FWSM からの Cisco ASA サービス モジュールへの移行

---

移行ツールの実行

移行ツールには、FWSM の移行を実行する Windows と Macintosh のアプリケーションが含まれます。

前提条件

ASA SM は既知の状態にする必要があります。ブレード上で実行する構成はできません。また、構成後、サービス モジュールの構成をクリアする場合は、 write erase コマンドを実行します。

FWSM の構成を ASA SM の構成に変換するには、次のステップを実行します。

---

ステップ 1 シスコのソフトウェア ダウンロード サイトから、ファイル fwsm_migration_mac.zip または fwsm_migration_win.zip を見つけ、Windows クライアントまたは Macintosh クライアントに保存します。ZIP ファイルを解凍し、そこから変換アプリケーションを実行するシステムに対応するファイル、fwsm_migration.exe または fwsm_migration.app を取得します。

ステップ 2 ASA SM に移行する FWSM から、すべてのコンテキストの各構成ファイルとシステム コンテキスト ファイルを含むすべての構成ファイルを、移行ツール アプリケーションを抽出したディレクトリにコピーします。

シングル モードの場合は、実行中の構成ファイルをコピーします。マルチモードの場合は、次の構成ファイルをコピーします。

• システム領域の構成

• 管理コンテキスト

• 対象のユーザ コンテキスト

ステップ 3 wsm_migration.exe または fwsm_migration.app ファイルをダブルクリックして移行ツールを起動します。

[FWSM Configuration Migration] ダイアログボックスとコマンドウィンドウが表示されます。このウィンドウに変換の進捗とステータスが表示されます。

ステップ 4 変換に適切なオプション ボタンを選択します。

• [Single File] - シングル コンテキスト モードで実行する FWSM 用の構成ファイルを変換する場合は、このオプションを選択します。

• [Directory] - マルチ コンテキスト モードで実行するFWSM 用の複数のファイルを変換する場合は、このオプションを選択します。各コンテキストに対応する構成ファイルがあり、FWSM にはシステム コンテキスト ファイルがあります。

ステップ 5 選択したオプション（[Single File] または [Directory]）の下に、変換するファイルの情報を入力します。

• [Input File] フィールド - シングル コンテキスト FWSM の構成ファイルのパスおよびファイル名を入力するか、ローカル システム上のファイルを検索するには [ Browse ] をクリックします。

• [Input Directory] - すべてのマルチ コンテキスト構成ファイルとシステム コンテキスト ファイルを含むディレクトリへのパスを入力するか、ローカル システムのディレクトリを検索するには、[ Browse ] をクリックします。

ステップ 6 選択したオプション（[Single File] または [Directory]）の下に変換の出力情報を入力します。

• [Output File] フィールド - シングル コンテキストの FWSM 用に移行ツールが変換後の構成ファイルの作成に使用するパスとファイル名を入力します。

• [Output Directory] - 移行ツールが変換されたマルチ コンテキスト構成ファイルおよびシステム コンテキスト ファイルを配置するディレクトリへのパスを入力するか、ローカル システムのディレクトリを検索するには、[ Browse ] をクリックします。

ステップ 7 [ASA SM Boot Image] フィールドに、次の形式で ASA SM のブート イメージの場所を入力します。

ドライブ :/ ブート ファイル パス

ブート イメージ値は次のオプションの 1 つが含まれる必要があります。

• disk0:/ のパスおよび disk0 上のファイル名

• disk1:/ のパスおよび disk1 上のファイル名

• flash:/ のパスおよび flash 上のファイル名

• tftp プレフィックスで始まる URL

このフィールドに入力した値によって、最終的な移行を完了するときにブートする ASA SM イメージが定義されます。

---

（注） write memory コマンドを ASA SM で発行し、ブート イメージ値をメモリに書き込む必要があります。write memory コマンドを発行すると、ブート イメージに指定したブート イメージ値が構成ファイルの BOOT 変数に保存されます。値をメモリに書き込んだ後、show bootvar コマンドを入力して、ブート変数がメモリに書き込まれたことを確認します。ASA SM については、『Cisco ASA 5500 Series Command Reference, 8.5』を参照してください。

ステップ 8 [Log Location] フィールドに、変換からのステータス情報を記録するために移行ツールが使用するログ ファイルのパスおよび名前を入力するか、[ Browse ] をクリックしてローカル システムのファイルの場所を見つけます。

ステップ 9 [ Convert ] をクリックし、変換を開始します。

コマンド ウィンドウにステータス情報が表示されます。変換が正常に完了すると、[Success] ダイアログボックスが表示されます。

ステップ 10 変換を終了するには、[ OK ] をクリックします。

 

次の作業

「移行した構成の ASA SM への適用」

移行した構成の ASA SM への適用

前提条件

• 移行ツールを使用して FWSM の構成を移行しておく必要があります。「移行ツールの実行」を参照してください。

• TFTP、SSH、または HTTP を使用してファイルを転送できるように ASA SM でインターフェイスを構成します。

---

ステップ 1 TFTP、SSH、または HTTP を経由して ASA SM に移行したファイルをコピーします。

---

（注） 必要に応じて、TFTP、SSH、または HTTP を使用してファイルを転送できるようにインターフェイス構成を追加します。

a. シングル モードで動作している場合は、startup-config ファイルに移行した構成をコピーします。

b. マルチ モードで動作している場合は、startup-config にシステム構成を、disk0 にすべてのコンテキスト構成ファイル（Admin コンテキストなど）をコピーします。

---

（注） コンテキスト ファイルは、各コンテキストのシステム構成が示すパス内の disk0: に配置する必要があります。システム構成に「config-url disk0:/context/ctx1.cfg」としてコンテキストの構成 URL がある場合は、そのコンテキストのファイルはコンテキスト ディレクトリ パスに配置する必要があります。

---

（注） 移行した構成を ASA SM の CLI プロンプトで貼り付けることはできません。ネットワークを介して構成をスタートアップ構成にコピーしてから ASA SM にリロードし、スタートアップ時に追加の移行を実行できるようにする必要があります。FWSM 機能を Object NAT や Twice NAT を使用する ASA SM 上の NAT 機能に変換するなど、特定の機能の変換が複雑なため、構成をコピーし、貼り付けることはできません。

ステップ 2 シングル モードの ASA SM イメージを移動しているときに FWSM をリロードします。

起動時に、最終的な構成変更が ASA SM イメージで実行されます。

---

（注） マルチモード FWSM コンテキストをアップロードする場合、各マルチモード コンテキストを適用した後に ASA SM をリロードする必要はありません。

 

