我手动创建了一个具有以下更改的新配置文件:
新的网络对象
新的NAT语句
引用网络对象的新的访问列表
我的下一步是从8.2升级到8.3,并注意所有错误。与其清理配置,不如逐行重新进行配置?
#1 楼
给一个足够短的配置集,手动重新配置应该是一个可以接受的选择。您甚至可以采用现有的配置,然后尝试通过ASDM重新实现它,以查看新GUI返回的内容。如果您的配置是多个页面或包含大量对象,则可能是最好的选择在测试盒中实施它,以查看返回错误消息后再返回生产环境。
与从PIX到ASA的迁移不同,思科从未发布过健全性检查工具。
#2 楼
我绝对会建议重新构建配置以进行清理。规则经常被放入,要么变得陈旧,要么从未使用过。这是从头开始的绝佳机会。我所做的最后一次升级花了大约一周的时间来重新编写规则,但是它们更加整洁并带有标签。
#3 楼
我们刚刚经历了此过程,我从头开始重新构建配置。我的配置只有大约6页,所以并不可怕。这还允许将一些对象合并到对象组中,并审核ASA中存在的规则。如果配置太大,则可以尝试在GNS3中设置8.2,应用配置然后进行更新。从未尝试在GNS3中进行ASA升级,但是在GNS3中有8.2、8.3和8.4正常工作。
如果您有一个主用/备用对,另一种选择是在维护期间断开该对并升级备用。一切通过验证后,将其作为主要设备,并在升级后将另一个作为备用设备重新放入对。如果测试失败,则将备用单元降级并将其恢复为旧对。