PAN から Multicloud Defense への移行フロー

エンドツーエンドの手順

ワークスペース

手順

ローカルマシン

Cisco.com から Cisco Secure Firewall 移行ツールをダウンロードします。

詳細な手順については、「Cisco.com からの Cisco Secure Firewall 移行ツールのダウンロード」を参照してください。

Local Machine

ローカルマシンで、Cisco.com からdkした、アプリケーションファイルをダブルクリックして、Cisco Secure Firewall 移行ツールを開始します。

Palo Alto Networks ファイアウォール

構成ファイルをエクスポートする:Palo Alto Networks ファイアウォールから構成ファイルをエクスポートするには、「Palo Alto Networks ファイアウォールからの構成のエクスポート」を参照してください。

Cisco Secure Firewall 移行ツール

この手順の実行中、Multicloud Defense の接続先パラメータを指定できます。手順の詳細については、Multicloud Defense の接続先パラメータを指定するを参照してください。

Cisco Secure Firewall 移行ツール

移行前レポートをダウンロードした場所に移動し、レポートを確認します。手順の詳細については、移行前レポートの確認を参照してください。

Cisco Secure Firewall 移行ツール

構成を慎重に最適化して確認し、それが正しいことを確認します。手順の詳細については、移行する構成の最適化、確認および検証を参照してください。

Cisco Secure Firewall 移行ツール

移行プロセスのこの手順では、移行済み構成を Multicloud Defense に送信し、移行後レポートをダウンロードできるようにします。手順の詳細については、Multicloud Defense に構成をプッシュするを参照してください。

Local Machine

移行後レポートをダウンロードした場所に移動し、レポートを確認します。手順の詳細については、移行後レポートの確認と移行の完了を参照してください。

Multicloud Defense

移行済み構成を確認し、必要に応じて、構成ゲートウェイで使用します。

移行の前提条件

PAN 構成を移行する前に、次のアクティビティを実行します。

Cisco.com からの Cisco Secure Firewall 移行ツールのダウンロード

始める前に

Cisco.com へのインターネット接続が可能な Windows 10 64 ビットまたは macOS バージョン 10.13 以降のマシンが必要です。

Security Cloud Control でホストされている Cisco Secure Firewall 移行ツールのクラウドバージョンを使用する場合は、手順 4 に進みます。

手順

ステップ 1

コンピュータで、Cisco Secure Firewall 移行ツール用のフォルダを作成します。

このフォルダには、他のファイルを保存しないことをお勧めします。Cisco Secure Firewall 移行ツールを起動すると、ログ、リソース、およびその他すべてのファイルがこのフォルダに配置されます。

(注)  

 
Cisco Secure Firewall 移行ツールの最新バージョンをダウンロードする場合は、必ず新しいフォルダを作成し、既存のフォルダは使用しないでください。

ステップ 2

https://software.cisco.com/download/home/286306503/type を参照し、[Firewall移行ツール(Firewall Migration Tool)] をクリックします。

上記のリンクをクリックすると、[Firewall NGFWバーチャル(Firewall NGFW Virtual)] の [Cisco Secure Firewall移行ツール(Firewall Migration Tool)] に移動します。脅威に対する防御 デバイスのダウンロード領域から Cisco Secure Firewall 移行ツールをダウンロードすることもできます。

ステップ 3

Cisco Secure Firewall 移行ツールの最新バージョンを、作成したフォルダにダウンロードします。

Windows 用または macOS マシン用の適切な Cisco Secure Firewall 移行ツール実行可能ファイルをダウンロードします。

ステップ 4

Security Cloud Control ユーザーでそこにホストされている移行ツールを使用する場合は、Security Cloud Control テナントにログインして、左側のペインで、[管理(Administration)] > [移行(Migration)] > [ファイアウォール移行ツール(Firewall Migration Tool)] に移動して、移行インスタンスを作成します。

