移行プロセスの導入方法
操作内容 |
|
---|---|
ステップ 1 |
移行の準備 |
ステップ 2 |
移行の実行 |
ステップ 3 |
|
ステップ 4 |
設定の展開 |
移行の準備
移行のためにデバイスを準備するには、次の点を確認してください。
-
CDO テナントがあり、ログインできる必要があります。詳細については、「最初のログイン」を参照してください。
-
FDM による管理 デバイスに移行する ASA デバイスまたは ASA 構成ファイルがテナントに導入準備されている必要があります。
ASA の実行構成ファイルは、4.5 MB および 22,000 行未満である必要があります。「ASA 実行設定サイズを確認する」を参照してください。
-
移行プロセスの直後に ASA 構成をデバイスに移行する場合または EtherChannel 設定を FDM による管理 デバイスに移行する場合は、FDM による管理 デバイスを CDO に導入準備している必要があります。詳細については、「Onboard an FTD device」を参照してください。
-
デバイスは同期状態である必要があります。
これにより、デバイスの実行構成と CDO に保存されている実行構成が同じになります。
-
ASA はソフトウェアバージョン 8.4 以降を実行している必要があります。
デバイスサポートサマリー、サポートされていないデバイス、ハードウェアとソフトウェアの仕様の詳細については、「CDO でサポートされるソフトウェアとハードウェア」を参照してください。
ASA デバイスのオンボーディング
[インベントリ(Inventory)] ページで (+) をクリックします。
[導入準備(Onboarding)] ページには、デバイスを導入準備できる場所が表示されます。
ASA デバイスの導入準備方法
以下の手順に従って、いずれかのオプションで ASA デバイスを導入準備します。
-
ライブ ASA デバイスを導入準備します。
-
オフライン管理用の構成をインポートします。
-
デバイス名を入力し、[デバイスタイプ(Device Type)] を ASA として選択します。
-
[参照(Browse)] をクリックして、ASA 構成ファイル(.TXT または .CFG ファイル)を選択します。
-
[アップロード(Upload)] をクリックします。
-
移行前の ASA ポリシーの最適化
すべての ASA を導入準備したので、CDO を使用してネットワークオブジェクトの問題を特定して修正し、既存のポリシーを最適化し、VPN 接続を確認して、ASA を最新リリースにアップグレードします。
ネットワークオブジェクトの問題を解決する
ネットワーク ポリシー オブジェクトの問題を解決することにより、ASA のセキュリティポリシーの最適化を開始します。
-
未使用のオブジェクト:CDO は、デバイス構成内に存在するものの、別のオブジェクト、アクセスリスト、または NAT ルールによって参照されていないネットワーク ポリシー オブジェクトを識別します。そのような未使用のオブジェクトを見つけて削除します。
-
重複するオブジェクト:重複するオブジェクトは、同じデバイス上にある、名前は異なるものの値が同じである 2 つ以上のオブジェクトです。重複するオブジェクトは、通常、偶然に作成され、同じ目的を果たし、さまざまなポリシーによって使用されます。一部の重複は正当な理由で存在することを認識しつつ、名前を標準化する機会を探します。
-
不整合オブジェクト:不整合オブジェクトとは、2 つ以上のデバイス上にある、名前は同じであるものの値が異なるオブジェクトです。ユーザーは、さまざまな設定の中で、同じ名前と内容のオブジェクトを作成することがあります。これらのオブジェクトの値が時間の経過につれて相互に異なる値になり、不整合が生じます。該当するオブジェクトの値の標準化や、名前の変更により、別のオブジェクトとして識別されるようにすることを検討してください。
シャドウルールの修正
ネットワークオブジェクトの問題を解決したら、次にシャドウルールのネットワークポリシーを確認して修正します。シャドウルールは、ネットワークポリシーのページで半月のバッジで示されます。シャドウルールは、トリガーされることのないルールです。ポリシー内で高い優先順位を付与されたルールは、パケットがシャドウ化されたルールに到達する前にすべてのパケットで動作するためです。到達されることのないシャドウ化されたルールが存在する場合は、そのルールを削除するか、ポリシーを編集してルールのシャドウ化を解除します。
移行前に EtherChannel 設定を FDM 管理対象デバイスに追加
Before you begin
Procedure
Step 1 |
EtherChannel 設定を移行する前に、ASA から移行する FDM による管理 デバイス上で、同じ数の EtherChannel を作成する必要があります。EtherChannel を作成するには CDO を使用できます。手順については、「FDM 管理対象デバイスの EtherChannel インターフェイスの追加」を参照してください。 EtherChannel の最小構成は、EtherChannel ID と少なくとも 1 つの EtherChannel メンバーです。 |
Step 2 |
変更を、お使いの FDM による管理 デバイスに展開します。 |
What to do next
移行の実行 に進みます。
移行の実行
移行するデバイスの選択
次のいずれかの方法を使用して、移行する ASA デバイスを選択できます。
