• 1. はじめに
• 2. ASA5505とASA5506の性能と、インターフェイス構成の違い
• 3. マイグレーションの前に・・・
• 3.1. 既存ASA5505のメモリ容量の確認
• 3.2. HUBもしくはスイッチの必要性の確認
• 3.3. ASA5506の準備と ライセンス有効化
• 3.4. ASA5506の FirePOWERモジュールのアンインストールの検討
• 4. ASA5505から ASA5506に、設定移行例
• 4.1. ASA5505 設定バックアップ (既存機)
• 4.2. ASA5505 9.2 最新バージョンにアップグレード、動作試験
• 4.3. ASA5505 設定バックアップ (9.2にアップグレード後)
• 4.4. ASA5506 9.3 最新バージョンにアップグレード、ライセンス有効化
• 4.5. ASA5505 設定の一部修正と、ASA5506に流し込み
• 4.6. ASA5505 9.2と ASA5506 9.3の設定差分を比較
• 4.7. ASA5506 ローカル試験
• 4.8. ASA5506 リプレース、動作確認
• 4.9. 必要に応じて ASAソフトウェア 9.3以降にアップグレード
• 5. よくある質問
• Q: ASDMのバックアップ・リストア機能を、マイグレーションに利用することは可能か
• 6. 参考情報

　　　

1. はじめに

本ドキュメトでは、旧モデルであるASA5505から、後継モデルのASA5506への移行(マイグレーション)の参考手順を示します。 なお、本手順の利用は、ASDMやCLIの 一定の操作が可能な方を対象としております。

　　　
本ドキュメントでは、ASAソフトウェアの Firewall(ACL)やNAT、サイト間VPNなど、ベーシックなCLI設定のみの移行手順を示します。

AnyConnectなどでIdentity Certificateを利用時は、別途エクスポート・インポートの手順が必要となります。 また、AnyConnectのDAP機能などの ASDMで設定する機能は、本手順は利用できません。 これら Identity Certificateや ASDM専用設定の移行方法は、本ドキュメントでは 扱いません。

　　
また、本手順は参考に留めて頂くよう お願いいたします。 ご利用設定・環境やバージョンによって、柔軟な追加対応が必要になる事があります。 複雑な設定や環境で利用時や、トラブル時の調査時間や 通信影響の発生リスクを抑えたい場合は、本手順を利用せず、Cisco製品販売店様の SIサービスのご利用をお勧めいたします。

　　　
本ドキュメントは、ASA5505 8.4(7)と9.2(4)11、および ASA5506 9.3(3)10を用いて確認、作成しております。

　　　　

　　　　　

2. ASA5505とASA5506の性能と、インターフェイス構成の違い

各製品のパフォーマンスの違いは、以下データシートを確認してください。

ASA5505
http://www.cisco.com/web/JP/product/hs/security/asa/prodlit/data_sheet_c78-701253.html

ASA5506-X
http://www.cisco.com/web/JP/product/hs/security/asa-firepower-services/prodlit/datasheet-c78-733916.html

　　　
各製品のハードウェア構成の違いは、以下ハードウェアインストレーションガイドを確認してください。

Cisco ASA 5505 Hardware Installation Guide
http://www.cisco.com/c/en/us/td/docs/security/asa/hw/maintenance/5505guide/ASA5505HIG/overview.html

Cisco ASA 5506-X, ASA 5506W-X, and ASA 5506H-X Hardware Installation Guide
http://www.cisco.com/c/en/us/td/docs/security/asa/hw/maintenance/5506xguide/b_Install_Guide_5506/b_Install_Guid

   　　
ASA5505と ASA5506で、インターフェイス構成が変わりました。 ASA5505は右からEth0/0, Eth0/1, Eth0/2..の採番でした。 ASA5506は左からGi1/1, Gi1/2, Gi1/3..の採番に変わり、管理用のManagement 1/1 が追加されています。 Management 1/1はFirePOWER機能を利用時などに利用します。

　　　　
　　　　

　　　　

3. マイグレーションの前に・・・

3.1. 既存ASA5505のメモリ容量の確認

本手順の利用には、ASA5505のDRAMが512MBである必要があります。 DRAM256MBの場合、バージョン8.3以降のアップグレードに制限があるためです。 詳しくは ASA 8.3 アップグレードに必要な情報[1] を参照してください。