サポートされていない Debug コマンド

次の debug コマンドは、FWSM ではサポートされていますが、ASA SM ではサポートされていません。

• [show | no] debug ip bgp

• [show | no] debug resource partition

• [show | no] debug pc-lu

• [show | no] debug ssl

• [show | no] debug npcp

• [show | no] debug route-np

• [show | no] debug aging

• [show | no] debug session

• [show | no] debug RM-NP-counter

• [show | no] debug control-plane

• [show | no] debug route-monitor

• [show | no] debug acl optimization

• [show | no] debug route-inject

サポートされていない Clear コマンド：

次の clear コマンドは、FWSM ではサポートされていますが、ASA SM ではサポートされていません。

• clear dispatch stats all

• clear ip bgp

• clear route-monitor statistics

• clear route statistics

• clear np number_item keyword

• clear np all stats

• clear npcp statistics

• clear service-acceleration

• clear configure resource rule

• clear configure resource partition

• clear configure ftp-map

• clear configure gtp-map

• clear configure mgcp-map

• clear configure h225-map

• clear configure xlate-bypass

• clear configure rip

• clear configure route-monitor

• clear configure router bgp

• clear configure control-point tcp-normalizer

• clear configure route-inject

サポートされていない Show コマンド

次の show コマンドは、FWSM ではサポートされていますが、ASA SM ではサポートされていません。

• show running-config all ftp-map

• show running-config all gtp-map

• show running-config all mgcp-map

• show running-config all h225-map

• show running-config all xlate-bypass

• show running-config all rip

• show running-config all route-monitor

• show running-config all control-point tcp-normalizer

• show running-config all route-inject

• show resource rule

• show resource acl-partition

• show resource partition

• show flashfs

• show conn np

• show asr

• show pcdebug

• show pc conn

• show nic

• show np keyword

• show np number_item keywords

• show cpu threshold

• show dispatch table

• show dispatch statistics

• show pc xlate

• show pc local-host

• show ip bgp

• show route-monitor

• show npcp keywords

• show service-acceleration statistics

• show route-inject

デフォルトの動作の違いによる移行

FWSM と ASA SM の主なデフォルト動作の違いは次のとおりです。

暗黙的な拒否

デフォルトでは、FWSM のインターフェイスをアクセス リストまたはアクセス グループ コマンドを割り当てないで構成すると、FWSM はそれらのインターフェイスに入ってくるすべてのトラフィックをドロップします。FWSM に入るトラフィックを許可するには、インバウンド アクセス リストをインターフェイスに追加する必要があります。

デフォルトでは、アクセス リストやアクセス グループ コマンドを割り当てずに ASA SM でインターフェイスを構成すると、ASA SM は高セキュリティ インターフェイス（内部セキュリティ レベルは 100 を想定）から低セキュリティ インターフェイス（外部セキュリティ レベルは 0 を想定）へのトラフィックの通過を許可します。逆は当てはまりません。ASA SM は外部から内部インターフェイスへのトラフィックの通過を許可しません。

したがって、このタイプの FWSM 構成では方向に関係なくトラフィックをブロックする必要があると想定して移行ツールが作成されました。パリティを保持するには、移行ツールはすべてのインターフェイス上に明示的な ACL（deny ip any any）を追加してトラフィックを拒否します。さらに、ASA SM では、アクセス リストの最後のステートメントは暗黙の deny ip any です。IOS デバイスはこれと同じ動作を使用します。

次の例を参照してください。

例 1

内部から外部へのトラフィックは許可されます。

外部から内部へのトラフィックは拒否されます。

例 2

内部から外部、ソース IP 192.168.1.10 のトラフィックは許可されます。

内部から外部、ソース IP 192.168.2.1 へのトラフィックは拒否されます（hits implicit）。

暗黙的な ICMP の拒否

デフォルトでは、FWSM は暗黙的な ICMP の拒否をインターフェイスに設定するように構成されます。ASA SM は暗黙的な許可を設定するように構成されます。

移行ツールを実行すると、すべてのインターフェイスに icmp deny 分が追加されます。

スタティックの NAT 一致

デフォルトでは、FWSM はスタティック NAT およびスタティック PAT に最適な一致を使用するように構成されます（標準およびポリシー）。重複する IP アドレスがスタティック文で発生した場合、警告が表示されますが、重複する IP アドレスはサポートされます。static コマンドの順番は重要ではありません。実アドレスと最も一致した static ステートメントが使用されます。

ASA SM では、IP アドレスは、構成に現れるルールの順番に基づいて、スタティック NAT ルールとスタティック PAT ルールと照合されます。

移行ツールは FWSM の動作を保持できません。したがって、重複する NAT ルールがある場合は、移行した構成を見て、アドレス変換の要件に一致していることを確認してください。

ASA SM でのサポートされていない機能による移行

次の FWSM 機能は ASA SM ではサポートされていません。

マルチモードの IPSec（管理のみ）

FWSM では、IPsec は、マルチモードで管理用にサポートされています。

ASA SM はマルチモードの IPSec をサポートしません。IPSec（シングルおよびマルチ モードの両方）はサポートされていません。移行ツールを実行すると、VPN 関連のコマンドが削除され、IPSec がサポートされていないことを通知します。

