Configuración de FTD desde el archivo de configuración ASA con la herramienta de migración de Firepower

Opciones de descarga

  • PDF     (1.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.6 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de febrero de 2022
ID del documento:217668

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe un ejemplo de migración de Adaptive Security Appliance (ASA) a Firepower Threat Defense (FTD) en FPR4145.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimiento básico de ASA
    • Conocimiento de Firepower Management Center (FMC) y FTD

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • ASA versión 9.12(2)
    • FTD versión 6.7.0
    • FMC versión 6.7.0
    • Firepower Migration Tool versión 2.5.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Exportar archivo de configuración ASA en formato .cfg o .txt. FMC debe implementarse con FTD registrado en él.

    Configurar

    1. Descargue Firepower Migration Tool desde software.cisco.com como se muestra en la imagen.

    Cisco Software Download Page - FMT

    2. Revise y verifique los requisitos en la sección Pautas y limitaciones para la Herramienta de Migración de Firepower.  

    3. Si tiene previsto migrar un archivo de configuración de gran tamaño, configure los parámetros de suspensión para que el sistema no se suspenda durante una migración.  

    3.1. Para Windows, vaya a Opciones de alimentación en el Panel de control. Haga clic en Cambiar configuración del plan junto a su plan de energía actual. Cambiar Ponga el ordenador a modo suspendido a Nunca. Haga clic en Guardar cambios.

    3.2. Para MAC, navegue hasta Preferencias del sistema > Ahorro de energía. Marque la casilla situada junto a para evitar que el ordenador se apague automáticamente cuando la pantalla esté apagada y arrastre el botón Desactivar pantalla después del control deslizante a Nunca.

    Nota: Esta advertencia, el diálogo aparece cuando los usuarios de MAC intentan abrir el archivo descargado. Ignore esto y siga el paso 4 A.

    Warning Pop Up on MAC

    4. A. Para MAC: utilice el terminal y ejecute estos comandos.

                         

    MAC Terminal Commands

                          

    MAC Terminal Output

    4. B Para Windows: haga doble clic en Firepower Migration Tool para iniciarla en un navegador de Google Chrome.  

    5. Acepte la licencia como se muestra en la imagen.

    End User License Agreement - FMT

    6. En la página de inicio de sesión de Firepower Migration Tool, haga clic en el enlace de inicio de sesión con CCO para iniciar sesión en su cuenta de Cisco.com con sus credenciales de inicio de sesión único.  

    Nota: Si no tiene una cuenta de Cisco.com, créela en la página de inicio de sesión de Cisco.com. Inicie sesión con las siguientes credenciales predeterminadas: Nombre de usuario—Contraseña de administrador—Admin123.

                                     

    Redirection to Cisco Login Page

    7. Seleccione la configuración de origen. En esta situación, es Cisco ASA (8.4+).

     

    Source Firewall Vendor Dropdown

    8. Seleccione Carga manual si no tiene conectividad con el ASA. De lo contrario, puede recuperar la configuración en ejecución del ASA e introducir la dirección IP de administración y los detalles de inicio de sesión. En nuestra situación, se realizó una carga manual.  

     

    Extracting ASA Configuration

    Nota: Este error aparece si el archivo no está soportado. Asegúrese de cambiar el formato a texto sin formato. (Se ha visto un error a pesar de tener la extensión .cfg).  

    File Type Warning

    ASA Configuration File (.cfg file type)

    9. Después de cargar el archivo, los elementos se analizarán proporcionando un resumen como se muestra en la imagen:  

    Summary of the Parsed Configuration

    10. Introduzca la IP de FMC y las credenciales de inicio de sesión a las que se migrará la configuración de ASA. Asegúrese de que la IP de FMC esté accesible desde su estación de trabajo.  

     

    Connect to FMC

     

    FMC Login Credentials

    11. Una vez conectado el FMC, se mostrarán los FTD administrados que se encuentran debajo.

     

    FTDs Managed under FMC

    12. Elija el FTD al que desea realizar la migración de la configuración ASA.  

    Target FTD Selection

    Nota: Se recomienda seleccionar el dispositivo FTD, de lo contrario las interfaces, las rutas y la configuración VPN de sitio a sitio tendrán que realizarse manualmente.  

     

    FTD Device Selection Recommendation

    13. Seleccione las funciones que se deben migrar como se muestra en la imagen.

    Features Available for Migration

    14. Seleccione Iniciar conversión para iniciar la pre-migración que rellenará los elementos pertenecientes a la configuración FTD.  

     

    Pre-Migration Selection

    15. Haga clic en Descargar informe visto anteriormente para ver el informe previo a la migración, como se muestra en la imagen.

