Cisco ASA 5500 バージョン 8.3 用移行ガイド

ダウンロードオプション

PDF (800.5 KB)
Adobe Reader を使ってさまざまなデバイスで表示

Updated: 2012 年 2 月 15 日

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

Cisco ASA 5500 バージョン 8.3 以降への移行

リリース：2010 年 3 月 8 日
更新日：2013 年 4 月 3 日

このマニュアルでは、Cisco ASA 5500 オペレーティングシステム（OS）を以前のバージョンからバージョン 8.3 以降にアップグレードする場合の設定移行プロセスについて説明します。

この文書は、次の項で構成されています。

• 「ソフトウェアのアップグレード」

• 「移行について」

• 「アクセスリストの移行における実際の IP アドレス」

• 「NAT 移行」

• 「ネットワークおよびサービスオブジェクトの移行」

• 「バージョン 8.3 からのダウングレード」

ソフトウェアのアップグレード

CLI を使用してソフトウェアをアップグレードするには、以下の URL にある『 Cisco ASA 5500 Series Configuration Guide using the CLI 』の「Managing Software and Configurations」の章を参照してください。

http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/admin_swconfig.html

ASDM を使用してソフトウェアをアップグレードするには、以下の URL にある『 Cisco ASA 5500 Series Configuration Guide using ASDM 』の「Managing Software and Configurations」の章を参照してください。

http://www.cisco.com/en/US/docs/security/asa/asa83/asdm63/configuration_guide/admin_swconfig.html

移行について

ここでは、移行機能、元の設定ファイルの自動バックアップ、新しく移行した設定の保存について説明します。この項では、次のトピックについて取り上げます。

• 「移行対象機能」

• 「以前の設定、NAT 移行ファイル、およびブートアップエラーログの自動バックアップ」

• 「移行した設定の保存」

移行対象機能

バージョン 8.3 での主な変更点のうち、移行が必要なものは次のとおりです。

• アクセスリストで実際の IP アドレスが必要（サポートされている機能でアクセスリストが使用されている場合）：NAT や PAT が使用されている場合、従来はアクセスリストを使用するすべての機能について、アクセスリストで マップ アドレスとポートを指定する必要がありました。現在は、サポートされている機能の一部で、実際の変換されていない IP アドレスとポートを使用する必要があります（それ以外の機能では引き続きマップ IP アドレスを使用します）。

• NAT：NAT 機能は再設計により柔軟性と機能性が向上しました。すべての NAT および NAT 関連コマンドが再設計されています。

• 名前付きネットワークおよびサービスオブジェクト：ネットワークおよびサービスオブジェクトが NAT 用に自動的に作成されます。

（注）他の機能でも、アクセスリストやオブジェクトグループなどの名前付きネットワークおよびサービスオブジェクトを使用できますが、NAT 以外の機能に使用するオブジェクトは自動的には作成されません。

8.3 または 8.4(1) から 8.4(2) にアップグレードすると、スタティックアイデンティティ NAT の移行が実行され、既存機能が保持されます。詳細については、「8.3 および 8.4 から 8.4(2) への NAT の移行の例」を参照してください。

以前の設定、NAT 移行ファイル、およびブートアップエラーログの自動バックアップ

以前のスタートアップコンフィギュレーションは自動的にフラッシュメモリに保存されます。すべての移行メッセージが含まれる NAT 移行ファイルおよびブートアップエラーログも自動的にフラッシュメモリに保存されます。

この項では、次のトピックについて取り上げます。

• 「コンフィギュレーションファイルのバックアップ」

• 「NAT 移行ファイル」

• 「ブートアップエラーログファイル」

コンフィギュレーションファイルのバックアップ

従来のスタートアップコンフィギュレーションファイルのうち、次のファイルはフラッシュメモリに保存されます。

• シングルモードコンフィギュレーションファイルまたはマルチモードシステム設定： disk0: major_minor_maint_interim _startup_cfg.sav （ major_minor_maint_interim は従来の OS バージョン番号）

例：8_2_1_0_startup_cfg.sav

• マルチモードコンテキスト設定（フラッシュメモリにある場合）： disk0: major_minor_maint_interim _ context _cfg.sav （ major_minor_maint_interim は従来の OS バージョン番号、 context はコンテキスト名）

例：8_2_1_0_context1_cfg.sav

コンフィギュレーションファイルを保存できるだけのメモリがない場合、エラーメッセージがASAのコンソールに表示され、ブートアップエラーログファイルに保存されます。移行処理の一部として保存されたファイルは削除され、移行が中止されます。

NAT 移行ファイル

NAT 設定を移行すると、次のファイルがルートディレクトリに追加されます。nat_ident_migrate。この空のファイルがある場合は構成が移行されたことを示し、これによってブートアップ時の再移行を防ぎます。

ブートアップエラーログファイル

ブートアップエラーログを表示するには、 show startup-config errors コマンドを入力します。ログの例を以下に示します。

hostname# show startup-config errors

Reading from flash...

REAL IP MIGRATION: WARNING

In this version access-lists used in 'access-group', 'class-map',

'dynamic-filter classify-list', 'aaa match' will be migrated from

using IP address/ports as seen on interface, to their real values.

If an access-list used by these features is shared with per-user ACL

then the original access-list has to be recreated.

INFO: Note that identical IP addresses or overlapping IP ranges on

different interfaces are not detectable by automated Real IP migration.

If your deployment contains such scenarios, please verify your migrated

configuration is appropriate for those overlapping addresses/ranges.

Please also refer to the ASA 8.3 migration guide for a complete

explanation of the automated migration process.

INFO: MIGRATION - Saving the startup configuration to file

INFO: MIGRATION - Startup configuration saved to file 'flash:8_2_1_15_startup_cfg.sav'

*** Output from config line 4, "ASA Version 8.2(1)15 "

NAT migration logs:

INFO: NAT migration completed.

Real IP migration logs:

ACL <1> has been migrated to real-ip version

移行した設定の保存

移行した設定は実行中のメモリに保管されているだけなので、この設定をスタートアップコンフィギュレーションに保存する必要があります。保存しない場合、次にリロードした時点で元の設定に移行プロセスが再度実行されます。

• CLI： write memory コマンドを入力します。

• ASDM：ウィンドウ上部の [Save] をクリックします。

アクセスリストの移行における実際の IP アドレス

NAT または PAT を使用する場合、一部の機能ではアクセスリストにマップアドレスおよびポートが必要なくなります。これらの機能については、必ず変換されていない実際のアドレスとポートを使用する必要があります。実際のアドレスとポートを使用すると、NAT 設定を変更してもアクセスリストを変更する必要はなくなります。この項では、次のトピックについて取り上げます。

• 「実際の IP アドレスを使用する機能」

• 「引き続きマップ IP アドレスを使用する機能」

• 「実際の IP アドレスの移行の命名規則」

• 「syslog メッセージの移行」

• 「実際の IP アドレスの移行の例」

• 「実際の IP アドレスの移行のメッセージと制限」

実際の IP アドレスを使用する機能

現在、次のコマンドでアクセスリストの実際の IP アドレスを使用しています。これらの機能で使用するすべての access-list コマンドは、特に記載されているものを除き自動的に移行されます。ネットワークオブジェクトグループを使用するアクセスリスト（ object-group network コマンド）では、オブジェクトグループ内の IP アドレスは移行時に実際の IP アドレスに変換されます。

• access-group コマンド

• モジュラポリシーフレームワークの match access-list コマンド

• ボットネットトラフィックフィルタの dynamic-filter enable classify-list コマンド

• AAA の aaa ... match コマンド

• WCCP の wccp redirect-list group-list コマンド

（注） WCCP の wccp redirect-list group-list コマンドは自動的には移行されません。WCCP アクセスリストは起動後にダウンロードされるため、自動移行は発生しません。実際の IP アドレスが設定されたアクセスリストを使用するには、手動で wccp redirect-list group-list コマンドを変更する必要があります。

たとえば、従来は NAT を使用している内部ホストに外部ホストがアクセスできるようにするには、 access-group コマンドを使用して外部インターフェイスで受信アクセスリストを適用していました。この場合、アクセスリストの内部ホストのマップアドレスを指定する必要がありました。これは、そのアドレスが外部ネットワークで使用できるアドレスとなるためです。バージョン 8.3 以降では、アクセスリストで実際のアドレスを指定する必要があります。

ASDM

次の機能では、マップアドレスではなく実際のアドレスを使用するようになりました。

• アクセルルール

• AAA ルール

• サービスポリシー規則

• ボットネットトラフィックフィルタの分類

• WCCP リダイレクション

（注） WCCP リダイレクションは自動的には移行されません。WCCP ACL は起動後にダウンロードされるため、自動移行できません。実際の IP アドレスを使用するには、手動で ACL を変更する必要があります。

引き続きマップ IP アドレスを使用する機能

次の機能はアクセスリストを使用していますが、これらのアクセスリストはインターフェイス上に表示されるマップリストを使用します。

• IPSec アクセスリスト

• capture コマンドアクセスリスト

• ユーザごとのアクセスリスト

• ルーティングプロトコルアクセスリスト

• 他のすべての機能のアクセスリスト...

