接続を切断せずにASAグローバルPATアドレスをカットオーバー
現在、ASA5585(動的PAT)を使用して、特定のサブネットから外部インターフェイスのIPまですべてをPATしています。プールが枯渇しているため、グローバルIP範囲を拡大する必要があります。既存の接続を切断せずに新しい範囲に切り替わる方法を誰かが考えることができますか?見てくれてありがとう!
https://supportforums.Cisco.com/message/37694 のスレッドによると、NATルールを変更すると、既存の翻訳が維持され、新しい接続は新しいプールを使用します。
上記のコメントに基づいて、それは不可能です。
外部プールのIPアドレスを完全に変更する場合は、接続があれば必須再確立する必要があります。リモートエンドポイントは、新しいIPアドレスで同じセッションを再利用することを何らかの方法で知る必要があります。
それが可能な唯一の方法は、古い範囲全体が完全に新しい範囲内に含まれている場合です。それでも、ASAが何をするかはわかりません(ただし、正しく設計されていれば、既存のセッションは続行されます)。ただし、プールを完全に変更する場合は、すべてのセッションをドロップする必要があることを私は知っています。