    Pre-Migration Report

    16. Asigne las interfaces ASA a las interfaces FTD según se requiera, como se muestra en la imagen.  

     

    Mapping Interfaces

    17. Asigne zonas de seguridad y grupos de interfaz a las interfaces FTD.  

     

    Assigning Security Zone and Interface Groups

    A. Si FMC tiene zonas de seguridad y grupos de interfaz ya creados, puede seleccionarlos según sea necesario:

    Selecting Existing Security Zone

    B Si hay necesidad de crear zonas de seguridad y un grupo de interfaces, haga clic en Agregar SZ e IG como se muestra en la imagen.  

    Creating New Security Zone and Interface Groups

    C. De lo contrario, puede optar por la opción Creación automática que creará zonas de seguridad y grupos de interfaz con el nombre ASA Logical interface_sz y ASA Logical interface_ig respectivamente.  

    Auto-Create for New Security Zone and Interface Groups

    Mapping Security Zone and Interface Groups

    18. Revise y valide cada uno de los elementos FTD creados. Las alertas se ven en rojo como se muestra en la imagen.  

    Review and Validate the FTD Elements

    19. Las acciones de migración se pueden seleccionar como se muestra en la imagen si desea editar alguna regla. Las funciones de FTD de agregar archivos y la política IPS se pueden realizar en este paso.  

    Additional Actions

    Nota: Si las políticas de archivos ya existen en el FMC, se rellenarían como se muestra en la imagen. Lo mismo se aplica a las políticas IPS junto con las políticas predeterminadas.  

    File Policy Selection

    La configuración del registro se puede realizar para las reglas requeridas. La configuración del servidor Syslog existente en el FMC se puede seleccionar en esta etapa.  

    Logging Configuration

    Las acciones de regla seleccionadas se resaltarán en consecuencia para cada regla.  

    Rule Action Highlights

    20. Del mismo modo, NAT, objeto de red, objetos de puerto, interfaces, rutas, objetos VPN, túneles VPN de sitio a sitio y otros elementos según su configuración se pueden revisar paso a paso.  

       

    Nota: Se notificará a la alerta, como se muestra en la imagen, para actualizar la clave previamente compartida, ya que no se copia en el archivo de configuración de ASA. Seleccione Acciones > Actualizar clave precompartida para introducir el valor.  

    Updating Pre-Shared Key

    Entering Pre-Shared Key

    21. Por último, haga clic en el icono Validar situado en la parte inferior derecha de la pantalla, como se muestra en la imagen.

    Validate Icon

    22. Una vez que la validación se haya realizado correctamente, haga clic en Push Configuration como se muestra en la imagen.

    Validation Status

    Push in Progress

     

    Push in Progress

    23. Una vez que la migración se ha realizado correctamente, el mensaje que se mostrará se muestra en la imagen.

    Migration Completion

    Nota: Si la migración no se realiza correctamente, haga clic en Descargar informe para ver el informe posterior a la migración.  

    Report Download

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    Validación en el FMC.

    1. Navegue hasta Políticas > Control de acceso > Directiva de control de acceso > Asignación de política para confirmar que el FTD seleccionado se rellena.  

    ACP Assignment to FTD on FMC

    Nota: La política de control de acceso de migración tendría un nombre con el prefijo FTD-Mig-ACP. Si no se ha seleccionado ningún FTD en el paso 2.8, el FTD debe seleccionarse en el FMC.  

    2. Empuje la política al FTD. Navegue hasta Implementar > Implementación > Nombre FTD > Implementar como se muestra en la imagen.

    Pushing the Deployment

    Errores conocidos relacionados con la herramienta de migración de Firepower

    • Id. de error de Cisco CSCwa56374 - La herramienta FMT se cuelga en la página de asignación de zona con error con uso de memoria alto
    • Id. de error de Cisco CSCvz88730: falla de inserción de interfaz para el tipo de interfaz de administración de canal de puerto FTD
    • Id. de error de Cisco CSCvx21986 - Migración de canal de puerto a plataforma de destino - No se soporta FTD virtual
    • Id. de bug Cisco CSCvy63003 - La herramienta de migración debe inhabilitar la función de interfaz si FTD ya forma parte del clúster
    • Id. de error de Cisco CSCvx08199 - La ACL debe dividirse cuando la referencia de la aplicación es superior a 50

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    4.0
    08-Feb-2022
    Actualización de errores y referencias conocidos
    3.0
    07-Feb-2022
    Se agregaron fallos y referencias conocidos.
    2.0
    04-Feb-2022
    Actualización de la versión de software
    1.0
    02-Feb-2022
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Poornima Krishnan
      Cisco TAC Engineer
    • Carol Dsouza
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos