Блог Cisco в России и СНГ
Share

Лицензия для шифрования на маршрутизаторах Cisco


March 16, 2012


В последнее время в Cisco TAC  попадает много кейсов из Licensing Team с просьбой помочь клиенту установить лицензию для шифрования на маршрутизаторе. Такие кейсы можно разделить на два вида:

  1. У клиента есть лицензия вида L-SL-29-SEC-K9 и т.п.
  2. У клиента есть лицензия вида L-SL-29-SECNPE-K9 и т.п.

В первом случае проблема выглядит следующим образом: во время попытки установить лицензию на маршрутизаторе, появляется следующая ошибка:

bursa_efes#license install flash:FCZ1444213E_20120111051555288.lic

Installing licenses from “flash:FCZ1444213E_20120111051555288.lic”

Installing…Feature:securityk9…Successful:Not Supported

1/1 licenses were successfully installed

0/1 licenses were existing licenses

0/1 licenses were failed to install

Здесь видно, что маршрутизатор не может установить лицензию securityk9, так как она не поддерживается. Происходит этого из-за того, что на маршрутизаторе установлен NPE IOS, то есть программное обеспечение вида “universalk9_npe”. Аббревиатура NPE расшифровывается как “NO PAYLOAD ENCRYPTION”, что означает “нет поддержки шифрования”. Такая проблема с установкой лицензии решается заменой этого IOS на IOS без аббревиатуры NPE в названии.

В примере выше у клиента была версия IOS “c2900-universalk9_npe-mz.SPA.151-1.T1.bin”, после обновления  на  “c2900-universalk9-mz.SPA.151-1.T1.bin” – проблема была решена.

Во втором случае шифрование не включается, так как сама лицензия содержит NPE в названии. В этом случае мы рекомендуем клиенту заказать лицензию без аббревиатуры NPE в названии и конечно обязательно устновить non-NPE IOS.

Если у вас возникла проблема с лицензией для шифрования, вы всегда можете написать в Licensing Team на licensing@cisco.com или, конечно, открыть кейс в Cisco TAC, где мы всегда рады вам помочь. Пожалуйста сразу присылайте “sh ver”+ “sh license det”, это позволит ускорить процесс решения кейса.

Если вы хотите, чтобы ваш кейс попал в русскоязычный ТАС, его надо открыть с 10:00 до 18:00 (GMT+4) с понедельника по пятницу одним из трёх способов:

  1. Через наш сайт: http://tools.cisco.com/ServiceRequestTool/create/
  2. Отправив email на tac@cisco.com
  3. Позвонив по телефону:

Moscow: +7 495 961 13 82
St. Petersburg: +7 812 363-3328
All-Russia Toll Free: 8 800 700 05 22
Asia-Pacific: +61 2 8446 7411
Australia: +1 800 805 227
Europe: +32 2 704 5555
North America: +1 800 553 2447
UK: +44 800 960 547

Англоязычный ТАС работает 24 часа в сутки, 7 дней в неделю.

Tags:
Оставить комментарий

22 Comments

  1. Проблема не только с шифрованием, все системы защиты информации, даже такие как CyberSafe должны иметь лицензию.

  2. Только с шифрованием вот такая проблема

  3. защиты информации

  4. Многоуважаемые участники!
    Подскажите где описан процесс получения лицензии на использование средств шифрования для организации VPN (оборудование – CISCO 881-K9 с IOS NPE…)

    Обращаться в компании которые предлагают свои услуги от 90 до 150тр при стоимости оборудования в 20 тр… желания не возникает

    Спасибо)

  5. Лучше любой программный продукт лицензионный покупать, меньше проблем потом будет

  6. Мда… Сочувствую… Тогда остается только покупать официальную лицензию и IOS…

  7. Добрый день.
    Вопрос такой: если для cisco 2951 необходима функция firewall, но нет необходимости в шифровании и организации VPN, то достаточно лицензии sl-29-secnpe-k9 и NPE образа или все-таки необходима лицензия sl-29-sec-k9 и образ без NPE?

    С уважением,
    Екатерина

    • Достаточно! Лицензия на шифрование нужна только если нужен VPN и т.д.
      У меня 2911 без шифрование, firewall есть а вот человеческого VPN нету, даже не знаю как легально приобрести…

      • Спасибо за инфо.
        А про VPN…
        Можно поднять VPN не на самой cisco, а просто прокинуть сквозь нее.
        Ну если, конечно, это допустимо, т.е. нет жесткой привязки именно к cisco VPN…
        Костыль, конечно, но если очень надо VPN, то можно использовать…

        • Мне нужен был именно защищенный site-to-site vpn с шифрованием данных! Т.к. на той стороне стоит Cisco ASA. Vpn как таковой на 2911 есть, только незащищенный pptp.

  8. Алла, вопрос такой. В 2011 г. была приобретена cisco881-sec-k9 с версией IOS “с880-universalk9-mz.150-1.M6.bin”, т.е. не NPE. На ней был настроен VPN-тоннель с шифрованием 3DES. Какие документы должен предоставить поставщик оборудования, удостоверяющие законность ввоза с таким IOSом данного маршрутизатора на территории РФ.