非対称ルーティング

非対称ルーティングを ASA SM に導入していた場合、アクティブ/アクティブの制約によって影響されませんでした。

ASA SM では、アクティブ/アクティブ モードでサポートされているのは非対称ルーティングのみです。

移行ツールは、アクティブ/アクティブ モードでない場合はコマンドを削除し、ユーザに通知します。

BGP スタブ ルーティング

CLI コマンド：

router bgp

bgp router-id

neighbor remote-as

neighbor password

network

これは、BGP スタブ ルーティングをサポートする FWSM の機能です。

ASA SM はこの機能をサポートしません。

移行ツールは BGP 関連のコマンドを削除し、ユーザに通知します。

アクティブ/スタンバイ フェールオーバーのフェールオーバー プリエンプション

CLI コマンド：

[no] failover preempt

これは、アクティブ/スタンバイ フェールオーバーのシナリオで構成可能な FWSM 機能です。この機能が構成されている場合、プライマリ ユニットは特定の時間が経過した後、次の場合に常にアクティブになります。

• プライマリ ユニットに障害が発生して、セカンダリがアクティブになった場合

• プライマリ ユニットとセカンダリ ユニットがアクティブになる前にセカンダリ ユニットがブートした場合

ASA SM はこの機能をサポートしません。

移行ツールはコマンドを排除し、ユーザに通知します。

ルート ヘルス注入

CLI コマンド：

route-inject

redistribute nat

redistribute connected

redistribute static

これは、FWSM の機能で、FWSM で構成されている、接続済みの静的 NAT プール ルートをコンテキストごとに MSFC にインストールします。MSFC はその後に、そのルートを再配布します。

ASA SM はこの機能をサポートしません。

DHCP リレー インターフェイス固有のサーバ

CLI：

interface vlan vlan_id

dhcprelay server ip_address

FWSM では 3.2(1) でこの機能が追加されました。この機能を使用すると、インターフェイス固有の DHCP サーバを構成できます。「dhcprelay server」CLI はグローバル モードで構成でき、インターフェイス固有のモードで追加することもできました。

ASA SM はこの機能をサポートしません。

移行ツールはインターフェイス固有のコマンドからグローバルに変換し、ユーザに通知します。

ステートフル フェールオーバーの Uauth テーブルの複製

FWSM は、ステートフル フェールオーバーが構成されている場合のフェールオーバー ピアへの Uauth テーブルの複製をサポートします。

ASA SM はこの機能をサポートしません。

移行ツールは、ステートフル フェールオーバーが構成されている場合に INFO メッセージを追加します。

CLI の違いによる移行

次の表に、FWSM と ASA SM の CLI コマンドの違いを示します。

 

デフォルト値および値の範囲の違い

次の表に、FWSM と ASA SM 間のデフォルト値と値の範囲の違いを示します。デフォルト値および値の範囲の違いは FWSM から ASA SM への移行に影響しません。

 

SNMP の違い

次の FWSM MIB は、ASA SM でサポートされていません。

CISCO-ENTITY-ALARM-MIB.my

CISCO-ENTITY-REDUNDANCY-MIB.my

CISCO-ENTITY-REDUNDANCY-TC-MIB.my

CISCO-NAT-EXT-MIB.my

TCP-MIB.my

UDP-MIB.my

次の FWSM SNMP トラップは ASA SM でサポートされていません。

ceAlarmAsserted: CISCO-ENTITY-ALARM-MIB.my

ceRedunEventSwitchover: CISCO-ENTITY-REDUNDANCY-MIB.my

clrResourceRateLimitReached: CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB.my

 

 

このマニュアルは、「関連資料」の項に記載されているマニュアルと併せてご利用ください。

Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)

このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

©2010 Cisco Systems, Inc. All rights reserved.