FDM 移行ウィザードを起動してデバイスを選択
Procedure
Step 1 |
CDO テナントにログインします。 |
||
Step 2 |
ナビゲーションバーで、[ツールとデバイス(Tools & Services] をクリックします。 |
||
Step 3 |
[ツールとサービス(Tools & Services)] で、[ASAからFDMに移行(ASA to FDM Migration)] を選択します。
|
||
Step 4 |
[FDM移行(FDM Migration )] ページで (+) をクリックして ASA デバイスを追加するか、FDM 管理対象デバイスに移行する構成ファイルをアップロードします。 |
||
Step 5 |
ASA 構成ファイルをアップロードするか、ドロップダウンリストからデバイスを選択します。 このデバイスを以前に移行している場合、選択したデバイスからの移行結果が表示されます。 フィルタリングの詳細については、「移行フィルタについて」を参照してください。 これが新しい移行の場合は、[(デバイス名)の新しい移行を開始する(Start a new migration for (device name))] をクリックします。 |
デバイスを選択して FDM 移行ウィザードを起動
Procedure
Step 1 |
CDO テナントにログインします。 |
Step 2 |
ナビゲーションバーで、[インベントリ(Inventory)] をクリックします。 |
Step 3 |
[デバイス(Devices)] タブをクリックして、デバイスを見つけます。 |
Step 4 |
[ASA] タブをクリックし、FDM による管理 デバイスに移行する ASA デバイスまたはモデルを選択します。 ロケーション、モデル、シリアルなど、選択した ASA デバイスの詳細が [デバイスの詳細(Device Details)] ペインに表示されます。 |
Step 5 |
[デバイスアクション(Device Actions)] ペインで、[FDMに移行(Migrate to FDM)] をクリックします。 このデバイスを以前に移行している場合、選択したデバイスからの移行結果が表示されます。 フィルタリングの詳細については、「移行フィルタについて」を参照してください。 これが新しい移行の場合は、[(デバイス名)の新しい移行を開始する(Start a new migration for (device name))] をクリックします。 |
Step 6 |
(任意)別の ASA デバイスまたはモデルを選択して FDM テンプレートに移行する場合は、「移行フィルタについて」を参照してください。 |
(任意)移行名の更新
Procedure
Step 1 |
[FDM 移行(FDM Migration)]画面では、移行名を更新することも、デフォルト名を保持することもできます。 CDO では、移行名で移行リストを検索できます。
|
||
Step 2 |
[次へ(Next)] をクリックして移行を開始します。 |
(オプション)実行構成の保持(Preserve the Running Configuration)
![]() Note |
これは、[インベントリ(Inventory)] ページからライブ ASA を選択した場合にのみ適用されます。 |
[実行構成の保持(Preserve the Running Configuration)] では、移行ツールを使用して、ASA の実行構成の CDO のコピーを構成ファイルとして保存できます。このモデル デバイス設定は移行に使用されるため、ライブ ASA には影響しません。
ASA の実行構成の CDO のコピーを FDM による管理 デバイスに移行するには、次のオプションを使用できます。
-
ASA の実行中デバイスの CDO のコピーから構成ファイルを作成します。
Note
移行の開始時点で ASA 設定のスナップショット(モデルデバイス)を保持できます。移行のために設定を変更する必要がある場合は、ASA の実行構成の CDO のコピーに影響を与えたり、中断したりすることなく、構成ファイルを使用できます。
-
デバイスから直接設定を移行する
Note
移行のソースとなる設定は、ASA の実行構成の CDO のコピーです。移行ツールでは、移行が開始された時点での設定のみが考慮されます。後で ASA の実行構成の CDO のコピーを変更しても、結果の移行には反映されません。ASA の実行構成の変更された CDO のコピーからの追加の移行試行により、異なる FDM による管理 デバイス設定が生じる可能性があります。
Procedure
Step 1 |
[モデルデバイス名(Model Device Name)] フィールドにモデルデバイス名を入力します。 |
Step 2 |
次のいずれかの操作を行います。 |
ASA 設定を解析する
![]() (注) |
構成ファイルのサイズ、および他のデバイスまたはサービスの数によっては、構成の解析に時間がかかる場合があります。詳細については、「ASA 実行設定サイズを確認する」を参照してください。 |
移行の解析は、成功または失敗するまで続行されます。移行プロセスでは、ASA 情報が収集されて解析され、FDM テンプレートが作成され、この FDM テンプレートを CDO でデバイスに適用することが可能になります。FDM テンプレートについての詳細は、「テンプレート」を参照してください。解析フェーズ中に、移行プロセスによって、次を特定する移行レポートと移行ログが生成されます。
-
