セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

FWSM からの Cisco ASA サービス モジュールへの移行

FWSM からの Cisco ASA サービス モジュールへの移行
発行日;2014/12/17 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

FWSM からの Cisco ASA サービス モジュールへの移行

目次

移行に関する情報

構成の への移行

移行ツールの実行

移行した構成の への適用

サポートされていない Runtime コマンド

サポートされていない Debug コマンド

サポートされていない Clear コマンド:

サポートされていない Show コマンド

構成の移行に関する参考資料

デフォルトの動作の違いによる移行

ASA SM でのサポートされていない機能による移行

CLI の違いによる移行

デフォルト値および値の範囲の違い

SNMP の違い

関連資料

マニュアルの入手方法およびテクニカル サポート

FWSM からの Cisco ASA サービス モジュールへの移行

移行に関する情報

このガイドでは、Cisco FWSM の構成を Cisco ASA SM 8.5 の構成に変換する方法について説明します。

また、Cisco FWSM と Cisco ASA SM の動作の違いについても詳しく説明します。

ASA SM は FWSM と共通のソフトウェア基盤を共有しますが、FWSMの構成は ASA SM では直接使用できません。

特定のコマンドの使用法などプラットフォーム間の違いによって、FWSM の構成を変更せずに ASA SM で使用することはできません。


警告 移行ツールの実行後、移行した構成を ASA SM の CLI プロンプトで貼り付けることはできません。ネットワークを介して構成をスタートアップ構成にコピーしてから ASA SM にリロードし、スタートアップ時に追加の移行を実行できるようにする必要があります。


特に、ASA SM の NAT 機能が見直され、FWSM よりも柔軟性および機能性が向上しています。ASA SM では、自動 NAT を使用して NAT を構成すると、ネットワーク オブジェクトの属性の一部として NAT を構成でき、手動 NAT を使用すると、より高度な NAT オプションを構成できます。

ASA SMでは、すべての NAT および NAT 関連コマンドが再設計されます。 nat (グローバルおよびオブジェクト ネットワーク コンフィギュレーション モード)、 show nat show nat pool show xlate show running-config nat の各コマンドが導入または変更されました。 global static nat-control alias の各コマンドは削除されました。

FWSM と ASA SM 間のスタティックの NAT の一致における違いについては、「デフォルトの動作の違いによる移行」を参照してください。

ASA SM での NAT の機能変更に関する詳細については、『 Cisco ASA 5500 Migration Guide for Version 8.3 』の「NAT の移行」を参照してください。

FWSM構成の ASA SM への移行

FWSM の構成を ASA SM へ移行するには、次の 2 つのステップを実行します。

ステップ 1: 移行ツールの実行

ステップ 2: 移行した構成の ASA SM への適用

移行ツールを実行したときに、移行ツールは必要なすべてのコマンド構文を変更するわけではないため、これらの 2 つのステップを使用して FWSM から ASA SM へ移行する必要があります。このため、移行した構成ファイルを開くことができず、 select all コマンドを入力して、その構成をコピーして、ASA SM のコマンド ラインに構成を貼り付けることができません。

移行した構成ファイルは、ASA SM のスタートアップ構成にコピーする必要があります。後でASA SM を再起動すると、スタートアップ 構成が起動時に解析されます。ASA SM イメージは FWSM から非推奨となっている、または変更されている NAT、ACL、およびその他のコマンドを使用して、それらのコマンドを ASA SM が許可するコマンドに変換します。

移行ツールの実行

移行ツールには、FWSM の移行を実行する Windows と Macintosh のアプリケーションが含まれます。

前提条件

ASA SM は既知の状態にする必要があります。ブレード上で実行する構成はできません。また、構成後、サービス モジュールの構成をクリアする場合は、 write erase コマンドを実行します。

FWSM の構成を ASA SM の構成に変換するには、次のステップを実行します。


ステップ 1 シスコのソフトウェア ダウンロード サイトから、ファイル fwsm_migration_mac.zip または fwsm_migration_win.zip を見つけ、Windows クライアントまたは Macintosh クライアントに保存します。ZIP ファイルを解凍し、そこから変換アプリケーションを実行するシステムに対応するファイル、fwsm_migration.exe または fwsm_migration.app を取得します。

