Cisco ASA 5500 設定から ASAv 設定への変更
ASAv は Cisco ASA 5500 と共通のソフトウェア基盤を共有しますが、ASAv で ASA 5500 の設定を直接使用することはできません。ASA 5500 の設定を変更し、ASAv ではサポートされないすべての機能の設定を削除する必要があります。
•Advanced Inspection and Prevention Security Services Module(AIP SSM)
•Content Security and Control Security Services Module(CSC SSM)
ASA 5500 設定を ASAv 設定に移行するには、次のガイドラインに従ってください。
•ASDM を使用するには、ASAv の HTTP アクセスを設定する必要があります。
•ASAv のソース コンフィギュレーション ファイルを変更するには、テキスト エディタを使用します。
•ASAv はマルチ コンテキスト モードをサポートしませんが、セキュリティ コンテキストの設定を ASAv の設定に変換できます。
•ASAv は ASA クラスタリングをサポートしません。したがって、ASAv で使用する前に、クラスタ関連のインターフェイス設定を削除する必要があります。
(注) ASAv に未変更のハードウェア構成をコピーできます。ただし、このバージョンの仮想プラットフォームでサポートされないコマンドには、「無効な入力」などのエラーや警告が表示されます。
次の表に、ASA 5500 の設定を ASAv の設定に変更するために必要な手順を示します。
ASA 5500 設定をバージョン 9.2(1) にアップグレードするには、組み込みの ASAv の移行ツールを活用できます。スタートアップ コンフィギュレーションが以前の ASA バージョンと一致する場合、再起動時にこのツールがアクティブになります。バージョン 9.2(1) は、スタートアップ コンフィギュレーションに最初に保存されていたバージョンから変更されている機能関連のコマンドを移行します。 |
|||
ASA 5500 ファイアウォール コンフィギュレーション ファイルをソース デバイスから取得し、ローカル ファイル システムに保存します。 |
『General Operations CLI Configuration Guide |
||
次の VPN コンフィギュレーション ファイルをエクスポートします。 •クライアントレス Secure Socket Layer(SSL)のカスタマイズまたはプラグイン。 •AnyConnect、Cisco Secure Desktop および ASA 5500 からのホスト スキャン イメージ。 •ASA 5500 からのアイデンティティ証明書の PKCS12 ファイル。 (注) コンフィギュレーションで指定されたパスにファイルが配置されていることを確認してください。 |
『VPN CLI Configuration Guide(VPN CLI コンフィギュレーション ガイド)』の「Clientless SSL VPN Overview(クライアントレス SSL VPN の設定)」の章を参照してください。 『VPN CLI Configuration Guide(VPN CLI コンフィギュレーション ガイド)』の「Configuring AnyConnect VPN Client Connections(AnyConnect VPN Client 接続の設定)」の章を参照してください。 『Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrators(Cisco ASA 5500 Series 管理者用 Cisco Secure Desktop コンフィギュレーション ガイド)』の「Installing and Enabling CSD(CSD のインストールおよびイネーブル)」の章を参照してください。 『VPN CLI Configuration Guide(VPN CLI コンフィギュレーション ガイド)』の「Configuring AnyConnect Host Scan(AnyConnect ホスト スキャンの設定)」の章を参照してください。 『General Operations CLI Configuration Guide 『VPN CLI Configuration Guide(VPN CLI コンフィギュレーション ガイド)』の「Configuring Policy Groups(グループ ポリシーの設定)」の章を参照してください。 |
||
このプロセスを効率化するには、ASDM のバックアップ ユーティリティを使用し、ソース ファイルを保存することを勧めています。これらの VPN 固有ファイルには、すべてのセキュリティ イメージ、アイデンティティ証明書、VPN 事前共有キー、すべての SSL VPN 設定が含まれる場合があります。 (注) バックアップ プロセスから除外する実行コンフィギュレーションとスタートアップ コンフィギュレーションのチェックボックスをオフにしてください。 |
『General Operations ASDM Configuration Guide(ASDM コンフィギュレーション ガイド(一般的な操作))』の「Managing Software and Configurations(ソフトウェアとコンフィギュレーションの管理)」の章を参照してください。 |
||
インターフェイスの設定を変更して、ASAv の使用可能なインターフェイスに一致させます:Management 0/0 および GigabitEthernet 0/0 - 0/8 |
『General Operations CLI Configuration Guide |
||
Content Security and Control Security Services Module コンフィギュレーションを削除します(インストールされている場合)。 |