完全に移行された、部分的に移行された、移行がサポートされていない、および移行が無視された ASA 構成項目。
-
移行プロセスで認識できない ASA CLI を示す、エラーのある ASA 構成行(これにより、移行がブロックされています)。
![]() (注) |
管理インターフェイスと、管理インターフェイスに関連付けられている静的ルートは移行されません。 |
移行エラーの修正
移行エラーが発生した場合は、[FDM移行(FDM Migration)] 画面で [移行レポートのレビュー(Review Migration Report)] と [移行ログのレビュー(Review Migration Log)] を確認できます。
[FDM移行(FDM Migration)] 画面から [レポートのダウンロード(Download Report)] と [ログのダウンロード(Download Log)] を選択して、移行レポートとログをダウンロードします。
レポートとログから、解析失敗の原因となった ASA 設定の行を出力できる必要があります。移行のために選択した ASA デバイスに移動し、ASA 設定を更新してから、新しい移行を再開します。
解析は成功したが FDM テンプレートの作成が失敗した場合は、[テンプレート(Template)] > [ワークフロー(Workflows)] または [移行(Migration)] > [ワークフロー(Workflows)] に移動して、失敗を特定し、問題に対処します。
移行エラー修正後の再解析
移行エラーを修正後、ASA 設定を再解析できます。次の手順を実行します。
-
[FDM移行(FDM Migration)] 画面で、[設定に移動(Go to Configuration)] をクリックします。
-
特定の設定に移動し、変換失敗の原因となった設定を変更します。
-
正しい設定の更新を実行したら、[設定の再解析(Re-parse the configuration)] をクリックして、変更された設定に対して移行をトリガーします。
(注)
[設定の再解析(Re-parse the configuration)] オプションは、構成ファイルを更新した場合にのみ、解析エラーのある設定にのみ適用できます。
移行の適用
移行を適用する場合、次のいずれかのオプションを選択できます。
CDO のテンプレートの適用機能に従って、移行中に作成された FDM テンプレートにより、デバイスでの変更がインターフェイス、NAT、ACL、オブジェクト、およびルートにのみ展開されます。
インターフェイス情報は移行中に変更されるため、DHCP およびデータ DNS 設定はデフォルトに復元されます。
VPN、HA などのその他の設定は、デバイスで同じ状態で維持されます。
今すぐ移行を適用
![]() Note |
デバイスに移行を適用する前に、デバイスが同期状態にあるかどうかを確認してください。 |
FDM テンプレートを任意のデバイスに適用し、デバイステンプレートを確認して、後で FDM による管理 デバイスを選択してデバイスに展開できます。
Procedure
Step 1 |
[今すぐ移行を適用(Apply Migration Now)] を選択します。 |
||||||||
Step 2 |
[次へ(Next)] をクリックします。 |
||||||||
Step 3 |
[インターフェイスのマップ(Map Interface)] 行で、移行ツールは FDM による管理 デバイス上の [テンプレートインターフェイス(Template Interfaces)] と [デバイスインターフェイス(Devices Interfaces)] のリストを取得します。デフォルトでは、ファイアウォール移行ツールは ASA のインターフェイスと FDM による管理 デバイスを、インターフェイス ID に従ってマッピングします。[続行(Continue)] をクリックします。 ASA インターフェイスと FDM による管理 デバイスのマッピングの詳細については、『Map ASA Interfaces with Firewall Threat Defense Interfaces』を参照してください。 |
||||||||
Step 4 |
FDM による管理 デバイスに適用する FDM テンプレート情報を確認し、[テンプレートの適用(Apply Template)] をクリックします。 |
||||||||
Step 5 |
[完了(Done)] 行では、次の操作を実行できます。 選択した FDM による管理 デバイスに、移行された設定を正常に適用しました。
次のいずれかの操作を行います。
(オプション)移行後のタスク
|
管理アクセスインターフェイス移行による FDM 管理対象デバイスのサポート
![]() Note |
[テンプレートの適用(Apply Template)] 機能は、管理アクセスインターフェイスを持つターゲットデバイスではサポートされていません。ターゲット FDM による管理 デバイスに適用する前に、FDM テンプレートを手動で変更します。 |
複数の管理アクセスインターフェイスがあり、それらのインターフェイスが正しく設定されていないか、使用されていない場合は、ターゲット FDM による管理 デバイスを更新して、設定された関連する管理アクセスインターフェイスのみを維持して、未使用のインターフェイスを移行された設定で使用できるようにする必要があります。
Procedure
Step 1 |
データインターフェイスの IP アドレスとサブネットマスクを、管理アクセスインターフェイスと同じになるように変更して、テンプレートの物理インターフェイスを更新します。
|
||
Step 2 |
テンプレート設定で、管理アクセスインターフェイスとしてデータインターフェイスを追加します。 |
||
Step 3 |
デバイスに関連付けられたインターフェイスで静的ルートを追加または更新します。管理アクセスインターフェイスを追加のインターフェイスにマッピングする場合は、選択した FDM による管理 デバイスのルーティング設定を設定します。 静的ルートの追加または更新の詳細については、『Configure Static for Threat Devices』を参照してください。 |
後で移行を適用
Procedure
Step 1 |
[後で移行を適用(Apply Migration Later)] を選択します。 移行テンプレートが保存されます。作成したテンプレートを保存し、そのテンプレートを後で FDM 管理対象デバイスに適用できます。
FDM テンプレートが正常に保存されると、次のアクションを実行できます。
|
||
Step 2 |
[完了(Done)] をクリックします。 [インベントリ(Inventory)] ページに、事前に選択された FDM テンプレートが表示されます。 CDO を使用すると、ポリシーや構成のレビューなど、テンプレートに関連するすべてのアクションを実行できます。 |
||
Step 3 |
FDM テンプレートを適用する準備ができたら、次の手順を実行します。
|
移行アクションの表示
[移行テーブル(Migration Table)] 画面には、次の内容が表示されます。
-
移行名。デフォルトでは、CDO はデバイス名に基づいた移行名を生成します。この名前をカスタマイズすることもできます。「移行名の更新」を参照してください。
-
デバイスで実行された最後の移行アクティビティのタイムスタンプ。
-
デバイスの移行状態を表示します。移行状態の詳細については、「移行状態と説明」を参照してください。
-
名前の変更、ログのダウンロードなど、さまざまなアクションを実行できます。アクションの詳細については、「アクションと説明」を参照してください。
移行状態 |
説明 |
---|---|
解析中(Parsing) |
移行が進行中です。 |
解析エラー(Parse Error) |
解析は完了しましたが、エラーが発生しました。 |
変換エラー(Conversion Error) |
変換は完了しましたが、エラーが発生しました。 |
テンプレートが作成されました(Template Created) |
移行が完了しました。FDM テンプレートは正常に作成されましたが、検証エラーがあります。 |
移行エラーの修正については、「移行エラーの修正」を参照してください。
アクション |
説明 |
---|---|
復帰(Resume) |
移行プロセスが停止していた手順から再開します。 たとえば、移行が完了すると、プロセスは FDM テンプレートの適用から再開します。 |
[名前の変更(Rename)] |
移行名の名前を変更します。 |
ワークフロー |
ワークフロー画面を表示します。 |
ログをダウンロード(Download Log) |
ログファイルを TXT 形式でダウンロードできます。これは解析ログです。 |
レポートをダウンロード(Download Report) |
レポートの詳細を HTML 形式でダウンロードできます。 |
設定 |
移行が実行された ASA 設定を表示できます。 |
削除(Remove) |
移行ファイル、およびログファイルなどの関連ファイルを削除します。 |
移行フィルタについて:
別の ASA デバイスまたはモデルを選択して FDM テンプレートに移行する場合は、次のオプションのいずれかを使用します。
-
[デバイスごとのフィルタ(Filter by Devices)]
-
[クリアオプションでフィルタ(Filter by Clear option)]
[デバイスごとのフィルタ(Filter by Devices)]
[移行(Migrations)] ページのさまざまなフィルタを使用して、探しているオブジェクトを見つけることができます。移行フィルタを使用すると、デバイス、状態、および時間範囲でフィルタ処理できます。
フィルタ属性(Filter Attribute) |
説明 |
---|---|
[デバイスごとのフィルタ(Filter by Devices)] |
移行する特定のデバイスを選択できます。 |
状態 |
|
時間範囲 |
[開始(Start)]、[終了]: 選択した移行の開始日と終了日に基づいてデバイスのリストを表示します。 |
[クリアオプションでフィルタ(Filter by Clear option)]
-
フィルタバーをクリアするには、[クリア(Clear)] をクリックします。
-
[+] アイコンをクリックします。
-
リストからデバイスを選択するか、名前で検索して選択します。
-
[選択(Select)] をクリックします。
[FDM移行(FDM Migration)] 画面が表示されます。
設定の展開
最後のステップは、デバイスに行った設定の変更の展開です。
詳細については、「デバイス設定の展開」を参照してください。
CDO での FDM 管理デバイスのさまざまな側面とそのセキュリティポリシーの管理方法については、「Cisco Defense Orchestrator を使用した FDM デバイスの管理」および「Cisco Defense Orchestrator を使用した FDM の管理」を参照してください。