    • Антон, добрый день!

      Поставщик должен иметь лицензию ФСБ на распространение криптосредств. У него можно запросить копию лицензии Минпромторга на ввоз или копию разрешения ФСБ или копию ГТД.

      С уважением,
      Алла

  9. Где можно найти спосок партнеров у которых можно купить ISO на Cisco 2911 и лицензию на шифрование? Нужно ли будет организации подавать каки-то сведения в органы для получения IOS?

    • Михаил, добрый день!

      У нас нет такого списка партнеров. Продать такой софт и лицензию может любой партнер, имеющий лицензию ФСБ на распространение криптосредств. Например, практически все наши золотые партнеры ее имеют.

      Партнеров вы можете найти вот тут:

      http://tools.cisco.com/WWChannels/LOCATR/openBasicSearch.do

      С уважением,
      Алла

  10. Немного не понятно по первому случаю “Такая проблема с установкой лицензии решается заменой этого IOS на IOS без аббревиатуры NPE в названии”. Дает ли право обновить иос на не NPE лицензия L-880-AIS?
    Суть легально получить функционал 3des и ospf на маршрутизаторе Cisco881-K9-NPE.

    • Андрей, добрый день!

      Крипто продуктом является IOS. Лицензия не является крипто продуктом вообще, и покупается через партнера или получается любым другим способом без каких-либо ограничений.

      IOS с шифрованием является крипто продуктом типа k9. При том, что ни маршрутизатор, ни лицензия крипто продуктами не являются. Именно в момент импорта IOS и возникает вся головная боль. Скачивание IOS с сайта Cisco, как ни странно, не является нарушением российского законодательства, а вот установка на роутер без соответствующих разрешений – является. Нарушение возникает в момент изменения крипто характеристик купленного оборудования, если на такое изменение нет соответствующих разрешений от российских органов.

      Чтобы всё было легально, вы должны официально купить IOS без NPE на CD/DVD через партнера, который, в свою очередь, ввезет его через дистрибьютора. Дистрибьютор (импортер) будет при этом получать все разрешения для вас. Не партнер и не вы. Но есть нюансы: при этом у партнера должна быть лицензия на продажу крипто средств.

      С уважением,
      Алла

      • Скажите, то есть для легального поднятия шифрования нужно купить и лицензию и non-npe-ios + получить разрешение на ввоз ios?
        по адресу licensing@cisco.com предлагают звонить в Амстердам с этим вопросом, Mосковский TAC отправляет к партнерам, партнеры предоставляют разную информацию. Например одно предприятие, при покупке через партнера, получало разрешение ФСБ на ввоз лицензии SL-29-SEC-K9(бумажный вариант). Нужно ли теперь получать разрешение на ввоз non-npe-ios?

        • Антон, добрый день!

          Вы абсолютно правы, для легального использования шифрования на IOS нужно купить и лицензию и non-npe-ios + получить разрешение на ввоз non-NPE-IOS. Как я уже говорила, ни маршрутизатор, ни лицензия крипто продуктами не являются.Только IOS с шифрованием является крипто продуктом типа k9 и именного на него нужно получать разрешение на ввоз. Покупкой такого IOS для вас занимается партнер, который, в свою очередь, ввезет его через дистрибьютора. Дистрибьютор получит все разрешения для вас.

          Если клиент устанавливает IOS с шифрованием, скачанный с сайта cisco.com без прохождения официальной процедуры импорта, то клиенту придется самостоятельно получать все разрешения от государственных органов на изменение характеристик крипто оборудования.

          С уважением,
          Алла

      • А в каком виде должен импортироваться иос? можно ли его скачать, при оформленном разрешении, или только в жестком варианте(на CD)?

        • Антон, оба варианта возможны. Главное – получить разрешение ФСБ на ввоз.

          С уважением,
          Алла

  11. Добрый день!

    В московском ТАС-е работает 14 человек. Это значит, что мы не можем покрыть все технологии. Например, у нас нет инженера по беспроводным технологиям, т.е если вы откроете кейс с 10:00 до 18:00 (GMT+4) с понедельника по пятницу по этой технологии, или любой другой из тех что мы не поддерживаем, кейс попадёт в англоязычный ТАС и к нам его передать будет нельзя.

    А вот если вы откроете кейс по поддерживаемой нами технологии в 9:45 и попросите передать его в русскоязычный ТАС – то кейс обязательно передадут нам в 10:00. Поэтому вы правы, N1ckUs@, лучше добавлять запись о передачи в русскоязычный ТАС, но попадет он к нам только если мы поддерживаем данную технологию.

    Хочу ещё добавить, что когда вы открываете кейс по телефону, агент сразу может вам сказать куда попадет кейс, так как ему/ей видна маршрутизация кейса по технологиям и командам.

    С уважением,
    Алла

  12. Неплохо бы добавить, что мало открыть кейс с 10:00 до 18:00 (GMT+4) с понедельника по пятницу, нужно ещё в самом кейсе попросить назначить его на Российское отделение TAC. Иначе всё равно дадут индуса или араба