8.3より前のASA設定の8.3+への移行

ASA構成を8.3以降に移行するベストプラクティスは何ですか？

次の変更を加えた新しい構成ファイルを手動で作成しました。

• 新しいネットワークオブジェクト
• 新しいNATステートメント
• ネットワークオブジェクトを参照する新しいアクセスリスト

私の次のステップは、8.2から8.3にアップグレードしてエラーを記録することです。構成をクリーンアップする代わりに、行ごとに再実行する方が簡単ですか？

十分短い構成セットを指定します。手動で再構成することは受け入れられるオプションです。既存の設定を取得し、ASDMを介して再度実装して、新しいGUIが返すものを確認することもできます。

構成が複数のページであるか、多数のオブジェクトがある場合は、テストボックスに実装して、実稼働環境に配置する前にエラーメッセージとして返される内容を確認するのが最善です。

PIXからASAへの移行とは異なり、シスコは健全性チェックツールをリリースしませんでした。

構成を再構築してクリーンアップすることをお勧めします。多くの場合、ルールが適用されて古くなるか、使用されません。これは、白紙の状態でやり直す絶好の機会です。

私が最後に行ったアップグレードでは、ルールを書き直すのに約1週間かかりましたが、それらはずっときれいでラベルが付いていました。

私たちは最近これを経験したばかりで、構成をゼロから再構築しました。私の設定は約6ページしかないので、それほどひどくはありませんでした。これにより、オブジェクトグループへの統合と、ASAに存在するルールの監査も可能になりました。

構成が大きすぎる場合は、GNS3で8.2をセットアップして、構成を適用してから更新してみてください。GNS3でASAのアップグレードを試みたことはありませんが、8.2、8.3、および8.4がGNS3で正常に動作しています。

アクティブ/スタンバイペアがある場合は、メンテナンス中にペアを解除し、スタンバイをアップグレードすることもできます。すべてが検証されたら、それをプライマリにし、アップグレード後にもう一方のユニットをスタンバイとしてペアに戻します。テストに失敗した場合は、スタンバイユニットをダウングレードし、古いペアに戻します。