Comment mettre en œuvre le processus de migration
Faire ceci |
|
---|---|
Étape 1 |
Préparation à la migration |
Étape 2 |
Exécuter la migration |
Étape 3 |
|
Étape 4 |
Déployer la configuration |
Préparation à la migration
Pour préparer vos périphériques à la migration, assurez-vous que :
-
Vous avez un détenteur CDO et vous pouvez vous y connecter. Consultez la section Connexion initiale pour plus de renseignements.
-
Vous avez intégré à votre détenteur le périphérique ASA ou le fichier de configuration ASA que vous souhaitez faire migrer vers un périphérique.Géré par FDM
Le fichier de configuration en cours d’exécution de votre ASA doit faire moins de 4,5 Mo et compter 22 000 lignes. Reportez-vous à la section Confirmation de la taille de la configuration d’exécution ASA.
-
Vous avez intégré un périphérique Géré par FDM vers CDO si vous souhaitez migrer la configuration ASA vers le périphérique directement après le processus de migration, ou si vous souhaitez migrer les configurations EtherChannel vers le périphérique Géré par FDM. Consultez la section Intégrer un périphérique FTD pour obtenir de plus amples renseignements sur le sujet.
-
Les périphériques doivent être synchronisés.
Cela garantit que la configuration en cours d’exécution sur le périphérique et la configuration en cours d’exécution qui est stockée dans CDO sont les mêmes.
-
Votre ASA exécute la version logicielle 8.4 ou plus récente.
Pour en savoir plus sur le récapitulatif de la prise en charge des périphériques, les périphériques non pris en charge, le matériel et les logiciels, consultez la section Logiciels et matériel pris en charge par CDO.
Préparation d'un appareil ASA
Cliquez sur (+) dans la page Inventaire.
La page Intégration s’affiche où vous pouvez intégrer l’appareil.
Comment intégrer un appareil ASA
Procédez comme suit pour intégrer un appareil ASA avec l’une de ces options :
-
Intégrer un appareil ASA en direct.
-
Importer la configuration pour la gestion hors ligne :
-
Saisissez le nom du périphérique et choisissez le type d'appareil comme ASA.
-
Cliquez sur Parcourir pour choisir le fichier de configuration ASA qui est un fichier .TXT ou un .CFG.
-
Cliquez sur Upload (Téléverser).
-
Optimisez vos politiques ASA avant de migrer
Maintenant que vous avez intégré tous vos ASA, commencez à utiliser CDO pour identifier et corriger les problèmes avec les objets réseau, optimiser vos politiques existantes, passer en revue vos connexions VPN et mettre à niveau vos ASA vers les versions les plus récentes.
Résoudre les problèmes d’objets réseau
Commencez à optimiser les politiques de sécurité de vos ASA en résolvant les problèmes liés aux objets de politique réseau.
-
Objets inutilisés : CDO identifie les objets de politique réseau qui existent dans une configuration d'appareil, mais qui ne sont pas référencés par un autre objet, une liste d’accès ou une règle NAT. Trouvez ces objets inutilisés et supprimez-les.
-
Objets en double : les objets en double sont deux objets ou plus sur le même appareil avec des noms différents, mais les mêmes valeurs. Ces objets sont généralement créés accidentellement, ont des objectifs similaires et sont utilisés par des politiques différentes. Recherchez des occasions de normaliser les noms tout en reconnaissant que certains doublons peuvent exister pour des raisons légitimes.
-
Objets incohérents : les objets incohérents sont des objets sur deux appareils ou plus, portant le même nom, mais avec des valeurs différentes. Parfois, les utilisateurs créent des objets dans différentes configurations avec le même nom et le même contenu, mais avec le temps, les valeurs de ces objets divergent, ce qui crée une incohérence. Envisagez de normaliser les valeurs de ces objets ou de renommer un objet pour l’identifier comme un objet différent.
