• プレフィックスリストと一致するルートマップを指定する OSPF redistribute コマンドは、9.20(2) で削除されます。9.20(2) にアップグレードすると、指定されたルートマップが match ip address prefix-list を使用する OSPF redistribute コマンドが設定から削除されます。プレフィックスリストはサポートされていませんが、パーサーでは引き続きこのコマンド使用できます。アップグレードする前に、match ip address コマンドで ACL を指定するルートマップを使用するように OSPF を再設定する必要があります。

• ASDM 7.19(1) には Oracle Java バージョン 8u261 以降が必要です。ASDM 7.19 にアップグレードする前に、Oracle Java（使用している場合）をバージョン 8u261 以降に更新してください。このバージョンでは、ASDM Launcher のアップグレードに必要な TLSv1.3 がサポートされています。OpenJRE は影響を受けません。

• 9.18(2)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート：ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。（CSCwb05291、CSCwb05264）

• 同じポートを使用した同じインターフェイスで HTTPS/ASDM（HTTPS 認証を使用）および SSL を有効にした場合の 9.18(1) アップグレードの問題：同じインターフェイス上で SSL（[webvpn] > [インターフェイスの有効化（enable interface）]）と HTTPS/ASDM（http ）アクセスの両方を有効にした場合、https://ip_address から AnyConnect にアクセスでき、https://ip_address/admin から ASDM にアクセスできます。どちらもポート 443 を使用します。ただし、HTTPS 認証（aaa authentication http console）も有効にする場合は、9.18(1) 以降、ASDM アクセス用に別のポートを指定する必要があります。http コマンドを使用してアップグレードする前に、ポートを変更してください。（CSCvz92016）

• ASDM アップグレードウィザード：ASD API 移行のため、ASA 9.18 以降にアップグレードするには ASDM 7.18 以降を使用する必要があります。ASDM は以前の ASA バージョンと下位互換性があるため、どの ASA バージョンでも ASDM を 7.18 以降にアップグレードできます。

• 9.17(1.13)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート：ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。（CSCwb05291、CSCwb05264）

• 9.17(1) 以降でのクライアントレス SSL VPN はサポートされていません。クライアントレス SSL VPN はサポートされなくなりました。

  • webvpn：次のサブコマンドが削除されています。

    • apcf

    • java-trustpoint

    • onscreen-keyboard

    • port-forward

    • portal-access-rule

    • rewrite

    • smart-tunnel

  • group-policy webvpn：次のサブコマンドが削除されています。

    • port-forward

    • smart-tunnel

    • ssl-clientless

• ASDM アップグレードウィザード：2022 年 3 月以降の内部変更により、アップグレードウィザードは ASDM 7.17(1.152) より前のバージョンでは機能しなくなります。ウィザードを使用するには、手動で 7.17(1.152) にアップグレードする必要があります。

• 9.16(3.19)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート：ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。（CSCwb05291、CSCwb05264）

• MD5 ハッシュと DES 暗号化を使用する SNMPv3 ユーザーはサポートされなくなり、9.16(1) にアップグレードするとユーザーが削除されます。アップグレードする前に、snmp-server user コマンドを使用してユーザー設定をより高いセキュリティアルゴリズムに変更してください。

• 9.16(1) では SSH ホストキーアクションが必要：RSA に加えて、EDDSA および ECDSA ホストキーのサポートが追加されました。ASA は、存在する場合、EDDSA、ECDSA、RSA の順にキーの使用を試みます。9.16(1) にアップグレードすると、ASA は既存の RSA キーを使用するようにフォールバックします。ただし、できるだけ早くcrypto key generate {eddsa | ecdsa} コマンドを使用してセキュリティレベルの高いセキュリティキーを生成することを推奨します。また、ssh key-exchange hostkey rsa コマンドで RSA キーを使用するように ASA を明示的に設定する場合は、2048 ビット以上のキーを生成する必要があります。アップグレードの互換性のために、ASA はデフォルトのホストキー設定が使用されている場合にのみ、より小さい RSA ホストキーを使用します。RSA のサポートは今後のリリースで削除されます。

• 9.16 以降では、RSA キーを使用した証明書は ECDSA 暗号と互換性がない：ECDHE_ECDSA 暗号グループを使用する場合は、ECDSA 対応キーを含む証明書を使用してトラストポイントを設定します。

• ssh version コマンドは 9.16(1) で削除されました：このコマンドは削除されました。SSH バージョン 2 のみサポートされます。

• SAMLv1 機能は 9.16(1) で削除されました：SAMLv1 のサポートは削除されました。

• 9.16(1) では DH グループ 2、5、24 はサポートされません：SSL DH グループ設定の DH グループ 2、5、および 24 のサポートは削除されました。ssl dh-groupコマンドが更新され、コマンドオプション group2、group5およびgroup24が削除されました。

• ASA 9.15(1) 以降では、ASA 5525-X、ASA 5545-X、および ASA 5555-X はサポート対象外：ASA 9.14(x) がサポートされている最後のバージョンです。ASA FirePOWER モジュールについては、6.6 がサポートされている最後のバージョンです。

• シスコは、ASA バージョン 9.17(1) で有効なクライアントレス SSL VPN の非推奨機能を発表：9.17(1) より前のリリースでは、限定的なサポートが継続されます。

• Firepower 1010 の場合の無効な VLAN ID による問題発生の可能性：9.15(1) にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。

• SAMLv1 機能の廃止：SAMLv1 のサポートは廃止されました。

• ASA 9.15(1) での低セキュリティ暗号の削除：IKE および IPsecで使用される安全性の低い次の暗号のサポートが廃止されました。

  • Diffie-Hellman グループ：2 および 24

  • 暗号化アルゴリズム：DES、3DES、AES-GMAC、AES-GMAC-192、AES-GMAC-256、NULL、ESP-3DES、ESP-DES、ESP-MD5-HMAC

  • ハッシュアルゴリズム：MD5

  （注）	安全性の低い SSH 暗号と SSL 暗号はまだ廃止されていません。

  ASA の以前のバージョンからバージョン 9.15(1) にアップグレードする前に、9.15(1) でサポートされている暗号を使用するように VPN 設定を更新する必要があります。そのようにしないと、古い設定が拒否されます。設定が拒否されると、コマンドに応じて次のいずれかのアクションが実行されます。

  • コマンドはデフォルトの暗号を使用する。

  • コマンドが削除される。

  アップグレード前の設定の修正は、クラスタリングまたはフェールオーバーの展開で特に重要です。たとえば、セカンダリユニットが 9.15(1) にアップグレードされ、削除された暗号がプライマリからこのユニットに同期された場合、セカンダリユニットは設定を拒否します。この拒否により、クラスタへの参加の失敗などの予期しない動作が発生する可能性があります。

  IKEv1：次のサブコマンドが削除されています。

  • crypto ikev1 policy priority:

    • hash md5

    • encryption 3des

    • encryption des

    • group 2

  IKEv2：次のサブコマンドが削除されています。

  • crypto ikev2 policy priority:

    • prf md5

    • integrity md5

    • group 2

    • group 24

    • encryption 3des

    • encryption des

    • encryption null

  IPsec：次のサブコマンドが削除されています。

  • crypto ipsec ikev1 transform-set name esp-3des esp-des esp-md5-hmac

  • crypto ipsec ikev2 ipsec-proposal name

    • protocol esp integrity md5

    • protocol esp encryption 3des aes-gmac aes-gmac- 192 aes-gmac -256 des

  • crypto ipsec profile name

    • set pfs group2 group24

  Crypto Map：次のサブコマンドが削除されています。

  • crypto map name sequence set pfs group2

  • crypto map name sequence set pfs group24

  • crypto map name sequence set ikev1 phase1-mode aggressive group2

• CRL 配布ポイント設定の再導入：9.13(1) で削除された静的 CDP URL 設定オプションが match-certificate コマンドに再導入されました。

• バイパス証明書の有効性チェックオプションの復元：CRL または OCSP サーバーとの接続の問題による失効チェックをバイパスするオプションが復元されました。

  次のサブコマンドが復元されました。

  • revocation-check crl none

  • revocation-check ocsp none

  • revocation-check crl ocsp none

  • revocation-check ocsp crl none

• 9.14(4.14)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート：ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。（CSCwb05291、CSCwb05264）

• アプライアンスモードの Firepower 1000 および 2100 での ASDM Cisco.com アップグレードウィザードの失敗：ASDM Cisco.com アップグレードウィザードは、9.14 へのアップグレードには使用できません（[Tools] > [Check for ASA/ASDM Updates]）。ウィザードでは ASDM を 7.13 から 7.14 にアップグレードできますが、ASA イメージのアップグレードはグレー表示されます（CSCvt72183）。回避策として、次のいずれかの方法を使用してください。

  • ASA と ASDM の両方で [Tools] > [Upgrade Software from Local Computer] を使用します。9.14(1) バンドルの ASDM イメージ（7.14(1)）にも CSCvt72183 のバグがあることに注意してください。ウィザードを正しく機能させるには、より新しい 7.14(1.46) イメージをダウンロードする必要があります。

  • [Tools] > [Check for ASA/ASDM Updates] を使用して ASDM 7.14 にアップグレードします（バージョンは 7.14(1.46) になる）。次に、新しい ASDM を使用して ASA イメージをアップグレードします。致命的なインストールエラーが表示されることがあることに注意してください。この場合は、[OK] をクリックします。次に、[Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration] 画面で、ブートイメージを手動で設定する必要があります。設定を保存し、ASA をリロードします。

• 9.14(1) 以降のフェールオーバーペアの場合、ASA は SNMP クライアントエンジンデータをピアと共有しません。

• ASA 9.14(1) 以降では、cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount の OID はサポートされません（CSCvy22526）。

• プラットフォームモードでの Firepower 2100 のアップグレード：9.14 以降にアップグレードするときに、アップグレード時に EtherChannel（ポートチャネル）が無効になっていた場合は、アップグレード後に EtherChannel とそのメンバーインターフェイスの両方を手動で有効にする必要があります。

• プラットフォームモードでの 9.13/9.14 から 9.12 以前への Firepower 2100 のダウングレードの問題：プラットフォームモードに変換した 9.13 または 9.14 を新規インストールした Firepower 2100 の場合：9.12 以前にダウングレードすると、FXOS で新しいインターフェイスの設定や、既存インターフェイスの編集ができなくなります（9.12 以前ではプラットフォームモードのみがサポートされています）。バージョンを 9.13 以降に戻すか、または FXOS の erase configuration コマンドを使用して設定をクリアする必要があります。この問題は、元々以前のリリースから 9.13 または 9.14 にアップグレードした場合は発生しません。新しいデバイスや再イメージ化されたデバイスなど、新規インストールのみが影響を受けます。（CSCvr19755）

• tls-proxy キーワード、および SCCP/Skinny 暗号化インスペクションのサポートは、inspect skinny コマンドから削除されました。

• ASDM アップグレードウィザード：内部的な変更により、このウィザードでは ASDM 7.10(1) 以降の使用のみがサポートされています。また、イメージの命名が変更されたため、ASA 9.10(1) 以降にアップグレードするには、ASDM 7.12(1) 以降を使用する必要があります。ASDM には ASA の以前のリリースと下位互換性があるため、実行している ASA バージョンを問わず、ASDM をアップグレードすることができます。ASDM 7.13 と 7.14 は、ASA 5512-X、5515-X、5585-X、または ASASM をサポートしていませんでした。そのため、ASDM 7.13(1.101) または 7.14(1.48) にアップグレードして ASDM のサポートを復活させる必要があります。

• 9.13(1) 以降では ASAv に 2GB のメモリが必要：9.13(1) 以降の ASAv の最小メモリ要件は 2GB です。現在の ASAv が 2 GB 未満のメモリで動作している場合は、以前のバージョンから 9.13(1) にアップグレードできません。アップグレードする前にメモリサイズを調整する必要があります。バージョン 9.13(1) でサポートされているリソース割り当て（vCPU とメモリ）については、ASAv のスタートアップガイドを参照してください。

• プラットフォームモードでの 9.13 から 9.12 以前への Firepower 2100 のダウングレードの問題：プラットフォームモードに変換した 9.13 を新規インストールした Firepower 2100 の場合：9.12 以前にダウングレードすると、FXOS で新しいインターフェイスの設定や、既存のインターフェイスの編集ができなくなります（9.12 以前ではプラットフォームモードのみがサポートされていたことに注意してください）。バージョンを 9.13 に戻すか、または FXOS の erase configuration コマンドを使用して設定をクリアする必要があります。この問題は、元々以前のリリースから 9.13 にアップグレードした場合は発生しません。新しいデバイスや再イメージ化されたデバイスなど、新規インストールのみが影響を受けます。（CSCvr19755）

• 9.13(1) でのクラスタ制御リンク MTU の変更：9.13(1) 以降では、多くのクラスタ制御パケットが以前のリリースよりも大きくなっています。クラスタ制御リンクに推奨されている MTU は常に 1600 以上であり、この値が適切です。ただし、MTU を1600に設定しても接続スイッチの MTU と一致しなかった場合は（スイッチの MTU を1500 のままにしたなど）、ドロップされたクラスタ制御パケットとのこの不一致の影響が現れ始めます。クラスタ制御リンク上のすべてのデバイスが同じ MTU（具体的には 1600 以上）に設定されていることを確認します。

• 9.13(1) 以降、ASA は、次の認定条件のいずれかが満たされている場合にのみ、LDAP/SSL 接続を確立します。

  • LDAP サーバー証明書が信頼されていて（トラストポイントまたは ASA トラストプールに存在する）、有効であること。

  • チェーンを発行しているサーバーからの CA 証明書が信頼されていて（トラストポイントまたは ASA トラストプールに存在する）、チェーン内のすべての下位 CA 証明書が完全かつ有効であること。

• ローカル CA サーバーは 9.13(1) で削除される：ASA がローカル CA サーバーとして設定されている場合、デジタル証明書の発行、証明書失効リスト（CRL）の発行、および発行された証明書の安全な取り消しが可能です。この機能は古くなったため、crypto ca server コマンドは削除されています。

• CRL 配布ポイントコマンドの削除：スタティック CDP URL 設定コマンド、つまり crypto-ca-trustpoint crl と crl url は関連する他のロジックとともに削除されました。CDP URL が match certificate コマンドに移動されました。

  （注）	CDP URL 設定が拡張され、単一のマップに対して CDP オーバーライドの複数のインスタンスを許可するようになりました（CSCvu05216 を参照）。

• バイパス証明書の有効性チェックオプションの削除：CRL または OCSP サーバーとの接続の問題による失効チェックをバイパスするオプションが削除されました。

  次のサブコマンドが削除されています。

  • revocation-check crl none

  • revocation-check ocsp none

  • revocation-check crl ocsp none

  • revocation-check ocsp crl none

  したがって、アップグレード後は、trailing none を無視することで、サポートされなくなった revocation-check コマンドは新しい動作に移行します。

  （注）	これらのコマンドは後で復元されました（CSCtb41710 を参照）。

• 低セキュリティの暗号の廃止：ASA IKE、IPsec、および SSH モジュールで使用されるいくつかの暗号化方式は、安全ではないと見なされ、廃止されています。これらは、以降のリリースで削除されます。

  IKEv1：次のサブコマンドは廃止されています。

  • crypto ikev1 policy priority:

    • hash md5

    • encryption 3des

    • encryption des

    • group 2

    • group 5

  IKEv2：次のサブコマンドは廃止されています。

  • crypto ikev2 policy priority

    • integrity md5

    • prf md5

    • group 2

    • group 5

    • group 24

    • encryption 3des

    • encryption des （このコマンドは、DES 暗号化ライセンスのみがある場合でも使用できます）

    • encryption null

  IPsec：次のコマンドは廃止されています。

  • crypto ipsec ikev1 transform-set name esp-3des esp-des esp-md5-hmac

  • crypto ipsec ikev2 ipsec-proposal name

    • protocol esp integrity md5

    • protocol esp encryption 3des aes-gmac aes-gmac- 192 aes-gmac -256 des

  • crypto ipsec profile name

    • set pfs group2 group5 group24

  SSH：次のコマンドは廃止されました。

  • ssh cipher integrity custom hmac-sha1-96:hmac-md5: hmac-md5-96

  • ssh key-exchange group dh-group1-sha1

  SSL：次のコマンドは廃止されました。

  • ssl dh-group group2

  • ssl dh-group group5

  • ssl dh-group group24

  暗号マップ：次のコマンドは廃止されました。

  • crypto map name sequence set pfs group2

  • crypto map name sequence set pfs group5

  • crypto map name sequence set pfs group24

  • crypto map name sequence set ikev1 phase1-mode aggressive group2

  • crypto map name sequence set ikev1 phase1-mode aggressive group5

• crypto map set pfs 、crypto ipsec profile 、crypto dynamic-map set pfs 、および crypto map set ikev1 phase1-mode を使用する IPsec PFS の crypto ikev1 policy 、ssl dh-group 、および crypto ikev2 policy の group コマンドのデフォルトは、9.13(1) では、Diffie-Hellman Group 14 になりました。以前のデフォルトの Diffie-Hellman グループは Group 2 でした。

  9.13 (1) 以前のリリースからアップグレードし、古いデフォルト（Diffie-Hellman Group 2） を使用する必要がある場合は、DH グループを group 2 として手動で設定する必要があります。そうでない場合、トンネルはデフォルトで Group 14 に設定されます。group 2 は今後のリリースで削除されるため、できるだけ早く group 14 にトンネルを移動する必要があります。

• 9.12(4.50)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート：ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。（CSCwb05291、CSCwb05264）

• ASDM アップグレード ウィザード：内部的な変更により、このウィザードでは ASDM 7.10(1) 以降の使用のみがサポートされています。また、イメージの命名が変更されたため、ASA 9.10(1) 以降にアップグレードするには、ASDM 7.12(1) 以降を使用する必要があります。ASDM には ASA の以前のリリースと下位互換性があるため、実行している ASA バージョンを問わず、ASDM をアップグレードすることができます。

• 9.12(1) での SSH セキュリティの改善と新しいデフォルト設定：次の SSH セキュリティの改善点を参照してください。

  • SSH バージョン 1 はサポートされなくなりました。バージョン 2 のみがサポートされています。ssh version 1 コマンドは ssh version 2 に移行されます。

  • Diffie-Hellman Group 14 SHA256 キー交換のサポート。この設定がデフォルト（ssh key-exchange group dh-group14-sha256 ）になりました。以前のデフォルトは Group 1 SHA1 でした。SSH クライアントが Diffie-Hellman Group 14 SHA256 をサポートしていることを確認してください。サポートしていない場合は、「Couldn't agree on a key exchange algorithm」などのエラーが表示されることがあります。たとえば、OpenSSH では Diffie-Hellman Group 14 SHA256 がサポートされています。

  • HMAC-SHA256 整合性暗号のサポート。デフォルトは、高セキュリティの暗号セット（ssh cipher integrity high コマンドによって定義された hmac-sha1 および hmac-sha2-256）になりました。以前のデフォルトは中程度のセットでした。

• NULL-SHA TLSv1 暗号は廃止され、9.12(1) では削除されている：NULL-SHA は暗号化を提供せず、現在の脅威に対して安全とは見なされなくなったため、tls-proxy mode コマンド/オプションおよび show ssl ciphers all の出力に TLSv1 でサポートされている暗号を一覧表示すると削除されます。ssl cipher tlsv1 all コマンドと ssl cipher tlsv1 custom NULL-SHA コマンドも廃止され、削除されます。

