移行の問題のトラブルシューティング

Cisco Secure Firewall 移行ツールのトラブルシューティング

移行が失敗するのは、通常、 チェックポイント 構成ファイルをアップロードしているとき、または移行された構成を Management Center にプッシュしているときです。

Check Point 構成の移行プロセスが失敗する一般的なシナリオは次のとおりです。

  • Check Point Config.zip からファイルが欠落。

  • Check Point Cofig.zip 内の無効なファイルが Cisco Secure Firewall 移行ツールで検出された。

  • Check Point 構成ファイルが .zip 以外の圧縮ファイルタイプである。

Cisco Secure Firewall 移行ツールのサポートバンドル

Cisco Secure Firewall 移行ツールには、サポートバンドルをダウンロードして、ログファイル、DB、構成ファイルなどの役立つトラブルシューティング情報を抽出するオプションがあります。次の手順を実行します。

  1. [移行完了(Complete Migration)] 画面で、[サポート(Support)] ボタンをクリックします。

    ヘルプサポートページが表示されます。

  2. [サポートバンドル(Support Bundle)] チェックボックスをオンにして、ダウンロードする構成ファイルを選択します。


    (注)  
    ログファイルと DB ファイルは、デフォルトでダウンロード用に選択されています。

  3. [ダウンロード(Download)] をクリックします。

    サポートバンドルファイルは、ローカルパスに .zip としてダウンロードされます。Zip フォルダを抽出して、ログファイル、DB、および構成ファイルを表示します。

  4. [Email us] をクリックして、テクニカルチームに障害の詳細を電子メールで送信します。

    ダウンロードしたサポートファイルを電子メールに添付することもできます。

  5. [TAC ページに移動(Visit TAC page)] をクリックして、シスコのサポートページで TAC ケースを作成します。


    (注)  
    TAC ケースは、移行中にいつでもサポートページからオープンできます。

トラブルシューティングに使用されるログおよびその他のファイル

問題の特定とトラブルシューティングに役立つ情報は、次のファイルにあります。

ファイル ロケーション

ログ ファイル

<migration_tool_folder>\logs

移行前のレポート

<migration_tool_folder>\resources

移行後のレポート

<migration_tool_folder>\resources

未解析ファイル

<migration_tool_folder>\resources

Check Point ファイルのアップロード失敗のトラブルシューティング

Check Point 構成ファイルのアップロードに失敗した場合、通常は Cisco Secure Firewall 移行ツールがファイル内の 1 つ以上の行を解析できなかったことが原因です。

アップロードおよび解析の失敗の原因となったエラーに関する情報は、次の場所で確認できます。

  • 未解析のファイル:ファイルの末尾を調べて、正常に解析された Check Point 構成ファイルで最後に無視された行を特定します。

  • 予期しないファイル:Check Point で無効なファイルが検出されました。たとえば、Mac OS を使用して zip 圧縮すると、Mac システムファイルが作成されます。Mac ファイルを削除してください。

  • (r75 ~ r77.30 のみ)誤った名前のファイル:Check Point のセキュリティポリシーと NAT ポリシーファイルの名前が正しくない場合。ACL および NAT ファイルの名前を正しく変更します。

  • 欠落ファイル:Check Point の config.zip ファイルから一部のファイルが欠落しています。必要なファイルを追加します。


    (注)  

    r77 の場合は、欠落している構成ファイルを手動で抽出します。詳細については、「r77 の Check Point 構成ファイルのエクスポート」を参照してください。

    r80 の場合は、Live Connect を使用して Cisco Secure Firewall 移行ツールの正しい構成ファイルを抽出します。詳細については、「r80 の Check Point 構成ファイルのエクスポート」を参照してください。

Check Point のトラブルシューティング例:オブジェクトグループのメンバーが見つからない(r75 ~ r77.30 のみ)

この例では、要素の構成にエラーがあるため、Check Point 構成ファイルのアップロードと解析が失敗します。

手順

ステップ 1

エラーメッセージを確認して問題を特定します。

このエラーにより、次のエラーメッセージが生成されます。

参照先 エラー メッセージ

Cisco Secure Firewall 移行ツールのメッセージ

エラーを含む、解析済みの Check Point 構成ファイル。

解析エラーについては移行前レポートのエラーセクション、プッシュステージ中に発生するプッシュエラーについては移行後レポートを参照してください。

ログ ファイル

[ERROR | objectGroupRules] > "ERROR, SERVICE_GROUP_RULE not applied for port-group object [services_epacity_nt_abc] as CheckPoint object [ica] does not exist in <service> table;"

[INFO | objectGroupRules] > "Parsing object-group service:[services_gvxs06]"