Réparez les règles d’ombre
Maintenant que vous avez résolu vos problèmes d’objets réseau, passez en revue les politiques de réseau pour les règles d'ombre et corrigez-les. Une règle d’ombre est marquée par un badge en demi-lune sur la page des politiques de réseau. Il s’agit d’une règle dans une politique qui ne se déclenchera jamais, car une règle avec une priorité plus élevée dans la politique agit sur tous les paquets avant qu’ils n’atteignent la règle dupliquée. S’il existe une règle occultée qui ne sera jamais touchée, supprimez-la ou modifiez la politique pour « afficher cette règle ».
Ajoutez des configurations EtherChannel au périphérique géré par FDM avant la migration
Avant de commencer
-
Le Lignes directrices et limites relatives à la licence pour la migration des EtherChannels.
Procédure
Étape 1 |
Avant de migrer les configurations EtherChannel, vous devez créer le nombre équivalent d’EtherChannels sur Géré par FDMle périphérique que vous faites migrer à partir d’ASA. Vous pouvez utiliser CDO pour créer les EtherChannels. Consultez la section Ajouter une interface EtherChannel pour un appareil géré par FDM pour obtenir des instructions. La configuration minimale pour un EtherChannel est un ID EtherChannel et au moins un membre EtherChannel. |
Étape 2 |
Déployez les modifications sur votre Géré par FDMappareil. |
Prochaine étape
Continuez vers Exécuter la migration.
Exécuter la migration
Sélectionner le périphérique à migrer
Vous pouvez sélectionner le périphérique ASA pour la migration à l’aide de l’une des méthodes suivantes :
Lancez l'assistant de migration FDM et sélectionnez le périphérique
Procédure
Étape 1 |
Connectez-vous à votre détenteur CDO. |
||
Étape 2 |
Dans la barre de navigation, cliquez sur Outils et Services. |
||
Étape 3 |
Sous Outils et Services, sélectionnez ASA vers la migration FDM.
|
||
Étape 4 |
Dans la page Migration FDM, cliquez sur (+) pour ajouter un périphérique ASA ou pour charger le fichier de configuration que vous souhaitez migrer vers le périphérique géré par FDM. |
||
Étape 5 |
Chargez le fichier de configuration ASA ou sélectionnez le périphérique dans la liste déroulante. S’il y a eu des migrations antérieures de ce périphérique, vous verrez les migrations résultantes du périphérique sélectionné. Pour plus de renseignements sur le filtrage, consultez À propos des filtres de migration. S’il s’agit d’une nouvelle migration, cliquez sur Démarrer une nouvelle migration pour (nom du périphérique). |
Sélectionnez le périphérique et lancez l’assistant de migration FDM.
Procédure
Étape 1 |
Connectez-vous à votre détenteur CDO. |
Étape 2 |
Dans la barre de navigation, cliquez sur Inventaire. |
Étape 3 |
Cliquez sur l’onglet Devices (Appareils) pour localiser votre appareil. |
Étape 4 |
Cliquez sur l’onglet ASA et sélectionnez le périphérique ASA ou le modèle que vous souhaitez migrer vers le périphériqueGéré par FDM. Les détails du périphérique ASA sélectionné, comme l’emplacement, le modèle, le numéro de série, etc., s’affichent dans le panneau Détails du périphérique. |
Étape 5 |
Dans le panneau Actions du périphérique, cliquez sur Migrer vers FDM. S’il y a eu des migrations antérieures de ce périphérique, vous verrez les migrations résultantes du périphérique sélectionné. Pour plus de renseignements sur le filtrage, consultez À propos des filtres de migration. S’il s’agit d’une nouvelle migration, cliquez sur Démarrer une nouvelle migration pour (nom du périphérique). |
Étape 6 |
(Facultatif) Si vous souhaitez sélectionner un autre appareil ASA ou un modèle à migrer vers le modèle FDM, consultez À propos des filtres de migration. |
(Facultatif) Mettre à jour le nom de la migration
Procédure
Étape 1 |
Dans l’écran Migration FDM, vous pouvez également mettre à jour le nom de la migration ou conserver le nom par défaut. CDO vous permet de rechercher dans la liste de migration avec le nom de la migration.
|
||
Étape 2 |
Cliquez sur Next (Suivant) pour déclencher la migration. |
(Facultatif) Préserver la configuration en cours d’exécution
Remarque |
Cela s’applique uniquement lorsque vous avez choisi l’ASA en direct dans la page Inventaire. |
Dans Conserver la configuration en cours d’exécution, l’outil de migration vous permet d’enregistrer la copie de CDO de la configuration en cours d’exécution de l’ASA en tant que fichier de configuration. Ce modèle de configuration de périphérique est utilisé pour la migration et n’affecte donc pas l’ASA actif.