実際の IP アドレスの移行の命名規則

• 多くの場合、移行後に access-list コマンドが元の名前で作成されます。そのため、アクセスリスト名を参照する設定は変更されません。アクセスリストが複数の機能に適用されていて、変換の結果複数の ACE が生成された場合、異なる 2 つのアクセスリストが作成され、元のアクセスリストは削除されます。新しいアクセスリストの名前は、元の名前にサフィックスを追加した「 元の名前_ migration _X 」（ X は 1 から始まる番号）という形式になります。

• オブジェクトグループの内容を実際の IP アドレスに変更する必要がある場合、「 元の名前_X 」（ X は 1 から始まる番号）という新しい object-group コマンドが作成されます。アクセスリストでは新しい object-group コマンドが参照されます。

syslog メッセージの移行

次の syslog メッセージについては、宛先 IP アドレスが mapped-id 形式から real-ip 形式に変更され、syslog 内のアドレスが設定と一致するようになりました。

• access-group コマンドの syslog ID 106001 が変更されました。

• access-group コマンドの syslog ID 106100 が変更されました。

• access-group コマンドの syslog ID 106023 が変更されました。

• set connection コマンドの syslog ID 201010、201011、201012、201013 が変更されました。

実際の IP アドレスの移行の例

表 1 は、アクセスリストが実際の IP アドレスを使用するように移行する方法を示しています。参考のため、NAT 設定が従来の設定の中に示されています。NAT 移行については、「NAT 移行」を参照してください。

表 1 実際の IP アドレスの移行の例
説明	設定の移行
入力アクセスグループがあるスタティック NAT	従来の設定 static (inside,outside) 172.23.57.1 10.50.50.50 netmask 255.255.255.255 access-list 1 permit ip any host 172.23.57.1 access-group 1 in interface outside 移行後の設定 access-list 1 permit ip any host 10.50.50.50 access-group 1 in interface outside
出力アクセスグループがあるスタティック NAT	従来の設定 static (inside,outside) 172.23.57.170 10.50.50.50 object-group network hm network-object host 172.23.57.170 access-list 2 extended deny tcp object-group hm any eq www access-group 2 out interface outside 移行後の設定 object-group network hm_1 network-object host 10.50.50.50 access-list 2 extended deny tcp object-group hm_1 any eq www access-group 2 out interface outside
マップサブネットと一致するアクセスリストがあるスタティックホスト NAT	従来の設定 static (inside,outside) 172.23.57.170 10.50.50.50 access-list 1 extended permit ip any 172.23.57.0 255.255.255.0 access-group 1 in interface outside 移行後の設定 access-list 1 extended permit ip any host 10.50.50.50 access-list 1 extended permit ip any 172.23.57.0 255.255.255.0 access-group 1 in interface outside
スタティック PAT（アクセス規則のうち 1 つの ACE のみが PAT と一致）	従来の設定 static (inside,outside) tcp 172.23.57.170 5080 10.50.50.50 80 access-list 1 extended permit tcp any host 172.23.57.170 eq 5080 access-list 1 extended permit udp any host 172.23.57.170 eq 5080 access-list 1 extended permit tcp any host 172.23.57.170 eq 10000 access-list 1 extended permit tcp any host 10.2.3.4 eq 5080 access-group 1 in interface outside 移行後の設定 access-list 1 extended permit tcp any host 10.50.50.50 eq 80 access-list 1 extended permit udp any host 172.23.57.170 eq 5080 access-list 1 extended permit tcp any host 172.23.57.170 eq 10000 access-list 1 extended permit tcp any host 10.2.3.4 eq 5080 access-group 1 in interface outside
AAA があるダイナミック NAT	従来の設定 global (outside) 1 172.23.57.171-172.23.57.172 nat (inside) 1 10.50.50.0 255.255.255.0 nat (dmz) 1 192.168.4.0 255.255.255.0 object-group network mapped_pool network-object host 172.23.57.171 network-object host 172.23.57.172 access-list 1 permit udp any object-group mapped_pool aaa authentication match 1 outside TEST_SERVER 移行後の設定 access-list 1 permit udp any 10.50.50.0 255.255.255.0 access-list 1 permit udp any 192.168.4.0 255.255.255.0
インターフェイス固有のサービスポリシー	従来の設定 static (inside,outside) tcp 172.23.57.170 6021 10.50.50.50 21 access-list 1 permit tcp any host 172.23.57.170 eq 6021 class-map ftpclass match access-list 1 policy-map ftp_pol class ftpclass inspect ftp service-policy ftp_pol interface outside 移行後の設定 access-list 1 permit tcp any host 10.50.50.50 eq ftp class-map ftpclass match access-list 1 policy-map ftp_pol class ftpclass inspect ftp service-policy ftp_pol interface outside
グローバルサービスポリシー（インターフェイスのサブセットのみで使用する NAT）	従来の設定 static (inside,outside) 172.23.57.170 10.50.50.50 access-list 1 permit ip any host 172.23.57.170 class-map c1 match access-list 1 policy-map global_policy class c1 ips inline fail-close service-policy global_policy global 移行後の設定 access-list 1 permit ip any host 10.50.50.50 access-list 1 permit ip any host 172.23.57.170 class-map c1 match access-list 1 policy-map global_policy class c1 ips inline fail-close service-policy global_policy global
アクセスグループとサービスポリシーの間で共有するアクセスリスト（マップサブネットと一致するアクセスリストがあるスタティックホスト NAT）	従来の設定 static (inside,outside) 172.23.57.170 10.50.50.50 access-list 1 extended permit ip any 172.23.57.0 255.255.255.0 access-group 1 in interface outside class-map c1 match access-list 1 policy-map p1 class c1 inspect http service-policy global_policy global 移行後の設定 access-list 1 extended permit ip any host 10.50.50.50 access-list 1 extended permit ip any 172.23.57.0 255.255.255.0 access-group 1 in interface outside class-map c1 match access-list 1 policy-map p1 class c1 inspect http service-policy global_policy global
移行後に複数のアクセスリストに変換された 1 件のアクセスリスト	従来の設定 static (outside,inside) 172.23.1.10 10.132.44.12 netmask 255.255.255.255 static (outside,dmz) 172.23.1.10 10.132.44.135 netmask 255.255.255.255 access-list 1 extended permit ip any host 172.23.1.10 access-group 1 in interface inside access-group 1 in interface dmz 移行後の設定 access-list 1 _1 extended permit ip any host 10.132.44.12 access-group 1 _1 in interface inside access-list 1 _2 extended permit ip any host 10.132.44.135 access-group 1 _2 in interface dmz
ポリシー NAT 移行	従来の設定 access-list policyacl1 extended permit ip host 10.50.50.50 10.0.0.0 255.0.0.0 global (outside) 1 172.23.57.170 nat (inside) 1 access-list policyacl1 access-list 1 permit ip any host 172.23.57.170 access-group 1 in interface outside 移行後の設定 access-list 1 extended permit ip any host 10.50.50.50 access-group 1 in interface outside
オブジェクトグループの拡張	従来の設定 object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 object-group network TEST network-object object obj-10.1.2.0 network-object host 192.168.101.10 static (inside,outside) 10.1.2.1 172.16.2.1 static (mgmt,outside) 192.168.101.10 172.16.2.10 access-list 1 extended permit ip any object-group TEST access-group 1 in interface outside 移行後の設定 access-list 1 remark Migration, ACE (line 1) expanded: permit ip any object-group TEST access-list 1 extended permit ip any host 172.16.2.1 access-list 1 extended permit ip any 10.1.2.0 255.255.255.0 access-list 1 extended permit ip any host 172.16.2.10 access-list 1 remark Migration: End of expansion
拒否または許可 ACE があるアクセスグループ	従来の設定 global (outside) 1 10.10.10.128-10.10.10.255 nat (inside) 1 172.16.10.0 255.255.255.0 access-list 100 extended deny ip any host 10.10.10.210 access-list 100 extended permit ip any 10.10.10.211 255.255.255.128 access-group 100 in interface outside 移行後の設定 access-list 100 extended deny ip any 172.16.10.0 255.255.255.0 access-group 100 in interface outside

実際の IP アドレスの移行のメッセージと制限

この項では、実際の IP アドレスの移行に関連するメッセージについて説明します。一部のメッセージは移行できない設定に関連しているため、ユーザの介入が必要です。また、メッセージが生成されない他の条件についても一覧にして紹介します。この項では、次のトピックについて取り上げます。

• 「実際の IP アドレスの移行のメッセージ」

• 「ACE のインターフェイス IP アドレスでは、実際のアドレスかマップアドレスかを判別できない」

実際の IP アドレスの移行のメッセージ

バージョン 8.3 を最初にリロードすると、次のメッセージが表示されます。

REAL IP MIGRATION: WARNING

In this version access-lists used in 'access-group', 'class-map',

'dynamic-filter classify-list', 'aaa match' will be migrated from

using IP address/ports as seen on interface, to their real values.

If an access-list used by these features is shared with per-user ACL

then the original access-list has to be recreated.

Please refer to documentation for more details.

表 2 は、表示されるその他のメッセージの一覧です。

表 2 実際の IP アドレスの移行のメッセージ
メッセージと説明
エラーメッセージ Couldn't migrate ACL <name> into real values, please manually migrate. Associated access-group config is removed. 説明 access-group コマンドがアクセスリストを使用し、そのアクセスリストが何らかの理由で移行されなかった場合、 access-group コマンドは削除されるため、セキュリティホールは発生しません。
エラーメッセージ ACE converted to real IP/port values based on dynamic NAT or PAT. The new ACE(s) could be broader in scope than this original ACE. 説明ダイナミック NAT を使用していて、アクセスリストにグローバルプールのアドレスのサブセットがある場合、NAT コマンドがアクセスリストより幅広くなるためアクセスリストが移行されません。 nat コマンドで実際の IP アドレスを使用してアクセスリストを移行すると、元のアクセス規則より幅広いアクセス規則が生成されます。このとき、 access-group コマンドは削除されるため、セキュリティホールは発生しません。 global (outside) 1 10.10.10.128-10.10.10.255 nat (inside) 1 192.168.10.0 255.255.255.0 access-list 100 extended permit ip any host 10.10.10.210 <---If this were migrated, it would be 192.168.10.0, which is too broad. access-group 100 in interface outside <---This is deleted
エラーメッセージ ACE converted to real IP/port values based on dynamic/static Policy NAT. The new ACE(s) need to be checked for enforcing policy NAT ACL. 説明ポリシー NAT を移行する場合、新しいアクセスリストによりセキュリティホールが発生しないことを確認します。たとえば、次の移行前設定では、宛先アドレスが 10.0.0.0 の場合に限り 10.50.50.50 を 172.23.57.170 に変換します。 access-list policyacl1 extended permit ip host 10.50.50.50 10.0.0.0 255.0.0.0 static (inside,outside) 172.23.57.170 access-list policyacl1 このアクセス規則ではマップアドレスへのすべてのトラフィックが許可されていますが、このマッピングはトラフィックが 10.0.0.0 との間で送受信される場合しか発生しないため、実質的には 10.0.0.0 に対してのみ内部ホストへのアクセスを許可していることになります。 access-list 1 permit ip any host 172.23.57.170 access-group 1 in interface outside 移行後の設定は内部ホストへのすべてのトラフィックが許可されていますが、アクセスリストでは実際の IP アドレスが使用されているため、10.0.0.0 からのトラフィックだけではなくすべてのトラフィックが内部ホストにアクセスできます。 access-list 1 extended permit ip any host 10.50.50.50 access-group 1 in interface outside 推奨処置このアクセスリストは次のように修正する必要があります。 access-list 1 extended permit ip 10.0.0.0 255.0.0.0 host 10.50.50.50 access-group 1 in interface outside
エラーメッセージ ACL <inbound_auth> has been successfully migrated to real-ip version 説明アクセスリストが移行されて、同じ名前が使用されました。
エラーメッセージ After migration source network is 'any', originally it wasn't 'any'. エラーメッセージ After migration destination network is 'any', originally it wasn't 'any’. 説明アクセスリストは移行されていません。NAT 設定に nat (inside) 1 0 0 があるため、アクセスリストは any any に移行されます。 any any アクセスリストによりセキュリティホールが開くため、この移行は省略されます。たとえば、すべてのアドレスはグローバルプールに変換されます。 global (outside) 1 172.23.57.0-172.23.57.255 nat (inside) 1 0 0 その後、すべてのアドレスに対してグローバルプールアドレスへのアクセスが許可されます。 object-group network mapped_pool network-object network 172.23.57.0 255.255.255.0 access-list 1 permit udp any object-group mapped_pool access-group 1 in interface outside 移行によりこのアクセス規則が作成されるため、この規則は次の項目には移行しません。 access-list 1 permit udp any any access-group 1 in interface outside
エラーメッセージ Can't convert rule to hole. 説明内部エラー条件です。
エラーメッセージ Can't create new ACE with obj-grp. 説明内部エラー条件です。
エラーメッセージ Can't create new hole. 説明内部エラー条件です。
エラーメッセージ Conversion for interface <if_name> failed for line. 説明内部エラー条件です。
エラーメッセージ Destination changed for egress ACL, can't migrate this ACL. 説明内部エラー条件です。
エラーメッセージ During migration of access-list <name> expanded this object-group ACE. 説明オブジェクトグループ内の各アドレスに対してアクセスリストを作成する必要があります。「オブジェクトグループの拡張」の移行例を参照してください。
エラーメッセージ Failed to create acl element to track during migration. 説明内部エラー条件です。
エラーメッセージ INFO: Note that identical IP addresses or overlapping IP ranges on different interfaces are not detectable by automated Real IP migration. If your deployment contains such scenarios, please verify your migrated configuration is appropriate for those overlapping addresses/ranges. Please also refer to the ASA 8.3 migration guide for a complete explanation of the automated migration process. 説明場合によっては、アドレスの重複に対応できるようアクセス規則を変更することができます（次の例を参照してください）。アクセス規則を変更できない場合、ネットワークの重複に対して新しい IP アドレス指定スキームの使用が必要になることがあります。たとえば、次の移行前設定には 2 件のスタティック規則があり、その中で 2 つの Inside インターフェイス（group1 と group2）の IP アドレス 192.168.1.1 が、outside インターフェイスにアクセスする場合に個別にマップされます。 static (group1,outside) 10.10.1.1 192.168.1.1 static (group2,outside) 10.10.2.1 192.168.1.1 次の ACE は、outside インターフェイスの送信方向に対して適用される access-group コマンドで使用された場合、group1 マップアドレス（10.10.1.1）が outside インターフェイスを終了することを許可し、一方で group2 マップアドレス（10.10.2.1）を拒否します。 access-list out_acl extended permit ip host 10.10.1.1 any access-list out_acl extended deny ip host 10.10.2.1 any access-group out_acl out interface outside しかし、ACE を実際の IP アドレスに変換すると、10.10.1.1 と 10.10.2.1 の両方のマップアドレスが実際のアドレス 192.168.1.1 に変換されます。最初の ACE は 192.168.1.1 へのトラフィックを許可しているため、拒否 ACE が適用されることはなく、トラフィックは group1 と group2 のホストの両方に送信されます。 object foo host 192.168.1.1 nat (group1,outside) static 10.10.1.1 object bar host 192.168.1.1 nat (group2,outside) static 10.10.2.1 access-list out_acl extended permit ip object foo any access-list out_acl extended deny ip object bar any <----This ACE will never be hit access-group out_acl out interface outside 推奨処置この場合、アクセス規則は次のように変更できます。 access-list out_acl1 extended permit ip object foo any access-list out_acl2 extended deny ip object bar any access-group out_acl1 in interface group1 access-group out_acl2 in interface group2
エラーメッセージ No ACL was changed as part of Real-ip migration 説明アクセスリストの変更は必要ありません。
エラーメッセージ Removing ACL <name>, it has been migrated to one or more ACLs with name format <name_x>, example <name_7> 説明アクセスリストが移行され、その結果複数のアクセスリストが新しい名前で作成されました。従来のアクセスリストは削除されました。
エラーメッセージ Something changed in conversion but not clear what changed. 説明内部エラー条件です。
エラーメッセージ Source changed for ingress ACL, can't migrate this ACL. 説明内部エラー条件です。

ACE のインターフェイス IP アドレスでは、実際のアドレスかマップアドレスかを判別できない

インターフェイスに属する IP アドレスがある ACE を使用していて、対応する NAT コマンドが interface キーワードを使用してインターフェイス IP アドレスを識別している場合、移行スクリプトでは NAT コマンドと ACE を対応させることができず、ACE の IP アドレスが実際のアドレスかマップアドレスかを判別できません。

この場合、移行スクリプトでは IP アドレスを移行できないため、IP アドレスを手動で実際の IP アドレスに変更する必要があります。または、ACE で interface キーワードを使用するよう設定を変更します。

たとえば、移行前は outside インターフェイスの PAT が内部ホストに対して定義されています。

static (inside,outside) tcp interface 80 10.2.2.2 80

アクセスリストの定義には interface キーワードではなくインターフェイス IP アドレスを使用します。

access-list outside_access_in permit tcp any host 192.168.1.1 eq 80

access-group outside_access_in in interface outside

バージョン 8.3 に移行する場合、 static コマンドが access-list コマンドと対応しないため、アクセスリストは実際の IP アドレス（10.2.2.2）には移行されません。 interface キーワードを使用していれば、アクセスリストは interface キーワードではなく実際の IP アドレスを使用するよう正しく移行されています。

移行後にアクセスリストを修正するには、アクセスリストが実際の IP アドレス（10.2.2.2）を使用するよう設定を変更します。

access-list outside_access_in permit tcp any host 10.2.2.2 eq 80

NAT 移行

NAT 機能は再設計により柔軟性と機能性が向上しました。すべての NAT および NAT 関連コマンドが再設計されています。この項では、NAT 設定を新しい NAT コマンドに移行する方法について説明します。ASDM ユーザの場合は、関連する「ASDM」の項を参照してください。この項では、次のトピックについて取り上げます。

• 「8.3 および 8.4 から 8.4(2) への NAT の移行の例」

• 「8.2 以前からの NAT の移行の例」

• 「NAT 移行のメッセージ」

（注）ほぼすべての NAT 設定がシームレスに移行されます。まれにユーザの介入が必要になることがありますが、その場合はユーザに対して通知されます。移行後に通知なくセキュリティが低下することはありません。「NAT 移行のメッセージ」を参照してください。

従来の NAT コマンド

次のコマンドはサポートされません。これらのコマンドは新しいコマンドに移行し、設定から削除されます。

• alias

• global

• nat （以前のバージョン）

• nat-control

• static

• sysopt nodnsalias ：このコマンドは移行されません。新しい NAT コマンドで dns オプションを設定してください。

ASDM

ASDM ではこれまでも alias コマンドは使用できませんでした。

新しい NAT コマンド

表 3 に新しい NAT コマンドを示します。「NAT 用の補助コマンド」も参照してください。

表 3 新しい NAT コマンド
新しいコマンド	コンフィギュレーションモード	構文
ネットワークオブジェクト NAT （通常は標準 NAT 設定に使用します）
nat dynamic	オブジェクトネットワーク	object network name nat [ ( real_ifc , mapped_ifc ) ] dynamic {[ mapped_inline_host_ip ] [ interface ] \| [ mapped_obj ] [ pat-pool mapped_obj [ round-robin ]] [ interface ]} [ dns ]
nat static	オブジェクトネットワーク	object network name nat [ ( real_ifc , mapped_ifc ) ] static { mapped_inline_ip \| mapped_obj \| interface } [ dns \| service { tcp \| udp } real_port mapped_port ] [ no-proxy-arp ] [ route-lookup ]
Twice NAT （通常はポリシー NAT 設定に使用します）
nat source dynamic	グローバル	nat [ ( real_ifc , mapped_ifc ) ] [ line \| { after-object [ line ]}] source dynamic { real_obj \| any } {[ mapped_obj ] [ pat-pool mapped_obj [ round-robin ]] [ interface ]} [ destination static { mapped_obj \| interface } { real_obj \| any }] [ service { mapped_dest_svc_obj real_dest_svc_obj ] [ dns ] [ unidirectional ] [ inactive ] [ description desc ]
nat source static	グローバル	nat [ ( real_ifc , mapped_ifc ) ] [ line \| { after-object [ line ]}] source static { real_obj \| any } { mapped_obj \| interface \| any }} [ destination static { mapped_obj \| interface } { real_obj \| any }] [ service { real_src_mapped_dest_svc_obj \| any } mapped_src_real_dest_svc_obj ] [ dns ] [ unidirectional \| [ no-proxy-arp ] [ route-lookup ]] [ inactive ] [ description desc ]

（注） 8.4(2) に、no-proxy-arp、route-lookup、pat-pool、および round-robin キーワードが追加されました。

ASDM

ASDM では、既存の NAT 規則が新しい 2 種類の規則に移行されます。

• ネットワークオブジェクト NAT：

[Configuration] > [Firewall] > [Objects] > [Network Objects/Groups] > [Add/Edit Network Object]

• Twice NAT：

[Configuration] > [Firewall] > [NAT Rules]

NAT 用の補助コマンド

新しい NAT コマンドに移行できるようにするため、表 4 に示すように追加コマンドが作成されています。

表 4 NAT 用の補助コマンド
生成されたコマンド	説明
object network	各ネットワークオブジェクト NAT コマンドに対して、変換する実際の IP アドレスを表す object network コマンドが作成されます。新しい nat コマンドは object network コマンドのサブコマンドです。同様に、インラインアドレス（コマンドに直接入力するアドレス）が使用できない場合、新しい nat コマンドのマップアドレスに対して object network コマンドが作成されます。 Twice NAT では object network コマンドで IP アドレスしか識別できず、インラインアドレスや access-list コマンドは識別できないため、従来の設定にある IP アドレスは object network コマンドに変換されます。 NAT 設定で使用されていた name コマンドは自動的に新しい object network コマンドに移行されます。 name コマンドは、 object network コマンドをサポートしていない機能で使用するため、引き続き使用できます。
object service	Twice NAT では、すべてのインラインサービス、および従来ポリシー NAT で使用されていた access-list コマンドで識別されたサービスに対して object service コマンドが作成されます。
object-group network	ネットワークオブジェクト NAT でマップアドレスが複数存在する場合、複数の object network コマンドを含む object-group network コマンドが作成されます。

作成されたコマンドの命名規則などのネットワークオブジェクトやサービスオブジェクトの詳細については、「ネットワークおよびサービスオブジェクトの移行」を参照してください。

ASDM

これまでのリリースでは、ASDM は名前付きネットワークオブジェクトをサポートしていました。現在、プラットフォームではコマンドによりこれらのオブジェクトを適切にサポートしています。設定のすべての名前付きネットワークオブジェクトの表示に加えて、ASDM は、設定で使用されている IP アドレスのオブジェクトを自動的に作成します。この自動生成されるオブジェクトは IP アドレスによって識別され、プラットフォーム設定オブジェクトとしては存在しません。これらのオブジェクトの 1 つに名前を割り当てると、ASDM は、プラットフォーム設定に名前付きネットワークオブジェクトを追加します。

（注） ASDM は、name コマンドから派生したオブジェクトを表示しなくなりました。以前は、ASDM において name コマンドから派生した名前付きオブジェクトを使用することがありました。name コマンドの IP アドレスが移行されなかった場合（「ネットワークおよびサービスオブジェクトの移行」を参照）、これらのオブジェクトは、IP アドレスによって識別される自動作成オブジェクトで置換されます。

NAT 規則の順序の維持

従来の NAT 設定では、NAT コマンドの順序の評価は NAT の種類に基づいて行われ、場合によってはコマンドが設定内に登場する順序に基づいて行われていました。新しい NAT の順序は 3 つのセクションがあるテーブルに基づいています。

• セクション 1（Twice NAT 規則）：これらの規則は設定内に登場する順序に基づいて評価されます。移行のため、このセクションには移行済みのポリシー NAT 規則が含まれています。

• セクション 2（ネットワークオブジェクト NAT（生成済み）規則）：これらの規則は内部規則に基づいて評価されます。設定内での順序は評価基準とはなりません（詳しくは『 Cisco ASA 5500 Series Configuration Guide using ASDM 』または『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください）。移行のため、このセクションには標準 NAT 規則が含まれています。

• セクション 3（ネットワークオブジェクト NAT 規則の後に評価するよう明確に指定された Twice NAT 規則）：セクション 1 と同様に、これらの規則は設定内に登場する順序に基づいて評価されます。ただし、評価の順序はセクション 1 とセクション 2 の規則より後となります。このセクションは NAT 移行には使用しません。

ネットワークが重複する場合（たとえば、標準スタティック NAT 規則がダイナミックポリシー NAT 規則と重複する場合）、標準スタティック NAT 規則はセクション 2 ではなくセクション 1 に移行され、設定の順序が維持されます。たとえば、従来の設定が次のようになっている場合、ネットワークが重複しています。この場合、スタティックコマンドはセクション 1 の Twice NAT 規則に移行されます。

static (inside,outside) 209.165.202.129 10.1.1.6 netmask 255.255.255.255

access-list NET1 permit ip 10.1.1.0 255.255.255.0 209.165.202.0 255.255.255.0

nat (inside) 100 access-list NET1

NAT 移行のガイドラインと制限

• ダイナミックアイデンティティ NAT（ nat 0 コマンド）は移行されません。「NAT 移行のメッセージ」を参照してください。スタティックアイデンティティ NAT は他の static コマンドと同様に処理され、標準 NAT かポリシー NAT かによって変換が異なります。

• NAT 免除（ nat 0 access-list コマンド）は、アップグレードするリリースに応じて異なる方法で移行されます。詳細については、「NAT 免除」を参照してください。

• 8.3(1)、8.3(2)、または 8.4(1) から 8.4(2) にアップグレードすると、アイデンティティ NAT の移行が実行され、既存機能が保持されます。詳細については、「8.3 および 8.4 から 8.4(2) への NAT の移行の例」を参照してください。

• 標準 NAT コマンドに dns オプションが設定されている場合、移行対象となります。スタティック PAT コマンドとポリシー NAT コマンドの dns オプションは無視されます。

• 従来の NAT コマンドの接続設定： conn-max 、 emb-limit 、 norandomseq 、 nailed などのオプションはサービスポリシーに移動されます。

新しいサービスポリシーでは次の命名規則が使用されます。

– class-map ：class-conn-param- protocol - n

– access-list ：acl-conn-param- protocol - n

– policy-map ：policy-conn-param- interface

NAT 移行に関連するこの他の命名規則については、「オブジェクト移行の命名規則」を参照してください。

8.3 および 8.4 から 8.4(2) への NAT の移行の例

8.3(1)、8.3(2)、または 8.4(2) をすでに実行している場合、既存の機能を保持するため、すべてのアイデンティティ NAT ステートメントは次の新しいキーワードを使用するように移行されます。

• no-proxy-arp

• route-lookup （ルーテッドファイアウォールモードのみ）

バージョン 8.4(2) 以降では、アイデンティティ NAT は、プロキシ ARP を実行し、デフォルトで、NAT 設定を使用して出力インターフェイスを決定します。8.3(1)、8.3(2)、8.4(2) にあった機能を維持するため、プロキシ ARP はディセーブルにされ、新しいキーワードを使用してルート検索が実行され、出力インターフェイスが決定されます。プロキシ ARP をイネーブルにする場合（まれな要件）、または出力インターフェイスを決定するために NAT 設定を使用する場合は、移行後に手動でキーワードを排除します。

unidirectional キーワードがある場合（8.3(2) または 8.4(1)への NAT 免除規則の最初の移行の場合など）、キーワードは除外されます。

表 5 に、スタティックアイデンティティ NAT の移行の例を示します。

表 5 アイデンティティ NAT 移行の例
説明	設定の移行
スタティックオブジェクト NAT	従来の設定 object network obj-10.1.1.6 host 10.1.1.6 nat (inside,outside) static 10.1.1.6 移行後の設定 object network obj-10.1.1.6 host 10.1.1.6 nat (inside,outside) static 10.1.1.6 no-proxy-arp route-lookup
スタティック Twice NAT（unidirectional）	従来の設定 nat (inside,any) source static any any destination static obj-192.168.90.0-01 obj-192.168.90.0-01 unidirectional 移行後の設定 nat (inside,any) source static any any destination static obj-192.168.90.0-01 obj-192.168.90.0-01 no-proxy-arp route-lookup
スタティック Twice NAT	従来の設定 nat (inside,any) source static obj-10.1.2.0 obj-10.1.2.0 nat (dmz,outside) source static obj-10.1.2.0 obj-10.1.2.0 移行後の設定 nat (inside,any) source static obj-10.1.2.0 obj-10.1.2.0 no-proxy-arp route-lookup nat (dmz,outside) source static obj-10.1.2.0 obj-10.1.2.0 no-proxy-arp route-lookup

8.2 以前からの NAT の移行の例

この項では、次のトピックについて取り上げます。

• 「Connection Settings」

• 「送信元 NAT と宛先 NAT」

• 「alias コマンド」

スタティック NAT/PAT

表 6 に、スタティック NAT/PAT の移行の例を示します。

表 6 スタティック NAT/PAT 移行の例
説明	設定の移行	種類 / セクション
標準スタティック NAT	従来の設定 static (inside,outside) 209.165.201.15 10.1.1.6 netmask 255.255.255.255 移行後の設定 object network obj-10.1.1.6 host 10.1.1.6 nat (inside,outside) static 209.165.201.15	オブジェクト / セクション 2
標準スタティック PAT	従来の設定 static (inside,outside) tcp 10.1.2.45 80 10.1.1.16 8080 netmask 255.255.255.255 移行後の設定 object network obj-10.1.1.16 host 10.1.1.16 nat (inside,outside) static 10.1.2.45 service tcp 8080 www	オブジェクト / セクション 2
スタティックポリシー NAT	従来の設定 access-list NET1 permit ip host 10.1.2.27 10.76.5.0 255.255.255.224 static (inside,outside) 209.165.202.129 access-list NET1 移行後の設定 object network obj-10.1.2.27 host 10.1.2.27 object network obj-209.165.202.129 host 209.165.202.129 object network obj-10.76.5.0 subnet 10.76.5.0 255.255.255.224 nat (inside,outside) source static obj-10.1.2.27 obj-209.165.202.129 destination static obj-10.76.5.0 obj-10.76.5.0	Twice / セクション 1