• 9.12(1) ではデフォルトの trustpool が削除されている：PSB 要件、SEC-AUT-DEFROOT に準拠するため、「デフォルト」の信頼できる CA バンドルが ASA イメージから削除されています。その結果、 crypto ca trustpool import default コマンドと crypto ca trustpool import clean default コマンドも、その他の関連ロジックとともに削除されています。ただし、既存の展開では、これらのコマンドを使用して以前にインポートされた証明書はそのまま残ります。

• ssl encryption コマンドは 9.12(1) で削除されている：9.3(2) では、廃止が公表され、ssl cipher に置き換えられます。9.12(1) では、ssl encryption が削除され、サポートされなくなりました。

• 内部的な変更により、ASDM アップグレードウィザードでは ASDM 7.10(1) 以降の使用のみがサポートされています。また、イメージの命名が変更されたため、ASA 9.10(1) 以降にアップグレードするには、ASDM 7.12(1) 以降を使用する必要がありますASDM には ASA の以前のリリースと下位互換性があるため、実行している ASA バージョンを問わず、ASDM をアップグレードすることができます。

• 9.9(2) 以降での大規模な構成による ASA 5506-X のメモリの問題：9.9(2) 以降にアップグレードする場合、大規模な構成の一部がメモリ不足のため拒否され、「エラーが発生しました：ルールをインストールするためのメモリが不足しています（ERROR: Insufficient memory to install the rules）」のメッセージが表示される場合があります。これを回避する方法の 1 つに、object-group-search access-control コマンドを入力して、ACL のメモリ使用量を改善する方法があります。ただし、パフォーマンスに影響する可能性があります。また、9.9(1) にダウン グレードする方法もあります。

• 9.8(4.45)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート：ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。（CSCwb05291、CSCwb05264）

• 9.8(2) 以降にアップグレードする前に、FIPS モードではフェールオーバーキーを 14 文字以上にする必要があります。FIPS モードで 9.8(2) 以降にアップグレードする前に、failover key または failover ipsec pre-shared-key を 14 文字以上に変更する必要があります。フェールオーバーキーが短すぎる場合、最初のユニットをアップグレードしたときにフェールオーバーキーが拒否され、フェールオーバーキーを有効な値に設定するまで、両方のユニットがアクティブになります。

• Amazon Web サービスの ASAv については 9.8(1) にアップグレードしないようにしてください。CSCve56153 のため、9.8(1) にアップグレードするべきではありません。アップグレード後に、ASAv はアクセス不能になります。代わりに 9.8(1.5) 以降にアップグレードしてください。

• VTI および VXLAN VNI 用の 9.7(1) ～ 9.7(1.X) およびそれ以降のアップグレードに関する問題：Virtual Tunnel Interfaces（VTI）と VXLAN Virtual Network Identifier（VNI）の両方のインターフェイスを設定すると、フェールオーバー用のゼロ ダウンタイム アップグレードは実行できません。両方のユニットが同じバージョンになるまでは、これらのインターフェイス タイプの接続はスタンバイ ユニットに複製されません。（CSCvc83062）

• （ASA 9.6(2) ～ 9.7(x)）SSH 公開キー認証使用時のアップグレードの影響：SSH 認証が更新されることにより、SSH 公開キー認証を有効にするための新たな設定が必要となります。そのため、公開キー認証を使用した既存の SSH 設定はアップグレード後機能しません。公開キー認証は、Amazon Web サービス（AWS）の ASAv のデフォルトであるため、AWS のユーザーはこの問題を確認する必要があります。SSH 接続を失う問題を避けるには、アップグレードの前に設定を更新します。または（ASDM アクセスが有効になっている場合）アップグレード後に ASDM を使用して設定を修正できます。

  （注）	元の行動が 9.8(1) で復元されました。

  ユーザー名が「admin」の場合の設定例を示します。

  
  
  username admin nopassword privilege 15
  username admin attributes
    ssh authentication publickey 55:06:47:eb:13:75:fc:5c:a8:c1:2c:bb:
    07:80:3a:fc:d9:08:a9:1f:34:76:31:ed:ab:bd:3a:9e:03:14:1e:1b hashed
  
  

  ssh authentication コマンドを使用するには、アップグレードの前に次のコマンドを入力します。

  
  
  aaa authentication ssh console LOCAL
  username admin password <password> privilege 15
  
  

  nopassword キーワードが存在している場合、これを維持するのではなく、代わりにユーザー名に対応したパスワードを設定することを推奨します。nopassword キーワードは、パスワードの入力不可を意味するのではなく、任意のパスワードを入力できます。9.6(2) より前のバージョンでは、aaa コマンドは SSH 公開キー認証に必須ではありませんでした。このため、nopassword キーワードはトリガーされませんでした。本バージョンより aaa コマンドは必須となり、password （または nopassword ）キーワードが存在する場合、自動的に username の通常のパスワード認証を許可するようになりました。

  アップグレード後は、username コマンドに対する password または nopassword キーワードの指定は任意となり、ユーザーがパスワードを入力できないように指定できます。よって、公開キー認証のみを強制的に使用する場合は、username コマンドを入力しなおします。

  
  
  username admin privilege 15
  
  

• Firepower 9300 で ASA をアップグレードする場合のアップグレードの影響：バックエンドにおけるライセンス権限付与名義の変更により、ASA 9.6(1)/FXOS 1.1(4) にアップグレードした場合、最初のリロードの際にスタートアップ コンフィギュレーションが正しく解析されず、アドオンの権利付与に対応する設定が拒否されることがあります。

  スタンドアロン ASA では、新バージョンでのリロード後、権限付与が処理され、「承認済み」状態になるのを待ち（[show license all] または [Monitoring] > [Properties] > [Smart License]）、そのまま設定を保存しないで、もう一度リロード（[reload] または [Tools] > [System Reload]）してください。リロードすると、スタートアップ コンフィギュレーションが正しく解析されます。

  フェールオーバー ペアにアドオンの権限付与がある場合は、FXOS リリースノートのアップグレード手順に従い、さらに各装置のリロード後にフェールオーバーをリセットしてください（failover reset または [Monitoring] > [Properties] > [Failover] > [Status]、[Monitoring] > [Failover] > [System] または [Monitoring] > [Failover] > [Failover Group] を選択後、Reset Failover をクリック）。

  クラスタに関しては、FXOS のリリース ノートのアップグレード手順に従います。以降、さらなる操作は不要です。

• 9.5(2) 新しいキャリア ライセンス：新しいキャリア ライセンスは既存の GTP/GPRS ライセンスを置き換え、SCTP と Diameter インスペクションもサポートします。Firepower 9300 ASA セキュリティ モジュールの場合、feature mobile-sp コマンドは feature carrier コマンドに自動的に移行します。

• 廃止された 9.5(2) 電子メール プロキシ コマンド：ASA バージョン 9.5(2) では、電子メール プロキシ コマンド（imap4s 、pop3s 、smtps ）およびサブコマンドはサポートされなくなりました。

• 廃止または移行された 9.5(2) CSD コマンド：ASA バージョン 9.5(2) では、CSD コマンド（csd image 、show webvpn csd image 、show webvpn csd 、show webvpn csd hostscan 、show webvpn csd hostscan image ）はサポートされなくなりました。

  次の CSD コマンドは移行されます：csd enable は hostscan enable に移行、csd hostscan image は hostscan image に移行。

• 廃止された 9.5(2) Select AAA コマンド：ASA バージョン 9.5(2) では、次の AAA コマンドおよびサブコマンド（override-account-disable 、authentication crack ）はサポートされなくなりました。

• 9.5(1) 次のコマンドが廃止されました。 timeout gsn

• ASA 5508-X および 5516-X を 9.5（x）以降へアップグレードする場合における問題：ASA バージョン 9.5（x）以降へアップグレードする前に、ジャンボフレーム予約を一度も有効にしたことがない場合は、最大のメモリフットプリントをチェックする必要があります。製造上の不具合により、ソフトウェアのメモリ制限が誤って適用されていることがあります。以下の修正を適用せずに 9.5（x）以降にアップグレードした場合、デバイスはブートアップ時にクラッシュします。この場合、ROMMON （「Load an Image for the ASA 5500-X Series Using ROMMON」） を使用して 9.4 にダウングレードし、次の手順を実行して再度アップグレードする必要があります。

  1. 次のコマンドを入力して障害のステータスをチェックします。

     
     ciscoasa# show memory detail | include Max memory footprint
     Max memory footprint        =    456384512
     Max memory footprint        =            0
     Max memory footprint        =    456384512
     
     

     456,384,512 より少ない値が [Max memory footprint] に戻される場合は障害が発生しているため、アップグレード前に次の手順を実施する必要があります。表示されるメモリが 456,384,512 以上であれば、この手順の残りをスキップして通常通りにアップグレードできます。

  2. グローバル コンフィギュレーション モードを開始します。

     
     ciscoasa# configure terminal
     ciscoasa(config)#
     
     

  3. 一時的にジャンボフレーム予約を有効にします。

     
     ciscoasa(config)# jumbo-frame reservation
     WARNING: This command will take effect after the running-config
     is saved and the system has been rebooted. Command accepted.
     INFO: Interface MTU should be increased to avoid fragmenting
     jumbo frames during transmit
     

     （注）	ASA はリロードしません。

  4. 設定を保存します。

     
     ciscoasa(config)# write memory
     Building configuration...
     Cryptochecksum: b511ec95 6c90cadb aaf6b306 41579572
     14437 bytes copied in 1.320 secs (14437 bytes/sec)
     [OK]
     
     

  5. ジャンボフレーム予約を無効にします。

     
     ciscoasa(config)# no jumbo-frame reservation
     WARNING: This command will take effect after the running-config is saved and
     the system has been rebooted. Command accepted.