Les options suivantes sont disponibles pour la migration d’une copie de CDO de la configuration en cours d’exécution de l’ASA vers Géré par FDMle périphérique :
-
Créer un fichier de configuration à partir de la copie du CDO du périphérique en cours d’exécution de l’ASA
Remarque
Vous permet de conserver un instantané (périphérique modèle) de la configuration ASA au moment du lancement de la migration. Lorsque vous devez modifier la configuration à des fins de migration, vous pouvez utiliser le fichier de configuration sans affecter/interrompre la copie du CDO de la configuration en cours d’exécution de l’ASA.
-
Migrez la configuration directement à partir du périphérique
Remarque
La configuration source pour la migration est une copie de CDO de la configuration en cours d’exécution de l’ASA. L’outil de migration ne prend en compte que la configuration à partir du début de la migration. Toutes les modifications apportées ultérieurement à la copie de la configuration en cours d’exécution de l’ASA ne seront pas reflétées dans la migration résultante. Les tentatives de migration supplémentaires à partir de la copie modifiée de CDO de la configuration en cours d’exécution de l’ASA peuvent entraîner des Géré par FDMconfigurations de périphériques différentes.
Procédure
Étape 1 |
Saisissez le nom du périphérique dans le champ Model Device Name (Nom du périphérique modèle). |
Étape 2 |
Effectuez l’une des actions suivantes : |
Analyse de la configuration d'ASA en cours
Remarque |
Selon la taille des fichiers de configuration et le nombre d’autres appareils ou services, l’analyse de la configuration peut prendre un certain temps. Pour plus de renseignements, consultez Confirmation de la taille de la configuration d’exécution ASA. |
L’analyse de la migration se poursuit jusqu’à ce qu’elle réussisse ou échoue. Le processus de migration collecte les informations ASA, les analyse, crée un modèle FDM et permet à ce modèle FDM d’être appliqué à un appareil dans CDO. Pour plus de renseignements sur les modèles FDM, consultez Modèles. Pendant la phase d’analyse, le processus de migration génère un Rapport de migration et un Journal de migration qui identifient :
-
Les éléments de configuration ASA qui sont entièrement migrés, partiellement migrés, non pris en charge pour la migration et ignorés pour la migration.
-
Les lignes de configuration ASA avec des erreurs, répertoriant les CLI ASA que le processus de migration ne peut pas reconnaître; cela bloque la migration.
Remarque |
L’interface de gestion et les routages statiques associés à l’interface de gestion ne sont pas migrés. |
Corriger les erreurs de migration
En cas d’erreur de migration, vous pouvez consulter le rapport de migration et consulter le journal de migration dans l’écran de migration FDM.
Sélectionnez Télécharger le rapport et Journal de téléchargement dans l’écran de migration de FDM pour télécharger le rapport et les journaux de migration.
Les rapports et les journaux doivent pouvoir imprimer les lignes de la configuration ASA qui ont provoqué l’échec de l’analyse. Accédez au périphérique ASA que vous avez choisi pour la migration, mettez à jour la configuration ASA, puis redémarrez la nouvelle migration.
Si l’analyse a réussi, mais que la création du modèle FDM échoue, accédez à Modèle > Flux de travail ou Migration > Flux de travail pour identifier les échecs et résoudre les problèmes.
Analysez après avoir corrigé les erreurs de migration
Vous pouvez analyser à nouveau la configuration ASA après avoir corrigé les erreurs de migration. Procédez comme suit :
-
Dans l’écran Migration FDM, cliquez sur Aller à la configuration.
-
Accédez à la configuration spécifique et apportez les modifications de configuration qui ont entraîné l’échec de la conversion.