ダイナミック NAT/PAT

表 7 に、ダイナミック NAT/PAT の移行の例を示します。

表 7 ダイナミック NAT/PAT の移行の例
説明	設定の移行	種類 / セクション
標準ダイナミック PAT	従来の設定 nat (inside) 1 192.168.1.0 255.255.255.0 nat (dmz) 1 10.1.1.0 255.255.255.0 global (outside) 1 209.165.201.3 移行後の設定 object network obj-192.168.1.0 subnet 192.168.1.0 255.255.255.0 nat (inside,outside) dynamic 209.165.201.3 object network obj-10.1.1.0 subnet 10.1.1.0 255.255.255.0 nat (dmz,outside) dynamic 209.165.201.3	オブジェクト / セクション 2
標準ダイナミック PAT（2）	従来の設定 nat (inside) 1 10.1.2.0 255.255.255.0 global (outside) 1 209.165.201.3 global (dmz) 1 172.16.4.5 移行後の設定 object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (inside,outside) dynamic 209.165.201.3 object network obj-10.1.2.0-01 subnet 10.1.2.0 255.255.255.0 nat (inside,dmz) dynamic 172.16.4.5	オブジェクト / セクション 2
標準ダイナミック PAT（3）	従来の設定 nat (inside) 1 0 0 global (outside) 1 interface 移行後の設定 object network obj_any subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic interface	オブジェクト / セクション 2
ダイナミックポリシー NAT	従来の設定 object-group network og-net-src network-object 192.168.1.0 255.255.255.0 network-object 192.168.2.0 255.255.255.0 object-group network og-net-dst network-object 209.165.201.0 255.255.255.224 object-group service og-ser-src service-object tcp gt 2000 service-object tcp eq 1500 access-list NET6 extended permit object-group og-ser-src object-group og-net-src object-group og-net-dst nat (inside) 10 access-list NET6 global (outside) 10 209.165.200.225 移行後の設定 object-group network og-net-src network-object 192.168.1.0 255.255.255.0 network-object 192.168.2.0 255.255.255.0 object-group network og-net-dst network-object 209.165.201.0 255.255.255.224 object network obj-209.165.200.225 host 209.165.200.225 object service obj_tcp_range_2001_65535 service tcp destination range 2001 65535 object service obj_tcp_eq_1500 service tcp destination eq 1500 nat (inside,outside) source dynamic og-net-src obj-209.165.200.225 destination static og-net-dst og-net-dst service obj_tcp_range_2001_65535 obj_tcp_range_2001_65535 nat (inside,outside) source dynamic og-net-src obj-209.165.200.225 destination static og-net-dst og-net-dst service obj_tcp_eq_1500 obj_tcp_eq_1500	Twice / セクション 1
ダイナミックポリシー NAT（複数の ACE）	従来の設定 access-list ACL_NAT permit ip 172.29.0.0 255.255.0.0 172.29.37.0 255.255.255.0 access-list ACL_NAT permit ip 172.29.0.0 255.255.0.0 10.231.110.0 255.255.255.0 access-list ACL_NAT permit ip 172.29.0.0 255.255.0.0 10.107.204.0 255.255.255.0 access-list ACL_NAT permit ip 172.29.0.0 255.255.0.0 192.168.5.0 255.255.255.0 nat (inside) 1 access-list ACL_NAT global (outside) 1 209.165.200.225 移行後の設定 object network obj-172.29.0.0 subnet 172.29.0.0 255.255.0.0 object network obj-209.165.200.225 host 209.165.200.225 object network obj-172.29.37.0 subnet 172.29.37.0 255.255.255.0 object network obj-10.231.110.0 subnet 10.231.110.0 255.255.255.0 object network obj-10.107.204.0 subnet 10.107.204.0 255.255.255.0 object network obj-192.168.5.0 subnet 192.168.5.0 255.255.255.0 nat (inside,outside) source dynamic obj-172.29.0.0 obj-209.165.200.225 destination static obj-172.29.37.0 obj-172.29.37.0 nat (inside,outside) source dynamic obj-172.29.0.0 obj-209.165.200.225 destination static obj-10.231.110.0 obj-10.231.110.0 nat (inside,outside) source dynamic obj-172.29.0.0 obj-209.165.200.225 destination static obj-10.107.204.0 obj-10.107.204.0 nat (inside,outside) source dynamic obj-172.29.0.0 obj-209.165.200.225 destination static obj-192.168.5.0 obj-192.168.5.0	Twice / セクション 1
外部 NAT	従来の設定 global (inside) 1 10.1.2.30-10.1.2.40 nat (dmz) 1 10.1.1.0 255.255.255.0 outside static (inside,dmz) 10.1.1.5 10.1.2.27 netmask 255.255.255.255 移行後の設定 object network obj-10.1.2.30-10.1.2.40 range 10.1.2.30 10.1.2.40 object network obj-10.1.2.27 host 10.1.2.27 nat (inside,dmz) static 10.1.1.5 object network obj-10.1.1.0 subnet 10.1.1.0 255.255.255.0 nat (dmz,inside) dynamic obj-10.1.2.30-10.1.2.40	オブジェクト / セクション 2
NAT とインターフェイス PAT の併用	従来の設定 nat (inside) 1 10.1.2.0 255.255.255.0 global (outside) 1 interface global (outside) 1 209.165.201.1-209.165.201.2 移行後の設定 object network obj-209.165.201.1_209.165.201.2 range 209.165.201.1 209.165.201.2 object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (inside,outside) dynamic obj_209.165.201.1_209.165.201.2 interface	オブジェクト / セクション 2

NAT 免除

NAT 免除（ nat 0 access-list コマンド）はポリシー NAT の一形態で、スタティック Twice NAT に変換されます。免除されたインターフェイスとセキュリティレベルが低いすべてのインターフェイスとの間で規則が作成されます。外部 NAT については、免除されたインターフェイスとセキュリティレベルが高いすべてのインターフェイスとの間で規則が作成されます。同じセキュリティレベルの通信をイネーブルにした場合、免除されたインターフェイスと同じセキュリティレベルのインターフェイスとの間で規則が作成されます。

これらの規則はセクション 1 の最初に配置されます。

NAT 免除（ nat 0 access-list コマンド）は、Twice NAT 規則に移行されます。NAT 免除がどのように移行されるかに関して、アップグレードするバージョンに固有の情報は、次の注を参照してください。

• バージョン 8.3(1)：警告 #CSCtf89372 が表示されることがあります。8.4(2) に直接移行することが推奨されます。この警告の詳細については、次の URL の Bug Toolkit を参照してください。

http://tools.cisco.com/Support/BugToolKit/action.do?hdnAction=searchBugs

• バージョン 8.3(2) から 8.4(1)： unidirectional キーワードが追加されました。 unidirectional キーワードは、接続を開始するために、送信元ネットワークのトラフィックのみを許可します。この移行の変更は、CSCtf89372 を解消するために、実施されました。NAT 免除が通常双方向であるため、 unidirectional キーワードを取り除いて元の機能を復元する必要がある場合があります。具体的には、この変更により、NAT 免除ルールを含む、多くの VPN 設定に悪い影響があります（この新しい問題については CSCti36048 を参照してください）。手動による介入を避けるために、8.4(2) に移行することが推奨されます。

この問題が発生した場合、次のような syslog メッセージが表示されます。

%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src Outside:192.168.1.5 dst inside:10.10.5.20 (type 8, code 0) denied due to NAT reverse path failure

• バージョン 8.4(2) 以降： unidirectional キーワードは追加されなくなります。代わりに、新しい no-proxy-arp キーワード 、および route-lookup キーワードが追加されます。警告 CSCtf89372 および CSCti36048 の両方が、このリリースで解決されます。

この項で紹介する例では、システムには inside（レベル 100）、outside（レベル 0）、dmz（レベル 50）の 3 つのインターフェイスがあります。

表 8 に、NAT 免除の移行の例を示します。

表 8 NAT 免除の移行の例
説明	設定の移行	種類 / セクション
標準 NAT 免除（ダイナミック NAT の重複が見られる）	従来の設定 access-list outside_nat_outbound extended permit ip 192.168.90.0 255.255.254.0 host 10.1.4.5 nat (outside) 2 access-list outside_nat_outbound outside global (inside) 2 interface access-list inside_nat0_outbound_1 extended permit ip any 192.168.90.0 255.255.254.0 nat (inside) 0 access-list inside_nat0_outbound_1 移行後の設定 8.3(1)： nat (outside,inside) source dynamic obj-192.168.90.0-01 interface destination static obj-10.1.4.5 obj-10.1.4.5 nat (inside,any) source static any any destination static obj-192.168.90.0-01 obj-192.168.90.0-01 8.3(2) ～ 8.4(1)： nat (outside,inside) source dynamic obj-192.168.90.0-01 interface destination static obj-10.1.4.5 obj-10.1.4.5 nat (inside,any) source static any any destination static obj-192.168.90.0-01 obj-192.168.90.0-01 unidirectional 8.4(2) 以降： nat (outside,inside) source dynamic obj-192.168.90.0-01 interface destination static obj-10.1.4.5 obj-10.1.4.5 nat (inside,any) source static any any destination static obj-192.168.90.0-01 obj-192.168.90.0-01 no-proxy-arp route-lookup	Twice / セクション 1 （一番上に配置）
標準 NAT 免除	従来の設定 access-list EXEMPT permit ip 10.1.2.0 255.255.255.0 any nat (inside) 0 access-list EXEMPT nat (dmz) 0 access-list EXEMPT 移行後の設定 8.3(1)： object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (inside,any) source static obj-10.1.2.0 obj-10.1.2.0 nat (dmz,outside) source static obj-10.1.2.0 obj-10.1.2.0 8.3(2) ～ 8.4(1)： object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (inside,any) source static obj-10.1.2.0 obj-10.1.2.0 unidirectional nat (dmz,outside) source static obj-10.1.2.0 obj-10.1.2.0 unidirectional 8.4(2) 以降： object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (inside,any) source static obj-10.1.2.0 obj-10.1.2.0 no-proxy-arp route-lookup nat (dmz,outside) source static obj-10.1.2.0 obj-10.1.2.0 no-proxy-arp route-lookup	Twice / セクション 1 （一番上に配置）
同じセキュリティレベルがイネーブル	従来の設定 same-security-level permit intra-interface access-list EXEMPT permit ip 10.1.2.0 255.255.255.0 any nat (dmz) 0 access-list EXEMPT 移行後の設定 8.3(1)： same-security-level permit intra-interface object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (dmz,outside) source static obj-10.1.2.0 obj-10.1.2.0 nat (dmz,dmz) source static obj-10.1.2.0 obj-10.1.2.0 8.3(2) ～ 8.4(1)： same-security-level permit intra-interface object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (dmz,outside) source static obj-10.1.2.0 obj-10.1.2.0 unidirectional nat (dmz,dmz) source static obj-10.1.2.0 obj-10.1.2.0 unidirectional 8.4(2) 以降： same-security-level permit intra-interface object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (dmz,outside) source static obj-10.1.2.0 obj-10.1.2.0 no-proxy-arp route-lookup nat (dmz,dmz) source static obj-10.1.2.0 obj-10.1.2.0 no-proxy-arp route-lookup	Twice / セクション 1 （一番上に配置）
外部 NAT	従来の設定 access-list EXEMPT permit ip 10.1.2.0 255.255.255.0 any nat (dmz) 0 access-list EXEMPT outside nat (outside) 0 access-list EXEMPT outside 移行後の設定 8.3(1)： object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (dmz,inside) source static obj-10.1.2.0 obj-10.1.2.0 nat (outside,dmz) source static obj-10.1.2.0 obj-10.1.2.0 nat (outside,inside) source static obj-10.1.2.0 obj-10.1.2.0 8.3(2) ～ 8.4(1)： object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (dmz,inside) source static obj-10.1.2.0 obj-10.1.2.0 unidirectional nat (outside,dmz) source static obj-10.1.2.0 obj-10.1.2.0 unidirectional nat (outside,inside) source static obj-10.1.2.0 obj-10.1.2.0 unidirectional 8.4(2) 以降： object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 nat (dmz,inside) source static obj-10.1.2.0 obj-10.1.2.0 no-proxy-arp route-lookup nat (outside,dmz) source static obj-10.1.2.0 obj-10.1.2.0 no-proxy-arp route-lookup nat (outside,inside) source static obj-10.1.2.0 obj-10.1.2.0 no-proxy-arp route-lookup	Twice / セクション 1 （一番上に配置）
複数の ACE	従来の設定 access-list EXEMPT extended permit ip 10.1.2.0 255.255.255.0 any access-list EXEMPT extended permit ip 10.1.3.0 255.255.255.0 20.2.4.0 255.255.255.0 access-list EXEMPT extended permit ip any 20.2.20.0 255.255.255.0 nat (inside) 0 access-list EXEMPT 移行後の設定 8.3(1)： object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 object network obj-10.1.3.0 subnet 10.1.3.0 255.255.255.0 object network obj-20.2.4.0 subnet 20.2.4.0 255.255.255.0 object network obj-20.2.20.0 subnet 20.2.20.0 255.255.255.0 nat (inside,any) source static obj-10.1.2.0 obj-10.1.2.0 nat (inside,any) source static obj-10.1.3.0 obj-10.1.3.0 destination static obj-20.2.4.0 obj-20.2.4. nat (inside,any) source static any any destination static obj-20.2.20.0 obj-20.2.20.0 8.3(2) ～ 8.4(1)： object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 object network obj-10.1.3.0 subnet 10.1.3.0 255.255.255.0 object network obj-20.2.4.0 subnet 20.2.4.0 255.255.255.0 object network obj-20.2.20.0 subnet 20.2.20.0 255.255.255.0 nat (inside,any) source static obj-10.1.2.0 obj-10.1.2.0 unidirectional nat (inside,any) source static obj-10.1.3.0 obj-10.1.3.0 destination static obj-20.2.4.0 obj-20.2.4.0 unidirectional nat (inside,any) source static any any destination static obj-20.2.20.0 obj-20.2.20.0 unidirectional 8.4(2) 以降： object network obj-10.1.2.0 subnet 10.1.2.0 255.255.255.0 object network obj-10.1.3.0 subnet 10.1.3.0 255.255.255.0 object network obj-20.2.4.0 subnet 20.2.4.0 255.255.255.0 object network obj-20.2.20.0 subnet 20.2.20.0 255.255.255.0 nat (inside,any) source static obj-10.1.2.0 obj-10.1.2.0 no-proxy-arp route-lookup nat (inside,any) source static obj-10.1.3.0 obj-10.1.3.0 destination static obj-20.2.4.0 obj-20.2.4.0 no-proxy-arp route-lookup nat (inside,any) source static any any destination static obj-20.2.20.0 obj-20.2.20.0 no-proxy-arp route-lookup	Twice / セクション 1 （一番上に配置）

NAT コントロール

nat-control コマンドは非推奨となっています。セキュリティの高いインターフェイスからセキュリティの低いインターフェイスまでの、すべてのトラフィックを変換する要件を維持するため、各インターフェイスのセクション 2 の末尾に NAT 規則が挿入され、残りのトラフィックがすべて拒否されます。 nat-control コマンドは、旧バージョンのASAで定義された NAT コンフィギュレーションに対して使用されました。NAT ルールが存在しないことに基づくのではなく、アクセスコントロールにアクセスルールを使用して、ASAを通過するトラフィックを阻止することがベストプラクティスです。

表 9 に、NAT コントロールの移行の例を示します。

表 9 NAT コントロールの移行の例
説明	設定の移行	種類 / セクション
4 種類のインターフェイス（inside、outside、dmz、mgmt）	従来の設定 nat-control 移行後の設定 object network obj_any subnet 0.0.0.0 0.0.0.0 nat (inside,outside) dynamic obj-0.0.0.0 object network obj-0.0.0.0 host 0.0.0.0 object network obj_any-01 subnet 0.0.0.0 0.0.0.0 nat (inside,mgmt) dynamic obj-0.0.0.0 object network obj_any-02 subnet 0.0.0.0 0.0.0.0 nat (inside,dmz) dynamic obj-0.0.0.0 object network obj_any-03 subnet 0.0.0.0 0.0.0.0 nat (mgmt,outside) dynamic obj-0.0.0.0 object network obj_any-04 subnet 0.0.0.0 0.0.0.0 nat (dmz,outside) dynamic obj-0.0.0.0 object network obj_any-05 subnet 0.0.0.0 0.0.0.0 nat (dmz,mgmt) dynamic obj-0.0.0.0	オブジェクト / セクション 2 （一番下に配置）

DNS Rewrite

標準 NAT コマンドに dns オプションが設定されている場合、移行対象となります。スタティック PAT コマンドとポリシー NAT コマンドの dns オプションは無視されます。

表 10 に、DNS リライトの移行の例を示します。

表 10 DNS リライトの移行の例
説明	設定の移行	種類 / セクション
dns オプションが設定されたスタティックコマンド	従来の設定 static (inside,outside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255 dns 移行後の設定 object network obj-192.168.100.10 host 192.168.100.10 nat (inside,outside) static 172.20.1.10 dns	オブジェクト / セクション 2

Connection Settings

従来の NAT コマンドの接続設定： conn-max 、 emb-limit 、 norandomseq 、 nailed などのオプションはサービスポリシーに移動されます。

命名規則については、「NAT 移行のガイドラインと制限」を参照してください。

表 11 に接続設定の移行の例を示します。

表 11 接続設定の移行の例
説明	設定の移行	種類 / セクション
TCP および UDP 最大接続数、ランダムシーケンス番号のディセーブル化、nailed オプション	従来の設定 static (inside,outside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255 tcp 10 20 norandomseq nailed 移行後の設定 access-list acl-conn-param-tcp-01 extended permit tcp host 192.168.100.10 any t class-map class-conn-param-tcp-01 match access-list acl-conn-param-tcp-01 policy-map policy-conn-param-inside class class-conn-param-tcp-01 set connection per-client-max 10 per-client-embryonic-max 20 random-sequence-number disable set connection advanced-options tcp-state-bypass service-policy policy-conn-param-inside interface inside object network obj-192.168.100.10 host 192.168.100.10 nat (inside,outside) static 172.20.1.10	オブジェクト / セクション 2
UDP 最大接続数	従来の設定 access-list NAT_ACL permit ip host 10.76.6.111 any nat (dmz) 101 access-list NAT_ACL udp 6 global (outside) 101 225.22.22.1 移行後の設定 access-list NAT_ACL extended permit ip host 10.76.6.111 any class-map class-conn-param-udp-01 match access-list NAT_ACL policy-map policy-conn-param-dmz class class-conn-param-udp-01 set connection per-client-max 6 service-policy policy-conn-param-dmz interface dmz object network obj-10.76.6.111 host 10.76.6.111 nat (dmz,outside) dynamic 225.22.22.1	オブジェクト / セクション 2

送信元 NAT と宛先 NAT

バージョン 8.3 よりも前では、ポリシー NAT を使用して送信元 NAT と宛先 NAT を指定していましたが、送信元 NAT アドレス上でしか NAT は実行されませんでした。バージョン 8.3 以降では、必要があれば NAT を宛先アドレスに対しても設定できます。従来の設定では、この機能を実現するには、1 件の接続に対し、送信元 NAT と宛先 NAT の NAT 規則を別々に、あわせて 2 件設定する必要がありました。移行の過程で、別々の 2 件の NAT 規則が結合され、1 件の Twice NAT コマンドが生成されます。

表 12 にの送信元 NAT と宛先 NAT の移行の例を示します。

表 12 送信元 NAT と宛先 NAT の移行の例
説明	設定の移行	種類 / セクション
送信元 NAT と宛先 NAT のスタティックコマンド	従来の設定 access-list NET1 permit ip host 192.168.1.1 host 192.168.1.10 access-list NET2 permit ip host 209.165.200.225 host 209.165.200.228 static (inside,outside) 209.165.200.228 access-list NET1 static (outside,inside) 192.168.1.10 access-list NET2 移行後の設定 object network obj-192.168.1.1 host 192.168.1.1 object network obj-209.165.200.228 host 209.165.200.228 object network obj-209.165.200.225 host 209.165.200.225 object network obj-192.168.1.10 host 192.168.1.10 nat (inside,outside) source static obj-192.168.1.1 obj-209.165.200.228 destination static obj-192.168.1.10 obj-209.165.200.225 （次の規則は移行スクリプトにより作成されていますが、必要であるとは限りません。まれに、トラフィックがこれらの規則のうちいずれかを使用することがあります） nat (inside,outside) source static obj-192.168.1.1 obj-209.165.200.228 destination static obj-192.168.1.10 obj-192.168.1.10 nat (outside,inside) source static obj-209.165.200.225 obj-192.168.1.10 destination static obj-209.165.200.228 obj-209.165.200.228	Twice / セクション 1
送信元 NAT と宛先 NAT のスタティックコマンドとダイナミックコマンド	従来の設定 access-list NET1 permit ip host 192.168.1.1 host 192.168.1.10 access-list NET2 permit ip host 209.165.200.225 host 209.165.200.228 static (outside,inside) 192.168.1.10 access-list NET2 global (outside) 100 209.165.200.228 nat (inside) 100 access-list NET1 移行後の設定 object network obj-192.168.1.1 host 192.168.1.1 object network obj-209.165.200.228 host 209.165.200.228 object network obj-209.165.200.225 host 209.165.200.225 object network obj-192.168.1.10 host 192.168.1.10 nat (inside,outside) source dynamic obj-192.168.1.1 obj-209.165.200.228 destination static obj-192.168.1.10 obj-209.165.200.225 （次の規則は移行スクリプトにより作成されていますが、必要であるとは限りません。まれに、トラフィックがこの規則を使用することがあります） nat (inside,outside) source dynamic obj-192.168.1.1 obj-209.165.200.228 destination static obj-192.168.1.10 obj-192.168.1.10 nat (outside,inside) source static obj-209.165.200.225 obj-192.168.1.10 destination static obj-209.165.200.228 obj-209.165.200.228	Twice / セクション 1

alias コマンド

alias コマンドは任意のインターフェイスにある IP ネットワークのアドレスを、別のインターフェイス経由で接続している別の IP ネットワークのアドレスに変換します。

表 13 に alias の移行の例を示します。

表 13 **alias** コマンドの移行の例
説明	設定の移行	種類 / セクション
alias コマンド	従来の設定 alias (inside) 209.165.200.225 192.168.100.10 移行後の設定 object network obj-192.168.100.10 host 192.168.100.10 nat (any,inside) static 209.165.200.225 dns	オブジェクト / セクション 2