　　　

3.2. HUBもしくはスイッチの必要性の確認 

ASA5505の利用構成によっては、別途 HUBもしくはスイッチの用意が必要となります。 ASA5506のFirePOWER機能を使う場合も、HUBもしくはスイッチが必要です。

ASA5505は内部スイッチを持ち、同じVlanを複数ポートに割当て利用する事ができました。IPアドレスや nameifは、それらポートを束ねるVlanに割当て利用します。

ASA5506は内部スイッチ機能が無くなり、ポートに直接IPアドレス割当てが可能になりました。 これは、従来のASA5510以降や ASA5500-Xシリーズのインターフェイス設定方法と近いです。

上記変更に伴い、ASA5505でスイッチ機能を利用し複数機器を同セグメント内で収容していた場合、ASA5506に移行後に、ASA5506のIP割当インターフェイスと それら端末間にHUBもしくはスイッチを挟む必要があります。

　　

3.3. ASA5506の準備と ライセンス有効化

ASA5506のASAソフトウェアバージョンを、9.3トレインの最新バージョンに変更してください。 ASAソフトウェアは以下よりダウンロード可能です。 バージョン9.3.3の最新Interimバージョンは、All Releases > Interim > 9 > 9.3.3 Interim から確認できます。 2016年8月現在の最新バージョンは 9.3(3)10 (ファイル名=asa933-10-lfbff-k8.SPA) です。

https://software.cisco.com/download/release.html?mdfid=286283326&softwareid=280775065

　　　
ASA5506のASDMソフトウェアバージョンは、互換性のある最新ASDMバージョンの利用をお勧めします。 ASDMソフトウェアは以下よりダウンロード可能です。  2016年8月現在の互換性のある最新バージョンは 7.6.2 (ファイル名=asdm-762.bin) です。

https://software.cisco.com/download/release.html?mdfid=286283326&flowid=77251&softwareid=280775064

　　　
ASAとASDMのバージョン変更後、必要なライセンスを有効化してください。

　　　
上記の具体的な適用手順は、ASA5500-X: 初期化と、ASDMからのS/Wアップグレード、ライセンス有効化 を参考にしてください。

 

　　　　

3.4. ASA5506の FirePOWERモジュールのアンインストールの検討

FirePOWERモジュールは アプリケーション制御や 侵入検知/防御、URLフィルタリングなど、高レイヤの通信制御機能を提供します。 ASA5506はデフォルトでFirePOWERソフトウェアモジュールがインストールされています。 フル機能の利用には、別途 専用ライセンスの購入が必要です。

当モジュールは無通信時も若干のCPU負荷などを伴います。また、冗長構成の場合、何らかのトラブルなどで当モジュールの再起動や停止が発生すると、Failoverの原因となります。

FirePOWERソフトウェアモジュールは、必要になった場合は 何時でも再インストールが可能です。

FirePOWERのライセンスをお持ちでなかったり、しばらく当モジュール機能の利用予定のない場合は、アンインストールをお勧めします。

ciscoasa# sw-module module sfr uninstall

Module sfr will be uninstalled. This will completely remove the disk image assocated with the sw-module including any configuration that existed within it.

Uninstall module sfr? [confirm]
Uninstall issued for module sfr.

 

　　　　

　　　　　　　

4. ASA5505から ASA5506に、設定移行例

本ドキュメントでは以下手順で 設定移行を進めます。

4.1. ASA5505 設定バックアップ (既存機)
4.2. ASA5505 9.2 最新バージョンにアップグレード、動作試験
4.3. ASA5505 設定バックアップ (9.2にアップグレード後)
4.4. ASA5506 9.3 最新バージョンにアップグレード、ライセンス有効化
4.5. ASA5505 設定の一部修正と、ASA5506に流し込み
4.6. ASA5505 9.2と ASA5506 9.3の設定差分を比較
4.7. ASA5506 ローカル試験
4.8. ASA5506 リプレース、動作確認
4.9. 必要に応じて ASAソフトウェア 9.3以降にアップグレード

