ASA许可证

每台安装了BASE license的ASA平台都自带了一些隐藏的特性和功能。根据不同国际出口规则，有些ASA上安装的有可能是NO Payload Encryption license。这种许可证会绑定在邮件上，无法修改或删除，下面这些license授权的特性和功能无法在NO Payload Encryption硬件模型上使用。

• AnyConnect Premium Peers；
• AnyConnect Essentials；
• Other VPN Peers；
• Total VPN Peers；
• Shared License；
• AnyConnect for Mobile；
• AnyConnect for Cisco VPN Phone；
• Advanced Endpoint Assessment；
• UC Phone Proxy Sessions；
• Total UC Proxy Sessions；
• Intercompany Media Engine.

根据特性可以将license分类：

1. 基本平台功能
2. 高级安全功能
3. 分层功能特性

1、基本平台功能

这些功能包括如：

• 防火墙连接（所有状态化连接的最大并发连接数）
• 最大物理接口（总接口限制包括物理接口、冗余接口、VLAN子接口、EtherChannels和桥组等）
• 最大VLAN数
• VLAN trunk端口
• 双ISP
• 10GE I/O
• 内部主机（定义了受保护接口身后的专用IP地址的最大数量，这些接口可以与外部接口身后的端点建立并发连接）。
• Failover
• 加密DES
• 加密3DES-AES
• Other VPN Peers（该值定义了以这台ASA为端点的并发IPSec站点到站点隧道的最大数量，以及基于IKEv1的远程访问会话的最大数量。如果在Cisco ASA 5505上安装了Security Plus许可证，可以将限制由10条连接扩展到25条连接，对于其他型号的设备，软件会根据设备的硬件功能来设置具体的限制数量）。
• Total VPN Peers（这个数量定义了以这台ASA平台为端点的任意并发VPN会话最大数量。许可证授权的限制数量与各平台Other VPN Peers的数量相同，但ASA 5505除外，对于ASA5505，它的数量取决于是否使用了Security Plus license，以及AnyConnect Essentials license）。

2、高级安全特性

如下特性属于这个类别：

• Intercompany Media Engine
• GTP/GPRS
• AnyConnect for Mobile（这个license可以让ASA接受从苹果、安卓和Windows操作系统的移动设备发起SSL VPN连接，这并不是一个独立的特性，而是AnyConnect对等体的一项特殊的功能。只有安装了AnyConnect Premium Peers或AnyConnect Essential license允许底层的SSL VPN会话时，管理员才可以利用这项功能）。当会话使用AnyConnect Essential许可证时，移动设备形态数据只用于提供信息的目的。当移动设备为AnyConnect Premium Peers之一时，管理员可以利用DAP（动态访问策略），来根据一系列属性放行或拒绝去往某台设备的网络访问会话。
• AnyConnect for Cisco VPN Phone（这个许可证可以让ASA接受从某些硬件CISCO IP电话发来的VPN连接，这也不是一项独立的特性，因为它需要使用AnyConnect Premium Peers来首先放行底层的VPN连接）。
• Advanced Endpoint Assessment
• Botnet Traffic Filter
• Cluster
• IPS Module

3、分层功能特性

下面特性属于这个类别：

• Security Context（这个许可可以在同一台物理ASA设备上创建多个可以同时工作的虚拟防火墙）
• UC Phone Proxy Sessions（该值决定了UC电话代理特性最多可以使用多少条TLS代理会话）
• Total UC Proxy Sessions
• AnyConnect Premium Peers（该值定义了以这台ASA平台为端点所建立的并发SSL VPN、Clientless SSL VPN和IPSec IKEv1 Remote VPN会话的最大数量，这个许可可以提供AnyConnect Essential不支持的一些高级特性。注意的是，AnyConnect Premium Peers和AnyConnect Essential不能同时使用，如果安装了两个license，同时只有其一会生效，我们需要使用no anyconnect-essentials命令来启用AnyConnect Premium Peers。另外，虽然该特性和Other VPN Peers相互独立，但是总的并发数VPN会话数量还是不能超过Total VPN Peers的限制数量）。
• AnyConnect Essential（这个许可证可以让ASA充当一定数量SSL VPN和IPSec IKE Remote VPN的端点。）