Technical documentation
发布日期:2023-11-15 浏览次数:1588 来源:岳亿
安全CCIE培训Security方向网络技术培训重点笔记-ASA许可与功能
Cisco 思科认证CCIE安全Security课程培训、学习、考试咨询WOLF-LAB网络技术实验室!版本阶段提供1v1考试技术辅导!
一、 CCIE安全Security课程PAK 许可类型:
PAK License 为 ASA 启用某些功能,由一个 160-bit 的字符串表示,该只对序列号和启用你的共功能进行编码;
1. Base许可;
2. Security Plus 许可;
3. 可选功能许可:一个许可密匙包含一个或多个功能的授权;
1) 永久许可:一个永久授权密匙可能包含一个或多个功能的授权;
2) 基于时间的许可:有时间限制的授权和有时间限制的评估授权;
3) 同时使用永久许可和基于时间的许可时,优先使用支持数量更多的许可证;
4) 可以安装多个基于时间的许可,包括同一功能的多个许可;
5) 每个功能一次只能激活一个基于时间的许可;
6) 基于时间的许可处于激活时,该许可的计时器开始倒计时,并且仅在 ASA 运行时倒计时;
7) 基于时间的许可计时器不受系统时钟设置影响;
8) 安装多个完全相同的基于时间的许可时间会累计合并持续时间;
9) 安装多个含有相同功能的基于时间的许可但数量上有差异时,当前许可到期自动使用已安装具有相同功能的许可;
10) ASA 不同型号(硬件),同一功能支持的数量有所不同;
二、 CCIE安全Security课程PAK Base 许可与 Security Plus 许可:
Feature | Base License | Security Plus License | |||||||||||||||
Botnet Traffic Filter | Disabled | 支持基于时间的功能许可 | Disabled | 支持基于时间的功能许可 | |||||||||||||
Firewall Conns, Concurrent | 100,000 | 250,000 | |||||||||||||||
GTP/GPRS | 不支持 | Disabled | 支持可选功能许可 | ||||||||||||||
Intercompany Media Eng. | Disabled | 支持可选功能许可 | Disabled | 支持可选功能许可 | |||||||||||||
UC Phone Proxy Sessions, Total UC Proxy Sessions | 2 | 支持可选功能许可 | 2 | 支持可选功能许可 | |||||||||||||
24 | 50 | 100 | 250 | 500 | 24 | 50 | 100 | 250 | 500 | ||||||||
Adv. Endpoint Assessment | Disabled | 支持可选功能许可 | Disabled | 支持可选功能许可 | |||||||||||||
AnyConnect for Cisco VPN Phone | Disabled | 支持可选功能许可 | Disabled | 支持可选功能许可 | |||||||||||||
AnyConnect Essentials (sessions) | Disabled | 支持可选功能许可 | Disabled | 支持可选功能许可 | |||||||||||||
250 | 250 | ||||||||||||||||
AnyConnect for Mobile | Disabled | 支持可选功能许可 | Disabled | 支持可选功能许可 | |||||||||||||
AnyConnect Premium (sessions) | 2 | 支持可选功能许可 | 2
| 支持可选功能许可 | |||||||||||||
10 | 25 | 50 | 100 | 500 | 10 | 25 | 50 | 100 | 500 | ||||||||
支持基于时间的功能许可 (VPN Flex) | 支持基于时间的功能许可 (VPN Flex) | ||||||||||||||||
250 | 250 | ||||||||||||||||
可选共享许可 | 可选共享许可 | ||||||||||||||||
500-50,000以 500 为增量 | 50,000-545,000以 1000 为增量 | 500-50,000以 500 为增量 | 50,000-545,000以 1000 为增量 | ||||||||||||||
Total VPN (sessions), combined all types | 250 | 250 | |||||||||||||||
Other VPN (sessions) | 250 | 250 | |||||||||||||||
VPN Load Balancing | 不支持 | 支持 | |||||||||||||||
Encryption | 基础 (DES) | 支持可选功能许可(3DES/AES) | 基础 (DES) | 支持可选功能许可(3DES/AES) | |||||||||||||
Failover | 不支持 | Active/Standby or Active/Active | |||||||||||||||