-
Une fois que vous avez effectué les mises à jour pour la configuration correcte, cliquez sur Réanalyser la configuration pour déclencher la migration par rapport à la configuration modifiée.
Remarque
L’option Réanalyser la configuration s’applique uniquement lorsque vous avez mis à jour le fichier de configuration et pour la configuration avec des erreurs d’analyse uniquement.
Appliquer la migration
Pour appliquer la migration, vous pouvez choisir l’une des options suivantes :
Conformément à la fonctionnalité de modèle d’application de CDO, le modèle FDM qui est créé lors de la migration déploie les modifications sur le périphérique, uniquement sur les éléments suivants : interfaces, NAT, ACL, objets et routes.
Les paramètres DHCP et DNS de données sont restaurés aux valeurs par défaut, car les renseignements sur l’interface auraient changé pendant la migration.
Les autres paramètres, tels que VPN, haute disponibilité, etc., restent les mêmes sur l’appareil.
Appliquer la migration maintenant
Remarque |
Avant d’appliquer la migration sur un appareil, vérifiez si l’appareil est synchronisé. |
Vous pouvez appliquer le modèle FDM à n’importe quel appareil, passer en revue le modèle d'appareil et le déployer ultérieurement sur le périphérique en sélectionnant Géré par FDM le périphérique.
Procédure
Étape 1 |
Sélectionnez Appliquer la migration maintenant. |
||||||||
Étape 2 |
Cliquez sur Next (suivant). |
||||||||
Étape 3 |
Dans la ligne Mapper les interfaces, l’outil de migration récupère une liste des Interfaces de modèles et des Interfaces d'appareils sur le périphérique Géré par FDM. Par défaut, l’outil de migration de pare-feu mappe les interfaces dans ASA et le périphérique Géré par FDM en fonction de leurs identités d’interface. Cliquez sur Continue (Continuer). Pour plus de renseignements sur le mappage des interfaces ASA avec les appareils Géré par FDM, consultez Mapper les interfaces ASA avec les interfaces de Firewall Threat Defense. |
||||||||
Étape 4 |
Passez en revue les renseignements sur le modèle FDM à appliquer au périphérique Géré par FDM, puis cliquez sur Appliquer le modèle. |
||||||||
Étape 5 |
Dans la ligne Done (Terminé), vous pouvez effectuer les opérations suivantes : Vous avez appliqué avec succès la configuration migrée vers le périphérique Géré par FDM sélectionné.
Effectuez l’une des actions suivantes :
(Facultatif) Tâches de post-migration
|
Prise en charge des périphériques gérés par FDM avec migration de l’interface d’accès de gestion
Remarque |
La fonctionnalité Apply Template (Appliquer un modèle) n’est pas prise en charge pour un périphérique cible doté d’une interface d’accès de gestion. Modifiez le modèle FDM manuellement avant de l’appliquer sur le périphériqueGéré par FDM cible. |
S’il existe plusieurs interfaces d’accès de gestion et que les interfaces sont configurées de manière incorrecte ou inutilisées, vous devez mettre à jour le périphérique cible Géré par FDMpour conserver uniquement l’interface d’accès de gestion configurée, afin que les interfaces inutilisées puissent être utilisées pour la configuration migrée.
Procédure
Étape 1 |
Mettez à jour l’interface physique dans le modèle en modifiant l’adresse IP et le masque de sous-réseau des interfaces de données afin qu’ils soient identiques à ceux de l’interface d’accès de gestion.
|
||
Étape 2 |
Ajoutez l’interface de données en tant qu’interface d’accès de gestion dans les paramètres du modèle : |
||
Étape 3 |
Ajoutez ou mettez à jour les routes statiques avec les interfaces associées sur le périphérique. Lorsque vous mappez l’interface d’accès de gestion à une interface supplémentaire, définissez la configuration de routage pour le périphériqueGéré par FDM sélectionné. Pour plus de renseignements sur l’ajout ou la mise à jour des routes statiques, consultez Configurer la statique pour les périphériques de menace. |
Appliquer la migration ultérieurement
Procédure
Étape 1 |
Sélectionnez Appliquer la migration plus tard. Un modèle de migration est enregistré. Vous pouvez enregistrer le modèle créé et appliquer le modèle au périphérique géré par FDM plus tard.
