これは私が同じことをした方法です。
最初に、すべてのインターフェース名を最後に「_REPLACE」を付けるように変更しました。
これにより、インターフェイスが存在する実際の場所のみを選択できるようになりました。
いくつかのアイテムは、作成時にデフォルトでデフォルトのインターフェース名で命名されますが、後でインターフェースの名前を変更しても変更されません。さらに、ある時点で、自分でインターフェイス名を指定したオブジェクトが存在する場合があり、これも混乱する可能性があります。
EG: Arbitrary_NetインターフェイスはArbitrary_Net_REPLACE
次に、いくつかのインターフェースにポートチャネルを作成し、VLANインターフェースを作成しました。これらのインターフェースの下に、VLAN IDをサブインターフェース番号として、そこに移動するインターフェース名に追加しました。
EG:「Arbitrary_Net」インターフェースがオンVLAN 173になっているため、PortChannel1.123割り当てられVLAN ID 123、「Arbitrary_Net_123」という名前が付けられました
ただし、これをもう一度行うと、このプロセスを修正_NEWして、末尾に「Arbitrary_Net_NEW」ではなく「」を付けるだけで済みます。これにより、変更をはるかに迅速に行うことができます。
インターフェイスにHAなどのMACアドレスが設定されていること、ポートチャネルが機能していること、および作成した任意の一時的なVLANがASAにないことを確認し、スイッチはASAがスイッチにpingし、スイッチがASAにpingできることを確認しましたすでに接続性でした。
また、変更が完了するまで、AAAではなくLOCALを使用するようにHTTPとSSHを変更しました。変更を元に戻すと、通常の管理ネットワークとは別のネットワーク上のホストからの管理アクセスを追加してテストし、最初にそのネットワークを移動できるようにしました引き続き管理アクセス権があることを確認してから、そこから変更を完了します。
次に、構成をTFTPで転送し、copy run tftp://[hostIP]/[Path]/FW_Cluster A_Primary_Active_Original.asaメモ帳++でこれを開いて編集しました。
念のため、「_ Replace」ステートメントをすべて検索し、それらを別のファイルに配置しました(これを「メインファイル」と呼びましょう)
これらを確認し、左側にフラッシュされていないものがある場合は、その領域をチェックして、TFTPされたファイルから必要な外部コマンドを取得したことを確認しました。
注:AAAの設定でそれを行うこともできましたが、AAAを完全に削除して再読み込みする必要があるため、ASDMにコマンドを正確に書き直させるほうがはるかに簡単だと思いました。ダースセットアップ。そのため、私はAAAアイテムを後で廃棄しました。
同様に、私は次のようなコマンドを破棄nameifし、MTU変更していなかったという。
これにより、主に一連のNATルール、インターフェースへのACEへのACE、暗号マップ、およびいくつかのルートなどがメインファイルに残りました。
ルートを別のファイル(Penultimate Fileと呼びます)に移動しました。ここでは、ルートを2倍にno routeし、古いインターフェイスに置き、次にroute新しいインターフェイスに置き、インターフェイスごとにグループ化しました。
WebVPNとHTTPリダイレクトもコピーして、最後から2番目のファイルにコピーnoしました。
Penultimate Fileにオッズとエンドをいくつか追加しましたが、削除する必要があり、次のように再度追加しました。
no management Arbitrary_NET_REPLACE
management Arbitrary_NET_NEW
MAINファイルに戻って満足したとき、そのようなものは何も残っていませんでした。
だから私はただ検索し_REPLACEて置き換えただけ_Newです(またはあなたが従っているなら、私は実際にこれらの束をやったのは私がインターフェースでVLAN IDを使用していたからです)
すべてのNATルールをExcelにも引き出しsh run nat | in _REPLACEてASAで実行しました
そのコマンドの出力を1つのセルセットに入れ、コマンドの新しいバージョンをもう1つのセットに入れて、それらが一致することを確認しました。
