Наткнулся на еще одну интересную особенность лицензирования и настройки Cisco ASA. В одном из предыдущих постов я привел примерную спецификацию оборудования и лицензий, необходимых для использования VPN клиента Cisco AnyConnect.
Существует два типа лицензий для Cisco AnyConnect:
- AnyConnect Premium
- AnyConnect Essential
Разница между ними представлена на рисунке ниже
На большинстве Cisco ASA серии 5500X по умолчанию идет две Premium лицензии, поэтому максимальное кол-во подключений для AnyConnect так же ровняется двум. Соответственно, активировав закупленные лицензии
ASA-AC-E-5512 AnyConnect Essentials VPN License - ASA 5512-X (250 Users)ASA-AC-M-5512 AnyConnect Mobile - ASA 5512-X (req. Essentials or Premium)
при выводе show ver мы получаем следующее:
Казалось бы, что все готово, однако при попытке подключения более двух пользователей VPN клиент выдает ошибку login failed. Порывшись в конфигурации нашел следующее:
webvpn
enable outside
no anyconnect-essentials
Т.е. лицензии активировались, однако ASA их не использует (из-за строчки no anyconnect-essentials), поправив на
webvpn
enable outside
anyconnect-essentials
enable outside
anyconnect-essentials
Только после этого ASA стала поддерживать более 2-х AnyConnect подключений.
Важное замечание! Одновременно может быть активирован только один тип лицензий, либо Premium, либо Essentials. Таким образом после проделанных действий становятся не активны две Premium лицензии, которые идут с Cisco ASA по умолчанию. Т.е. такие функции как clientless ssl vpn или cisco secure desktop нам более не доступны. При попытке подключения с использованием технологии clientless ssl vpn будет появляться ошибка:
(Clientless (browser) SSL VPN access is not allowed
google.com
ОтветитьУдалитьо здоровье и красоте
ОтветитьУдалить