ファイアウォールモード
|
ルーテッド ファイアウォール モード
|
トランスペアレントモードの設定は移行できません。
|
インターフェイス設定
|
|
-
FDM による管理 デバイスには、移行する ASA インターフェイスの設定と同等以上の物理インターフェイスが必要です。
-
サブインターフェイス(サブインターフェイス ID は移行時の VLAN ID と同じ番号に常に設定されます)
-
次のインターフェイス設定は FDM による管理 デバイスに移行されません。
-
ASA インターフェイスのセカンダリ VLAN
-
Redundant Interface
-
ブリッジ グループ インターフェイス
-
仮想トンネル インターフェイス
|
EtherChanel |
物理インターフェイスで設定された EtherChannel。
EtherChanel にマッピングされたメンバーインターフェイスは、移行中も保持されます。
|
-
設定を移行する前に、CDO を使用して FDM による管理 デバイスに同等の数の EtherChannel を作成する必要があります。「FDM 管理対象デバイスの EtherChannel インターフェイスの追加」を参照してください。
-
Firepower 1000 または 2100 シリーズのハードウェアデバイス(1010、1120、1140、1150、2110、2120、2130、2140)の設定にのみ移行できます。
-
EtherChannel 設定を、ASA 8.4+ からソフトウェアバージョン 6.5+ で動作する FDM による管理 デバイスに移行できます。
-
移行前に FDM による管理 デバイスで作成されている EtherChannel は、移行される EtherChannel と同じタイプである必要があります。
CDO が移行するのは、EtherChannel から EtherChannel へ、および物理インターフェイスから物理インターフェイスへのみです。
-
FDM テンプレートで EtherChannel にマッピングされたメンバーインターフェイスを、移行ウィザードのインターフェイス マッピング ステップでユーザーが使用することはできません。ただし、それらは保持され、割り当てられた EtherChannel
に移行されます。
|
ルーティング |
スタティック ルート
|
|
アクセス制御ルール(ACL)
|
-
有効化されたアクセス制御ルール
-
送信元オブジェクトと宛先オブジェクト
-
CDO は、FDM による管理 デバイスの許可、信頼、ブロックなどのアクションをサポートしています。移行時に、移行元の ASA の設定における許可アクションと拒否アクションが処理され、CDO で FDM による管理 デバイスに関してサポートされているアクションにマッピングされます。
-
CDO は、ポリシー、インターフェイス、またはアクセスグループ(IP プロトコルを持たない)に付加された ACL の移行をサポートしています。
-
非暗号化 L3 トンネルプロトコルを使用した ACE
|
次の ACL 機能は FDM による管理 デバイスに移行されません。
-
CDO と Firepower Device manager は、IPv4 と IPv6 の混在プロトコルを使用した ACL をサポートしていません。
-
重大度情報のロギング
-
非アクティブのルールまたは無効化されたルール
-
TCP、UDP、または ICMP 以外のプロトコルを持つサービスオブジェクトまたはサービスグループを使用した ACE
-
TCP または UDP 以外のサービスオブジェクトを使用した ACE
-
インラインオブジェクトを使用した ACE の TCP または UDP 以外のプロトコル
-
時間範囲を使用した ACE
-
アクセスグループを使用してマッピングされていないアクセスリスト
|
ネットワークアドレス変換(NAT)ルール
|
|
次の NAT ルール機能は FDM による管理 デバイスに移行されません。
(注)
|
CDO は、0.0.0.0/32 のネットワークオブジェクトをサポートしていません。
|
|
サービスオブジェクトとサービス グループ オブジェクト
|
サービスオブジェクトとネストされたグループ
CDO がサポートしているサービスオブジェクトで使用されるプロトコルのリストについては、「CDO 上の対応 IP プロトコル」を参照してください。
|
|
ネットワークオブジェクトとネットワーク グループ オブジェクト
|
ネットワークオブジェクトとネットワーク グループ オブジェクト
|
次のネットワークオブジェクトまたはネットワークグループはサポートされていません。
|
ICMP タイプ
|
ICMP タイプ
|
次の ICMP タイプはサポートされていません。
-
無効な ICMP タイプまたはコードを持つ ICMP ベースのサービス オブジェクト エントリ
-
ICMPv4 または ICMPv6 タイプのコードのないサービスタイプまたは ICMP タイプオブジェクト
-
未割り当ての ICMP タイプ(IANA に従う)または無効な ICMP タイプ
|
その他のサポートされていないオブジェクト
|
- |
次の各種オブジェクトはサポートされていません。
|
サイト間 VPN
|
-
IKEv1 と IKEv2 の両方のフェーズ 1 およびフェーズ 2 プロポーザル
-
IKEv1 と IKEv2 の両方の 完全転送秘密(PFS)
-
ネストされたオブジェクトグループを使用したクリプトアクセスリスト
-
複数のピア IP を使用したクリプトマップ
-
暗号マップでトンネルに使用される IKEv1 と IKEv2 の両方
|
次のサイト間 VPN 機能はサポートしていません。
-
vpn-filter
-
vpn-idle-timeout
-
isakmp keepalive threshold 10 retry 10
-
crypto map vpnmap 200 set security-association lifetime seconds 360
-
set security-association lifetime kilobytes unlimited
-
set security-association lifetime seconds 3600
-
証明書認証
-
ダイナミック クリプト マップ
-
ルートベースの VPN(仮想トンネルインターフェイス)
|