　　　　
上記手順を採用する理由ですが、以下記載の、トレイン毎の機能の違いや、アップグレード時の設定コンバート機能の利用を考慮しています。

• ASAはトレインが変わる毎に、機能追加や変更が多く実施される
  (例：8.2→8.3→8.4→9.0→9.1→・・)
• トレインの差が開くほど、その差分は大きくなる
• ASAはアップグレード時、必要に応じて設定の自動コンバート・最適化が行われる
  特に、ASAバージョン8.2→8.3+ 移行時や、8.x→9.x移行時は変動が大きい
• ASA5505は9.2トレインまでのサポート
• ASA5506は9.3トレインからのサポート

　　　　
つまり、ASA5505を 9.2 最新バージョンまでアップグレード・設定コンバートを実施後、そのASA5505設定を ASA5506の9.3 最新バージョンに移行する事で、トレインの差が最小となり、設定移行時のトラブル発生リスクを大きく下げれます。

　　　　

4.1. ASA5505 設定バックアップ (既存機)

何らかの問題発生時の切戻し用に、既存機の設定のバックアップを取得します。 以下２つを取得します。

• CLIから 以下コマンド出力のバックアップ
• more system:running-config
• show version
• show inventory
  　　　

• ASDMから バックアップファイルの取得

https://supportforums.cisco.com/ja/document/12931301

　　　

4.2. ASA5505 9.2 最新バージョンにアップグレード、動作試験

ASA5505 バージョン9.2の設定にコンバートするため、ASA5505を 9.2トレインの最新バージョンにアップグレードします。

アップグレードをする機器は、ご利用中の本番機、もしくは 予備機(もしくは検証機)の利用を検討します。

本番機のアップグレードを行う場合、アップグレード時のダウンタイムや 設定コンバート時のトラブル発生リスクに備える必要がありますが、バージョン 9.2の設定での動作確認を 素早く行えるメリットがあります。 

予備機(もしくは 検証機)が利用可能な場合、項番4.1で取得したバックアップファイルを その予備機にリストアすることで、バージョン9.2にアップグレード後の設定コンバート確認や、動作試験に利用することができます。 予備機を活用する事で、通信影響トラブル発生リスクや、発生時のダウンタイムを小さく抑える事ができます。

　　　　
ASA5505の バージョン9.2.4の最新Interimバージョンは、All Releases > Interim > 9 > 9.2.4 Interim から確認できます。 2016年8月現在の最新バージョンは 9.2(4)14 (ファイル名=asa924-14-k8.bin) です。

https://software.cisco.com/download/release.html?mdfid=280582808&flowid=4377&softwareid=280775065

　　　　
アップグレード手順は以下URLの「アップグレード、メンテナンス」項を参照してください。

https://supportforums.cisco.com/ja/document/12725841#ASA_Firewall-2

　　　　

なお、9.1(2)未満、もしくは 8.4(5)未満のバージョンを利用時、バージョン9.2へのアップグレード前に、中継バージョンを挟む必要があります。 詳しくは、リリースノートの、"Upgrading the Software"を参照してください。

Release Notes for the Cisco ASA Series, 9.2(x)
http://www.cisco.com/c/en/us/td/docs/security/asa/asa92/release/notes/asarn92.html#pgfId-769104

　　　
必要に応じて、9.2にアップグレード後、そのASA5505で ローカルの通信試験、もしくは 実環境での通信試験を検討してください。 9.2時の設定の正常性を確認することで、9.2までのASA5505設定が問題ないことの確認・切り分けでき、ASA5506移行後のトラブル発生リスクや トラブル時の切り分け時間の短縮ができます。

　　　　

4.3. ASA5505 設定バックアップ (9.2にアップグレード後)

9.2トレインの最新バージョンにアップグレード後の設定のバックアップを取得します。 以下２つを取得します。

• CLIから 以下コマンド出力のバックアップ
• more system:running-config
• show version
• show inventory
  　　　　

• ASDMから バックアップファイルの取得

https://supportforums.cisco.com/ja/document/12931301

　　　
ASA5505 旧バージョンと バージョン9.2アップグレード後の設定差分を比較したい場合は、項番4.6 を参考にしてください。

　　　　　

