El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe el procedimiento para migrar un FTD HA de un FMC existente a otro FMC.
Para realizar una migración de firewall independiente a un nuevo FMC, consulte https://www.cisco.com/c/en/us/support/docs/security/secure-firewall-threat-defense/222480-migrate-an-ftd-from-one-fmc-to-another-f.html
ACP = Política de control de acceso
ARP = Protocolo de resolución de direcciones
CLI = Interfaz de línea de comandos
FMC = Centro de gestión de firewall seguro
FTD = Defensa frente a amenazas de firewall seguro
GARP = ARP Gratuito
HA = alta disponibilidad
MW = ventana de mantenimiento
UI = Interfaz de usuario
Antes de iniciar el proceso de migración, asegúrese de que se cumplen estos requisitos previos:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Pasos de migración
Para este escenario, consideramos estos estados:
FTD1: Principal/Activo
FTD2: Secundario/En espera
En FMC1 (FMC de origen), vaya a Dispositivos > Administración de dispositivos. Seleccione el par FTD HA y seleccione Editar:
Vaya a la pestaña Device. Asegúrese de que el FTD principal/activo (FTD1 en este caso) esté seleccionado y seleccione Exportar para exportar la configuración del dispositivo:
Nota: La opción Exportar está disponible a partir de la versión de software 7.1 y posteriores.
Puede navegar hasta la página Notifications > Tasks para asegurarse de que la exportación se ha completado. A continuación, seleccione el paquete Download Export:
También puede hacer clic en el botón Download en el área General. Se obtiene un archivo sfo, por ejemplo DeviceExport-cc3fdc40-f9d7-11ef-bf7f-6c8e2fc106f6.sfo
El archivo contiene una configuración relacionada con el dispositivo como:
Nota: El archivo de configuración exportado sólo se puede importar al mismo FTD. El UUID del FTD debe coincidir con el contenido del archivo sfo importado. El mismo FTD se puede registrar en otro FMC y se puede importar el archivo sfo.
Referencia: 'Exportar e importar la configuración del dispositivo' https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/get-started-device-settings.html#Cisco_Task.dita_7ccc8e87-6522-4ba9-bb00-eccc8b72b7c8
Navegue hasta Devices > Device Management, seleccione el par FTD HA y seleccione Switch Active Pair:
El resultado es FTD1 (principal/en espera) y FTD (secundario/activo):
Ahora el tráfico es manejado por el FTD secundario/activo:
Vaya a Devices > Device Management y Break the FTD HA:
Aparecerá esta ventana. Seleccione Yes (Sí).
Nota: En este punto, puede experimentar una interrupción del tráfico durante unos segundos, ya que el motor Snort se reinicia durante la interrupción de HA. Además, como se menciona en el mensaje, si utiliza NAT y experimenta una interrupción prolongada del tráfico, considere borrar la memoria caché ARP en los dispositivos de flujo ascendente y descendente.
Después de romper el FTD HA, tiene dos FTD independientes en FMC.
Desde el punto de vista de la configuración, el FTD2 (ex-activo) todavía tiene la configuración en su lugar excepto la configuración relacionada con la conmutación por fallas y está manejando el tráfico:
FTD3100-4# show failover
Failover Off
Failover unit Secondary
Failover LAN Interface: not Configured
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1288 maximum
MAC Address Move Notification Interval not set
FTD3100-4# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Data0/1 unassigned YES unset up up
Port-channel1 unassigned YES unset up up
Port-channel1.200 10.0.200.70 YES manual up up
Port-channel1.201 10.0.201.70 YES manual up up
El FTD1 (ex-Standby) tiene toda la configuración eliminada:
FTD3100-3# show failover
Failover Off
Failover unit Secondary
Failover LAN Interface: not Configured
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1288 maximum
MAC Address Move Notification Interval not set
FTD3100-3# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Data0/1 unassigned YES unset up up
Ethernet1/1 unassigned YES unset admin down down
Ethernet1/2 unassigned YES unset admin down down
Ethernet1/3 unassigned YES unset admin down down
Ethernet1/4 unassigned YES unset admin down down
Ethernet1/5 unassigned YES unset admin down down
Ethernet1/6 unassigned YES unset admin down down
Ethernet1/7 unassigned YES unset admin down down
Ethernet1/8 unassigned YES unset admin down down
Ethernet1/9 unassigned YES unset admin down down
Ethernet1/10 unassigned YES unset admin down down
Ethernet1/11 unassigned YES unset admin down down
Ethernet1/12 unassigned YES unset admin down down
Ethernet1/13 unassigned YES unset admin down down
Ethernet1/14 unassigned YES unset admin down down
Ethernet1/15 unassigned YES unset admin down down
Ethernet1/16 unassigned YES unset admin down down
Desconecte los cables de datos del FTD1 (antiguo primario). Deje solo conectado el puerto de administración de FTD.
