Introduzione
Questo documento descrive un esempio di migrazione di Adaptive Security Appliance (ASA) a Firepower Threat Defense (FTD) su FPR4145.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Conoscenze base di ASA
- Conoscenza di Firepower Management Center (FMC) e FTD
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- ASA versione 9.12(2)
- FTD versione 6.7.0
- FMC versione 6.7.0
- Firepower Migration Tool versione 2.5.0
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Esportare il file di configurazione ASA in formato.cfg
o.txt
. Il CCP deve essere installato con un FTD registrato.
Configurazione
1. Scaricare lo strumento di migrazione Firepower da software.cisco.com come mostrato nell'immagine.
![Cisco Software Download Page - FMT](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-00.png)
2. Esaminare e verificare i requisiti per la sezione Strumento di migrazione Firepower.
3. Se si intende eseguire la migrazione di un file di configurazione di grandi dimensioni, configurare le impostazioni di sospensione in modo che il sistema non passi alla modalità sospensione durante un'operazione push di migrazione.
3.1. Per Windows, passare a Opzioni risparmio energia nel Pannello di controllo. Fare clic su Cambia impostazioni combinazione accanto alla combinazione per il risparmio di energia corrente e quindi selezionare Metti il computer in sospensione su Mai. Fare clic su Salva modifiche.
3.2. Per MAC, selezionare System Preferences > Energy Saver (Preferenze di sistema > Risparmio energia). Selezionare la casella accanto a Impedisci la sospensione automatica del computer quando lo schermo è spento e trascinare il dispositivo di scorrimento Spegni schermo dopo su Mai.
Nota: questo avviso viene visualizzato quando gli utenti MAC tentano di aprire il file scaricato. Ignorare questa condizione e seguire il passo 4.1.
![Warning Pop Up on MAC](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-01.png)
4.1. Per MAC - Usare il terminale ed eseguire questi comandi:
![MAC Terminal Commands](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-02.png)
![MAC Terminal Output](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-03.png)
4.2. Per Windows - fare doppio clic su Firepower Migration Tool (Strumento di migrazione Firepower) per avviarlo in un browser Google Chrome.
5. Accettare la licenza come mostrato nell'immagine:
![End User License Agreement - FMT](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-04.png)
6. Nella pagina di accesso di Firepower Migration Tool, fare clic sul collegamento login con Cisco Connection Online (CCO) per accedere all'account Cisco.com con le credenziali di accesso singolo.
Nota: se non disponi di un account Cisco.com, crealo nella pagina di accesso di Cisco.com. Accedere con le credenziali predefinite seguenti: Nome utente—admin e Password—Admin123.
![Redirection to Cisco Login Page](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-05.png)
7. Scegliere la configurazione di origine. In questo scenario, è Cisco ASA (8.4+).
![Source Firewall Vendor Dropdown](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-06.png)
8. Scegliere Caricamento manuale se non si dispone della connettività all'appliance ASA. In caso contrario, è possibile recuperare la configurazione in esecuzione dall'appliance ASA e immettere i dettagli dell'IP di gestione e di accesso. In questo scenario, è stato eseguito un caricamento manuale.
![Extracting ASA Configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-07.png)
Nota: questo errore si verifica se il file non è supportato. Assicuratevi di modificare il formato in testo normale. L'errore viene rilevato nonostante l'estensione.cfg
.
![File Type Warning](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-08.png)
![ASA Configuration File (.cfg file type)](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-09.png)
9. Una volta caricato il file, gli elementi vengono analizzati fornendo un riepilogo come mostrato nell'immagine:
![Summary of the Parsed Configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-10.png)
10. Immettere le credenziali di accesso e l'indirizzo IP del controller di dominio a cui migrare la configurazione ASA. Verificare che l'indirizzo IP del CCP sia raggiungibile dalla postazione di lavoro.
![Connect to FMC](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-11.png)
![FMC Login Credentials](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-12.png)
11. Una volta collegato il CCP, vengono visualizzati i FTD gestiti al di sotto di esso.
![FTDs Managed under FMC](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-13.png)
12. Scegliere l'FTD su cui eseguire la migrazione della configurazione ASA.
![Target FTD Selection](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-14.png)
Nota: si consiglia di scegliere il dispositivo FTD, altrimenti le interfacce, i percorsi e la configurazione della VPN da sito a sito devono essere eseguiti manualmente.
