変換中に、Firewall 移行ツールは、ルールまたはポリシーで使用されるかどうかにかかわらず、サポートされているすべてのオブジェクトおよびルールに対して 1 対 1 のマッピングを作成します。Firewall 移行ツールには、未使用のオブジェクト(ACL および NAT で参照されていないオブジェクト)の移行を除外できる最適化機能があります。
Firewall 移行ツールは、サポートされていないオブジェクトとルールを次のように処理します。
Firewall 移行ツールは、サポートされていないコンポーネントを次のように処理します。
-
サポートされていないオブジェクトと NAT ルールは移行されません。
-
サポートされていない ACL ルールは、無効なルールとして Management Center に移行されます。
-
アウトバウンド ACL はサポートされていない構成(Unsupported Configuration)であり、Management Center に移行されません。送信元ファイアウォールにアウトバウンド ACL がある場合、移行前レポートの無視される構成(Ignored Configration)セクションで報告されます。
-
サポートされるすべての ASA with FPS 暗号マップ VPN は、Management Center ポイントツーポイント トポロジとして移行されます。
-
サポートされていない、または不完全なスタティック暗号マップ VPN トポロジは移行されません。
-
Firewall 移行ツール 2.4 以降では、動的暗号マップと証明書ベースの VPN の移行がサポートされています。
-
Firewall 移行ツール 2.5.1 以降、BGP と動的ルートオブジェクトの移行がサポートされています。
-
Firewall 移行ツール 3.0 以降、リモートアクセス VPN の移行がサポートされています。
-
ユーザベースの FPS ACL は移行ではサポートされず、無効として移行されます。
ASA with FPS 構成ファイル
ASA with FPS 構成ファイルは、手動で、または Firewall 移行ツールからライブ ASA with FPS に接続して取得できます。
Firewall 移行ツールへの ASA with FPS 構成ファイルの移行は、次の 2 段階のプロセスです。
Firewall 移行ツールに手動でインポートする ASA with FPS 構成ファイルは、次の要件を満たしている必要があります。
-
シングルモード構成またはマルチコンテキストモード構成の特定のコンテキストで ASA with FPS デバイスからエクスポートされる実行構成を含んでいる。ASA with FPS 構成ファイルのエクスポートを参照してください。
-
バージョン番号を含んでいる。
-
有効な ASA with FPS CLI 構成のみを含んでいる。
-
構文エラーは含まれません。
-
ファイル拡張子が .cfg
または .txt
である。
-
UTF-8 ファイルエンコーディングを使用している。
-
コードの手入力または手動変更をしていない。ASA with FPS 構成を変更する場合は、変更した構成ファイルを ASA with FPS デバイスでテストして、有効な構成であることを確認することが推奨されます。
-
「--More--」キーワードをテキストとして含んでいない。
ASA with FPS 設定の制限
送信元 ASA with FPS 構成の移行には、次の制限があります。
-
Firewall 移行ツールは、個別の Threat Defense デバイスとして、ASA with FPS からの個々のセキュリティコンテキストの移行をサポートします。
-
システム構成は移行されません。
-
Firewall 移行ツールは、50 以上のインターフェイスに適用される単一の ACL ポリシーの移行をサポートしていません。50 以上のインターフェイスに適用される ACL ポリシーは、手動で移行してください。
-
動的ルーティングなど、ASA with FPS 構成の一部は Threat Defense に移行できません。これらの構成は手動で移行してください。
-
ブリッジ仮想インターフェイス(BVI)、冗長インターフェイス、またはトンネルインターフェイスを使用するルーテッドモードの ASA with FPS デバイスは移行できません。ただし、BVI を使用するトランスペアレントモードの ASA with FPS デバイスを移行することはできます。
-
Management Center では、ネストされたサービス オブジェクト グループまたはポートグループはサポートされていません。変換の一環として、Firewall 移行ツールは、参照されているネストされたオブジェクトグループまたはポートグループの内容を展開します。