Vaya a System > Tools y seleccione Import/Export:
Exporte las distintas directivas asociadas al dispositivo. Asegúrese de exportar todas las políticas adjuntas al FTD, como:
y más.
Nota: En el momento de escribir este documento, no se admite la exportación de la configuración relacionada con VPN. Debe volver a configurar manualmente la VPN en el FMC2 (FMC de destino) después del registro del dispositivo.
Mejora relacionada ID de bug de Cisco CSCwf05294 .
El resultado es un archivo .sfo; por ejemplo, ObjectExport_20250306082738.sfo
Confirme la eliminación del dispositivo:
Verificación CLI de FTD1:
> show managers
No managers configured.
>
Estado actual tras la eliminación del dispositivo FTD1:
Nota: El documento se centra en la migración de un único par FTD HA a un nuevo CSP. Por otro lado, si tiene pensado migrar varios firewalls que comparten las mismas políticas (por ejemplo, ACP, NAT) y objetos y desea hacerlo por fases, debe tener en cuenta estos puntos.
- Si ya dispone de una política en el CSP de destino con el mismo nombre, se le preguntará si:
a. ¿Desea sustituir la política o
b. Cree uno nuevo con un nombre diferente. Esto crea objetos duplicados con nombres diferentes (sufijo _1).
- Si utiliza la opción 'b', en el paso 9 asegúrese de reasignar los objetos recién creados a las políticas migradas (zonas de seguridad ACP, zonas de seguridad NAT, enrutamiento, configuración de la plataforma, etc.).
Inicie sesión en el FMC2 (FMC de destino) e importe el objeto SFO de políticas de FTD que exportó en el paso 5:
Seleccione Cargar paquete:
Cargue el archivo:
Importe las directivas:
Cree los objetos de interfaz/zonas de seguridad en el FMC2 (FMC de destino):
Puede dar los mismos nombres que tenían en el FMC1 (FMC de origen):
Una vez que seleccione Import (Importar), una tarea comenzará a importar las directivas relacionadas en el FMC2 (FMC de destino):
La tarea ha finalizado:
Vaya a la CLI de FTD1 (anterior principal) y configure el nuevo administrador:
> configure manager add 10.62.148.247 cisco
Manager 10.62.148.247 successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.
>
Vaya a FMC2 (FMC de destino) UI Devices > Device Management y Add the FTD device:
Si el registro del dispositivo falla, consulte este documento para resolver el problema: https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/215540-configure-verify-and-troubleshoot-firep.html
Asigne la política de control de acceso que importó en el paso anterior:
Aplique las licencias necesarias y registre el dispositivo:
El resultado:
Inicie sesión en el FMC2 (FMC de destino), navegue hasta Devices > Device Management y Edit el dispositivo FTD que registró en el paso anterior.
Vaya a la pestaña Device e Import el objeto de información de políticas de FTD que exportó en el paso 2:
Nota: En el caso del paso 7 que utilizó la opción 'b' (Crear una nueva política), asegúrese de reasignar los objetos recién creados a las políticas migradas (zonas de seguridad ACP, zonas de seguridad NAT, enrutamiento, configuración de la plataforma, etc.).
Se inicia una tarea de CSP.
La configuración del dispositivo se aplica en el FTD1, por ejemplo, zonas de seguridad, ACP, NAT, etc.:
Precaución: Si tiene un ACP que se expande a muchos elementos de control de acceso, el proceso de compilación de ACP (compilación de coincidencia) puede tardar varios minutos en completarse. Puede utilizar este comando para verificar el estado de compilación de ACP:
FTD3100-3# show asp rule-engine
Rule compilation Status: Completed
En este punto, el objetivo es configurar todas las funciones que pueden faltar en el FTD1 después del registro en el FMC2 (FMC objetivo) y la importación de la política de dispositivos.
Asegúrese de que las políticas como NAT, configuración de la plataforma, QoS, etc. están asignados al FTD. Verá que las directivas están asignadas pero pendientes de implementación.
Por ejemplo, la configuración de la plataforma se importa y se asigna al dispositivo, pero a la espera de la implementación:
Si se configura NAT, la política NAT se importa y se asigna al dispositivo, pero está pendiente de la implementación:
Las zonas de seguridad se aplican a las interfaces:
La configuración de ruteo se aplica al dispositivo FTD:
Nota: Ha llegado el momento de configurar las directivas que no se han podido migrar automáticamente (por ejemplo, VPN).
Nota: Si el FTD que se migra tiene pares VPN S2S que también se migran al FMC de destino, debe configurar la VPN después de mover todos los FTD al FMC de destino.
Implementar los cambios pendientes:
En este momento, el objetivo es comprobar desde la CLI de FTD que toda la configuración está en su lugar.
La sugerencia es comparar el resultado de ‘show running-config’ de ambos FTD. Puede utilizar herramientas como WinMerge o diff para la comparación.
Las diferencias que ve y son normales son:
En este paso, el objetivo es cambiar el tráfico del FTD2 que gestiona actualmente el tráfico y que sigue registrado en el FMC antiguo/de origen al FTD1 registrado en el FMC de destino.
Antes:
Después de:
Precaución: Arregle un MW para hacer la transición. Durante la transición, se producirá una interrupción del tráfico hasta que todo el tráfico se desvíe al FTD1, se restablezcan las VPN, etc.
Precaución: No inicie la transición a menos que se complete la compilación ACP (véase el paso 10 anterior).
Advertencia: Asegúrese de desconectar los cables de datos del FTD2 o apagar los puertos de switch relacionados. De lo contrario, ¡puede terminar con ambos dispositivos manejando el tráfico!
Precaución: Dado que ambos dispositivos utilizan la misma configuración IP, es necesario actualizar la memoria caché ARP de los dispositivos L3 adyacentes. Considere la posibilidad de borrar manualmente la memoria caché ARP de los dispositivos adyacentes para acelerar la transición del tráfico.
Consejo: También puede enviar un paquete GARP y actualizar la memoria caché ARP de los dispositivos adyacentes mediante el comando FTD CLI:
FTD3100-3# debug menu ipaddrutl 5 10.0.200.70
Gratuitous ARP sent for 10.0.200.70
Tiene que repetir este comando para cada IP que posee el FW. Por lo tanto, puede ser más rápido simplemente borrar la memoria caché ARP de los dispositivos adyacentes que enviar paquetes GARP para cada IP que posee el firewall.
El último punto es reformar el par HA. Para ello, primero debe eliminar el FTD2 del FMC1 (FMC de origen) y registrarlo en el FMC2 (FMC de destino).
Antes:
Después de:
Si tiene una configuración VPN conectada al FTD2, primero debe eliminarla antes de eliminar el FTD. En otro caso, se muestra un mensaje similar a este:
Verificación de CLI:
> show managers
No managers configured.
Se recomienda borrar toda la configuración del FTD antes de registrarla en el FMC de destino. Una forma rápida de hacerlo es cambiar entre los modos de firewall.
Por ejemplo, si tiene el modo ruteado, cambie a transparente y luego a ruteado:
> configure firewall transparent
Y luego:
> configure firewall routed
A continuación, regístrelo en el CSP2 (CSP objetivo):
> configure manager add 10.62.148.247 cisco
Manager 10.62.148.247 successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.
>
El resultado:
Nota: Esta tarea (como cualquier tarea relacionada con HA) también debe realizarse durante un MW. Durante la negociación de HA, va a haber una interrupción del tráfico durante aproximadamente 1 minuto desde que las interfaces de datos se desactivan.
En el FMC de destino, navegue hasta Devices > Device Management y Add > High Availability.
Precaución: Asegúrese de seleccionar como peer primario el FTD que está manejando el tráfico (FTD1 en este escenario):
Vuelva a configurar los parámetros de HA, incluidas las interfaces supervisadas, las IP en espera, las direcciones MAC virtuales, etc.
Verificación desde FTD1 CLI:
FTD3100-3# show failover | include host
This host: Primary - Active
Other host: Secondary - Standby Ready
Verificación desde FTD2 CLI:
FTD3100-3# show failover | include host
This host: Secondary - Standby Ready
Other host: Primary – Active
Verificación de IU de FMC:
Por último, active o vuelva a conectar las interfaces de datos del dispositivo FTD2.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
20-Mar-2025
|
Versión inicial |