『Firewall CLI Configuration Guide(ファイアウォール CLI コンフィギュレーション ガイド)』の「Configuring the ASA CSC Module(ASA CSC モジュールの設定)」の章を参照してください。 |
||
Advanced Inspection and Prevention Security Services Module コンフィギュレーションを削除します |
『Firewall CLI Configuration Guide(ファイアウォール CLI コンフィギュレーション ガイド)』の「Configuring the ASA IPS Module(ASA IPS モジュールの設定)」の章を参照してください。 |
||
『Configuring the ASA IPS Module(ファイアウォール CLI コンフィギュレーション ガイド)』の「Configuring the ASA CX Module(ASA CX モジュールの設定)」の章を参照してください。 |
|||
•クラスタリング: ip address コマンドから cluster-pool および mgmt-pool キーワードと引数を削除します。 |
『General Operations CLI Configuration Guide 『General Operations CLI Configuration Guide 『General Operations CLI Configuration Guide |
||
ASAv を配置します。ASDM 接続をイネーブル化するには、OVF テンプレートのインターフェイス マッピングを含む適切なプロパティを設定する必要があります。 |
『Cisco Adaptive Security Virtual Appliance(ASAv)Quick Start Guide(Cisco Adaptive Security Virtual Appliance(ASAv)クイック スタート ガイド)』の「Deploying the Cisco Adaptive Security Virtual Appliance(Cisco Adaptive Security Virtual Appliance の展開)」の章を参照してください。 |
||
ASAv に接続し、SSH または Telnet の基本的な接続を設定します。 CLI から、 telnet 、 ssh 、または http コマンドを使用します。 ASDM で [Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] を選択します。 |
『Cisco Adaptive Security Virtual Appliance(ASAv)Quick Start Guide(Cisco Adaptive Security Virtual Appliance(ASAv)クイック スタート ガイド)』の「Deploying the Cisco Adaptive Security Virtual Appliance(Cisco Adaptive Security Virtual Appliance の展開)」の章を参照してください。 |
||
ASAv のシリアル番号を確認して、ASAv を標準モードで実行するために必要な新しいライセンスを取得します。 CLI で、 show version または show inventory コマンドを入力します。 |
『Cisco Adaptive Security Virtual Appliance(ASAv)Quick Start Guide(Cisco Adaptive Security Virtual Appliance(ASAv)クイック スタート ガイド)』の「Deploying the Cisco Adaptive Security Virtual Appliance(Cisco Adaptive Security Virtual Appliance の展開)」の章を参照してください。 |
||
ステップ 3. で取得した VPN 固有ファイルをインポートします。ASDM のバックアップ zip ファイルを取得した場合は、ASAv にそれを復元できます。 コマンドを発行した場合は、次のメッセージが表示されます。 |
『VPN CLI Configuration Guide(VPN CLI コンフィギュレーション ガイド)』の「Clientless SSL VPN Overview(クライアントレス SSL VPN の設定)」の章を参照してください。 『VPN CLI Configuration Guide(VPN CLI コンフィギュレーション ガイド)』の「Configuring AnyConnect VPN Client Connections(AnyConnect VPN Client 接続の設定)」の章を参照してください。 『Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrators(Cisco ASA 5500 Series 管理者用 Cisco Secure Desktop コンフィギュレーション ガイド)』の「Installing and Enabling CSD(CSD のインストールおよびイネーブル)」の章を参照してください。 |
||
ASAv のスタートアップ コンフィギュレーションに、変更された ASA 5500 のコンフィギュレーションをコピーします。次に、 reload noconfirm コマンドを入力して ASAv をリロードし、コピーしたスタートアップ コンフィギュレーションを保持します。 コピー アンド ペーストまたはファイルの読み取りのメソッドは、バージョン 9.2(1) で保存され、前の手順で変更されたファイルでのみ使用できます。これらのメソッドは、インターフェイスをシャットダウン状態のままにし、実行コンフィギュレーションと競合する場合があり、ASA 移行ツールをトリガーしません。 VMware vSphere Client コンソール ウィンドウでは、情報をコピー アンド ペーストすることはできません。CLI から configure net または copy running-config のいずれかのコマンドを入力して、TFTP、HTTP、または FTP サーバを使用して変更されたコンフィギュレーション ファイルを転送する必要があります。 |
