Tìm hiểu giấy phép License trên Cisco ASA 5500 (5505 và 5510): Base License và Security Plus License

Thảo luận trong 'Firewall Cisco' bắt đầu bởi Thu-WGT, 16/10/17.

  1. Thu-WGT

    Thu-WGT New Member

    Hai mẫu ASA Firewall Cisco nhỏ nhất, 5505 và 5510, là những mẫu duy nhất có hai loại giấy phép.

    Chúng có thể được đặt hàng với Giấy phép cơ sở(Base License) hoặc Giấy phép Security Plus. Sự khác biệt giữa hai loại giấy phép được tóm tắt như bên dưới:

    Bảng so sánh nhanh (Base LicenseSecurity Plus License)

    [​IMG]
    Giải thích về giấy phép người dùng Cisco ASA 5505

    Có rất nhiều câu hỏi liên quan đến ý nghĩa của số giấy phép người dùng cho Cisco ASA 5505. Dòng này cung cấp một trong ba tùy chọn Giấy phép Người dùng.
    • 10 users,
    • 50 users and
    • UL (unrestricted license).
    Ý nghĩa của giấy phép người dùng về cơ bản đề cập đến các địa chỉ IP đồng thời có thể giao tiếp giữa mạng Internal (bên trong) và giao diện Internet (bên ngoài).

    Vì vậy, đối với giấy phép 10 người dùng, chỉ có 10 máy chủ nội bộ (địa chỉ IP) đồng thời có thể truy cập internet. Điều tương tự cũng áp dụng cho 50 người dùng (chỉ có 50 địa chỉ IP đồng thời có thể truy cập Internet).

    Đối với giấy phép UL, không có hạn chế như vậy (điểm cộng về bảo mật là không hạn chế đối với máy chủ nội bộ).

    Việc cấp phép người dùng cũng ảnh hưởng đến số lượng địa chỉ IP tối đa có thể được DHCP của ASA5505 gán cho các máy chủ nội bộ.

    Đối với giấy phép 10 người dùng, số máy khách DHCP tối đa trên mạng nội bộ là 32. Đối với giấy phép 50 người dùng, số máy khách DHCP tối đa là 128.

    Giải thích chính thức từ Cisco về việc cấp phép người dùng Cisco ASA5505 như sau:

    “Ở chế độ định tuyến, các máy chủ bên trong (Business and Home VLANs) chỉ được tính vào giới hạn khi chúng giao tiếp với bên ngoài (Internet VLAN).

    Những hosts Internet không được tính vào giới hạn. Máy chủ lưu lượng truy cập giữa Doanh nghiệp và Nhà riêng cũng không được tính vào giới hạn.

    Giao diện liên kết với tuyến đường mặc định được coi là giao diện Internet. Nếu không có tuyến mặc định, máy chủ trên tất cả các giao diện được tính vào giới hạn.

    Ở chế độ trong suốt, giao diện có số lượng máy chủ thấp nhất được tính vào giới hạn máy chủ. Xem lệnh hiển thị máy chủ lưu trữ cục bộ để xem giới hạn máy chủ lưu trữ. ”

    Các thuật ngữ VLAN “Business” và “Home” ở trên đề cập đến các vùng mạng Nội bộ và DMZ.

    Hạn chế giấy phép Tường lửa Cisco ASA 5505 cho DMZ

    Cisco ASA 5505 là một sản phẩm tuyệt vời cho các doanh nghiệp nhỏ (5-10 nhân viên) hoặc thậm chí để sử dụng mạng gia đình.

    Tuy nhiên, nếu bạn cần tạo một vùng DMZ (ngoài các vùng Bên trong và Bên ngoài của bạn) để cài đặt một máy chủ có thể truy cập công cộng (ví dụ: máy chủ WEB, máy chủ MAIL, v.v.), thì giấy phép cơ bản mặc định sẽ không hoạt động cho bạn.

    Giấy phép cơ bản không cho phép nhiều hơn 2 vùng an ninh. Bạn sẽ cần nâng cấp lên giấy phép “Security Plus”, giấy phép này cũng nâng cao một số thông số tường lửa khác (nhiều kết nối tường lửa hơn, nhiều phiên VPN truy cập từ xa hơn, kết nối tới 20 VLAN).

    Việc cấp phép cho ASA 5505 như sau:

    Gói phiên bản tường lửa 10 người dùng Cisco ASA 5505

    Bao gồm: 10 người dùng, bộ chuyển mạch Fast Ethernet 8 cổng với 2 cổng Cấp nguồn qua Ethernet, 10 IPsec VPN, 2 SSL VPN, giấy phép Tiêu chuẩn mã hóa dữ liệu / Tiêu chuẩn mã hóa nâng cao (3DES / AES).