[INFO | objectGroupRules] > "Parsing object-group service:[services_iphigenia]"

[INFO | objectGroupRules] > "Parsing object-group service:[Services_KPN_ISP]"

ステップ 2

Check Point services.xml ファイルを開きます。

ステップ 3

services_gvxs06 という名前のオブジェクトグループを検索します。

ステップ 4

スマートダッシュボードを使用して、オブジェクトグループの欠落しているメンバーを作成します。

ステップ 5

構成ファイルをもう一度エクスポートします。詳細については、「Check Point 構成ファイルのエクスポート」を参照してください。

ステップ 6

これ以上エラーがない場合は、新しい Check Point 構成 zip ファイルを Cisco Secure Firewall 移行ツールにアップロードし、移行を続行します。

Live Connect の Check Point(r80)に関するトラブルシューティング例

例 1:Check Point Security Manager の詳細を要求する。

この例では、Cisco Secure Firewall 移行ツールが Check Point Security Manager の詳細を要求します。

エラーメッセージを確認して問題を特定します。このエラーにより、次のエラーメッセージが生成されます。

参照先 エラー メッセージ

Cisco Secure Firewall 移行ツールのメッセージ

Check Point Security Manager の詳細を提供するように要求する画面。

ログファイル

[ERROR | connect_cp] > "Unable to extract the Extracted-objects.json file due to credentials with insufficient privileges, time-out issues and so on. Refer Secure Firewall migration tool UG for more info."

127.0.0.1 - - [20/Jul/2020 17:20:43] "POST /api/CP/connect HTTP/1.1" 500 -

ログイン情報が正しくありません。以前に説明した手順に従って、ログイン情報を事前設定します。使用するログイン情報には、Check Point Security Manager の Check Point Gaia 上の /bin/bash シェルプロファイルが必要です。通常の展開では、Check Point Security Manager の Check Point Smart Console アプリケーションに、同じログイン情報をスーパーユーザ権限で事前設定する必要があります。マルチドメイン展開を使用する場合、権限はスーパーユーザである必要があります。詳細については、「Live Connect を使用した構成抽出のための Check Point(r80)デバイスの事前設定」を参照してください。

例2:不正なファイル形式

この例では、Cisco Secure Firewall 移行ツールの移行は、不正なファイル形式が原因でブロックされています。

エラーメッセージを確認して問題を特定します。このエラーにより、次のエラーメッセージが生成されます。

参照先 エラー メッセージ

Cisco Secure Firewall 移行ツールのメッセージ

ブロック

ログ ファイル

[ERROR | cp_device_connection] > "Bad file format"

2020-07-20 17:10:57,347 [ERROR | connect_cp] > "Unable to download .tar file."

127.0.0.1 - - [20/Jul/2020 17:10:57] "GET /api/CP/generate_tar_file?package=Standard HTTP/1.1" 500 -

ログイン情報が正しくありません。以前に説明した手順に従って、ログイン情報を事前設定します。使用するログイン情報には、Check Point Security Manager の Check Point Gaia 上の /bin/bash シェルプロファイルが必要です。Check Point Security Manager の Check Point Smart Console アプリケーションに、同じログイン情報をスーパーユーザ権限で事前設定する必要があります。マルチドメイン展開を使用する場合は、スーパーユーザ権限を付与する必要があります。詳細については、「Live Connect を使用した構成抽出のための Check Point(r80)デバイスの事前設定」を参照してください。

例3:ブロックされた VSX 機能は Threat Defense でサポートされない

この例では、Cisco Secure Firewall 移行ツールの移行は、ブロックされた VSX 機能が Threat Defense に存在することが原因で失敗します。

エラーメッセージを確認して問題を特定します。このエラーにより、次のエラーメッセージが生成されます。

参照先 エラー メッセージ

Cisco Secure Firewall 移行ツールのメッセージ

ブロックされた VSX 機能は、FTD ではサポートされていません。

ログファイル

[ERROR | config_upload] > "VSX Feature is UNSUPPORTED in FTD"

Traceback (most recent call last)

問題の説明:このエラーは、fw vsx stat コマンドが Check Point r80.40 以降で廃止されたために発生します。

回避策として、次の手順を実行します。

  1. config.zip ファイルを解凍します。

  2. networking.txt ファイルを開きます。

    次に、出力例を示します。

    firewall> fw vsx stat
Deprecated command, Please see sk144112 for alternative 
Deprecated commands: cphaprob cpinfo cplic fw ips raidconfig fwaccel

    これを次のように手動で置き換えます。

    firewall> fw vsx stat 
VSX is not supported on this platform

  3. すべてのファイルを選択し、.zip 拡張子に圧縮します。