移行の実行

Cisco Secure Firewall 移行ツールの起動

このタスクは、デスクトップバージョンの Cisco Secure Firewall 移行ツールを使用している場合にのみ適用されます。Security Cloud Control でホストされている移行ツールのクラウドバージョンを使用している場合は、「Palo Alto Networks ファイアウォールからの設定のエクスポート」に進みます。


(注)  
移行ツールのデスクトップバージョンを起動すると、別のウィンドウでコンソールが開きます。移行が進むのに合わせて、Cisco Secure Firewall 移行ツールの現在のステップの進行状況がコンソールに表示されます。画面にコンソールが表示されない場合は、Cisco Secure Firewall 移行ツールの背後にある可能性があります。

始める前に

  • Cisco.com からの Cisco Secure Firewall 移行ツールのダウンロード

  • Cisco Secure Firewall 移行ツールを実行するために、最新バージョンの Google Chrome ブラウザがコンピュータにインストールされていることを確認します。Google Chrome をデフォルトのブラウザとして設定する方法については、「Set Chrome as your default web browser」を参照してください。

  • 大規模な構成ファイルを移行する場合は、移行プッシュ中にシステムがスリープ状態にならないようにスリープ設定を構成します。

手順

ステップ 1

コンピュータで、Cisco Secure Firewall 移行ツールをダウンロードしたフォルダに移動します。

ステップ 2

次のいずれかを実行します。

  • Windows マシンで、Cisco Secure Firewall 移行ツールの実行可能ファイルをダブルクリックして、Google Chrome ブラウザで起動します。

    プロンプトが表示されたら、[はい(Yes)] をクリックして、Cisco Secure Firewall 移行ツールがシステムに変更を加えることができるようにします。

    (注)  

     

    ログインポップアップの表示を妨げる可能性があるため、ブラウザのポップアップ ブロッカーを必ず無効にします。

    Cisco Secure Firewall 移行ツールは、すべての関連ファイルを作成し、Cisco Secure Firewall 移行ツールの存在するフォルダに保存します(ログおよびリソースのフォルダを含む)。

  • Mac では、Cisco Secure Firewall 移行ツールの *.command ファイルを目的のフォルダに移動し、ターミナルアプリケーションを起動して、Cisco Secure Firewall 移行ツールがインストールされているフォルダを参照し、次のコマンドを実行します。

    # chmod 750 Firewall_Migration_Tool-version_number.command

    # ./Firewall_Migration_Tool-version_number.command

    Cisco Secure Firewall 移行ツールは、すべての関連ファイルを作成し、Cisco Secure Firewall 移行ツールの存在するフォルダに保存します(ログおよびリソースのフォルダを含む)。

    ヒント

     
    Cisco Secure Firewall 移行ツールを開こうとすると、警告ダイアログが表示されます。これは、身元が明らかな開発者によって Cisco Secure Firewall 移行ツールが Apple に登録されていないためです。身元不明の開発者によるアプリケーションを開く方法については、「開発元が不明な Mac アプリを開く」を参照してください。

    (注)  

     

    MAC のターミナルの zip メソッドを使用します。

ステップ 3

[エンドユーザライセンス契約(End User License Agreement)] ページで、テレメトリ情報をシスコと共有する場合は、[Cisco Success Network と情報を共有することに同意(I agree to share data with Cisco Success Network)] をクリックし、それ以外の場合は [後で行う(I'll do later)] をクリックします。

Cisco Success Network に統計を送信することに同意すると、Cisco.com アカウントを使用してログインするように求められます。Cisco Success Network に統計を送信しないことを選択した場合は、ローカルログイン情報を使用して Cisco Secure Firewall 移行ツールにログインします。

ステップ 4

Cisco Secure Firewall 移行ツールのログインページで、次のいずれかを実行します。

  • Cisco Success Network と統計を共有するには、[CCOでログイン(Login with CCO)] リンクをクリックし、シングルサインオンログイン情報を使用して Cisco.com アカウントにログインします。Cisco.com アカウントがない場合は、Cisco.com のログインページで作成します。