     （注）	ASA はリロードしません。

  6. コンフィギュレーション ファイルを再保存します。

     
     ciscoasa(config)# write memory
     Building configuration...
     Cryptochecksum: b511ec95 6c90cadb aaf6b306 41579572
     14437 bytes copied in 1.320 secs (14437 bytes/sec)
     [OK]
     
     

  7. これで、バージョン 9.5（x）以降へアップグレードできます。

• 9.4(1) ユニファイド コミュニケーション電話プロキシと Intercompany Media Engine プロキシは非推奨：ASA バージョン 9.4 では、電話プロキシと IME プロキシはサポートされません。

• 9.3(2) Transport Layer Security（TLS）バージョン 1.2 のサポート：ASDM、クライアントレス SSVPN、および AnyConnect VPN のセキュアなメッセージ送信を実現するため、TLS バージョン 1.2 をサポートします。次のコマンドが導入または変更されました。ssl client-version、ssl server-version、ssl cipher、ssl trust-point、ssl dh-group。次のコマンドが非推奨になりました。ssl encryption

• 9.3(1) AAA Windows NT ドメイン認証の廃止：リモート アクセス VPN ユーザの NTLM サポートを廃止しました。次のコマンドが非推奨になりました。aaa-server protocol nt

Auto Update Server 証明書の確認

9.2(1) デフォルトでイネーブルになる Auto Update Server 証明書の確認。Auto Update Server 証明書の確認がデフォルトでイネーブルになりました。新しい設定では、証明書の確認を明示的にディセーブルにする必要があります。証明書の確認をイネーブルにしていなかった場合に、以前のリリースからアップグレードしようとすると、証明書の確認はイネーブルではなく、次の警告が表示されます。

WARNING: The certificate provided by the auto-update servers will not be verified. In order to verify this certificate please use the verify-certificate option.

設定を移行する場合は、次のように確認なしを明示的に設定します。

auto-update server no-verification

ASDM ログインへのアップグレードの影響

リリース 9.2(2.4) より前のバージョンから 9.2(2.4) 以降にアップグレードした場合の ASDM ログインへのアップグレードの影響。リリース 9.2(2.4) より前のバージョンから ASA バージョン 9.2(2.4) 以降にアップグレードし、コマンド認可と ASDM 定義のユーザー ロールを使用している場合、読み取り専用アクセス権限をもつユーザーは ASDM にログインできなくなります。アップグレードの前または後に、more コマンドを特権レベル 5 に変更する必要があります。この変更は管理者ユーザのみができます。ASDM バージョン 7.3(2) 以降には定義済みユーザー ロールにレベル 5 の more コマンドが含まれますが、既存の設定を手作業で修正する必要があります。

ASDM：

1. [Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択し、[Configure Command Privileges] をクリックします。

2. [more] を選択し、[Edit] をクリックします。

   

3. [Privilege Level] を 5 に変更し、[OK] をクリックします。

4. [OK]、続いて [Apply] をクリックします。

CLI：

ciscoasa(config)# privilege cmd level 5 mode exec command more

• 現在の最大 MTU は 9198 バイト：MTU が 9198 を超える値に設定されている場合は、アップグレード時に MTU が自動的に削減されます。場合によっては、この MTU の変更により MTU の不一致が発生する可能性があります。接続している機器が新しい MTU 値を使用するように設定されていることを確認してください。ASA で使用できる最大の MTU は 9198 バイトです（CLI のヘルプでご使用のモデルの正確な最大値を確認してください）。この値にはレイヤ 2 ヘッダーは含まれません。以前は、ASA で 65535 バイトの最大 MTU を指定できましたが、これは不正確であり、問題が発生する可能性がありました。

• IPv6 ACL の移行：IPv6 ACL（ipv6 access-list ）は、拡張 ACL に移行されます（access-list extended ）。IPv6 ACL はサポートされなくなりました。

  IPv4 ACL と IPv6 ACL がインターフェイス（access-group コマンド）の同じ方向に適用される場合、ACL がマージされます。

  • IPv4 ACL と IPv6 ACL のいずれも access-group 以外で使用されていない場合、IPv4 ACL の名前がマージ後の ACL に使用されます。IPv6 access-list は削除されます。

  • 少なくとも 1 つの ACL が別の機能で使用されている場合、新しい ACL は IPv4-ACL-name_IPv6-ACL-name の名前で作成されます。使用中の ACL は、その他の機能に引き続き使用されます。使用されていない ACL は削除されます。IPv6 ACL が別の機能に使用されている場合は、同じ名前の拡張 ACL に移行されます。

• ACL Any Keyword の移行：ACL では IPv4 と IPv6 の両方がサポートされるようになり、any キーワードが「すべての IPv4 トラフィックと IPv6 トラフィック」を表すようになりました。any キーワードを使用するすべての既存の ACL は、「すべての IPv4 トラフィック」を表す any4 キーワードを使用するように変更されます。