Interfaces of all types, Max. | 716 | 916 | |||||||||||||||
Security Contexts | 不支持 | 2 | 支持可选功能许可 | ||||||||||||||
5 | |||||||||||||||||
Clustering | 不支持 | 2 | |||||||||||||||
IPS Module | Disabled | 支持可选功能许可 | Disabled | 支持可选功能许可 | |||||||||||||
VLANs, Maximum | 50 | 100 |
此处以 5512-X IOS 9.2本版本举例,不同型号有所差异;
三、 CCIE安全Security课程PAK 许可功能详解:
使用 show version 或 showactivation-key 命令可显示特定许可功能和容量的完整列表以及激活信息。防火墙连接数不会显示为许可功能;show resource use 命令的输出一些平台容量,包含几条附加信息:设备的序列号以及每个功能的剩余活动时间。它还列出了多个激活密钥,这些激活密钥可在指定的时间内启用此特定设备上的给定功能集。这些激活密钥支持在 Cisco ASA 设备上添加或删除许可功能的简单机制。
1. Firewall Connections:
ASA 根据硬件平台限制所有状态连接的最大并发计数。此限制只能通过 ASA 5505、ASA 5510 和 ASA 5512-X 设备上的 Security Plus 许可证来增加。系统将仅拒绝超过许可限制的新尝试连接;在这种情况下,对现有连接没有不利影响。
2. Maximum Physical Interfaces:
所有 ASA 平台始终允许您使用所有可用的物理接口,ASA 5505 上的实际物理接口数量,所有其他平台上显示无限制。总限制涵盖物理和冗余接口、VLAN 子接口、EtherChannel 和网桥组。
3. Maximum VLANs:
每个 ASA 平台对可配置 VLAN 的最大数量都有自己的限制。通过应用 Security Plus 许可证,可以在 Cisco ASA 5505、ASA 5510 和 ASA 5512-X 型号上扩展此限制,可以在ASA 上创建更多数量的子接口。
4. VLAN Trunk Ports:
此功能仅适用于 ASA 5505 设备,因为它们具有内置以太网交换机。使用基础许可证,只能配置物理端口 Access Mode;借助 Security Plus 许可证,可以将 ASA 5505 物理接口配置为 Trunk来承载多个 VLAN。
5. Dual ISPs:
此功能仅适用于 启用Security Plus 许可的 ASA 5505。使用基本许可证,仅允许最多三个配置的逻辑接口,其中第三个接口只能向其他两个接口之一发起流量;由于此限制,在主要外部接口发生故障时无法使用备用的外部接口提供外部连接。当启用Security Plus许可时,可用逻辑接口的数量增加到20个;可以使用浮动默认路由和路由跟踪来实现跨多个 ISP 的接口级高可用性。
6. 10GE I/O:
此功能仅适用于 ASA 5585-X 型号。具有基本许可证的 SSP-10 和 -20 仅允许以 1-GigabitEthernet (GE) 速度配置板载光纤接口; Security Plus 许可允许以 10-GE 速度配置这些接口。此功能始终在 SSP-40 和 -60 以及任何扩展 10-GE 接口模块上启用。ASA 5510 设备需要 Security Plus 许可才能以 1-GE 速度配置Ethernet0/0 和Ethernet0/1 接口。未提及的所有其他型号都允许配置任何板载或外部物理以太网接口,最高可达支持的最大速度。
7. Inside Hosts:
此值定义可与外部接口后面的信息点建立并发连接的受信任接口后面的信息点的最大数量(以IP计数)。当在路由模式下运行时,默认路由决定外部接口的位置;如果默认路由不存在,则所有已配置接口后面的信息点均计入限制。在透明模式下,只有活动端点数量最少的接口才会计入限制。此功能在除 ASA 5505 平台默认限制为 10,可以扩展到 50 或“无限制”,其他所有平台上均为“无限制”。
8. Failover:
所有平台上都提供配置一对 ASA 设备以实现高可用性,但在 Cisco ASA 5505、ASA 5510 和 ASA 5512-X 型号上需要 Security Plus 许可证。由于 ASA 5505 不支持 Security Contexts 功能,因此该平台上仅提供主用/备用故障切换。所有其他 ASA 型号均支持 Active/Standby 和 Active/Active。
9. Encryption-DES:
该许可默认在所有 Cisco ASA 平台上启用,用于 VPN、统一通信代理和管理会话加密的 DES 算法。许多需要与 ASA 建立安全会话的信息点通常无法接受 DES 等弱加密算法。
10. Encryption-3DES-AES:
该许可添加了 3DES 和 AES 算法,以便为 VPN、统一通信代理和管理会话提供强大的加密功能。某些功能(例如 VPN 负载平衡)也需要此许可证才能正常运行。此许可证的访问受到出口管控限制,因此默认情况下它不一定预装在全新的 ASA 上;ASA 配置中强加密算法必须需要此许可证。