4.4. ASA5506 9.3 最新バージョンにアップグレード、ライセンス有効化

項番3.3. ASA5506の準備と ライセンスの有効化 でセットアップ済みの機器を利用します。 

AnyConnectを利用時は、当段階で.pkgファイルを TFTP経由などで、ASA5506に転送しておきます。 ASA5505で利用時のAnyConnectパッケージファイルは、Download Software からダウンロード、もしくは、ASA5505のASDM経由で取得したバックアップファイル(ZIP)を解凍し、svc > image フォルダ内にあるAnyConnect パッケージを利用できます。

　　　　

4.5. ASA5505 設定の一部修正と、ASA5506に流し込み

項番4.3で取得した"more system:running-config"の一部設定を、ASA5506流し込み用に加工します。

主な変更点は以下です。

• Interface構成の変更
• 起動時のASA・ASDMイメージ指定の変更 (必要時)

　　　
以下は実際のASA5505 9.2(4)11から、ASA5506 9.3(3)10に設定移行のための、設定編集例です。

ASA5505 - 編集箇所 抜粋 (編集前)

ASA5506 - 移行用設定 (編集後)

! interface Ethernet0/0  switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1  nameif inside  security-level 100  ip address 172.16.0.254 255.255.255.0 ! interface Vlan2  nameif outside  security-level 0  pppoe client vpdn group PPPoE-GRP  ip address pppoe setroute ! boot system disk0:/asa924-14-k8.bin !

! interface GigabitEthernet 1/1  nameif outside  security-level 0  pppoe client vpdn group PPPoE-GRP  ip address pppoe setroute  no shutdown ! interface GigabitEthernet 1/2  nameif inside  security-level 100  ip address 172.16.0.254 255.255.255.0  no shutdown ! boot system disk0:/asa924-14-k8.bin (削除)

　　　

上記例では、ASA5506は 各インターフェイスに IPアドレスやnameifを設定するため、ASA5505でEth0/1～Eth0/7に割り当てていたVlan 1(デフォルト)は、ASA5506のGiga 1/2に集約してます。ASA5505のEth0/0のVlan 2の設定は、ASA5506のGiga 1/1に移行してます。

物理Interfaceはデフォルト shutdownのため、利用するインターフェイスは no shutdownで活性化します。

起動時のソフトウェアイメージを指定している場合、既に項番4.4で指定しているため、設定行を削除します。

これら編集した"more system:running-config"設定を、別ファイル名(例："ASA5506-流し込み設定.txt"など)で保存します。

　　　　
ASA5506にコンソールケーブルを接続し、"conf t"コマンドでコンフィギュレーションモードに移動します。

まず、時刻の設定、および、必要に応じてタイムゾーンの設定を行います。

ciscoasa# conf t
ciscoasa(config)#
ciscoasa(config)# clock timezone JST 9
ciscoasa(config)#
ciscoasa(config)# clock set ?

exec mode commands/options:
 hh:mm:ss Current Time
ciscoasa(config)#
ciscoasa(config)# clock set 15:05:00 30 AUG 2016
ciscoasa(config)#

　　　
ASA5506用に編集した設定(例："ASA5506-流し込み設定.txt"など)を、コンソール ターミナルから流し込みます。 

　　　
設定後、"write memory"で設定保存し、ASA5506を再起動します。

　　　
ASA5506のCLIから 以下コマンド出力を取得し、任意テキスト名で保存してください。

•  more system:running-config
•  show version
•  show inventory

　　　　

4.6. ASA5505 9.2と ASA5506 9.3の設定差分を比較

ASA5505 9.2時と、ASA5506 9.3時の、"more system:running-config"の出力を、差分比較ツール(e.g. WinMergeなど)で比較し、大きな設定差分がない事を確認します。

デフォルト設定以外で 差分のある場合、上書きでの流し込みなどを実施し、差分が減るように試みます。

以下はWinMergeで比較時のスクリーンショットです。 (左がASA5505、右がASA5506。)

　　
　　　　　　　
トレイン毎やバージョン毎、機種毎に、デフォルト設定が変わったり、設定の並び順が変わる事があります。 デフォルト設定は、通常 そのままの利用で問題ありませんが、必要に応じて適宜編集します。