  また、「すべての IPv6 トラフィック」を表す別個のキーワード、any6 が導入されました。

  any4 および any6 キーワードは、any キーワードを使用するすべてのコマンドで使用できるわけではありません。たとえば、NAT 機能では any キーワードのみを使用します。any は、特定の NAT コマンド内のコンテキストに応じて、IPv4 トラフィックまたは IPv6 トラフィックを表します。

• スタティック NAT とポート変換のアップグレード前の要件：バージョン 9.0 以降、スタティック NAT とポート変換のルールによって宛先 IP アドレスへのアクセスが制限されるのは、指定されたポートのみです。NAT ルール対象外の別のポートで宛先 IP アドレスにアクセスしようとすると、接続がブロックされます。この動作は Twice NAT の場合も同じです。さらに、Twice NAT ルールの送信元 IP アドレスと一致しないトラフィックが宛先 IP アドレスと一致する場合、宛先ポートに関係なくドロップされます。したがって、宛先 IP アドレスに対して許可される他のすべてのトラフィックのルールをアップグレード前に追加する必要があります。

  たとえば、内部サーバーへの HTTP トラフィックをポート 80 とポート 8080 間で変換する次のオブジェクト NAT ルールがあるとします。

  
  object network my-http-server
    host 10.10.10.1
    nat (inside,outside) static 192.168.1.1 80 8080
  
  

  このサーバーに FTP などの他のサービスからアクセスする必要がある場合、明示的に許可する必要があります。

  
  object network my-ftp-server
    host 10.10.10.1
    nat (inside,outside) static 192.168.1.1 ftp ftp
  
  

  また、サーバーの他の複数のポートでトラフィックを許可するために、他のすべてのポートと一致する一般的なスタティック NAT ルールを追加することができます。

  
  object network my-server-1
    host 10.10.10.1
    nat (inside,outside) static 192.168.1.1
  
  

  Twice NAT の場合は、192.168.1.0/24 から内部サーバーへの HTTP トラフィックを許可し、ポート 80 とポート 8080 間で変換する次のルールがあるとします。

  
  object network my-real-server
    host 10.10.10.1
  object network my-mapped-server
    host 192.168.1.1
  object network outside-real-hosts
    subnet 192.168.1.0 255.255.255.0
  object network outside-mapped-hosts
    subnet 10.10.11.0 255.255.255.0
  object service http-real
    service tcp destination eq 80
  object service http-mapped
    service tcp destination eq 8080
  object service ftp-real
    service tcp destination eq 21
  nat (outside,inside) source static outside-real-hosts outside-mapped-hosts destination static my-mapped-server my-real-server service http-mapped http-real
  
  

  外部のホストから内部サーバーの別のサービス（FTP など）にアクセスする必要がある場合は、そのサービスに対して別の NAT ルールを追加します。

  
  nat (outside,inside) source static outside-real-hosts outside-mapped-hosts destination static my-mapped-server my-real-server ftp-real ftp-real
  
  

  他の発信元アドレスから内部サーバーの任意のポートへアクセスする必要がある場合は、その特定の IP アドレスまたは任意の送信元 IP アドレスに対する別の NAT ルールを追加できます。一般的なルールは、特定のルールの後に並べてください。

  
  nat (outside,inside) source static any any destination static my-mapped-server my-real-server 
  
  

• トランスペアレント モードの設定の移行：8.4 では、すべてのトランスペアレント モードのインターフェイスがブリッジ グループに属します。8.4 にアップグレードすると、既存の 2 つのインターフェイスがブリッジ グループ 1 に配置され、管理 IP アドレスがブリッジ グループ仮想インターフェイス（BVI）に割り当てられます。機能は、1 つのブリッジ グループを使用する場合と同じです。ブリッジ グループ機能を活用して、ブリッジ グループごとに最大 4 つのインターフェイスを設定できます。またシングル モードで、またはコンテキストごとに最大 8 つのブリッジ グループを作成できます。

  （注）	8.3 およびそれ以前のバージョンでは、サポートされていない設定として、IP アドレスを使用せずに管理インターフェイスを設定できるほか、デバイス管理アドレスを使用してインターフェイスにアクセスできます。8.4 では、デバイス管理アドレスは BVI に割り当てられるため、その IP アドレスを使用して管理インターフェイスにアクセスできなくなります。管理インターフェイスには独自の IP アドレスが必要です。

• 8.3(1)、8.3(2)、8.4(1) から 8.4(2) にアップグレードする場合、既存の機能を保持するため、すべてのアイデンティティ NAT コンフィギュレーションに no-proxy-arp キーワードと route-lookup キーワードが含まれるようになりました。unidirectional キーワードが削除されました。

次のマニュアルでは、Cisco ASA 5500 オペレーティング システム（OS）を 8.3 より前のバージョンからバージョン 8.3 にアップグレードする場合の設定の移行プロセスについて説明します。

Cisco ASA 5500 Migration to Version 8.3