![FTD Device Selection Recommendation](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-15.png)
13. Scegliere le funzionalità necessarie per la migrazione, come illustrato nell'immagine:
![Features Available for Migration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-16.png)
14. Scegliere Avvia conversione per avviare la pre-migrazione che popola gli elementi relativi alla configurazione FTD.
![Pre-Migration Selection](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-17.png)
15. Fare clic su Scarica rapporto visualizzato in precedenza per visualizzare il rapporto di pre-migrazione, come mostrato nell'immagine:
![Pre-Migration Report](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-18.png)
16. Mappare le interfacce ASA alle interfacce FTD come richiesto, come mostrato nell'immagine:
![Mapping Interfaces](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-19.png)
17. Assegnare zone di sicurezza e gruppi di interfacce alle interfacce FTD.
![Assigning Security Zone and Interface Groups](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-20.png)
17.1. Se nel CCP sono già state create zone di sicurezza e gruppi di interfacce, è possibile sceglierli in base alle esigenze:
![Selecting Existing Security Zone](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-21.png)
17.2. Se è necessario creare aree di sicurezza e un gruppo di interfacce, fare clic su Add SZ & IG come mostrato nell'immagine:
![Creating New Security Zone and Interface Groups](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-22.png)
17.3. In caso contrario, è possibile procedere con l'opzione Auto-Create per creare le zone di sicurezza e i gruppi di interfacce denominati rispettivamente ASA logical interface_sz e ASA logical interface_ig.
![Auto-Create for New Security Zone and Interface Groups](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-23.png)
![Mapping Security Zone and Interface Groups](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-24.png)
18. Esaminare e convalidare ogni elemento FTD creato. Gli avvisi sono visualizzati in rosso, come mostrato nell'immagine:
![Review and Validate the FTD Elements](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-25.png)
19. Le azioni di migrazione possono essere scelte come mostrato nell'immagine se si desidera modificare qualsiasi regola. Le funzioni FTD per l'aggiunta di file e criteri IPS possono essere eseguite in questa fase.
![Additional Actions](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-26.png)
Nota: se i criteri file esistono già nel FMC, vengono popolati come illustrato nell'immagine. Lo stesso vale per i criteri IPS e per i criteri predefiniti.
![File Policy Selection](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-27.png)
È possibile eseguire la configurazione del registro per le regole richieste. In questa fase è possibile scegliere la configurazione del server Syslog esistente nel FMC.
![Logging Configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-28.png)
Le azioni selezionate per ogni regola vengono evidenziate di conseguenza.
![Rule Action Highlights](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-29.png)
20. Analogamente, Network Address Translation (NAT), oggetti di rete, oggetti porta, interfacce, route, oggetti VPN, tunnel VPN da sito a sito e altri elementi in base alla configurazione possono essere rivisti passo dopo passo.
Nota: l'avviso viene notificato come mostrato nell'immagine per aggiornare la chiave già condivisa, in quanto non viene copiata nel file di configurazione dell'ASA. Per immettere il valore, selezionare Azioni > Aggiorna chiave già condivisa.
![Updating Pre-Shared Key](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-30.png)
![Entering Pre-Shared Key](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-31.png)
21. Infine, fare clic sull'icona Convalida nella parte inferiore destra della schermata, come mostrato nell'immagine:
![Validate Icon](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-32.png)
22. Una volta completata la convalida, fare clic su Push Configuration (Configurazione push) come mostrato nell'immagine:
![Validation Status](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-33.png)
![Push in Progress](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-34.png)
![Push in Progress](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-35.png)
23. Una volta completata la migrazione, il messaggio visualizzato viene visualizzato nell'immagine.
![Migration Completion](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-36.png)
Nota: se la migrazione non riesce, fare clic su Scarica report per visualizzare il report di post-migrazione.
![Report Download](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-37.png)
Verifica
Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.
Convalida nel CCP:
- Passare a
Policies > Access Control > Access Control Policy > Policy Assignment
per confermare che l'FTD selezionato sia compilato.
![ACP Assignment to FTD on FMC](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-38.png)
Nota: il nome del criterio di controllo di accesso per la migrazione è preceduto dal prefissoFTD-Mig-ACP
. Se in precedenza non è stato selezionato alcun FTD, questo deve essere selezionato nel CCP.
2. Spostare il criterio nell'FTD. Passare aDeploy > Deployment > FTD Name > Deploy
come mostrato nell'immagine:
![Pushing the Deployment](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-39.png)
Bug noti relativi allo strumento di migrazione Firepower
- ID bug Cisco CSCwa56374 - Lo strumento FMT si blocca sulla pagina di mappatura della zona a causa di un errore dovuto all'elevato utilizzo della memoria
- Cisco ID bug CSCvz88730 - Errore di push dell'interfaccia per il tipo di interfaccia di gestione del canale della porta FTD
- ID bug Cisco CSCvx21986 - Migrazione porta-canale alla piattaforma di destinazione - FTD virtuale non supportato
- ID bug Cisco CSCvy63003 - Lo strumento di migrazione deve disabilitare la funzionalità dell'interfaccia se FTD fa già parte del cluster
- ID bug Cisco CSCvx08199 - È necessario suddividere l'ACL quando il riferimento dell'applicazione è superiore a 50
Informazioni correlate