    Gói phiên bản tường lửa 50 người dùng Cisco ASA 5505

    Bao gồm: 50 người dùng, bộ chuyển mạch Fast Ethernet 8 cổng với 2 cổng Power over Ethernet, 10 IPsec VPN, 2 SSL VPN, giấy phép 3DES / AES.

    Gói phiên bản tường lửa không giới hạn người dùng của Cisco ASA 5505

    Bao gồm: Người dùng không giới hạn, bộ chuyển mạch Fast Ethernet 8 cổng với 2 cổng PoE, 10 IPsec VPN, 2 SSL VPN, giấy phép 3DES / AES.

    Gói phiên bản tường lửa Cisco ASA 5505 Security Plus

    Bao gồm: Người dùng không giới hạn, bộ chuyển mạch Fast Ethernet 8 cổng với 2 cổng PoE, 25 IPsec VPN, 2 SSL VPN, hỗ trợ DMZ, tính khả dụng cao của Stateless Active / Standby, hỗ trợ ISP kép, giấy phép 3DES / AES.

    Cấp phéo VLAN trên Cisco ASA 5505

    8 giao diện vật lý của thiết bị tường lửa Cisco ASA 5505 có thể được chia thành các nhóm có chức năng như vùng bảo mật riêng biệt.

    Mỗi nhóm là một Vlan lớp 2. Các thiết bị trong cùng một nhóm (Vlan) có thể giao tiếp trực tiếp giữa chúng mà không cần thông qua sự kiểm soát bảo mật của tường lửa.

    Mặt khác, các thiết bị giữa các Vlan khác nhau chỉ có thể giao tiếp với nhau bằng cách chuyển lưu lượng truy cập qua thiết bị bảo mật thích ứng nơi các chính sách bảo mật liên quan được áp dụng.

    Theo mặc định, có hai Vlans (VLAN1 và VLAN2) được cấu hình sẵn trên tường lửa theo mặc định. Cổng Ethernet0 / 0 thuộc VLAN2 và các cổng Ethernet0 / 1 đến 0/7 thuộc về VLAN1.

    Ví dụ: khi một cổng chuyển mạch trên VLAN1 đang giao tiếp với cổng chuyển mạch trên VLAN2, thiết bị bảo mật thích ứng sẽ áp dụng các chính sách bảo mật đã định cấu hình cho lưu lượng và các tuyến hoặc cầu nối lưu lượng giữa hai VLAN.

    Thông thường Cổng Ethernet0 / 0 kết nối với giao diện không tin cậy bên ngoài (Internet) và các cổng Ethernet0 / 1 đến 0/7 kết nối với vùng mạng tin cậy bên trong.

    Giấy phép được cài đặt trên tường lửa 5505 xác định số lượng VLAN hoạt động được phép trên thiết bị như mô tả bên dưới:

    VLAN Licenses cho ASA 5505 cơ bản:

    Giấy phép cơ bản chỉ cho phép 3 VLAN đang hoạt động mà bạn có thể sử dụng là Bên trong, Bên ngoài và DMZ. Tuy nhiên, có một hạn chế ở đây mà nhiều người chưa biết: DMZ VLAN CHỈ có thể truy cập vào VLAN bên ngoài nhưng không thể truy cập vào VLAN bên trong. Hai VLAN còn lại (Bên trong và Bên ngoài) có thể truy cập tất cả các VLAN khác mà không gặp vấn đề gì.

    VLAN License cho Security Plus ASA 5505:

    Giấy phép Security Plus, loại bỏ tất cả các giới hạn và cho phép cấu hình tối đa 20 VLAN đang hoạt động. Vì chỉ có 8 cổng vật lý, bạn có thể tạo một số giao diện con Vlan trên mỗi cổng vật lý để phân đoạn mạng của bạn thành các vùng bảo mật khác nhau (ví dụ: Bên trong, Bên ngoài, DMZ1, DMZ2, Bán hàng, Kỹ thuật, v.v.).

    Cách nâng cấp Giấy phép Tường lửa Cisco ASA 5500

    Để nâng cấp giấy phép hiện tại của tường lửa Firewall Cisco ASA, bạn cần đặt hàng cấp phép Key mới từ Cisco tại www.cisco.com/go/license hoặc từ nhà cung cấp (đối tác uy tín của Cisco như Cty Thế Giới Mang chúng tôi). Bạn sẽ nhận được một key cấp phép mới trong email của mình sau vài giờ. Khóa cấp phép này là một chuỗi thập lục phân năm phần tử ở dạng 0xffd8624e (làm ví dụ).

    Để áp dụng khóa (kích hoạt) cấp phép mới này trong thiết bị bảo mật của bạn, hãy cấu hình như sau:

    ASA5500-TGM(config)# activation-key 0xffd8624e
    ASA5500-TGM (config)#exit
    ASA5500-TGM #copy running startup
    ASA5500-TGM #reload


    Chúc các bạn thành công!
     
    Thu-WGT, 16/10/17
    #1

trang này