ステップ 2 ASA SM に移行する FWSM から、すべてのコンテキストの各構成ファイルとシステム コンテキスト ファイルを含むすべての構成ファイルを、移行ツール アプリケーションを抽出したディレクトリにコピーします。

シングル モードの場合は、実行中の構成ファイルをコピーします。マルチモードの場合は、次の構成ファイルをコピーします。

システム領域の構成

管理コンテキスト

対象のユーザ コンテキスト

ステップ 3 wsm_migration.exe または fwsm_migration.app ファイルをダブルクリックして移行ツールを起動します。

[FWSM Configuration Migration] ダイアログボックスとコマンドウィンドウが表示されます。このウィンドウに変換の進捗とステータスが表示されます。

ステップ 4 変換に適切なオプション ボタンを選択します。

[Single File] - シングル コンテキスト モードで実行する FWSM 用の構成ファイルを変換する場合は、このオプションを選択します。

[Directory] - マルチ コンテキスト モードで実行するFWSM 用の複数のファイルを変換する場合は、このオプションを選択します。各コンテキストに対応する構成ファイルがあり、FWSM にはシステム コンテキスト ファイルがあります。

ステップ 5 選択したオプション([Single File] または [Directory])の下に、変換するファイルの情報を入力します。

[Input File] フィールド - シングル コンテキスト FWSM の構成ファイルのパスおよびファイル名を入力するか、ローカル システム上のファイルを検索するには [ Browse ] をクリックします。

[Input Directory] - すべてのマルチ コンテキスト構成ファイルとシステム コンテキスト ファイルを含むディレクトリへのパスを入力するか、ローカル システムのディレクトリを検索するには、[ Browse ] をクリックします。

ステップ 6 選択したオプション([Single File] または [Directory])の下に変換の出力情報を入力します。

[Output File] フィールド - シングル コンテキストの FWSM 用に移行ツールが変換後の構成ファイルの作成に使用するパスとファイル名を入力します。

[Output Directory] - 移行ツールが変換されたマルチ コンテキスト構成ファイルおよびシステム コンテキスト ファイルを配置するディレクトリへのパスを入力するか、ローカル システムのディレクトリを検索するには、[ Browse ] をクリックします。

ステップ 7 [ASA SM Boot Image] フィールドに、次の形式で ASA SM のブート イメージの場所を入力します。

ドライブ :/ ブート ファイル パス

ブート イメージ値は次のオプションの 1 つが含まれる必要があります。

disk0:/ のパスおよび disk0 上のファイル名

disk1:/ のパスおよび disk1 上のファイル名

flash:/ のパスおよび flash 上のファイル名

tftp プレフィックスで始まる URL

このフィールドに入力した値によって、最終的な移行を完了するときにブートする ASA SM イメージが定義されます。


write memory コマンドを ASA SM で発行し、ブート イメージ値をメモリに書き込む必要があります。write memory コマンドを発行すると、ブート イメージに指定したブート イメージ値が構成ファイルの BOOT 変数に保存されます。値をメモリに書き込んだ後、show bootvar コマンドを入力して、ブート変数がメモリに書き込まれたことを確認します。ASA SM については、『Cisco ASA 5500 Series Command Reference, 8.5』を参照してください。


ステップ 8 [Log Location] フィールドに、変換からのステータス情報を記録するために移行ツールが使用するログ ファイルのパスおよび名前を入力するか、[ Browse ] をクリックしてローカル システムのファイルの場所を見つけます。

ステップ 9 [ Convert ] をクリックし、変換を開始します。

コマンド ウィンドウにステータス情報が表示されます。変換が正常に完了すると、[Success] ダイアログボックスが表示されます。

ステップ 10 変換を終了するには、[ OK ] をクリックします。


 

次の作業

「移行した構成の ASA SM への適用」

移行した構成の ASA SM への適用

前提条件

移行ツールを使用して FWSM の構成を移行しておく必要があります。「移行ツールの実行」を参照してください。

TFTP、SSH、または HTTP を使用してファイルを転送できるように ASA SM でインターフェイスを構成します。


ステップ 1 TFTP、SSH、または HTTP を経由して ASA SM に移行したファイルをコピーします。


) 必要に応じて、TFTP、SSH、または HTTP を使用してファイルを転送できるようにインターフェイス構成を追加します。


a. シングル モードで動作している場合は、startup-config ファイルに移行した構成をコピーします。

b. マルチ モードで動作している場合は、startup-config にシステム構成を、disk0 にすべてのコンテキスト構成ファイル(Admin コンテキストなど)をコピーします。


) コンテキスト ファイルは、各コンテキストのシステム構成が示すパス内の disk0: に配置する必要があります。システム構成に「config-url disk0:/context/ctx1.cfg」としてコンテキストの構成 URL がある場合は、そのコンテキストのファイルはコンテキスト ディレクトリ パスに配置する必要があります。



) 移行した構成を ASA SM の CLI プロンプトで貼り付けることはできません。ネットワークを介して構成をスタートアップ構成にコピーしてから ASA SM にリロードし、スタートアップ時に追加の移行を実行できるようにする必要があります。FWSM 機能を Object NAT や Twice NAT を使用する ASA SM 上の NAT 機能に変換するなど、特定の機能の変換が複雑なため、構成をコピーし、貼り付けることはできません。


ステップ 2 シングル モードの ASA SM イメージを移動しているときに FWSM をリロードします。

起動時に、最終的な構成変更が ASA SM イメージで実行されます。


) マルチモード FWSM コンテキストをアップロードする場合、各マルチモード コンテキストを適用した後に ASA SM をリロードする必要はありません。



 

サポートされていない Runtime コマンド

ここでは、次の内容について説明します。

「サポートされていない Debug コマンド」

「サポートされていない Clear コマンド:」

「サポートされていない Show コマンド」

サポートされていない Debug コマンド

次の debug コマンドは、FWSM ではサポートされていますが、ASA SM ではサポートされていません。

[show | no] debug ip bgp

[show | no] debug resource partition

[show | no] debug pc-lu

[show | no] debug ssl

[show | no] debug npcp

[show | no] debug route-np

[show | no] debug aging

[show | no] debug session

[show | no] debug RM-NP-counter

[show | no] debug control-plane

[show | no] debug route-monitor

[show | no] debug acl optimization

[show | no] debug route-inject

サポートされていない Clear コマンド:

次の clear コマンドは、FWSM ではサポートされていますが、ASA SM ではサポートされていません。

clear dispatch stats all

clear ip bgp

clear route-monitor statistics

clear route statistics

clear np number_item keyword

clear np all stats

clear npcp statistics

clear service-acceleration

clear configure resource rule

clear configure resource partition

clear configure ftp-map

clear configure gtp-map

clear configure mgcp-map

clear configure h225-map

clear configure xlate-bypass

clear configure rip

clear configure route-monitor

clear configure router bgp

clear configure control-point tcp-normalizer

clear configure route-inject

サポートされていない Show コマンド

次の show コマンドは、FWSM ではサポートされていますが、ASA SM ではサポートされていません。

show running-config all ftp-map

show running-config all gtp-map

show running-config all mgcp-map

show running-config all h225-map

show running-config all xlate-bypass

show running-config all rip

show running-config all route-monitor

show running-config all control-point tcp-normalizer

show running-config all route-inject

show resource rule

show resource acl-partition

show resource partition

show flashfs

show conn np

show asr

show pcdebug

show pc conn

show nic

show np keyword

show np number_item keywords

show cpu threshold

show dispatch table

show dispatch statistics

show pc xlate

show pc local-host

show ip bgp

show route-monitor

show npcp keywords

show service-acceleration statistics

show route-inject

構成の移行に関する参考資料

ここでは、次の内容について説明します。

「デフォルトの動作の違いによる移行」

「ASA SM でのサポートされていない機能による移行」

「CLI の違いによる移行」

「デフォルト値および値の範囲の違い」

「SNMP の違い」

デフォルトの動作の違いによる移行

FWSM と ASA SM の主なデフォルト動作の違いは次のとおりです。

暗黙的な拒否

デフォルトでは、FWSM のインターフェイスをアクセス リストまたはアクセス グループ コマンドを割り当てないで構成すると、FWSM はそれらのインターフェイスに入ってくるすべてのトラフィックをドロップします。FWSM に入るトラフィックを許可するには、インバウンド アクセス リストをインターフェイスに追加する必要があります。

デフォルトでは、アクセス リストやアクセス グループ コマンドを割り当てずに ASA SM でインターフェイスを構成すると、ASA SM は高セキュリティ インターフェイス(内部セキュリティ レベルは 100 を想定)から低セキュリティ インターフェイス(外部セキュリティ レベルは 0 を想定)へのトラフィックの通過を許可します。逆は当てはまりません。ASA SM は外部から内部インターフェイスへのトラフィックの通過を許可しません。

したがって、このタイプの FWSM 構成では方向に関係なくトラフィックをブロックする必要があると想定して移行ツールが作成されました。パリティを保持するには、移行ツールはすべてのインターフェイス上に明示的な ACL(deny ip any any)を追加してトラフィックを拒否します。さらに、ASA SM では、アクセス リストの最後のステートメントは暗黙の deny ip any です。IOS デバイスはこれと同じ動作を使用します。

次の例を参照してください。

例 1

no access-list/groups on any interface
 

内部から外部へのトラフィックは許可されます。

外部から内部へのトラフィックは拒否されます。

例 2

access-list INSIDE permit ip 192.168.1.0 255.255.0 any
access-group INSIDE in interface inside
 

内部から外部、ソース IP 192.168.1.10 のトラフィックは許可されます。

内部から外部、ソース IP 192.168.2.1 へのトラフィックは拒否されます(hits implicit)。

暗黙的な ICMP の拒否

デフォルトでは、FWSM は暗黙的な ICMP の拒否をインターフェイスに設定するように構成されます。ASA SM は暗黙的な許可を設定するように構成されます。

移行ツールを実行すると、すべてのインターフェイスに icmp deny 分が追加されます。

スタティックの NAT 一致

デフォルトでは、FWSM はスタティック NAT およびスタティック PAT に最適な一致を使用するように構成されます(標準およびポリシー)。重複する IP アドレスがスタティック文で発生した場合、警告が表示されますが、重複する IP アドレスはサポートされます。static コマンドの順番は重要ではありません。実アドレスと最も一致した static ステートメントが使用されます。

ASA SM では、IP アドレスは、構成に現れるルールの順番に基づいて、スタティック NAT ルールとスタティック PAT ルールと照合されます。

移行ツールは FWSM の動作を保持できません。したがって、重複する NAT ルールがある場合は、移行した構成を見て、アドレス変換の要件に一致していることを確認してください。

ASA SM でのサポートされていない機能による移行

次の FWSM 機能は ASA SM ではサポートされていません。

マルチモードの IPSec(管理のみ)

FWSM では、IPsec は、マルチモードで管理用にサポートされています。

ASA SM はマルチモードの IPSec をサポートしません。IPSec(シングルおよびマルチ モードの両方)はサポートされていません。移行ツールを実行すると、VPN 関連のコマンドが削除され、IPSec がサポートされていないことを通知します。

非対称ルーティング

非対称ルーティングを ASA SM に導入していた場合、アクティブ/アクティブの制約によって影響されませんでした。

ASA SM では、アクティブ/アクティブ モードでサポートされているのは非対称ルーティングのみです。

移行ツールは、アクティブ/アクティブ モードでない場合はコマンドを削除し、ユーザに通知します。

BGP スタブ ルーティング

CLI コマンド:

router bgp

bgp router-id

neighbor remote-as

neighbor password

network

これは、BGP スタブ ルーティングをサポートする FWSM の機能です。

ASA SM はこの機能をサポートしません。

移行ツールは BGP 関連のコマンドを削除し、ユーザに通知します。

アクティブ/スタンバイ フェールオーバーのフェールオーバー プリエンプション

CLI コマンド:

[no] failover preempt

これは、アクティブ/スタンバイ フェールオーバーのシナリオで構成可能な FWSM 機能です。この機能が構成されている場合、プライマリ ユニットは特定の時間が経過した後、次の場合に常にアクティブになります。

プライマリ ユニットに障害が発生して、セカンダリがアクティブになった場合

プライマリ ユニットとセカンダリ ユニットがアクティブになる前にセカンダリ ユニットがブートした場合

ASA SM はこの機能をサポートしません。

移行ツールはコマンドを排除し、ユーザに通知します。

ルート ヘルス注入

CLI コマンド:

route-inject

redistribute nat

redistribute connected

redistribute static

これは、FWSM の機能で、FWSM で構成されている、接続済みの静的 NAT プール ルートをコンテキストごとに MSFC にインストールします。MSFC はその後に、そのルートを再配布します。

ASA SM はこの機能をサポートしません。

DHCP リレー インターフェイス固有のサーバ

CLI:

interface vlan vlan_id

dhcprelay server ip_address

FWSM では 3.2(1) でこの機能が追加されました。この機能を使用すると、インターフェイス固有の DHCP サーバを構成できます。「dhcprelay server」CLI はグローバル モードで構成でき、インターフェイス固有のモードで追加することもできました。

ASA SM はこの機能をサポートしません。

移行ツールはインターフェイス固有のコマンドからグローバルに変換し、ユーザに通知します。

ステートフル フェールオーバーの Uauth テーブルの複製

FWSM は、ステートフル フェールオーバーが構成されている場合のフェールオーバー ピアへの Uauth テーブルの複製をサポートします。

ASA SM はこの機能をサポートしません。

移行ツールは、ステートフル フェールオーバーが構成されている場合に INFO メッセージを追加します。

CLI の違いによる移行

次の表に、FWSM と ASA SM の CLI コマンドの違いを示します。

 

表 1 FWSM と ASA SM の構成 CLI の違い

機能
FWSM コマンド
ASA SM の動作

すべてのプロトコルの接続タイムアウト

set connection timeout idle

idle キーワードは ASA SM ではサポートされていません。ASA SM には、特定の時間が経過した後、TCP 接続を閉じるために使用する tcp キーワードがあります。

移行ツールを実行すると、 idle キーワードが tcp キーワードに変換されます。

接続率上限

set connection conn-rate-limit

このコマンドは、ASA SM ではサポートされていません。移行ツールは構成からこのコマンドを削除します。

AAA 認証チャレンジ

aaa authentication challenge disable

このコマンドは、ASA SM ではサポートされていません。移行ツールは構成からこのコマンドを削除します。

AAA authentication clear conn

aaa authentication clear-conn

このコマンドは、ASA SM ではサポートされていません。移行ツールは構成からこのコマンドを削除します。

仮想 SSH

virtual ssh

このコマンドは、ASA SM ではサポートされていません。移行ツールは構成からこのコマンドを削除します。

RADIUS による認証用のインタラクティブ パスワード プロンプト

auth-prompt reject [ invalid-credentials | expired-pwd ]

ASA SM はこのコマンドをサポートしますが、新しいオプションはサポートしません。

移行ツールは新しいオプションが存在する場合に、このコマンドを削除します。

DHCP relay trusted interface(オプション 82)

dhcprelay information trusted

dhcprelay information trust-all

このコマンドは、ASA SM ではサポートされていません。移行ツールは構成からこのコマンドを削除します。

http-map

port-misuse

このコマンドは、ASA SM ではサポートされていません。移行ツールは構成からこのコマンドを削除します。

logging deny conn-queue-full

このコマンドは、ASA SM ではサポートされていません。移行ツールは構成からこのコマンドを削除します。

EtherType アクセス リストおよび拒否 IPv4 トラフィックと ARP

FWSM では、「deny all」 ethertype access-list を設定した透過的ファイアウォール モードで IPv4 も ARP も FWSM で拒否できません。

ASA SM では、「deny all」ethertype access-listdeny を設定した透過的ファイアウォール モードで IPv4 および ARP を含むすべての EtherType が拒否されます。

移行ツールは IPv4 EtherType と ARP EtherType の許可文を追加します。

ユーザ認証の仮想 HTTP を使用した直接ログインまたはログアウト

virtual http ip_address [host hostname ]

ASA SM には virtual http コマンドがありますが、このコマンドに対して別の動作をします。ASA SM は直接認証のログインはサポートしますが、ログアウトはサポートしません。

ASA SM は、 virtual http コマンドを使用したカスケード認証をサポートします。

ASA SM ではこの機能は、 aaa authentication listener http コマンドを使用して構成できます。

ルート モニタリング

Route-monitor

ASA SM は、 sla monitor コマンドを使用して同じ機能をサポートします。ASA SM はこのコマンドで FWSM よりも多くのオプションをサポートします。

