Firepower 移行ツールにようこそ

このドキュメントでは、Cisco Firepower 移行ツールに関する重要かつリリース固有の情報について説明します。Firepower のリリースに精通していて、移行プロセスを以前に経験したことがある場合でも、このドキュメントを読み、十分に理解していることを確認してください。

このリリースの新機能

このリリースでは、次の機能が追加されました。

表 1. このリリースの新機能

ファイアウォール

新機能

2.4

Firepower 移行ツールは、移行先の Firepower Management Center(FMC)と FTD が 6.5 以降の場合に、Firepower Threat Defense(FTD) への Cisco FirePOWER Services(FPS)の移行をサポートします。

  • FMC プレフィルタのルールとしての FPS のアクセスルールを使用した ASA の移行:Firepower による詳細なインスペクションに合わせた FMC へのアクセスルールのマッピング。アクセスポリシーには、IP とポートを含むルールが含まれています。

    (注)   
    プレフィルタとアクセス制御のポリシーを使用して、トラフィックをブロックまたは許可できます。

    ASA からのアクセスルールは、FMC プレフィルタのルールとして移行されます。FPS からのアクセスルールは、アクセス コントロール ポリシーとして FMC に移行されます。

  • FPS のルールを使用した ASA は、次のように移行されます。

    ASA から FPS へのリダイレクションの ACL は、プレフィルタのルール(条件付き)として移行されます。

    (注)   
    FPS モジュールが FMC で管理されている場合にのみ、Firepower 移行ツールを使用して FPS のルールを移行できます。
    • ソースリダイレクションの ACL に Action=DENY がある場合:Action=Fastpath を使用して FMC プレフィルタのルールとして移行されます。また、この特定の ACL は DISABLED 状態の最初の ACL のルールとして配置されます。

    • ソースリダイレクションの ACL に Action=Permit がある場合、Firepower 移行ツールでは移行されません。

  • Firepower 移行ツールは、ASDM 管理対象の FPS ルールの Firepower 移行ツールへの移行をサポートしていません。したがって、送信元の設定(FPS を備えた ASA)の選択時には、移行前の設定情報を把握しておく必要があります。

次の ASA VPN 設定を Firepower Threat Defense(FTD)に移行します。

  • ASA からのクリプトマップ(静的/ダイナミック)ベースの VPN

  • ルートベース(VTI)の ASA VPN

  • ASA からの証明書ベースの VPN 移行

(注)   
  • ASA トラストポイントまたは証明書は手動で移行され、移行前のアクティビティに含まれています。

  • ASA トラストポイントは、FMC PKI オブジェクトとして移行する必要があります。PKI オブジェクトは、証明書ベースの VPN トポロジの作成時に Firepower 移行ツールで使用されます。

Firepower 移行ツールの履歴情報については、次を参照してください。

サポートされている構成

FPS ファイアウォールを備えた ASA の移行では、次の設定要素がサポートされています。

  • ネットワークオブジェクトとグループ(不連続マスクを除く)

  • サービスオブジェクト(送信元と接続先に設定されたサービスオブジェクトを除く)


    (注)  

    Firepower 移行ツールは拡張サービスオブジェクト(送信元と宛先の設定)を移行しませんが、参照先の ACL と NAT のルールは完全な機能で移行されます。
  • サービス オブジェクト グループ(ネストされたサービス オブジェクト グループを除く)


    (注)  

    Firepower Management Center ではネストはサポートされていないため、Firepower 移行ツールは参照されるルールの内容を拡張します。ただし、ルールは完全な機能で移行されます。
  • IPv4 および IPv6 FQDN オブジェクトとグループ

  • IPv6 変換サポート(インターフェイス、静的ルート、オブジェクト、ACL、および NAT)

  • インバウンド方向とグローバル ACL のインターフェイスに適用されるアクセスルール

  • 自動 NAT、手動 NAT、およびオブジェクト NAT(条件付き)

  • 静的ルート、移行されない ECMP ルート

  • 物理インターフェイス

  • ASA または FPS インターフェイスを備えた ASA のセカンダリ VLAN は FTD に移行されません。

  • サブインターフェイス(サブインターフェイス ID は移行時の VLAN ID と同じ番号に常に設定されます)

  • ポート チャネル

  • 仮想トンネルインターフェイス(VTI)

  • ブリッジグループ(トランスペアレントモードのみ)

  • IP SLA のモニタ

    Firepower 移行ツールは IP SLA オブジェクトを作成し、オブジェクトを特定の静的ルートにマッピングし、オブジェクトを FMC に移行します。


    (注)  

    IP SLA モニタは、FTD 以外のフローではサポートされていません。
  • オブジェクトグループの検索


    (注)  

    • オブジェクトグループ検索は、6.6 より前の FMC または FTD のバージョンでは使用できません。

    • オブジェクトグループ検索は FTD 以外のフローではサポートされず、無効になります。


  • 時間ベースのオブジェクト


    (注)  

    • 送信元の ASA または FPS を備えた ASA からターゲットの FTD にタイムゾーン設定を手動で移行する必要があります。

    • 時間ベースのオブジェクトは非 FTD フローではサポートされていないため、無効になります。

    • 時間ベースのオブジェクトは FMC バージョン 6.6 以降でサポートされています。


  • サイト間 VPN トンネル

    • サイト間 VPN:Firepower 移行ツールは、送信元 ASA で暗号マップ設定を検出すると、暗号マップを FMC VPN にポイントツーポイント トポロジとして移行します。

    • ASA からのクリプトマップ(静的/ダイナミック)ベースの VPN

    • ルートベース(VTI)の ASA VPN

    • ASA からの証明書ベースの VPN 移行

    • ASA トラストポイントまたは証明書の FMCへの移行は手動で実行する必要があり、また、移行前のアクティビティに含まれている必要があります。

Firepower 移行ツールのサポートされている設定の詳細については、次を参照してください。

移行ワークフロー

FPS ファイアウォールを備えた ASA の場合

FPS を備えた ASA コンフィギュレーション ファイルは、Firepower 移行ツールによって FPS を管理している FMC から直接抽出されます。

詳細については、 『ASA with FPS User Guide』の「Export the ASA with FPS Configuration File」のトピックを参照してください。

Firepower 移行ツールの移行ワークフローの詳細については、次を参照してください。

移行レポート

Firepower 移行ツールは、次のレポートを移行の詳細とともに HTML 形式で提供します。

  • 移行前のレポート

  • 移行後のレポート

Firepower 移行ツールの機能

Firepower 移行ツールは、次の機能を提供します。

  • 分析およびプッシュ操作を含む移行全体の検証

  • オブジェクト再利用機能

  • オブジェクト競合の解決

  • インターフェイス マッピング

  • ターゲット Firepower Threat Defense デバイスのサブインターフェイス制限チェック

  • サポートされているプラットフォーム

    :同じハードウェアでの移行(X から X デバイスへの移行)

    :X から Y デバイスへの移行(Y に多数のインターフェイスが存在)

次のプラットフォームの要件: Firepower 移行ツール

Firepower 移行ツールには、次のインフラストラクチャとプラットフォームの要件があります。

  • Windows 10 64 ビット オペレーティング システムまたは MacOS バージョン 10.13 以降

  • Google Chrome がシステムのデフォルト ブラウザ

  • システムごとに Firepower 移行ツールのシングルインスタンス

  • Firepower Management Center と Firepower Threat Defense がバージョン 6.2.3.3 以降


(注)  

新しいバージョンをダウンロードする前に、以前のビルドを削除する。

資料

このリリースでは次のドキュメントが提供されます。

  • 『Firepower 移行ツール リリースノート』

  • Migrating ASA Firewall to Firepower Threat Defense with the Firepower Migration Tool

  • Migrating ASA with FirePOWER Services (FPS) Firewall to Firepower Threat Defense with the Firepower Migration Tool

  • Migrating Check Point Firewall to Firepower Threat Defense with the Firepower Migration Tool

  • Migrating Palo Alto Networks Firewall to Firepower Threat Defense with the Firepower Migration Tool

  • Migrating Fortinet Firewall to Firepower Threat Defense with the Firepower Migration Tool

  • Navigating the Cisco Firepower Migration Tool Documentation

  • Cisco Firepower Migration Tool Compatibility Guide

  • Cisco Firepower Migration Tool Error Messages

  • Open Source Used in Cisco Firepower Migration Tool

未解決のバグおよび解決済みのバグ

このリリースで未解決のバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。


(注)  

Cisco Bug Search Tool にログインしてこのツールを使用するには、Cisco.com アカウントが必要です。アカウントを持っていない場合は、 Cisco.com でアカウントに登録できます。バグ検索ツールの詳細については、「Bug Search Tool(BST)ヘルプおよび FAQ」を参照してください。

Firepower 移行ツールの未解決および解決済みの問題の最新のリストについては、次のダイナミック クエリを使用してください。