Konfigurieren von FTD aus der ASA-Konfigurationsdatei mit dem FirePOWER Migration Tool

Download-Optionen

  • PDF     (1.6 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.5 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:8. Februar 2022
Dokument-ID:217668

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt ein Beispiel für die Migration von Adaptive Security Appliance (ASA) zu Firepower Threat Defense (FTD) auf FPR4145.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Grundkenntnisse der ASA
    • Kenntnisse von FirePOWER Management Center (FMC) und FTD

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • ASA Version 9.12(2)
    • FTD-Version 6.7.0
    • FMC-Version 6.7.0
    • Firepower Migration Tool Version 2.5.0

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

    Hintergrundinformationen

    Exportieren Sie die ASA-Konfigurationsdatei im Format .cfg oder .txt. FMC sollte mit FTD bereitgestellt werden, die unter diesem registriert ist.

    Konfigurieren

    1. Laden Sie das FirePOWER Migration Tool von software.cisco.com herunter, wie im Bild gezeigt.

    Cisco Software Download Page - FMT

    2. Überprüfen und überprüfen Sie die Anforderungen im Abschnitt Richtlinien und Einschränkungen für das Firepower Migration Tool.  

    3. Wenn Sie eine Migration einer großen Konfigurationsdatei planen, konfigurieren Sie die Standby-Einstellungen, damit das System während eines Migrationstempels nicht in den Ruhemodus versetzt wird.  

    3.1. Navigieren Sie unter Windows zu Energieoptionen in der Systemsteuerung. Klicken Sie neben Ihrem aktuellen Energiesparplan auf Energiesparplaneinstellungen ändern. Ändern Sie den Energiesparmodus auf Nie. Klicken Sie auf Änderungen speichern.

    3.2. Navigieren Sie für MAC zu System Preferences > Energy Saver (Systemvoreinstellungen > Energiesparmodus). Aktivieren Sie das Kontrollkästchen neben dem Eintrag, um zu verhindern, dass der Computer automatisch schlief, wenn das Display ausgeschaltet ist, und ziehen Sie den Schieberegler Display Aus nach dem Schieberegler Nie.

    Anmerkung: Diese Warnung wird angezeigt, wenn MAC-Benutzer versuchen, die heruntergeladene Datei zu öffnen. Ignorieren Sie dies und befolgen Sie Schritt 4 A.

    Warning Pop Up on MAC

    4. Antwort: Für MAC - Verwenden Sie das Terminal und führen Sie diese Befehle aus.

                         

    MAC Terminal Commands

                          

    MAC Terminal Output

    4. B. Für Windows - doppelklicken Sie auf das Firepower Migration Tool, um es in einem Google Chrome-Browser zu starten.  

    5. Akzeptieren Sie die Lizenz, wie im Bild gezeigt.

    End User License Agreement - FMT

    6. Klicken Sie auf der Anmeldeseite des FirePOWER Migration Tool auf den Link Anmelden mit CCO, um sich mit Ihren Anmeldeinformationen bei Ihrem Cisco.com-Konto anzumelden.  

    Anmerkung: Wenn Sie kein Cisco.com-Konto haben, erstellen Sie es auf der Anmeldeseite von Cisco.com. Melden Sie sich mit den folgenden Standardanmeldeinformationen an: Benutzername - Administratorkennwort - Admin123.

                                     

    Redirection to Cisco Login Page

    7. Wählen Sie die Quellkonfiguration aus. In diesem Szenario ist dies Cisco ASA (8.4+).

     

    Source Firewall Vendor Dropdown

    8. Wählen Sie Manual Upload (Manuelles Hochladen) aus, wenn Sie keine Verbindung zur ASA haben. Andernfalls können Sie die aktuelle Konfiguration von der ASA abrufen und die Verwaltungs-IP- und Anmeldedaten eingeben. In unserem Szenario wurde ein manueller Upload durchgeführt.  

     

    Extracting ASA Configuration

    Anmerkung: Dieser Fehler wird angezeigt, wenn die Datei nicht unterstützt wird. Stellen Sie sicher, dass das Format in Nur-Text geändert wird. (Fehler wird trotz der Erweiterung .cfg angezeigt).  

    File Type Warning

    ASA Configuration File (.cfg file type)

    9. Nach dem Hochladen der Datei werden die Elemente analysiert, um eine Zusammenfassung bereitzustellen, wie im Bild gezeigt:  

    Summary of the Parsed Configuration

    10. Geben Sie die FMC-IP und die Anmeldeinformationen ein, auf die die ASA-Konfiguration migriert werden soll. Stellen Sie sicher, dass der FMC IP von Ihrer Workstation aus erreichbar ist.  

     

    Connect to FMC

     

    FMC Login Credentials

    11. Sobald das FMC angeschlossen ist, werden die verwalteten FTDs darunter angezeigt.

     

    FTDs Managed under FMC

    12. Wählen Sie das FTD aus, in das Sie die Migration der ASA-Konfiguration durchführen möchten.  

    Target FTD Selection

    Anmerkung: Es wird empfohlen, das FTD-Gerät auszuwählen. Andernfalls müssen Schnittstellen, Routen und die Site-to-Site-VPN-Konfiguration manuell erfolgen.  

     

    FTD Device Selection Recommendation

    13. Wählen Sie die zu migrierenden Funktionen aus, wie im Bild gezeigt.

    Features Available for Migration

    14. Wählen Sie Konvertierung starten, um die Vormigration einzuleiten, die die Elemente der FTD-Konfiguration ausfüllt.  

     

    Pre-Migration Selection

    15. Klicken Sie auf Bericht herunterladen, um den Bericht vor der Migration anzuzeigen, wie im Bild gezeigt.

    Pre-Migration Report

    16. ASA-Schnittstellen zu FTD-Schnittstellen zuordnen, wie im Bild gezeigt.  

     

    Mapping Interfaces

    17. Weisen Sie den FTD-Schnittstellen Sicherheitszonen und Schnittstellengruppen zu.  

     

    Assigning Security Zone and Interface Groups

    Antwort: Wenn das FMC bereits Sicherheitszonen und Schnittstellengruppen erstellt hat, können Sie diese nach Bedarf auswählen:

    Selecting Existing Security Zone

    B. Wenn Sicherheitszonen und eine Schnittstellengruppe erstellt werden müssen, klicken Sie auf Add SZ & IG wie im Bild gezeigt.  

    Creating New Security Zone and Interface Groups

    C. Andernfalls können Sie die Option Auto-Create (Automatisch erstellen) wählen, mit der Sicherheitszonen und Schnittstellengruppen mit dem Namen ASA Logical Interface_sz und ASA Logical Interface_ig erstellt werden.  

    Auto-Create for New Security Zone and Interface Groups

    Mapping Security Zone and Interface Groups

    18. Überprüfen und Validieren der erstellten FTD-Elemente Warnmeldungen werden rot angezeigt, wie im Bild gezeigt.  

    Review and Validate the FTD Elements

    19. Die Migrationsaktionen können wie im Bild gezeigt ausgewählt werden, wenn Sie eine Regel bearbeiten möchten. In diesem Schritt können FTD-Funktionen zum Hinzufügen von Dateien und IPS-Richtlinien durchgeführt werden.  

    Additional Actions

    Anmerkung: Wenn File Policies (Dateirichtlinien) bereits im FMC vorhanden sind, werden sie wie im Bild gezeigt ausgefüllt. Gleiches gilt für IPS-Richtlinien zusammen mit den Standardrichtlinien.  

    File Policy Selection

    Die Protokollkonfiguration kann für die erforderlichen Regeln durchgeführt werden. Die auf dem FMC vorhandene Syslog-Serverkonfiguration kann zu diesem Zeitpunkt ausgewählt werden.  

    Logging Configuration

    Die ausgewählten Regelaktionen werden für jede Regel entsprechend hervorgehoben.  

    Rule Action Highlights

    20. Ebenso können NAT, Netzwerkobjekt, Port-Objekte, Schnittstellen, Routen, VPN-Objekte, Site-to-Site-VPN-Tunnel und andere Elemente entsprechend Ihrer Konfiguration Schritt für Schritt überprüft werden.  

       

    Anmerkung: Eine Warnmeldung wird wie im Bild gezeigt angezeigt, um den vorinstallierten Schlüssel zu aktualisieren, da er nicht in die ASA-Konfigurationsdatei kopiert wird. Wählen Sie Aktionen > Vorinstallierten Schlüssel aktualisieren, um den Wert einzugeben.  

    Updating Pre-Shared Key

    Entering Pre-Shared Key

    21. Klicken Sie schließlich auf das Symbol Validieren unten rechts im Bildschirm, wie im Bild gezeigt.

    Validate Icon

    22. Wenn die Validierung erfolgreich war, klicken Sie auf Konfiguration übertragen wie im Bild gezeigt.

    Validation Status

    Push in Progress

     

    Push in Progress

    23. Nach erfolgreicher Migration wird die Meldung im Bild angezeigt.

    Migration Completion

    Anmerkung: Wenn die Migration nicht erfolgreich war, klicken Sie auf Bericht herunterladen, um den Bericht nach der Migration anzuzeigen.  

    Report Download

    Überprüfung

    In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Validierung auf dem FMC.

    1. Navigieren Sie zu Richtlinien > Zugriffskontrolle > Zugriffskontrollrichtlinie > Richtlinienzuweisung, um zu bestätigen, dass die ausgewählte FTD eingetragen ist.  

    ACP Assignment to FTD on FMC

    Anmerkung: Die Richtlinie für die Migrationszugriffskontrolle hätte einen Namen mit dem Präfix FTD-Mig-ACP. Wenn in Schritt 2.8 kein FTD ausgewählt wurde, muss das FTD im FMC ausgewählt werden.  

    2. Schicken Sie die Richtlinie an die FTD. Navigieren Sie zu Deploy > Deployment > FTD Name > Deploy (Bereitstellung > Bereitstellung > FTD-Name > Bereitstellen), wie im Bild gezeigt.

    Pushing the Deployment

    Bekannte Fehler im Zusammenhang mit dem FirePOWER Migration-Tool

    • Cisco Bug ID CSCwa56374 - Das FMT-Tool stürzt auf der Seite für die Zonenzuordnung ab und weist bei hoher Speichernutzung einen Fehler auf.
    • Cisco Bug ID CSCvz88730 - Interface Push Failure für den Schnittstellentyp FTD Port-Channel Management
    • Cisco Bug ID CSCvx21986 - Port-Channel-Migration zur Zielplattform - Virtuelles FTD wird nicht unterstützt
    • Cisco Bug ID CSCvy63003 - Das Migrations-Tool sollte die Schnittstellenfunktion deaktivieren, wenn FTD bereits Teil des Clusters ist.
    • Cisco Bug ID CSCvx08199 - Die ACL muss geteilt werden, wenn die Anwendungsreferenz mehr als 50 beträgt.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    4.0
    08-Feb-2022
    Bekannte Fehler und Verweise aktualisiert
    3.0
    07-Feb-2022
    Bekannte Fehler und Verweise hinzugefügt.
    2.0
    04-Feb-2022
    Software-Versionsaktualisierung
    1.0
    02-Feb-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Poornima Krishnan
      Cisco TAC-Techniker
    • Carol Dsouza
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.