次に、Excelを使用して、セルの最初のセットからNATルール番号を分割し、「ソース」キーワードの直前の2番目のセルに追加しました。
IE私はショーの結果を列Bに入れ、メインファイルから列CにNATを入れ、次に列EIでExcelを使用して置換を行いました。 =SUBSTITUTE(C1, source ,LEFT(B1," "&FIND(" ",B1)&"source ")) これにより、ルール番号が取得され、必要なソースの直前に固定されました。それらを正しい順序で配置します。
(** TBH列Eで置換を行う前に、列Dを使用して、列BとCに対して比較を実行し、単語ソース以降のNATルールを確認しましたが、現時点では、その式を書きたくありません私の頭を引っかくと、結果はすべて8回期待どおりだったので、私の目視検査は十分に正確でした)
次に、列Aにこの数式を追加して、ルール番号を取得します =LEFT(B1,FIND(" ",B1)-1)
次に、列AからEを選択し、[フィルター]をクリックして並べ替え、NATルールの順序を逆にして、最大数から最小数に適用されるようにしました。
次に、これらをMAINファイルにコピーして戻し、以前存在していたNATを置き換えました。
最後に、TFTPされたファイルに戻り、古いインターフェースのインターフェースコマンドを最終的なファイルにコピーしました。
これらは、それらのIPを完全に通常の範囲外のネットワークに変更しました。たとえば、元のネットワークがすべて10.1.x.yだったとします。これらをすべて10.2.x.y
に変更し、すべてのMonitor ステートメントを変更し、最後にno monitorを追加しshutました
次に、すべての新しいインターフェイスコマンドをコピーして、正しいIPアドレスとサブネットマスクをmonitor入力し、それぞれにキーワードを追加しました。
次に、古いインターフェイスをそれぞれ新しいインターフェイスとペアにしたので、問題が発生した場合に備えて、これらのインターフェイスを一度に1つずつ設定できました。
最後に、これらの元のインターフェース用に元のコマンドを再度コピーし、interface gi0/0コマンドとコマンドのみを保持してそれぞれにnameif追加noしたnameifので、念のno nameifため、後でこれを別のファイルに配置しました。
最後に私は準備ができていました。
Mianファイルからの変更を適用しました。
これで、すべてのACLが新しいインターフェースと古いインターフェースの両方に関連付けられ、すべてのNATルールもそれらに複製されました(トラフィックが特定のインターフェースを通過したときにのみ問題になるため、これは問題ではありません)。
NATルールのsin CLIまたはASDMを確認し、新旧のルールが正しく隣り合っていることを確認できました。これも問題の確認に非常に役立ちました。
次に、ASDMとSSHの代替アクセスsinを設定したインターフェイスに、最後から2番目のファイルと最終ファイルのONLyからの変更を適用し、すべてが正常であることを確認してから、SSHとASDMにログインして残りの変更を行いました。
Penultimateファイルからの残りの変更すべてを適用し、次にFInalファイルからのすべての変更を適用しました。
これにより、元のインターフェースはそのまま残り、ACLとNATはそれらに適用されたままになり、すべてをオンに戻して、マイナーな変更のみで作業を開始できました。
数時間後、変更が良かったことに満足しました
ASDMを使用してすべてのAAA設定を移動し(ASDMに感謝します!)、no nameif後で別のファイルに保存したコマンドを実行し、それらのインターフェイスに関係するすべての残りのエントリをファイアウォールクラスターから削除しました。
これを行うと、プロセスに慣れれば、1日か2日の作業で平均的なファイアウォールを実行できる可能性がありますが、私ははるかに慎重であり、NATとVPNが実質的にないファイアウォールクラスタのみが「迅速」に見えた。
一部には、すべてをトリペルでチェックしたいため、すべてのチェックを済ませたい場合があるため、小さなことを忘れる可能性があります。
ただし、インターフェースの変更を最後のステップまで残すことで、そのステップの前に小さな問題に対処できるようになったため、トラフィックが実際に移動した場合、pingまたは2つだけが失われることが多く、通常はわずかな遅延しかありませんでした。