Лицензия для шифрования на маршрутизаторах Cisco

В последнее время в Cisco TAC  попадает много кейсов из Licensing Team с просьбой помочь клиенту установить лицензию для шифрования на маршрутизаторе. Такие кейсы можно разделить на два вида:

  1. У клиента есть лицензия вида L-SL-29-SEC-K9 и т.п.
  2. У клиента есть лицензия вида L-SL-29-SECNPE-K9 и т.п.

В первом случае проблема выглядит следующим образом: во время попытки установить лицензию на маршрутизаторе, появляется следующая ошибка:

bursa_efes#license install flash:FCZ1444213E_20120111051555288.lic

Installing licenses from «flash:FCZ1444213E_20120111051555288.lic»

Installing…Feature:securityk9…Successful:Not Supported

1/1 licenses were successfully installed

0/1 licenses were existing licenses

0/1 licenses were failed to install

Здесь видно, что маршрутизатор не может установить лицензию securityk9, так как она не поддерживается. Происходит этого из-за того, что на маршрутизаторе установлен NPE IOS, то есть программное обеспечение вида “universalk9_npe”. Аббревиатура NPE расшифровывается как «NO PAYLOAD ENCRYPTION», что означает «нет поддержки шифрования». Такая проблема с установкой лицензии решается заменой этого IOS на IOS без аббревиатуры NPE в названии.

В примере выше у клиента была версия IOS «c2900-universalk9_npe-mz.SPA.151-1.T1.bin», после обновления  на  «c2900-universalk9-mz.SPA.151-1.T1.bin» — проблема была решена.

Во втором случае шифрование не включается, так как сама лицензия содержит NPE в названии. В этом случае мы рекомендуем клиенту заказать лицензию без аббревиатуры NPE в названии и конечно обязательно устновить non-NPE IOS.

Если у вас возникла проблема с лицензией для шифрования, вы всегда можете написать в Licensing Team на licensing@cisco.com или, конечно, открыть кейс в Cisco TAC, где мы всегда рады вам помочь. Пожалуйста сразу присылайте “sh ver”+ “sh license det”, это позволит ускорить процесс решения кейса.

Если вы хотите, чтобы ваш кейс попал в русскоязычный ТАС, его надо открыть с 10:00 до 18:00 (GMT+4) с понедельника по пятницу одним из трёх способов:

  1. Через наш сайт: http://tools.cisco.com/ServiceRequestTool/create/
  2. Отправив email на tac@cisco.com
  3. Позвонив по телефону:

Moscow: +7 495 961 13 82
St. Petersburg: +7 812 363-3328
All-Russia Toll Free: 8 800 700 05 22
Asia-Pacific: +61 2 8446 7411
Australia: +1 800 805 227
Europe: +32 2 704 5555
North America: +1 800 553 2447
UK: +44 800 960 547

Англоязычный ТАС работает 24 часа в сутки, 7 дней в неделю.

Реклама

Детали Алла Булавина
CSE (Customer Support Engineer) , Cisco TAC, Security & VPN

22 Responses to Лицензия для шифрования на маршрутизаторах Cisco

  1. Неплохо бы добавить, что мало открыть кейс с 10:00 до 18:00 (GMT+4) с понедельника по пятницу, нужно ещё в самом кейсе попросить назначить его на Российское отделение TAC. Иначе всё равно дадут индуса или араба

  2. Алла Булавина says:

    Добрый день!

    В московском ТАС-е работает 14 человек. Это значит, что мы не можем покрыть все технологии. Например, у нас нет инженера по беспроводным технологиям, т.е если вы откроете кейс с 10:00 до 18:00 (GMT+4) с понедельника по пятницу по этой технологии, или любой другой из тех что мы не поддерживаем, кейс попадёт в англоязычный ТАС и к нам его передать будет нельзя.

    А вот если вы откроете кейс по поддерживаемой нами технологии в 9:45 и попросите передать его в русскоязычный ТАС — то кейс обязательно передадут нам в 10:00. Поэтому вы правы, N1ckUs@, лучше добавлять запись о передачи в русскоязычный ТАС, но попадет он к нам только если мы поддерживаем данную технологию.

    Хочу ещё добавить, что когда вы открываете кейс по телефону, агент сразу может вам сказать куда попадет кейс, так как ему/ей видна маршрутизация кейса по технологиям и командам.

    С уважением,
    Алла

  3. Андрей says:

    Немного не понятно по первому случаю «Такая проблема с установкой лицензии решается заменой этого IOS на IOS без аббревиатуры NPE в названии». Дает ли право обновить иос на не NPE лицензия L-880-AIS?
    Суть легально получить функционал 3des и ospf на маршрутизаторе Cisco881-K9-NPE.

    • Алла Булавина says:

      Андрей, добрый день!

      Крипто продуктом является IOS. Лицензия не является крипто продуктом вообще, и покупается через партнера или получается любым другим способом без каких-либо ограничений.