『General Operations CLI Configuration Guide(CLI コンフィギュレーション ガイド(一般的な操作))』の「Configuring Management Access(管理アクセスの設定)」の章を参照してください。 コマンド リファレンスの reload noconfirm コマンドを参照してください。 『General Operations CLI Configuration Guide コマンド リファレンスの configure net または copy running-config コマンドを参照してください。 |
||
ASAv の起動時に検出されたエラーを表示するには、CLI から、 show startup-config errors コマンドを使用します。 |
コマンド リファレンスの show startup-config errors コマンドを参照してください。 『General Operations ASDM Configuration Guide(ASDM コンフィギュレーション ガイド(一般的な操作))』の「Managing Software and Configurations(ソフトウェアとコンフィギュレーションの管理)」の章を参照してください。 |
||
ディセーブルにすることができないインターフェイスの設定が、ディセーブル化されていないことを確認します。 CLI から、 no shutdown コマンドを入力します。 ASDM で、[Configuration] > [Device Management] > [Interfaces] を選択します。 |
コマンド リファレンスの no shutdown コマンドを参照してください。 『General Operations ASDM Configuration Guide(ASDM コンフィギュレーション ガイド(一般的な操作))』の「Completing Interface Configuration(Routed Mode)(インターフェイス コンフィギュレーションの実行(ルーテッド モード))」の章を参照してください。 |
||
アクセス リスト、インターフェイス、インスペクションが正しいことを確認します。 |
『General Operations ASDM Configuration Guide(ASDM コンフィギュレーション ガイド(一般的な操作))』の「Using the ACL Manager(ACL マネージャの使用)」の章を参照してください。 『General Operations ASDM Configuration Guide(ASDM コンフィギュレーション ガイド(一般的な操作))』の「Starting Interface Configuration (ASA 5510 and Higher)(インターフェイス コンフィギュレーションの開始(ASA 5510 以降))」の章を参照してください。 『Firewall ASDM Configuration Guide(ファイアウォール ASDM コンフィギュレーション ガイド)』の「Getting Started with Application Layer Protocol Inspection(アプリケーション レイヤ プロトコル インスペクションの準備)」の章を参照してください。 |
||
本番環境に導入する前に、ASAv で変更された設定が目的の動作を行うかどうかをテストします。 |
コマンド リファレンスの packet tracer コマンドを参照してください。 『General Operations ASDM Configuration Guide(ASDM コンフィギュレーション ガイド(一般的な操作))』の「Troubleshooting(トラブルシューティング)」の章を参照してください。 |
次に示すのは、ASAv への移行前の ASA 5525-X からの基本サンプル コンフィギュレーション ファイルです。
次に示すのは、ASAv への移行後の ASA 5525-X からの基本サンプル コンフィギュレーション ファイルです。
移行の前に、次の 2 つの要件が満たされていることを確認してください。
•vCPU および AnyConnect Essentials 機能のライセンスが追加されている。
次に示すのは、ASAv への移行前の ASA 5515-X からの VPN を使用したサンプル コンフィギュレーション ファイルです。
次に示すのは、ASAv への移行後の ASA 5515-X からの VPN を使用したサンプル コンフィギュレーション ファイルです。
マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation(Cisco 製品資料の更新情報) 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。 http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html
『 What's New in Cisco Product Documentation(Cisco 製品資料の更新情報) 』は、シスコの新規および改訂版の技術マニュアルの一覧も示し、RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツをデスクトップに配信することもできます。RSS フィードは無料のサービスです。