Une fois le modèle FDM enregistré avec succès, vous pouvez effectuer les actions suivantes :
|
||
Étape 2 |
Cliquez sur Done (Terminé). La page Inventaire s’affiche avec le modèle FDM présélectionné. CDO vous permet d’effectuer toutes les actions liées aux modèles, telles que les politiques de révision, les configurations, etc. |
||
Étape 3 |
Lorsque vous êtes prêt à appliquer le modèle FDM :
|
Affichez les actions de migration
L’écran du Tableau de migration affiche les éléments suivants :
-
Le nom de la migration. Par défaut, CDO génère le nom de la migration en fonction du nom du périphérique. Vous pouvez également personnaliser ce nom. Voir Mettre à jour le nom de la migration.
-
Horodatage de la dernière activité de migration effectuée sur le périphérique.
-
Affiche l’état de migration du périphérique. Pour plus de renseignements sur les états de migration, consultez États de migration et description.
-
Vous permet d’effectuer diverses actions telles que renommer, télécharger le journal, etc. Pour plus de renseignements sur les actions, consultez Actions et descriptions.
États de migration |
Description |
---|---|
Analyse |
Migration en cours. |
Erreur d'analyse |
L’analyse est terminée, avec des erreurs. |
Erreur de conversion |
La conversion est terminée avec des erreurs. |
Modèle créé |
La migration est terminée. Le modèle FDM est créé avec succès, mais avec des erreurs de validation. |
Pour plus de renseignements sur la correction des erreurs de migration, consultez Correction des erreurs de migration.
Action |
Description |
---|---|
Curriculum vitæ |
Reprend à partir de l’étape où le processus de migration s’est arrêté. Par exemple, si la migration est terminée, le processus reprend à partir de l’application du modèle FDM. |
Renommer |
Renommez le nom de la migration. |
Flux de travail |
Affiche l’écran du flux de travail. |
Télécharger le journal |
Vous permet de télécharger les fichiers journaux au format TXT. Ceci est un journal d’analyse. |
Télécharger le rapport |
Vous permet de télécharger les détails du rapport au format HTML. |
Configuration |
Vous permet d’afficher la configuration ASA par rapport à laquelle la migration a été effectuée. |
Supprimer |
Supprime la migration et ses fichiers associés, comme les fichiers journaux. |
À propos des filtres de migration :
Si vous souhaitez sélectionner un autre appareil ASA ou un modèle à migrer vers le modèle FDM, utilisez l’une des options suivantes :
-
Filtrer par appareil
-
Filtrer par option Effacer
Filtrer par appareil
Vous pouvez utiliser de nombreux filtres différents sur la page Migrations pour trouver les objets que vous recherchez. Le filtre de migrations vous permet de filtrer par périphérique, par état et par intervalle de temps.
Attribut de filtre |
Description |
---|---|
Filtrer par appareil |
Vous permet de sélectionner un appareil spécifique pour la migration. |
Province |
|
Time Range (plage de temps) |
Début, fin : affiche la liste des appareils en fonction des dates de début et de fin de migration sélectionnées. |
Filtrer par option Effacer
-
Cliquez sur Clear (Effacer) pour effacer la barre de filtre.
-
Cliquez sur l’icône (+).
-
Sélectionnez un appareil dans la liste ou recherchez-le par nom et sélectionnez-le.
-
Cliquez sur Sélectionner.
L’écran Migration FDM s’affiche.
Déployer la configuration
La dernière étape consiste à déployer les modifications de configuration que vous avez apportées au périphérique.
Pour plus de renseignements, consultez Déployer la configuration du périphérique.
Reportez-vous aux sections Gestion des appareils FDM avec Cisco Defense Orchestrator et Gestion de FMC avec Cisco Defense Orchestrator pour savoir comment CDO peut gérer les différents aspects d’un appareil géré par FDM et ses politiques de sécurité.