-
Firewall 移行ツールは、1 つの回線にある送信元ポートと宛先ポートを持つ拡張サービスのオブジェクトまたはグループを、複数の回線にまたがる異なるオブジェクトに分割します。このようなアクセスコントロールルールの参照は、正確に同じ意味の Management Center ルールに変換されます。
-
特定のトンネリングプロトコル(GRE、IP-in-IP、IPv6-in-IP など)を参照しないアクセス制御ルールが送信元 ASA with FPS 構成にあり、これらのルールが ASA with FPS 上の暗号化されていないトンネルトラフィックに一致する場合、Threat Defense に移行すると、対応するルールは ASA with FPS 上と同じようには動作しません。Threat Defense のプレフィルタポリシーで、これらの特定のトンネルルールを作成することを推奨します。
-
サポートされるすべての ASA with FPS 暗号マップは、ポイントツーポイント トポロジとして移行されます。
-
Firewall 移行ツール 2.4 以降では、動的暗号マップと証明書ベースの VPN の移行がサポートされています。
-
Firewall 移行ツール 2.5.1 以降、BGP および動的ルートオブジェクトの移行がサポートされています。
-
Management Center に同じ名前の AS-Path オブジェクトが表示された場合、移行は次のエラーメッセージで停止します。
「Management Center で競合する AS-Path オブジェクト名が検出されました。続行するには、Management Center の競合を解決してください。(Conflicting AS-Path object name detected in , please resolve conflict in to proceed further)」
(注) |
|
-
ルートマップオブジェクトは、 Firewall 移行ツール を使用して部分的に移行されます。API の制限により、match 句と set 句はサポートされていません。
-
RA VPN の移行の制限事項
Firewall 移行ツール 3.0 以降、リモートアクセス VPN の移行が次の制限付きでサポートされています。
-
API の制限により、カスタム属性、SSL 設定、および VPN 負荷分散の移行はサポートされていません。
-
LDAP サーバーは、暗号化タイプが「なし(none)」として移行されます。
-
ポリシーは Management Center 全体に適用されるため、DfltGrpPolicy は移行されません。Management Center で必要な変更を直接行うことができます。
-
Radius サーバーでは、動的認証が有効になっている場合は、AAA サーバー接続は動的ルーティングではなくインターフェイスを介して行う必要があります。インターフェイスなしで動的認証が有効になっている AAA サーバーで ASA with FirePOWER Services 構成が見つかった場合、Firewall 移行ツールは動的認証を無視します。管理センターでインターフェイスを選択した後に、動的認証を手動で有効にする必要があります。
-
トンネルグループの下でアドレスプールを呼び出している間は ASA with FirePOWER Services 構成にインターフェイスを含めることができます。ただし、管理センターではこれはサポートされていません。 ASA with FirePOWER Services 構成でインターフェイスが検出された場合、そのインターフェイスは Firewall 移行ツールで無視され、アドレスプールがインターフェイスなしで移行されます。
-
ASA with FirePOWER Services 構成には、トンネルグループの下の DHCP サーバーにキーワード link-selection/subnet-selection を含めることができます。ただし、管理センターではこれはサポートされていません。これらのキーワードを使用して ASA with FirePOWER Services 構成で検出された DHCP サーバーがある場合、それらのサーバーは Firewall 移行ツールで無視され、DHCP サーバーはキーワードなしでプッシュされます。
-
ASA with FirePOWER Services 構成は、トンネルグループの下の認証サーバーグループ、セカンダリ認証サーバーグループ、承認サーバーグループを呼び出す間はインターフェイスを持つことができます。ただし、管理センターではこれはサポートされていません。 ASA with FirePOWER Services 構成でインターフェイスが検出された場合、そのインターフェイスは Firewall 移行ツールで無視され、コマンドはインターフェイスなしでプッシュされます。
