取。
ciscoasa# show version
Cisco Adaptive Security Appliance Software Version 9.12(2)
Firepower Extensible Operating System Version 2.6(1.141)
Device Manager Version 7.12(2)
---omitted for brevity---
Licensed features for this platform:
Maximum VLANs : 50 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 100 perpetual
Total VPN Peers : 100 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Enabled perpetual
Shared License : Disabled perpetual
Total TLS Proxy Sessions : 320 perpetual
Botnet Traffic Filter : Disabled perpetual
Cluster : Disabled perpetual
Serial Number: 9A5KG6HTQSB
Running Permanent Activation Key: 0xa339d567 0xa8df641f 0x9193bd58 0xc6344cb4 0x031bfbaa
步骤2.您应从许可团队收到与您的ASA平台的同一SN的两个激活密钥。
从许可接收的PAK示例:
-------------------------------------------------------------
THE FOLLOWING ACTIVATION KEY IS VALID FOR:
ASA SOFTWARE RELEASE 8.2+ ONLY
Platform = asa
9A5KG6HTQSB: 0x5376dfc2 0x99806c06 0x9d8c5acf 0xc0a4da97 0x8512c481
--------------------------------------------------------------
THE FOLLOWING ACTIVATION KEY IS VALID FOR:
ALL ASA SOFTWARE RELEASES, BUT EXCLUDES ANY
8.2+ FEATURES FOR BACKWARDS COMPATIBILITY.
Platform = asa
9A5KG6HTQSB: 0x2722ea6c 0x6041d059 0xc930c908 0xcfe8c498 0x463cc092
---------------------------------------------------------------
步骤3.复制激活密钥并在ASA上应用复制的密钥。
ASA(config)# activation-key 0x5376dfc2 0x99806c06 0x9d8c5acf 0xc0a4da97 0x8512c481
步骤4.应用许可证后,您需要保存配置(写内存)。
这完成了在ASA平台上临时应用许可证功能的流程。
验证
新许可证可验证如下所示:
ciscoasa# show version
Cisco Adaptive Security Appliance Software Version 9.12(2)
Firepower Extensible Operating System Version 2.6(1.141)
Device Manager Version 7.12(2)
---omitted for brevity---
Licensed features for this platform:
Maximum VLANs : 50 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 500 14 days
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 100 perpetual
Total VPN Peers : 100 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Enabled perpetual
Shared License : Disabled perpetual
Total TLS Proxy Sessions : 320 perpetual
Botnet Traffic Filter : Disabled perpetual
Cluster : Disabled perpetual
Serial Number: 9A5KG6HTQSB
Running Permanent Activation Key: 0xa339d567 0xa8df641f 0x9193bd58 0xc6344cb4 0x031bfbaa
Running Timebased Activation Key: 0x5376dfc2 0x99806c06 0x9d8c5acf 0xc0a4da97 0x8512c481
在上述输出中,我们拥有新的基于时间的许可证,有效期为2周(14天)。 完成14天后,AnyConnect高级版许可证将被ASA上的永久激活密钥覆盖。
注意:如果ASA仅在基于时间的激活密钥上运行,则在该特定时间段后,设备将恢复为默认许可证功能。
要在14天内删除基于时间的激活密钥并应用以前存在的永久许可证,请停用运行基于时间的密钥,如下所示:
ASA(config)# activation-key 0x5376dfc2 0x99806c06 0x9d8c5acf 0xc0a4da97 0x8512c481 deactivate
反馈