移行ツールは FWSM コマンドを削除し、同様の機能を実行するために使用できる sla monitor コマンドについてツール ログに情報を追加します。

アプリケーション インスペクション

ftp-map

gtp-map

h225-map

http-map

mgcp-map

snmp-map

sip-map

ASA SM は アプリケーション インスペクション マップ コマンドをサポートします。

移行ツールを実行すると、map コマンドを ASA SM が使用する policy-map match コマンドに変換します。

RIP

rip

ASA SM は単一回線の RIP 構成をサポートします。

移行ツールを実行すると、スタートアップ構成にコマンドがある場合は、構成を ASA SM が使用する RIP 構成に変換します。

TCP ノーマライザ

control-point tcp-normalizer

FWSM は TCP ノーマライザをサポートします。これは、構成設定を使用して有効または無効にできます。

ASA SM は TCP ノーマライザを無効にする設定を含んでいません。

移行ツールは構成からこのコマンドを削除します。

ルールの制限

resource acl-partition

resource partition

size

rule

allocate-acl-partition

access-list commit

resource rule

困難な NP により、FWSM には制限をサポートするための修正されたルールの制限があります。

ASA SM には修正されたルールの制限がないため、修正されたルールの制限を許可するコマンドをサポートしません。

移行ツールは構成からコマンドを削除します。

すべてのトラフィックの Xlates

xlate-bypass

FWSM は、すべてのトラフィックの xlates を作成します(デバイス トラフィックに対するものも含む)。

ASA SM はすべてのトラフィックに xlates を作成しません。したがって、このコマンドをサポートしません。

移行ツールは構成からこのコマンドを削除します。

ACL 最適化

access-list optimization enable

ASA SM はこのコマンドをサポートしません。

移行ツールは構成からこのコマンドを削除します。

sysopt uauth allow-http-cache

ASA SM はこのコマンドをサポートしません。

移行ツールは構成からこのコマンドを削除します。

sysopt np completion-unit

ASA SM はこのコマンドをサポートしません。

移行ツールは構成からこのコマンドを削除します。

sysopt connection tcp sack-permitted

FWSM は、TCP 3 方向ハンドシェイク時にやり取りした SACK 許可オプションをクリアするためにどんな形式のコマンドも使用しません。SACK オプションはデフォルトで有効になります。

ASA SM は tcp-map で tcp-options selective-ack clear/allow コマンドを使用してこの機能を実装します。デフォルトでは、ASA SM は SACK オプションを許可します。

移行ツールは、どんな形式のコマンドも ASA SM tcp-options に変換しません。

sysopt connection tcp window-scale

FWSM は、Window-scale TCP オプションをクリアするためにどんな形式のコマンドも使用しません。このオプションは、デフォルトで許可されます。

ASA SM は tcp-options window-scale {clear/allow} コマンドを使用してこの機能を実装します。デフォルトでは、ウィンドウ スケール オプションを許可します。

移行ツールは、どんな形式のコマンドも ASA SM tcp-options に変換しません。

SNMP トラップ コマンド

snmp-server enable traps entity redun-switchover

snmp-server enable traps entity alarm-asserted

snmp-server enable traps entity alarm-cleared

snmp-server enable traps resource

snmp-server enable traps resource limit-reached

snmp-server enable traps resource rate-limit-reached

ASA SM は、これらの SNMP トラップをサポートしません。したがって、これらのコマンドをサポートしません。

移行ツールは構成からコマンドを削除します。

サービスのリセット

service reset no-connection

ASA SM は service reset inbound コマンドを使用して同じ動作を実行します。

移行ツールは、FWSM が使用する service reset inbound コマンドに ASA SM コマンドを変換します。

aaa schedule round-robin

ASA SM はこのコマンドをサポートしません。

移行ツールは構成からこのコマンドを削除します。

aaa authentication { ftp | telnet | http | https } challenge disable

ASA SM は、 challenge disable コマンド、または ftp オプションをサポートしません。

移行ツールは構成からこのコマンドを削除します。

リソース制限値

limit-resource rate fixups value

limit-resource rate resource value%

limit-resource Mac-addresses value | value%

limit-resource IPSec value | value%

ASA SM にはリソースの上限がありません。したがって、リソースの % レート制限はサポートしません。ASA SM は MAC アドレスおよび IPSec トンネルの制限をサポートしません。