-
ASA with FirePOWER Services 構成は、リダイレクト ACL を Radius サーバーにマッピングしません。したがって、Firewall 移行ツールから取得する方法はありません。リダイレクト ACL が ASA with FirePOWER Services で使用される場合、その ACL は空のままになり、管理センターで手動で追加してマッピングする必要があります。
-
ASA with FirePOWER Services は vpn-addr-assign のローカル再利用遅延値 0 ~ 720 をサポートします。ただし、管理センターは 0 ~ 480 の値をサポートします。 ASA with FirePOWER Services 構成に 480 を超える値が見つかった場合、管理センターでサポートされている最大値の 480 に設定されます。
-
接続プロファイルへの IPv4 プールと DHCP useSecondaryUsernameforSession の設定の構成は、API の問題によりサポートされていません。
-
バイパスアクセス制御 sysopt permit-vpn オプションは、RA VPN ポリシーで有効になっていません。ただし、必要に応じて、管理センターから有効にすることができます。
-
Anyconnect クライアントモジュールとプロファイルの値は、プロファイルが Firewall 移行ツールから管理センターにアップロードされた場合にのみ、グループポリシーに従って更新できます。
-
証明書を管理センターに直接マッピングする必要があります。
-
IKEv2 パラメータは、デフォルトでは移行されません。それらのパラメータは管理センターを使用して追加する必要があります。
Firewall サービス(FPS)移行の注意事項
Firewall 移行ツールは、次のような Threat Defense 構成のベストプラクティスを使用します。
サポートされている ASA with FPS 構成
Firewall 移行ツールは、次の ASA with FPS 構成を完全に移行できます。
-
ネットワークオブジェクトおよびグループ
-
サービスオブジェクト(送信元と接続先に設定されたサービスオブジェクトを除く)
(注) |
Firewall 移行ツールは拡張サービスオブジェクト(送信元と接続先の構成)は移行しませんが、参照先の ACL と NAT のルールは完全な機能で移行されます。
|
-
サービス オブジェクト グループ(ネストされたサービス オブジェクト グループを除く)
(注) |
Management Center ではネストはサポートされていないため、Firewall 移行ツールは参照されるルールの内容を拡張します。ただし、ルールは完全な機能で移行されます。
|
-
IPv4 および IPv6 FQDN オブジェクトとグループ
-
IPv6 変換サポート(インターフェイス、静的ルート、オブジェクト、ACL、および NAT)
-
インバウンド方向とグローバル ACL のインターフェイスに適用されるアクセスルール
-
自動 NAT、手動 NAT、およびオブジェクト NAT(条件付き)
-
静的ルート、移行されない ECMP ルート
-
物理インターフェイス
-
ASA with FPS インターフェイス上のセカンダリ VLAN は Threat Defense に移行されません。
-
サブインターフェイス(サブインターフェイス ID は移行時の VLAN ID と同じ番号に常に設定されます)
-
ポート チャネル
-
仮想トンネルインターフェイス(VTI)
-
ブリッジグループ(トランスペアレントモードのみ)
-
IP SLA のモニタ
Firewall 移行ツールは IP SLA オブジェクトを作成し、オブジェクトを特定の静的ルートにマッピングし、オブジェクトを Management Center に移行します。
IP SLA モニタでは、モニタリング対象のアドレスへの接続ポリシーを定義し、そのアドレスへのルートの可用性をトラッキングします。静的ルートの可用性は、ICMP エコー要求を送信し、応答を待機することによって、定期的にチェックされます。エコー要求がタイムアウトすると、その静的ルートはルーティングテーブルから削除され、バックアップルートに置き換えられます。SLA
モニタリングジョブは、デバイス構成から SLA モニタを削除していない限り、展開後すぐに開始して実行し続けます(つまり、ジョブはエージングアウトしません)。SLA モニタオブジェクトは、IPv4 静的ルートポリシーの [ルートトラッキング(Route
Tracking)] フィールドで使用されます。IPv6 ルートでは、ルートトラッキングによって SLA モニタを使用することはできません.