      IOS с шифрованием является крипто продуктом типа k9. При том, что ни маршрутизатор, ни лицензия крипто продуктами не являются. Именно в момент импорта IOS и возникает вся головная боль. Скачивание IOS с сайта Cisco, как ни странно, не является нарушением российского законодательства, а вот установка на роутер без соответствующих разрешений – является. Нарушение возникает в момент изменения крипто характеристик купленного оборудования, если на такое изменение нет соответствующих разрешений от российских органов.

      Чтобы всё было легально, вы должны официально купить IOS без NPE на CD/DVD через партнера, который, в свою очередь, ввезет его через дистрибьютора. Дистрибьютор (импортер) будет при этом получать все разрешения для вас. Не партнер и не вы. Но есть нюансы: при этом у партнера должна быть лицензия на продажу крипто средств.

      С уважением,
      Алла

      • Антон К says:

        Скажите, то есть для легального поднятия шифрования нужно купить и лицензию и non-npe-ios + получить разрешение на ввоз ios?
        по адресу licensing@cisco.com предлагают звонить в Амстердам с этим вопросом, Mосковский TAC отправляет к партнерам, партнеры предоставляют разную информацию. Например одно предприятие, при покупке через партнера, получало разрешение ФСБ на ввоз лицензии SL-29-SEC-K9(бумажный вариант). Нужно ли теперь получать разрешение на ввоз non-npe-ios?

      • Антон, добрый день!

        Вы абсолютно правы, для легального использования шифрования на IOS нужно купить и лицензию и non-npe-ios + получить разрешение на ввоз non-NPE-IOS. Как я уже говорила, ни маршрутизатор, ни лицензия крипто продуктами не являются.Только IOS с шифрованием является крипто продуктом типа k9 и именного на него нужно получать разрешение на ввоз. Покупкой такого IOS для вас занимается партнер, который, в свою очередь, ввезет его через дистрибьютора. Дистрибьютор получит все разрешения для вас.

        Если клиент устанавливает IOS с шифрованием, скачанный с сайта cisco.com без прохождения официальной процедуры импорта, то клиенту придется самостоятельно получать все разрешения от государственных органов на изменение характеристик крипто оборудования.

        С уважением,
        Алла

      • Антон К says:

        А в каком виде должен импортироваться иос? можно ли его скачать, при оформленном разрешении, или только в жестком варианте(на CD)?

      • Алла Булавина says:

        Антон, оба варианта возможны. Главное – получить разрешение ФСБ на ввоз.

        С уважением,
        Алла

  4. Михаил says:

    Где можно найти спосок партнеров у которых можно купить ISO на Cisco 2911 и лицензию на шифрование? Нужно ли будет организации подавать каки-то сведения в органы для получения IOS?

  5. Антон says:

    Алла, вопрос такой. В 2011 г. была приобретена cisco881-sec-k9 с версией IOS «с880-universalk9-mz.150-1.M6.bin», т.е. не NPE. На ней был настроен VPN-тоннель с шифрованием 3DES. Какие документы должен предоставить поставщик оборудования, удостоверяющие законность ввоза с таким IOSом данного маршрутизатора на территории РФ.

    • Алла Булавина says:

      Антон, добрый день!

      Поставщик должен иметь лицензию ФСБ на распространение криптосредств. У него можно запросить копию лицензии Минпромторга на ввоз или копию разрешения ФСБ или копию ГТД.

      С уважением,
      Алла

  6. Екатерина says:

    Добрый день.
    Вопрос такой: если для cisco 2951 необходима функция firewall, но нет необходимости в шифровании и организации VPN, то достаточно лицензии sl-29-secnpe-k9 и NPE образа или все-таки необходима лицензия sl-29-sec-k9 и образ без NPE?

    С уважением,
    Екатерина

    • Михаил says:

      Достаточно! Лицензия на шифрование нужна только если нужен VPN и т.д.
      У меня 2911 без шифрование, firewall есть а вот человеческого VPN нету, даже не знаю как легально приобрести…

      • Екатерина says:

        Спасибо за инфо.
        А про VPN…
        Можно поднять VPN не на самой cisco, а просто прокинуть сквозь нее.
        Ну если, конечно, это допустимо, т.е. нет жесткой привязки именно к cisco VPN…
        Костыль, конечно, но если очень надо VPN, то можно использовать…

      • Михаил says:

        Мне нужен был именно защищенный site-to-site vpn с шифрованием данных! Т.к. на той стороне стоит Cisco ASA. Vpn как таковой на 2911 есть, только незащищенный pptp.

  7. Екатерина says:

    Мда… Сочувствую… Тогда остается только покупать официальную лицензию и IOS…

  8. Лучше любой программный продукт лицензионный покупать, меньше проблем потом будет

  9. Многоуважаемые участники!
    Подскажите где описан процесс получения лицензии на использование средств шифрования для организации VPN (оборудование — CISCO 881-K9 с IOS NPE…)

    Обращаться в компании которые предлагают свои услуги от 90 до 150тр при стоимости оборудования в 20 тр… желания не возникает

    Спасибо)

  10. Сергей says:

    защиты информации

  11. Сергей says:

    Только с шифрованием вот такая проблема

  12. Сергей says:

    Проблема не только с шифрованием, все системы защиты информации, даже такие как CyberSafe должны иметь лицензию.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s