移行ツールは limit-resource rate fixups value limit-resource rate inspects value に変換し、 limit-resource rate resource value% を削除し、 limit-resource Mac-addresses value | value% を削除し、 limit-resource IPSec value | value% を削除します。

URL-Server コマンド

url-server [ if_name ] vendor websense host local_ip protocol udp context-name

url-server [ if_name ] vendor websense host local_ip protocol tcp connections num_conns

ASA SM は context-name キーワードをサポートしません。ASA SM には、同時接続数を構成するために TCP の前にプロトコル キーワードが必要です。

移行ツールはコマンドから context-name キーワードを削除します。プロトコル キーワードがない接続キーワードがある場合、移行ツールはプロトコル キーワードを追加します。

デフォルト値および値の範囲の違い

次の表に、FWSM と ASA SM 間のデフォルト値と値の範囲の違いを示します。デフォルト値および値の範囲の違いは FWSM から ASA SM への移行に影響しません。

 

表 2 デフォルト値および値の範囲の違い

FWSM の値
ASA SM の値

最小フェールオーバー ポーリング時間は 500 ミリ秒

CLI:

failover polltime msec

最小フェールオーバー ポーリング時間は 200 ミリ秒

CLI:

failover polltime msec

インターフェイスの最小ポーリング間隔は 3 秒

CLI:

failover polltime interface

インターフェイスの最小ポーリング間隔は 1 秒。 ASA SM はミリ秒単位をサポートしており、ミリ秒単位の最小間隔は 500 です。

CLI:

failover polltime interval

failover polltime interval msec

最小フェールオーバー ユニットのポーリング時間は 500 ミリ秒

CLI:

failover polltime unit msec

最小フェールオーバー ユニットのポーリング時間は 200 ミリ秒

CLI:

failover polltime unit msec

リソース制限値

Conns - 999,900

Conns/Sec - 102,400

Fixups/Sec - 10,000

Hosts - 256K

Syslogs/sec - 30,000

Xlates - 256K

ASA SM には、FWSM 列に示されているすべてのリソースについてのリソース制限がありません。

SIP Disconnect タイムアウト

最小- 1 分

最大 - 10 分

CLI:

timeout sip-disconnect

SIP Disconnect タイムアウト

最小 - 1 秒

最大 - 1193 分

CLI:

timeout sip-disconnect

SIP Invite タイムアウト

最大 - 30 分

CLI:

timeout sip-invite

SIP Invite タイムアウト

最大 - 1193 分

CLI:

timeout sip-invite

Xlate タイムアウト

最小 - 30 秒

CLI:

timeout xlate

Xlate タイムアウト

最小- 1 分

CLI:

timeout xlate

(注) 移行ツールは、30 秒から 59 秒、および 1 分までの値を持つ xlate タイムアウト コマンドを変換します。

SNMP の違い

次の FWSM MIB は、ASA SM でサポートされていません。

CISCO-ENTITY-ALARM-MIB.my

CISCO-ENTITY-REDUNDANCY-MIB.my

CISCO-ENTITY-REDUNDANCY-TC-MIB.my

CISCO-NAT-EXT-MIB.my

TCP-MIB.my

UDP-MIB.my

次の FWSM SNMP トラップは ASA SM でサポートされていません。

ceAlarmAsserted: CISCO-ENTITY-ALARM-MIB.my

ceRedunEventSwitchover: CISCO-ENTITY-REDUNDANCY-MIB.my

clrResourceRateLimitReached: CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB.my

 

関連資料

FWSM に関する追加情報については、次の URL を参照してください。

http://www.cisco.com/en/US/products/hw/modules/ps2706/ps4452/tsd_products_support_model_home.html

ASA SM に関する追加情報については、次の URL を参照してください。

http://www.cisco.com/go/asadocs

マニュアルの入手方法およびテクニカル サポート

マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される 『What's New in Cisco Product Documentation』 を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

©2010 Cisco Systems, Inc. All rights reserved.