NAT 移行のメッセージ

一部の NAT 設定は自動的には移行されません。また、元の設定とやや異なる場合もあります。表 14 は表示される可能性があるエラーメッセージと、各メッセージに関する情報の一覧です。

表 14 NAT 移行のメッセージ
メッセージと説明
エラーメッセージ The following 'nat' command didn't have a matching 'global' rule on interface '<name>' and was not migrated. 説明 global コマンドが欠落しています。 nat コマンドに対応する global コマンドがない場合、この nat コマンドは削除され、移行されません。推奨処置対応する global コマンドが存在しているはずの場合、新しい NAT コマンドで設定を再作成する必要があります。従来の設定 nat (dmz) 1 10.1.1.0 255.255.255.0 移行後の設定移行されません。
エラーメッセージ Alias command was migrated between interfaces ‘any’ and ‘inside’ as an estimate. 説明 alias コマンドの移行です。 alias コマンドは、セキュリティレベルが同じまたは低いインターフェイスの間で適用されます。移行後、規則は所定のインターフェイスと任意のインターフェイスの間に追加されます。新しい規則は自分自身を含むすべてのインターフェイスに適用されるため、これは意味が異なります。推奨処置移行方法としては比較的安全で、多くの場合は特別な注意を払う必要はありません。移行の例については、「alias コマンド」を参照してください。従来の設定 alias (inside) 209.165.200.225 192.168.100.10 移行後の設定 object network obj-192.168.100.10 host 192.168.100.10 nat (any,inside) static 209.165.200.225 dns
エラーメッセージ Identity-NAT was not migrated. If required, an appropriate bypass NAT rule needs to be added. 説明アイデンティティ NAT が移行されていません。アイデンティティ NAT（ nat 0 コマンド）は移行されません。また、そのインターフェイスの nat-control コマンドも移行されません。推奨処置スタティック NAT コマンド（オブジェクトまたは Twice NAT）を使用して、新しいアイデンティティ NAT 規則を手動で追加します。従来の設定 nat (inside) 0 192.168.1.0 255.255.255.0 移行後の設定移行されません。
エラーメッセージ Range a.b.c.d-p.q.r.s also includes broadcast address as mapped value. 説明外部スタティックポリシー NAT の宛先とブロードキャストアドレスが重複しています。従来は /31 サブネットを使用してグローバルプールからブロードキャストアドレスを削除するよう global コマンドを設定していました。新しい NAT コマンドでこの機能を設定することはできません。ダイナミック NAT 規則と外部スタティックポリシー NAT 規則で宛先が重複している場合、移行した設定にはマップされた送信元のブロードキャストアドレスが含まれます。これらのアドレスを削除するには、ユーザの介入が必要です。推奨処置マップされたオブジェクトからブロードキャストアドレスを削除します。従来の設定 nat (inside) 10 10.0.0.0 255.0.0.0 global (outside) 10 192.168.1.3-192.168.2.3 netmask 255.255.255.254 （ブロードキャストアドレス 192.168.1.255 は自動的にプールから削除されます） access-list SNAT extended permit ip 10.10.10.0 255.255.255.0 192.168.2.0 255.255.255.0 static (outside,inside) 10.1.1.0 access-list SNAT 移行後の設定 object network obj-192.168.1.3-192.168.2.3 range 192.168.1.3 192.168.2.3 （192.168.1.255 はこのプールから自動的には削除されません。192.168.1.255 が割り当てられないようにするには、ネットワークグループを作成して、次の nat コマンドで使用します。 object network global_pool1 range 192.168.1.3 192.168.1.254 object network global_pool2 range 192.168.2.1 192.168.2.3 object-group network global_pool network-object object global_pool1 network-object object global_pool2 ) object network obj-10.10.10.0 subnet 10.10.10.0 255.255.255.0 object network obj-10.1.1.0 subnet 10.1.1.0 255.255.255.0 object network obj-192.168.2.0 subnet 192.168.2.0 255.255.255.0 object network obj-10.0.0.0 subnet 10.0.0.0 255.0.0.0 nat (inside,outside) dynamic obj-192.168.1.3-192.168.2.3 nat (inside,outside) source dynamic obj-10.0.0.0 obj-192.168.1.3-192.168.2.3 destination static obj-10.1.1.0 obj-10.10.10.0 nat (outside,inside) source static obj-10.10.10.0 obj-10.1.1.0 destination static obj-192.168.2.0 obj-192.168.2.0
エラーメッセージ The nodnsalias option is deprecated. Use 'dns' option in nat command to enable/disable dns rewrite. 説明 sysopt nodnsalias コマンドが移行されていません。 alias コマンドがサポートされていないため、 sysopt nodnslias コマンドは非推奨となっています。推奨処置 DNS リライトをイネーブルまたはディセーブルにするには、新しい NAT コマンドで dns オプションを使用します。従来の設定 sysopt nodnsalias 移行後の設定移行されません。

ネットワークおよびサービスオブジェクトの移行

ここでは、ネットワークおよびサービスオブジェクトの移行について説明します。次の項目を取り上げます。

• 「オブジェクトでサポートされる機能」

• 「オブジェクトの移行」

オブジェクトでサポートされる機能

バージョン 8.3 では次の機能で名前付きのネットワークおよびサービスオブジェクトを使用しています。

• NAT：詳細については、「NAT 移行」を参照してください。NAT では名前付き IP アドレス（name コマンドを使用）を使用できなくなりました。

• アクセスリスト： access-list コマンド。アクセスリストでは名前付き IP アドレス（name コマンドを使用）を使用できなくなりました。

• オブジェクトグループ： object-group network および object-group service コマンド。名前付き IP アドレスは、オブジェクトグループ、およびネットワークオブジェクトでは引き続き許可されます。

オブジェクトの移行

新しいネットワークおよびサービスオブジェクト（ object network および object service コマンド）は、次の場合、既存のコマンドに置換されます。

• 各ネットワークオブジェクト NAT コマンドに対して、変換する実際の IP アドレスを表すために、 object network コマンドが作成されます。

• 新しい nat コマンドでインライン値の代わりにオブジェクトが必要な場合、ネットワークおよびサービスオブジェクトが自動的に作成されます。

• 名前付き IP アドレス（ name コマンドを使用）を NAT で使用し、 names コマンドがイネーブルである場合、新しい nat コマンドでインライン IP アドレスが使用された場合にも、ネットワークオブジェクトが作成されます。

• access-list コマンドが NAT で使用されていた IP アドレスを含み、その IP アドレスに対して NAT 移行がネットワークオブジェクトを作成した場合、ネットワークオブジェクトは、 access-list コマンドの IP アドレスを置換します。

• access-list コマンドで名前付き IP アドレスを使用し（ name コマンド使用）、 names コマンドがイネーブルな場合、オブジェクトは名前を置換します。

• 複数の global コマンドが同じ NAT ID を共有している場合、インライン IP アドレスに対して作成されたネットワークオブジェクトで構成されるネットワークオブジェクトグループが作成されます。

次の場合には、オブジェクトは作成されません。

• name コマンドが設定に存在するが、 nat または access-list コマンドで使用されていない。

• nat コマンドでまだ許可されているインライン値。

• object-group コマンドで使用される name コマンド。

• NAT または name コマンドによる名前付きに使用されていない、 access-list コマンドで使用されている IP アドレス。

（注） name コマンドは引き続き設定内に存在し、ネットワークオブジェクトをサポートしていない機能で使用できます。

ASDM

これまでのリリースでは、ASDM は名前付きネットワークオブジェクトをサポートしていました。現在、プラットフォームではコマンドによりこれらのオブジェクトを適切にサポートしています。

ASDM も、設定で使用されている IP アドレスの非名前付きオブジェクトを自動的に作成します。これらの自動作成されるオブジェクトは IP アドレス によってのみ識別され、名前がなく、プラットフォーム設定に名前付きオブジェクトとしては存在しません。

これらの非名前付き ADSM オブジェクトの 1 つに名前を手動で割り当てると、ASDM は、プラットフォーム設定に名前付きネットワークオブジェクトを追加します。名前を追加しなければ、ASDM 専用オブジェクトのままです。

移行の一部として名前付きオブジェクトを ASA が作成する場合、合致する非名前付き ASDM 専用オブジェクトは、名前付きオブジェクトに置換されます。唯一の例外は、ネットワークオブジェクトグループの非名前付きオブジェクトです。ネットワークオブジェクトグループ内にある IP アドレスの名前付きオブジェクトを ASA が作成する場合、ASDM は非名前付きオブジェクトを維持したまま、重複したオブジェクトを ASDM で作成します。これらのオブジェクトをマージするには、[Tools > Migrate Network Object Group Members] を選択します。

（注） ASDM は、name コマンドから派生したオブジェクトを表示しなくなりました。以前は、ASDM において name コマンドから派生した名前付きオブジェクトを使用することがありました。name コマンドの IP アドレスが移行されなかった場合、これらのオブジェクトは、IP アドレスによって識別される自動作成オブジェクトで置換されます。

オブジェクト移行の命名規則

この項では、次のトピックについて取り上げます。

• 「name コマンドの命名規則」

• 「インライン IP アドレスの命名規則」

• 「インラインプロトコルの命名規則」

• 「同じ NAT ID で複数の global コマンドを使用する場合のネットワークオブジェクトの命名規則」

名前または IP アドレスが移行される場合の詳細については、「オブジェクトの移行」を参照してください。

name コマンドの命名規則

names コマンドがイネーブルである場合、移行された name コマンドに対して、 object network コマンドに同じ名前が使用されます。

たとえば、次の name コマンドが NAT で使用されます。

name 10.1.1.1 test

次の object network コマンドが作成されます。

object network test

host 10.1.1.1

names コマンドがイネーブルではなく、IP アドレスがネットワークオブジェクトに移行された場合は、 name コマンドと同じ IP アドレスのネットワークオブジェクトが設定に含まれることはありますが、ネットワークオブジェクトの名前は自動的に生成され（「インライン IP アドレスの命名規則」を参照）、 name コマンドと同じ名前ではありません。

インライン IP アドレスの命名規則

インラインで使用する移行された IP アドレスの場合、次の命名規則により作成されます。

• ホストとサブネット： obj- a.b.c.d

（注） NAT のインスタンスのうち 1 つだけをオブジェクト上でイネーブルにできます。特定のホストまたはサブネットに複数の NAT ポリシーが割り当てられている場合は、別のネットワークオブジェクト obj-a.b.c.d-01 が作成されます。