11. Other VPN Peers:
此数量定义可以在 ASA 平台上连接 IPsec 站点到站点隧道和基于 IKEv1/IKEv2 的远程访问会话的最大数量。ASA 5505 上安装 Security Plus 许可时,数量可以从 10 个扩展到 25 个;在所有其他型号上根据硬件固定限制。
12. Total VPN Peers:
此数量定义了可以在 ASA 平台上连接的任何 VPN 会话的最大数量。除ASA 5505 之外的所有型号上的 Total VPN 对等点的数量取决于 Security Plus 和 AnyConnect Essentials 许可。
13. Intercompany Media Engine:
启用此功能后,会话发起协议 (SIP) 检查引擎与 TLS 代理一起运行,以验证和保护 VoIP 连接。由于 TLS 代理会话的最大数量存在平台限制,因此 Intercompany Media Engine 与依赖 TLS 代理的其他功能共享此限制。此功能的特定许可可能允许总共 1000 个 TLS 代理会话(受限制)或最多可达预设平台限制(无限制)。应用此许可后,使用 tls-proxy Maximum-sessions 命令根据需要提高配置的会话限制。应该注意的是,依赖 TLS 代理的其他统一通信检查功能可能会对加密会话的总数施加单独的限制。
14. GTP/GPRS:
此许可使能够对 GPRS 隧道协议 (GTP) 进行应用检查,该协议支持通用分组无线服务 (GPRS) 数据网络。移动服务提供商通常使用此功能来保护其网络基础设施。激活许可后,使用inspect gtp 命令在服务策略配置下对适用流量启用GTP/GPRS 检查引擎。
15. AnyConnect for Mobile:
此许可允许ASA 接受来自运行 Apple iOS、Android 和 Windows Mobile 操作系统的移动设备的 SSL VPN 连接。这不是一个独立的功能,而是可供 AnyConnect 对等方使用的特殊功能。因此,仅当安装的 AnyConnect Premium Peers 或 AnyConnect Essentials 许可允许基础 SSL VPN 会话时,您才能使用此功能。当会话使用 AnyConnect Essentials 许可时,移动设备状态数据仅供参考。当移动设备是 AnyConnect Premium 对等方时,可以利用动态访问策略 (DAP) 根据一组广泛的属性来允许或拒绝设备的网络访问。
16. AnyConnect for Cisco VPN Phone:
此许可证允许 ASA 接受来自 Cisco IP 电话的 VPN 连接。这不是一个独立的功能,它首先需要 AnyConnect Premium 对等许可才能允许底层 VPN 连接。
17. Advanced Endpoint Assessment:
启用此功能后,ASA 可以主动对 Microsoft Windows、Apple OS X 和 Linux 操作系统上运行 AnyConnect对等方设备上的第三方防病毒、反间谍软件和个人防火墙实施某些操作策略。这是另一个附加功能,仅适用于 AnyConnect Premium 对等方设备;默认情况下,此类对等方只能受益于主机扫描和动态访问策略提供的基本反应状态验证功能。
18. Botnet Traffic Filter:
通过此功能,可以检测并阻止涉及已知恶意主机的入站和出站连接。 从思科安全情报运营 (SIO) 动态更新此类违规端点的数据库,该许可支持数据库更新以及僵尸网络流量过滤器配置命令。
19. Cluster:
此功能目前仅在 ASA 5580 和 ASA 5500-X 设备上可用。它允许将具有完全相同硬件配置的最多达 16 个物理设备聚合到单个逻辑设备中,从而扩展了 Failover 的高可用性优势。与 Failover 不同,集群的所有成员同时处理传输流量,同时补偿外部负载平衡的缺陷。集群中的所有设备都必须启用此功能。集群功能的可用性和支持的最大集群成员数量取决于软件 IOS 版本和硬件平台。
20. IPS Module:
此功能仅适用于 ASA 5500-X 设备。它允许使用入侵防御系统 (IPS);该许可仅允许在 ASA 上安装 IPS 软件模块,然后使用服务策略配置启用流量重定向;由于该模块运行独立的软件镜像,因此它有自己的功能许可,必须单独获取并安装。ASA 设备上的硬件 IPS 模块不需要特殊许可证即可安装或流量重定向。
21. Security Contexts:
该许可证允许创建多个虚拟防火墙,这些防火墙可以在同一物理 ASA 设备上同时运行。它不适用于基本许可证的 ASA 5505、ASA 5510 和 ASA 5512-X 设备。默认情况下,所有其他平台和许可证组合允许您配置最多两个虚拟防火墙;ASA 5585-X 设备上最多可扩展至 250 个。注意,即使安装了适当的功能许可,并非所有功能都与 Multiple Contexts 模式兼容。
22. UC Phone Proxy Sessions:
该数量决定 UC 电话代理功能可以使用的 TLS 代理会话的最大数量。此限制不包括依赖于明文应用程序检查的中转 VoIP 连接。活动 TLS 代理会话的数量可能会超过活动 VoIP 端点的数量,此许可会话计数相当于 UC 代理会话总数许可,在所有平台上其默认为 2。即使具有 10,000 个会话的总 UC 代理会话许可证,也将此功能的最大会话限制为 5000(ASA 5585-X)。
23. Total UC Proxy Sessions:
此许可建立使用 TLS 代理支持电话代理、在线状态联合代理和加密语音检查功能的所有连接的最大数量;此限制不包括与 Intercompany Media Engine 或 Mobility Advantage 代理功能相关的 TLS 代理会话。该功能在所有平台上默认许可容量为2;即使具有 10,000 个会话的总 UC 代理会话许可证,也将此功能的最大会话限制为 5000(ASA 5585-X)。
24. AnyConnect Premium Peers:
该许可定义可以在 ASA 平台上连接的 SSL VPN、无客户端 SSL VPN 和基于 IPsec IKEv1/IKEv2 的远程访问 VPN 会话的最大数量。此许可是使用 AnyConnect Essentials 许可不支持的多项高级功能的先决条件。此类高级许可功能包括用于 Cisco VPN 电话的 AnyConnect 和 Advanced Endpoint Assessment;AnyConnect Premium 许可和 AnyConnect Essential 许可不能同时运行;即使在一台设备上安装两个许可证,在任何时间只有其中一个保持活动状态。使用 no anyconnect-essentials 命令来启用 AnyConnect Premium 许可。尽管限制与 Other VPN Peers 分开,但 VPN 会话总数不能超过 Total VPN Peers。
25. AnyConnect Essentials:
该许可定义允许在 ASA 平台上连接的 SSL VPN、和基于 IPsec IKEv1/IKEv2 的远程访问 VPN 会话的最大数量。它不提无客户端 SSL VPN 连接的功能。
四、 CCIE安全Security课程PAK 许可安装:
ciscoasa# activation-key 0x423ce94e 0xe4368646 0xd9c07070 0xce58c820 0x4c16deb1
ciscoasa# show activation-key
Serial Number: FCH1715J1ED
Running Permanent Activation Key: 0x423ce94e 0xe4368646 0xd9c07070 0xce58c820 0x4c16deb1
The Running Activation Key feature: 10000 AnyConnect Premium sessions exceed the limit on the platform, reduced to 250 AnyConnect Premium sessions.
The Running Activation Key feature: 10000 UC Proxy sessions exceed the limit on the platform, reduced to 500 UC Proxy sessions.
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 5 perpetual
GTP/GPRS : Enabled perpetual
AnyConnect Premium Peers : 250 perpetual
AnyConnect Essentials : 250 perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Enabled perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Enabled perpetual
Advanced Endpoint Assessment : Enabled perpetual
Total UC Proxy Sessions : 500 perpetual
Botnet Traffic Filter : Enabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 4 perpetual
五、 CCIE安全Security课程PAK 许可命令集:
ciscoasa# show activation-key //显示许可授权信息
ciscoasa# activation-key 0xb234ac1d 0xb234ac1d 0xb234ac1d 0xb234ac1d //导入PAK License
ciscoasa(config)# no anyconnect-essentials //启用 AnyConnect Premium 可证
我们会陆续更新CCNA|CCNP|EI CCIE;HCIA|HCIP|HCIE Datacom|VMware等学习视频,IT技术,学习技巧等
视频转码、播放、基础课资料等问题可私信!我们是:WOLFLAB网络技术实验室
WOLFLAB官方微信:17316362402
WOLFLAB官方QQ:2569790740