Лицензирование межсетевых экранов Cisco ASA 5500. Часть 6

Cisco ASA 5500 Series VPN Licenses

Межсетевые экраны Cisco ASA 5500 поддерживают следующие VPN:

• Clientless SSL VPN;
• SSL VPN;
• IPSec remote access VPN using IKEv1/IKEv2;
• IPsec site-to-site VPN using IKEv1/IKEv2.

Следующие типы VPN вписаны в базовые лицензии (Security Plus License и Base License) следующих моделей:

• IPSec remote access VPN using IKEv1;
• IPsec site-to-site VPN using IKEv1/IKEv2.

Для первого необходимо наличие одной из лицензий:

• AnyConnect Premium;
• AnyConnect Essentials;
• AnyConnect Plus;
• Apex.

Схема лицензирования предусматривает три вида лицензий:

1. Cisco AnyConnect Plus Subscription Licenses;
2. Cisco AnyConnect Plus Perpetual Licenses;
3. Cisco AnyConnect Apex Subscription Licenses.

Существуют, также, специальные партномера лицензий, с помощью которых производится миграция старых видов лицензий на новые. Новая схема лицензирования удаленного доступа SSL VPN не привязана к решениям Cisco ASA. Лицензии необходимо приобретать на пользователя.

При потребности запуска функционала удаленного доступа рекомендуется приобретать лицензии Cisco AnyConnect Plus/Apex в соответствии с новой схемой лицензирования.

Cisco ASA 5500 Series SSL VPN Licenses

В эту группу лицензий входят Advanced Endpoint Assessment Licenses и SSL Premium User Licenses.

Advanced Endpoint Assessment Licenses

Эти лицензии применяют для расширения функций технологии Cisco Secure Desktop и позволяют организовать апгрейд посредством HostScan антивирусного программного обеспечения, SpyWare на удаленном оборудование. ASA-ADV-END-SEC лицензии одинаковы для всей линейки ASA.

SSL Premium User Licenses

Лицензия может быть двух типов: Essential и Premium.

Первый тип (Essential) - необходим для организации удаленного подключения, при помощи клиента AnyConnect VPN Client. Такая лицензия активизирует возможности организации VPN каналов для удаленного подключения, при этом число конкурентных VPN соединений ограничивается только возможностями конкретной модели ASA (например, 250 сессий для ASA5510).

Основными преимуществами применения SSL AnyConnect VPN, в сравнении с IPSec remote-access заключается в том, что клиентское ПО Cisco AnyConnect VPN Client можно скачать и автоматически установлена с VPN-концентратора (VPN-gateway), в качестве чего, могут выступать межсетевые экраны ASA. Также для работы SSL AnyConnect VPN используются протокол TCP порт 443.

Второй тип Лицензии (Premium) отличается от первого тем, что позволяет устанавливать clientless SSL VPN туннели для удалённого подключения без использования специального программного обеспечения – клиента. Туннель в данном случае устанавливается просто с помощью браузера. При этом доступ к ресурсам сети по такому туннелю ограничен. Доступ может быть настроен к web-ресурсам, file-sharing и web-based email).

Лицензии Premium не дифференцируются по моделям ASA и различаются только по количеству пользователей: L-ASA-SSL-10, L-ASA-SSL-25, L-ASA-SSL-50 и т.д.

Некоторые дополнительные функции и надстроечные лицензии доступны к использованию только при установленной лицензии Premium. К ним относятся:

• AnyConnect for Cisco VPN Phone;
• AnyConnect Premium Shared;
• Cisco Secure Desktop;
• Advanced Endpoint Assessment.

AnyConnect Mobile VPN Licenses

Такие лицензии являются надстройкой над SSL Premium User Licenses, а также AnyConnect Essentials VPN Licenses. Разрешают удалённые подключения, используя клиент AnyConnect для мобильных устройств с ОС Windows, Android, iOS. Дифференцируются только по модели ASA: ASA-AC-M-5505, ASA-AC-M-5510, ASA-AC-M-5520 и т.д.

Premium Shared VPN Server Licenses & Premium Shared SSL VPN Participant Licenses

Разделяемые (shared) лицензии позволяют заказывать большое количество сессий AnyConnect Premium и распределять эти сессии среди группы межсетевых экранов ASA по мере необходимости. При этом один (или несколько, для обеспечения отказоустойчивости) фаервол ASA используется в качестве сервера лицензий, остальные межсетевые экраны ASA являются лицензируемыми участниками.

Лицензии Premium Shared VPN Server Licenses дифференцируются по количеству SSL VPN сессий: ASA-VPNS-500, ASA-VPNS-1000, ASA-VPNS-2500 и т.д.

Лицензии Premium Shared SSL VPN Participant Licenses дифференцируются по модели ASA: ASA-VPNP-5510, ASA-VPNP-5520, ASA-VPNP-5540 и т.д.

FIPS Compliant VPN Licenses

FIPS - Federal Information Processing Standard. Стандарт FIPS 140-2 является государственным стандартом США для определённых требований к криптографическим модулям. Если фирме необходимо соответствие этому стандарту используется определённый релиз VPN client (IPsec). Для возможности установки удалённого подключения к ASA с помощью данного клиента, на МСЭ необходимо активизировать соответствующую лицензию. Лицензии дифференцируются по модели ASA: ASA-FPS-CL-5505, ASA-FPS-CL-5510, ASA-FPS-CL-5520 и т.д.

VPN Phone Licenses

В совокупности с AnyConnect Premium license, данная лицензия позволяет IP-телефонам со встроенной AnyConnect совместимостью устанавливать соединения по SSL VPN. Лицензии дифференцируются по модели ASA: ASA-AC-PH-5505, ASA-AC-PH-5510, ASA-AC-PH-5520 и т.д.

Лицензирование и High Availability

При использовании программного обеспечения к ASA software v8.3 для организации HA-пары (High Availability) необходимым условием есть точное совпадение установленных лицензий на обоих решений. Начиная с релиза v8.3 большинство лицензий дублируется между устройствами и дополняет друг друга. Для моделей ASA5505 и 5510 на обоих устройствах необходимо наличие лицензии Security Plus, так как эта лицензия включает возможность организации HA (High Availability). Лицензии SSL Essentials и Premium копируются между устройствами.

В HA-паре (High Availability) Active/Active количественные лицензии суммируются. Например, если имеем два устройства ASA5510 с установленными лицензиями SSL Premium на 100 пользователей, при объединении в HA-пару Active/Active имеем на выходе разрешение на 200 одновременных VPN сессий. Суммируемое значение не должно превышать ограничение для конкретной модели. Если суммарное значение превышает лимит (например, для ASA5510 доступны 250 SSL VPN соединений), к использованию будет доступно число соединений, равное лимиту платформы.

При использовании сервисов FirePOWER на резервные устройства должны приобретаться те же подписки FirePOWER, что и на основное. Конфигурация резервных устройств также должна быть абсолютно идентична основному устройству.