移行では、次の設定要素がサポートされています。

• ネットワークオブジェクトおよびグループ

• サービスオブジェクト（送信元と接続先に設定されたサービスオブジェクトを除く）

  （注）	Firewall 移行ツールは拡張サービスオブジェクト（送信元と接続先の構成）は移行しませんが、参照先の ACL と NAT のルールは完全な機能で移行されます。

• サービス オブジェクト グループ（ネストされたサービス オブジェクト グループを除く）

  （注）	Management Center ではネストはサポートされていないため、Firewall 移行ツールは参照されるルールの内容を展開します。ただし、ルールは完全な機能で移行されます。

• IPv4 および IPv6 FQDN オブジェクトとグループ

• IPv6 変換サポート（インターフェイス、静的ルート、オブジェクト、ACL、および NAT）

• インバウンド方向とグローバル ACL のインターフェイスに適用されるアクセスルール

• 自動 NAT、手動 NAT、およびオブジェクト NAT（条件付き）

• 静的ルートおよび移行されない ECMP ルート

• 物理インターフェイス

• ASA または ASA with FirePOWER Services インターフェイス上のセカンダリ VLAN は FTD に移行されません。

• サブインターフェイス（サブインターフェイス ID は移行時の VLAN ID と同じ番号に常に設定されます）

• ポート チャネル

• 仮想トンネルインターフェイス（VTI）

• ブリッジグループ（トランスペアレントモードのみ）

• IP SLA のモニタ

  Firewall 移行ツールは IP SLA オブジェクトを作成し、オブジェクトを特定の静的ルートにマッピングし、オブジェクトを FMC に移行します。

  （注）	IP SLA モニターは、FTD 以外のフローではサポートされていません。

• オブジェクトグループの検索

  （注）	オブジェクトグループ検索は、6.6 より前の FMC または FTD のバージョンでは使用できません。 オブジェクトグループ検索は FTD 以外のフローではサポートされていないため、無効になります。

• 時間ベースのオブジェクト

  （注）	送信元の ASA または ASA with FirePOWER Services から送信先の FTD にタイムゾーン構成を手動で移行する必要があります。 時間ベースのオブジェクトは FTD 以外のフローではサポートされていないため、無効になります。 時間ベースのオブジェクトは FMC バージョン 6.6 以降でサポートされています。

• [Site-to-Site VPN Tunnels]

  • サイト間 VPN：Firewall 移行ツールは、送信元 ASA で暗号マップ構成を検出すると、暗号マップを FMC VPN にポイントツーポイント トポロジとして移行します。

  • ASA からのクリプトマップ（静的/ダイナミック）ベースの VPN

  • ルートベース（VTI）の ASA VPN

  • ASA からの証明書ベースの VPN 移行

  • ASA トラストポイントまたは証明書の FMC への移行は手動で実行する必要があり、また、移行前のアクティビティに含まれている必要があります。

• 動的ルートオブジェクト、BGP、および EIGRP

  • [Policy-List]

  • [Prefix-List]

  • Community-List

  • 自律システム（AS）パス

  • [Route-Map]

• リモートアクセス VPN

  • SSL と IKEv2 プロトコル

  • 認証方式：[AAA only]、[Client Certificate only]、および [AAA + Client Certificate]

  • AAA：Radius、ローカル、LDAP、および AD

  • 接続プロファイル、グループポリシー、動的 アクセス ポリシー、LDAP 属性マップ、および証明書マップ

  • 標準的な ACL と拡張 ACL

  • 移行前のアクティビティの一環として、次の手順を実行します。

    • ASA トラストポイントを PKI オブジェクトとして手動で FMC に移行します。

    • AnyConnect パッケージ、Hostscan ファイル（Dap.xml、Data.xml、Hostscan Package）、外部ブラウザパッケージ、および AnyConnect プロファイルを送信元 ASA から取得します。

    • すべての AnyConnect パッケージを FMC にアップロードします。

    • AnyConnect プロファイルを FMC に直接アップロードするか、または Firewall 移行ツールからアップロードします。

    • Live Connect ASA からプロファイルを取得できるようにするには、ASA で ssh scopy enable コマンドを有効にします。

• ACL 最適化

  ACL 最適化は、次の ACL タイプをサポートします。

  • 冗長 ACL：2 つの ACL の構成とルールのセットが同じ場合、基本以外の ACL を削除してもネットワークに影響はありません。

  • シャドウ ACL：最初の ACL は、2 番目の ACL の設定を完全にシャドウイングします。

  （注）	ACL の最適化は現在、Palo Alto Networks と ASA with FirePower Services（FPS）では使用できません。

Firepower 移行ツールのサポートされている構成の詳細については、次を参照してください。

• サポートされている ASA の設定

• サポートされている ASA with FirePOWER Services の構成

• サポートされているチェックポイントの設定

• サポートされる PAN 構成

• サポートされている FortiNet の設定

Firewall 移行ツールの移行ワークフローについては、次を参照してください。

• ASA 構成ファイルのエクスポート

• ASA with FirePOWER Services 構成ファイルのエクスポート

• Check Point 構成ファイルのエクスポート

• Palo Alto Networks ファイアウォールからの構成のエクスポート

• Fortinet ファイアウォールからの構成のエクスポート

Firewall 移行ツールは、次のレポートを移行の詳細とともに HTML 形式で提供します。

• 移行前のレポート

• 移行後のレポート

Firewall 移行ツールは、次の機能を提供します。

• 分析およびプッシュ操作を含む移行全体の検証

• オブジェクト再利用機能

• オブジェクト競合の解決

• インターフェイス マッピング

• 送信先 Threat Defense デバイスのサブインターフェイス制限チェック

• サポートされているプラットフォーム

  ：同じハードウェアでの移行（X から X デバイスへの移行）

  ：X から Y デバイスへの移行（Y に多数のインターフェイスが存在）

• ACP ルールアクションに対する送信元 ASA、Fortinet、および Checkpoint の ACL 最適化。