Вы здесь

Лицензии Security и ISR2

Как известно, на новых маршрутизаторах ISR Generation 2 теперь необходимо отдельно приобретать лицензии, а в нашей стране лицензию Security приобрести очень сложно.

Взамен предлагается приобретать продукцию RVPN к работе которой существует целый ряд вопросов.
RVPN не совместима с "родным" шифрованием 18xx, 28xx, 38xx; RVPN не позволяет поднять DMVPN Phase 2; Настройки RVPN также требуют использование NAT и других костылей.

В данной статье рассматривается лабораторный опыт на включение шифрования на маршрутизаторах ISR Generation 2 в режиме evaluation, т.е. без использования лицензии.

Взял купленный роутер:

Cisco CISCO3945-CHASSIS (revision 1.0) with C3900-SPE150/K9 with 987136K/61440K bytes of memory.

Исходный IOS:

Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9_NPE-M), Version 15.4(1)T1, RELEASE SOFTWARE (fc2)
show version Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9_NPE-M), Version 15.4(1)T1, RELEASE SOFTWARE (fc2) ................ Technology Package License Information for Module:'c3900' ------------------------------------------------------------------------ Technology Technology-package Technology-package Current Type Next reboot ------------------------------------------------------------------------ ipbase ipbasek9 Permanent ipbasek9 security None None None uc None None None data None None None NtwkEss None None None CollabPro None None None

Проверим доступность команд IPSec:

c3945(config)#crypto ? key Long term key operations pki Public Key components

Как видно тут ничего нет ни ipsec, ни map.

Копируем на Flash последнюю версию IOS c3900-universalk9-mz.SPA.153-3.M3.bin.
Подсовываем «полный» IOS командой:

boot system flash0:/c3900-universalk9-mz.SPA.153-3.M3.bin

И ребутаемся.

c3945#show version Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), Version 15.3(3)M3, RELEASE SOFTWARE (fc1) ................... Technology Package License Information for Module:'c3900' ------------------------------------------------------------------------ Technology Technology-package Technology-package Current Type Next reboot ------------------------------------------------------------------------ ipbase ipbasek9 Permanent ipbasek9 security None None None uc None None None data None None None NtwkEss None None None CollabPro None None None

Пока без изменений.

c3945#conf t Enter configuration commands, one per line. End with CNTL/Z. c3945(config)#license boot module c3900 technology-package ? CollabProSuitek9 CollabProSuitek9 technology NtwkEssSuitek9 NtwkEssSuitek9 technology datak9 data technology securityk9 security technology uck9 unified communications technology c3945(config)#license boot module c3900 technology-package securityk9 PLEASE READ THE FOLLOWING TERMS CAREFULLY. INSTALLING THE LICENSE OR ............................ (это не читаем) .......................... Activation of the software command line interface will be evidence of your acceptance of this agreement. ACCEPT? [yes/no]: yes % use 'write' command to make license boot config take effect on next boot c3945(config)#exit c3945#wr

Ребутаем.

c3945#show version Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), Version 15.3(3)M3, RELEASE SOFTWARE (fc1) ...................... Technology Package License Information for Module:'c3900' ------------------------------------------------------------------------ Technology Technology-package Technology-package Current Type Next reboot ------------------------------------------------------------------------ ipbase ipbasek9 Permanent ipbasek9 security securityk9 EvalRightToUse securityk9 uc None None None data None None None NtwkEss None None None CollabPro None None None

Проверим доступность команд IPSec:

c3945(config)#crypto ? batch Crypto Batch Processing call Configure Crypto Call Admission Control ctcp Configure cTCP encapsulation dynamic-map Specify a dynamic crypto map template engine Enter a crypto engine configurable menu gdoi Configure GDOI policy identity Enter a crypto identity list ikev2 Configure IKEv2 Options ipsec Configure IPSEC policy isakmp Configure ISAKMP policy key Long term key operations keyring Key ring commands logging logging messages map Enter a crypto map mib Configure Crypto-related MIB Parameters pki Public Key components provisioning Secure Device Provisioning vpn Configure crypto vpn commands wui Crypto HTTP configuration interfaces xauth X-Auth parameters

Итак теперь у нас есть полноценный IPSec
Сколько же он проработает в режиме evaluation?

c3945#show license Index 2 Feature: securityk9 Period left: 8 weeks 3 days Period Used: 6 minutes 20 seconds License Type: EvalRightToUse License State: Active, In Use License Count: Non-Counted License Priority: Low

Через 8 недель и 3 дня кончится Evaluation Period.
После этого теоретически лицензия лишь приобретёт другой статус, но функциональность останется.
В некоторых источниках говорят что лицензия "затвердеет", что же произойдёт в этой лабе - покажет время.

Добавление

Вернулся к вопросу спустя полгода: сдендовый роутер продолжает работать, шифрование рабочее.
Статус лицензии изменился на RightToUse. Система нормально ребутается, после ребута все функции восстанавливаются.

c3945#show version Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), Version 15.3(3)M3, RELEASE SOFTWARE (fc1) ............................................................................................................ Technology Package License Information for Module:'c3900' ------------------------------------------------------------------------ Technology Technology-package Technology-package Current Type Next reboot ------------------------------------------------------------------------ ipbase ipbasek9 Permanent ipbasek9 security securityk9 RightToUse securityk9 uc None None None data None None None NtwkEss None None None CollabPro None None None Configuration register is 0x2102
c3945#show license Index 2 Feature: securityk9 Period left: Life time License Type: RightToUse License State: Active, In Use License Count: Non-Counted License Priority: Low

Комментарии

Добрый день, Владимир!

Чем закончился опыт?

Добрый день,
ответ добавил в статью

Для полноты эксперимента, могли бы Вы его перегрузить? )

Всё прекрасно ребутается, все функции после ребута восстанавливаются. Во время ребута система напоминает о просроченных лицензиях.

Если после этого подсунуть настоящую лицензию SEC-К9, статус станет Permanent?

Да, конечно

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image