Задача: получить в своё распоряжение дополнительные возможности используемого программного обеспечения Cisco PIX/ASA путём применения к нему активационных лицензионных ключей.
Что из себя представляет лицензия? Это так называемый "activation-key", который надо ввести в консоли, после чего станет доступен дополнительный функционал. Активационный ключ генерируется на основе серийного ключа целевого устройства и не может быть применён к другому устройству, пусть даже оно и совершенно такое же, как и целевое.
Обычный путь получения лицензии - покупка её у дистрибьютора. Дистрибьютор выдает специальный "PAK номер", который применяется на сайте http://cisco.com/ в соответствующем разделе вместе с серийным номер устройства, после этого генерируется "activation-key", высылаемый по почте. А уже полученный "activation-key" применяем в устройстве.
Если не озаботится заранее приобретением лицензии, то устройства PIX и ASA придут с урезанной или базовой лицензией. По умолчанию PIX поставляется с так называемой ограниченной (Restricted) или свободной (Free) лицензией. Эта лицензия по сравнению с неограниченной (Unrestricted) отличается меньшим количеством поддерживаемых интерфейсов и протоколов.
По мере морального устаревания устройства производитель открывает для свободного использования некоторые лицензии. Например, для Cisco PIX есть возможность бесплатно получить лицензию на активацию поддержки уровня шифрования 3DES/AES, в дополнение к имеющейся поддержке DES (56bit) Encryption License.
Процедура получения лицензии несложна:
1. Регистрируемся на портале http://cisco.com/, если этого не было проделано ранее;
2. Проходим по указанному адресу: http://www.cisco.com/go/license для авторизации;
3. Обращаемся по адресу: https://tools.cisco.com/SWIFT/Licensing/PrivateRegistrationServlet;
4. Проходим процедуру применения полученного от дистрибьютора "PAK номера" или переходим по ссылке получения бесплатных лицензий ("If you do not have a Product Authorization Key (PAK), please click here for available licenses.") по адресу: https://tools.cisco.com/SWIFT/Licensing/PrivateRegistrationServlet?DemoKeys=Y;
5. Ищем в списке требующуюся нам лицензию, например: "Cisco PIX Security Appliance 3DES/AES License", переходим по ссылке, заполняем поля формы запроса, отправляем запрос и ждем письма.
2. Проходим по указанному адресу: http://www.cisco.com/go/license для авторизации;
3. Обращаемся по адресу: https://tools.cisco.com/SWIFT/Licensing/PrivateRegistrationServlet;
4. Проходим процедуру применения полученного от дистрибьютора "PAK номера" или переходим по ссылке получения бесплатных лицензий ("If you do not have a Product Authorization Key (PAK), please click here for available licenses.") по адресу: https://tools.cisco.com/SWIFT/Licensing/PrivateRegistrationServlet?DemoKeys=Y;
5. Ищем в списке требующуюся нам лицензию, например: "Cisco PIX Security Appliance 3DES/AES License", переходим по ссылке, заполняем поля формы запроса, отправляем запрос и ждем письма.
В полученном письме нас особо заинтересуют пункты активации требуемого нам функционала:
PIX TYPE: PIX-515E
SERIAL #: serial.number
....
VPN-DES : Enabled
VPN-3DES-AES : Enabled
....
Platform = asa-pix
Key: activation-key
SERIAL #: serial.number
....
VPN-DES : Enabled
VPN-3DES-AES : Enabled
....
Platform = asa-pix
Key: activation-key
После получения письма с активационным кодом применяем его на устройстве, например, таким образом:
PIX# configure terminal
PIX(config)# activation-key activation-key
PIX(config)# exit
PIX(config)# activation-key activation-key
PIX(config)# exit
Сравниваем информацию о версии обеспечения до применения лицензии и после:
PIX# show version
Cisco PIX Security Appliance Software Version 8.0(4)
Licensed features for this platform:
Maximum Physical Interfaces : 3
Maximum VLANs : 10
....
VPN-DES : Enabled
VPN-3DES-AES : Disabled
....
VPN Peers : Unlimited
This platform has a Restricted (R) license.
Licensed features for this platform:
Maximum Physical Interfaces : 3
Maximum VLANs : 10
....
VPN-DES : Enabled
VPN-3DES-AES : Disabled
....
VPN Peers : Unlimited
This platform has a Restricted (R) license.
После применения "activation-key":
PIX# show version
Cisco PIX Security Appliance Software Version 8.0(4)
Licensed features for this platform:
Maximum Physical Interfaces : 3
Maximum VLANs : 10
....
VPN-DES : Enabled
VPN-3DES-AES : Enabled
....
VPN Peers : Unlimited
This platform has a Restricted (R) license.
Licensed features for this platform:
Maximum Physical Interfaces : 3
Maximum VLANs : 10
....
VPN-DES : Enabled
VPN-3DES-AES : Enabled
....
VPN Peers : Unlimited
This platform has a Restricted (R) license.
Сохраняем результаты и перезапускаем устройство:
PIX# copy running-config startup-config
PIX# reload
PIX# reload
Теперь, когда у нас есть поддержка шифрования уровня 3DES/AES, активируем SSH v.2 и избавимся от напоминаний клиентов SSH о небезопасности подключения с использованием DES (56bit) Encryption.
PIX# configure terminal
PIX(config)# ssh version 2
PIX(config)# exit
PIX# copy running-config startup-config
PIX(config)# ssh version 2
PIX(config)# exit
PIX# copy running-config startup-config
Обновление образа IOS не оказывает влияния на применённые лицензионные ключи, так как ключи сохраняются в энергонезависимой области памяти "nvram", в отличии от образа, хранимого на внешнем носителе "flash".
22 марта 2011 в 15:19
23 марта 2011 в 15:18
10 октября 2011 в 13:33
10 октября 2011 в 13:54
22 февраля 2013 в 17:26
8 февраля 2016 в 20:09
9 февраля 2016 в 13:19