例えば、ASA5505 9.2から ASA5506 9.3に移行時、以下などのデフォルト設定差分が発生することがあります。

デフォルト差分設定例	説明
no monitor-interface service-module	Failover機能でのサービスモジュールの監視を無効  9.3(1)からサポート
service sw-reset-button	3秒以上長押しで設定リセットができるASA5506のリセットボタンを有効  9.3(2)からサポート
snmp cpu threshold rising [閾値] [min]	CPU使用率の閾値を超える利用を検知時にSNMPトラップ  SNMPトラップ機能を利用時は、必要に応じてチューニングを検討
snmp interface threshold [閾値]	物理Interfaceで閾値を超える高帯域の使用を検知時にSNMPトラップ  SNMPトラップ機能を利用時は、必要に応じてチューニングを検討

 

　　　
コマンドラインの差分について詳しくは、コマンドリファレンスなどを参照してください。

http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-command-reference-list.html

　　　
合わせ、ASA5505 9.2と ASA5506 9.3の show versionの比較も行い、ASA5506のライセンス機能有効化状況か同等、もしくは ASA5505以上であることを確認します。

　　　

4.7. ASA5506 ローカル試験

必要に応じて、ASA5506のローカル動作試験を実施するか検討します。

ご利用設定により変わりますが、例えば以下項目のローカル動作試験を検討できます。

• 各インターフェイスにPING疎通性があるか
• ASDMやTelnet/SSH(※)で管理アクセスできるか (※SSH利用時は 別途RSAキーを生成すること。詳しくはコチラ)
• 外部インターフェイス(※)からAnyConnect等で接続できるか (※固定IP利用時)
• 特定通信時にACLやNATは期待通りに動作するかの疑似試験
  (PacketTracer機能を利用。 ASA5506インターフェイスを単体HUBなどに接続しリンクアップさせた状態で行う)

　　　
ローカル試験環境で 可能な範囲で動作試験をしておくことで、リプレース時の動作確認時間の短縮や、トラブル発生リスクを下げれます。

　　　　　

4.8. ASA5506 リプレース、動作確認

十分なメンテナンス時間を確保の上、既存ASA5505から 新規ASA5506にリプレースを実施します。

また、リプレースの際、対向機器のARPテーブル情報に注意してください。 ASAの筐体変更に伴い、InterfaceのMACアドレスも変わるためです。 ローカル試験でInterfaceへの疎通性が問題無かったのに、リプレース後に Interfaceの物理IPや NAT IPに疎通性が取れない場合、対向機器のARPテーブルの ASA IPの紐付けが 旧ASA5505のMACアドレスのままである可能性があります。 対向機器のARPテーブルの更新には、対向機器にログインし手動で該当ARPエントリのクリアするか、タイムアウトまで待つか、もしくは 対向機器を再起動しARPテーブル全体をクリアする、などの方法があります。

　　　
インターフェイス構成が変わっている事に注意し、ASA5505から ASA5506にLANケーブルを差し替えます。 必要に応じて、ASA5506と 接続機器間に HUBもしくはスイッチを挟んでください。

リプレース後、ASA5506への管理アクセス性確認や、ASA5506を経由する通信の正常性を確認します。 Interfaceの疎通性が取れない場合は、リンクアップ状況のチェックや、対向機器の適宜 ARPのクリアを実施します。

　　　
リプレースが無事 成功後も、万が一のトラブル発生時の 即座の切り戻し用に、ASA5505は ASA5506の横にしばらく設置しておくことを お勧めします。

　　　

4.9. 必要に応じて ASAソフトウェア 9.3以降にアップグレード

ASA5506での 9.3トレインの最新バージョンでの動作確認後、必要に応じて 9.4トレインなどへのアップグレードを検討してください。

2016年8月現在、9.4トレインが 長期メンテナンス・サポート対象のトレインとなります。

　　　　

　　　　　

5. よくある質問

Q: ASDMのバックアップ・リストア機能を、マイグレーションに利用することは可能か

A: ASDMのバックアップ・リストア機能は、リストア対象機が同じASAバージョン・ライセンス適用状態である必要があります。  バックアップ・リストア機能を、設定のマイグレーションに利用することはサポート対象外です。

　　　　

　　　　

6. 参考情報

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841#hdr-1

ASA : ネットワーク構成別の設定例・テンプレート
https://supportforums.cisco.com/ja/document/13286926