(注) |
IP SLA モニターは、Threat Defense 以外のフローではサポートされていません。
|
-
オブジェクトグループの検索
オブジェクトグループ検索を有効にすると、ネットワークオブジェクトを含むアクセス コントロール ポリシーのメモリ要件が軽減されます。オブジェクトグループ検索を有効にして、Threat Defense でアクセスポリシーによる最適なメモリの使用を実現することをお勧めします。
(注) |
|
-
時間ベースのオブジェクト
Firewall 移行ツールは、アクセスルールで参照される時間ベースオブジェクトを検出すると、その時間ベースオブジェクトを移行し、それぞれのアクセスルールにマッピングします。[構成の確認と検証(Review and Validate Configuration)]
ページのルールに対してオブジェクトを確認します。
時間ベースのオブジェクトは、期間に基づいてネットワークアクセスを許可するアクセスリストタイプです。特定の時刻または特定の曜日に基づいてアウトバウンドトラフィックまたはインバウンドトラフィックを制限する必要がある場合に便利です。
(注) |
-
送信元の ASA with FPS からターゲットの FTD にタイムゾーン構成を手動で移行する必要があります。
-
時間ベースのオブジェクトは Threat Defense 以外のフローではサポートされていないため、無効になります。
-
時間ベースのオブジェクトは Management Center バージョン 6.6 以降でサポートされています。
|
-
[サイト間 VPN トンネル(Site-to-Site VPN Tunnels)]
-
サイト間 VPN:Firewall 移行ツールは、送信元 ASA with FPS で暗号マップ構成を検出すると、暗号マップを Management Center VPN にポイントツーポイント トポロジとして移行します。
-
ASA からのクリプトマップ(静的/動的)ベースの VPN
-
ルートベース(VTI)の ASA VPN
-
ASA からの証明書ベースの VPN 移行
-
ASA トラストポイントまたは証明書の Management Center への移行は手動で実行する必要があり、また、移行前のアクティビティに含まれている必要があります。
-
動的ルートオブジェクトと BGP
-
ポリシーリスト
-
プレフィックスリスト
-
コミュニティ リスト
-
自律システム(AS)パス
-
リモートアクセス VPN
-
SSL と IKEv2 プロトコル
-
認証方式:[AAA のみ(AAA only)]、[クライアント証明書のみ(Client Certificate only)]、および [AAA とクライアント証明書(AAA + Client Certificate)]
-
AAA:Radius、ローカル、LDAP、および AD
-
接続プロファイル、グループポリシー、動的 アクセス ポリシー、LDAP 属性マップ、および証明書マップ
-
標準的な ACL と拡張 ACL
-
移行前のアクティビティの一環として、次の手順を実行します。
-
ASA トラストポイントを PKI オブジェクトとして手動で Management Center に移行します。
-
AnyConnect パッケージ、Hostscan ファイル(Dap.xml、Data.xml、Hostscan Package)、外部ブラウザパッケージ、および AnyConnect プロファイルを送信元 ASA から取得します。
-
すべての AnyConnect パッケージを Management Center にアップロードします。
-
AnyConnect プロファイルを Management Center に直接アップロードするか、または Firewall 移行ツールからアップロードします。
-
Live Connect ASA からプロファイルを取得できるようにするには、ASA で ssh scopy enable コマンドを有効にします。
部分的にサポートされる ASA with FPS 構成
Firewall 移行ツールは、次の ASA with FPS 構成の移行を部分的にサポートしています。これらの構成の一部には、詳細オプションを使用するルールが含まれ、それらのオプションなしで移行されます。Management Center がこれらの詳細オプションをサポートしている場合は、移行の完了後に手動で構成できます。
未サポートの ASA with FPS 構成
Firewall 移行ツールは、次の ASA with FPS 構成の移行をサポートしていません。これらの構成が Management Center でサポートされている場合、移行の完了後に手動で構成できます。
-
SGT ベースのアクセス コントロール ポリシー ルール
-
SGT ベースのオブジェクト
-
ユーザベースのアクセス コントロール ポリシー ルール
-
ブロック割り当てオプションを使用して構成された NAT ルール
-
サポートされていない ICMP タイプおよびコードを持つオブジェクト
-
トンネリング プロトコルベースのアクセス コントロール ポリシー ルール
(注) |
Firewall 移行ツール 2.0 と Management Center 6.5 でのプレフィルタのサポート。
|
-
SCTP で構成された NAT ルール
-
ホスト ‘0.0.0.0’ で構成された NAT ルール
-
SLA トラッキングを使用した DHCP または PPPoE によって取得されたデフォルトルート
-
sla monitor schedule
-
トランスポートモードの IPsec のトランスフォームセット
-
Management Center への ASA トラストポイントの移行
-
ユーザベースの FPS ACL は移行ではサポートされず、無効として移行されます。
-
BGP のトランスペアレント ファイアウォール モード