表 15 に、ホストとサブネットのインラインオブジェクトの移行に関する名前設定の例を示します。

表 15 ホストとサブネットのインラインオブジェクトの移行に関する名前の設定の例
インライン値	ネットワークオブジェクト名
10.76.6.111 255.255.255.255	obj-10.76.6.111
10.76.0.0 255.255.0.0	obj-10.76.0.0

• 範囲： obj- a.b.c.d - p.q.r.s

表 16 に、範囲のインラインオブジェクトの移行に関する名前の設定の例を示します。

表 16 範囲のインラインオブジェクトの移行に関する名前の設定の例
インライン値	ネットワークオブジェクト名
10.76.6.111-10.76.6.112	obj-10.76.6.111-10.76.6.112

インラインプロトコルの命名規則

インラインで使用する移行されたプロトコルの場合、サービスオブジェクトは obj- inline_text という命名規則により作成されます。

表 17 に、プロトコルのインラインオブジェクトの移行に関する名前の設定の例を示します。

表 17 プロトコルのインラインオブジェクトの移行に関する名前の設定の例
インライン値	サービスオブジェクト名
tcp source range 20 50 eq 2000	obj-tcp_source_range_20_50_eq_2000
tcp gt 1500	obj-tcp_gt_1500

同じ NAT ID で複数の global コマンドを使用する場合のネットワークオブジェクトの命名規則

複数の global コマンドが同じ NAT ID を共有している場合、インライン IP アドレスに対して作成されたネットワークオブジェクトで構成されるネットワークオブジェクトグループが作成されます。 og-global - interface_nat-id という命名規則が使用されます。

従来の設定

global (outside) 1 10.76.6.111

global (outside) 1 10.76.6.109-10.76.6.110

新しいネットワークオブジェクトとグループ

object network obj-10.76.6.111

host 10.76.6.111

object network obj-10.76.6.109-10.76.6.110

range 10.76.6.109-10.76.6.110

object-group og-global-outside_1

network-object obj-10.76.6.111

network-object obj-10.76.6.109-10.76.6.110

バージョン 8.3 からのダウングレード

バージョン 8.3 にアップグレードすると、コンフィギュレーションが移行されます。既存のコンフィギュレーションは、自動的にフラッシュメモリに保存されます。たとえば、8.2(1) から 8.3(1) にアップグレードすると、既存の 8.2(1) コンフィギュレーションはフラッシュメモリ内の 8_2_1_0_startup_cfg.sav というファイルに保存されます。

この項では、ダウングレードする方法について説明します。次の項目を取り上げます。

• 「アクティベーションキーの互換性に関する情報」

• 「ダウングレードの実行」

アクティベーションキーの互換性に関する情報

任意の旧バージョンから最新バージョンにアップグレードした場合、アクティベーションキーの互換性は存続します。ただし、ダウングレード機能の維持には問題が生じる場合があります。

• バージョン 8.1 以前にダウングレードする場合：アップグレード後に、 8.2 よりも前 に導入された機能のライセンスを追加でアクティブ化すると、ダウングレードした場合でも旧バージョンに対するアクティベーションキーの互換性は存続します。ただし、 8.2 以降 で導入された機能ライセンスをアクティブ化した場合は、アクティベーションキーの下位互換性がなくなります。互換性のないライセンスキーがある場合は、次のガイドラインを参照してください。

– 旧バージョンでアクティベーションキーを入力した場合は、そのキーがASAで使用されます（バージョン 8.2 以降でアクティブ化した新しいライセンスがない場合）。

– 新しいシステムで、以前のアクティベーションキーがない場合は、旧バージョンと互換性のある新しいアクティベーションキーを要求する必要があります。

• バージョン 8.2 以前にダウングレードする場合：バージョン 8.3 では、よりロバストな時間ベースキーの使用およびフェールオーバーライセンスの変更が次のとおり導入されました。

– 複数の時間ベースのアクティベーションキーがアクティブな場合、ダウングレード時には一番最近アクティブ化された時間ベースキーのみがアクティブになれます。他のキーはすべて非アクティブ化されます。最後の時間ベースライセンスが 8.3 で導入された機能に対応している場合、そのライセンスは旧バージョンでの使用はできなくても、アクティブライセンスのままです。永続キーまたは有効な時間ベースキーを再入力してください。

– フェールオーバーペアに不一致のライセンスがある場合、ダウングレードによりフェールオーバーはディセーブルになります。キーが一致した場合でも、使用するライセンスは、結合されたライセンスではなくなります。

– 1 つの時間ベースライセンスをインストールしているが、それが 8.3 で導入された機能に対応している場合、ダウングレードの実行後、その時間ベースライセンスはアクティブなままです。この時間ベースライセンスをディセーブルにするには、永続キーを再入力する必要があります。

ダウングレードの実行

8.3 からダウングレードするには、次の手順を実行します。

手順の詳細

CLI の場合

ステップ 1 次のコマンドを入力します。

hostname(config)# downgrade [/noconfirm] old_image_url old_config_url [activation-key old_key]

/noconfirm オプションを指定すると、プロンプトは表示されずにダウングレードされます。 image_url は、disk0、disk1、tftp、ftp、または smb 上の古いイメージへのパスです。 old_config_url は、保存されている移行前のコンフィギュレーションへのパスです（デフォルトでは、disk0 に保存されます）。8.3 よりも前のアクティベーションキーに戻る必要がある場合は、そのアクティベーションキーを入力できます。

このコマンドは、次の機能を完了するためのショートカットです。

1. ブートイメージコンフィギュレーションのクリア（ clear configure boot ）。

2. 古いイメージへのブートイメージの設定（ boot system ）。

3. （任意）新たなアクティベーションキーの入力（ activation-key ）。

4. 実行コンフィギュレーションのスタートアップコンフィギュレーションへの保存（ write memory ）。これにより、BOOT 環境変数を古いイメージに設定します。このため、リロードすると古いイメージがロードされます。

5. 古いコンフィギュレーションのスタートアップコンフィギュレーションへのコピー（ copy old_config_url startup-config ）。

6. リロード（ reload ）。

次に例を示します。

hostname(config)# downgrade /noconfirm disk0:/asa821-k8.bin disk0:/8_2_1_0_startup_cfg.sav

ASDM の場合

ステップ 1 [Tools] > [Downgrade Software] を選択します。

[Downgrade Software] ダイアログボックスが表示されます。

図 1 Downgrade Software

ステップ 2 ASA イメージの場合、[Select Image File] をクリックします。

[Browse File Locations] ダイアログボックスが表示されます。

ステップ 3 次のいずれかのオプションボタンをクリックします。

• [Remote Server]：ドロップダウンリストで [ftp]、[smb]、[http] のいずれかを選択し、以前のイメージファイルのパスを入力します。

• [Flash File System]：[Browse Flash] をクリックして、ローカルフラッシュファイルシステムにある以前のイメージファイルを選択します。

ステップ 4 [Configuration] で [Browse Flash] をクリックし、移行前の設定ファイルを選択します（デフォルトでは disk0 に保存されています）。

ステップ 5 （任意）バージョン 8.3 よりも前のアクティベーションキーに戻す場合は、[Activation Key] フィールドで以前のアクティベーションキーを入力します。

ステップ 6 [Downgrade] をクリックします。

このツールは、次の機能を実行するためのショートカットです。

1. ブートイメージコンフィギュレーションのクリア（ clear configure boot ）。

2. 古いイメージへのブートイメージの設定（ boot system ）。

3. （任意）新たなアクティベーションキーの入力（ activation-key ）。

5. 古いコンフィギュレーションのスタートアップコンフィギュレーションへのコピー（ copy old_config_url startup-config ）。

6. リロード（ reload ）。

Cisco ASA 5500 バージョン 8.3 用移行 ガイド

ダウンロード オプション

偏向のない言語

翻訳について

目次

Cisco ASA 5500 バージョン 8.3 以降への移行

ソフトウェアのアップグレード

移行について

移行対象機能

以前の設定、NAT 移行ファイル、およびブートアップ エラー ログの自動バックアップ

コンフィギュレーション ファイルのバックアップ

NAT 移行ファイル

ブートアップ エラー ログ ファイル

移行した設定の保存

アクセス リストの移行における実際の IP アドレス

実際の IP アドレスを使用する機能

引き続きマップ IP アドレスを使用する機能

実際の IP アドレスの移行の命名規則

syslog メッセージの移行

実際の IP アドレスの移行の例

実際の IP アドレスの移行のメッセージと制限

実際の IP アドレスの移行のメッセージ

ACE のインターフェイス IP アドレスでは、実際のアドレスか マップ アドレスかを判別できない

NAT 移行

従来の NAT コマンド

新しい NAT コマンド

NAT 用の補助コマンド

NAT 規則の順序の維持

NAT 移行のガイドラインと制限

8.3 および 8.4 から 8.4(2) への NAT の移行の例

8.2 以前からの NAT の移行の例

スタティック NAT/PAT

ダイナミック NAT/PAT

NAT 免除

NAT コントロール

DNS Rewrite

Connection Settings

送信元 NAT と宛先 NAT

alias コマンド

NAT 移行のメッセージ

ネットワークおよびサービス オブジェクトの移行

オブジェクトでサポートされる機能

オブジェクトの移行

オブジェクト移行の命名規則

name コマンドの命名規則

インライン IP アドレスの命名規則

インライン プロトコルの命名規則

同じ NAT ID で複数の global コマンドを使用する場合のネットワーク オブジェクトの命名規則

バージョン 8.3 からのダウングレード

アクティベーション キーの互換性に関する情報

ダウングレードの実行

手順の詳細

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

Cisco ASA 5500 バージョン 8.3 用移行ガイド

ダウンロードオプション

以前の設定、NAT 移行ファイル、およびブートアップエラーログの自動バックアップ

コンフィギュレーションファイルのバックアップ

ブートアップエラーログファイル

アクセスリストの移行における実際の IP アドレス

ACE のインターフェイス IP アドレスでは、実際のアドレスかマップアドレスかを判別できない

ネットワークおよびサービスオブジェクトの移行

インラインプロトコルの命名規則

同じ NAT ID で複数の global コマンドを使用する場合のネットワークオブジェクトの命名規則

アクティベーションキーの互換性に関する情報