    Cisco.com アカウントを使用してログインしている場合は、ステップ 8 に進みます。

  • インターネットにアクセスできないエアギャップネットワークにファイアウォールを展開した場合は、Cisco TAC に連絡して、管理者のログイン情報で動作するビルドを入手してください。このビルドでは使用状況の統計がシスコに送信されず、TAC がログイン情報を提供できることに注意してください。

ステップ 5

[パスワードのリセット(Reset Password)] ページで、古いパスワードと新しいパスワードを入力し、新しいパスワードを確認します。

新しいパスワードは 8 文字以上で、大文字と小文字、数字、および特殊文字を含める必要があります。

ステップ 6

[リセット(Reset)] をクリックします。

ステップ 7

新しいパスワードでログインします。

(注)  

 
パスワードを忘れた場合は、既存のすべてのデータを <migration_tool_folder> から削除し、Cisco Secure Firewall 移行ツールを再インストールします。

ステップ 8

移行前チェックリストを確認し、記載されているすべての項目を完了していることを確認します。

チェックリストの項目を 1 つ以上完了していない場合は、完了するまで続行しないでください。

ステップ 9

[新規移行(New Migration)] をクリックします。

ステップ 10

[ソフトウェアアップデートを確認(Software Update Check)] 画面で、Cisco Secure Firewall 移行ツールの最新バージョンを実行しているかどうかが不明な場合は、Cisco.com でバージョンを確認します。

ステップ 11

[続行(Proceed)] をクリックします。

次のタスク

次のステップに進むことができます。

Cisco Secure Firewall 移行ツールでのデモモードの使用

Cisco Secure Firewall 移行ツールを起動し、[送信元設定の選択(Select Source Configuration)] ページで、[移行の開始(Start Migration)] を使用して移行を開始するか、[デモモード(Demo Mode)] に入るかを選択できます。

デモモードでは、ダミーデバイスを使用してデモ移行を実行し、実際の移行フローがどのようになるかを可視化できます。移行ツールは、[送信元ファイアウォールベンダー(Source Firewall Vendor)] ドロップダウンでの選択に基づいてデモモードをトリガーします。構成ファイルをアップロードするか、ライブデバイスに接続して移行を続行することもできます。デモ FMC、デモ FTD デバイスまたは Multicloud Defenseやなどの送信元デバイスや対象デバイスを選択すると、デモの移行を実行できます。


注意    

[デモモード(Demo Mode)] を選択すると、既存の移行ワークフローがあれば消去されます。[移行の再開(Resume Migration)] にアクティブな移行があるときにデモモードを使用すると、アクティブな移行は失われ、デモモードを使用した後に最初から再開する必要があります。

移行前レポートをダウンロードして確認し、実際の移行ワークフローで実行するその他のアクションを実行することもできます。ただし、デモ移行は設定の検証までしか実行できません。これはデモモードにすぎないため、選択したデモターゲットデバイスに設定をプッシュすることはできません。検証ステータスと概要を確認し、[デモモードの終了(Exit Demo Mode)] をクリックして [送信元設定の選択(Select Source Configuration)] ページに再度移動し、実際の移行を開始できます。


(注)  

デモモードでは、設定のプッシュを除く Cisco Secure Firewall 移行ツールのすべての機能セットを活用して、実際の移行を行う前にエンドツーエンドの移行手順のトライアルを実行できます。

Palo Alto Networks ファイアウォールからの構成のエクスポート

構成ファイルは、次の方法でエクスポートできます。

Palo Alto ファイアウォールからの構成ファイル(Panorama の管理対象外)

ゲートウェイから構成を抽出するには、次の手順を実行します。
手順

ステップ 1

[Device] > [Setup] > [Operations] に移動し、[Save Named Configuration <file_name.xml>] を選択します。

ステップ 2

[OK] をクリックします。

ステップ 3

[Device] > [Setup] > [Operations] に移動し、[Export Named Configuration] をクリックします。

ステップ 4

<file_name.xml> ファイルを選択します。

ステップ 5

[OK] をクリックします。

ステップ 6

実行構成 <file_name.xml> を含む XML ファイルを選択し、[Ok] をクリックして構成ファイルをエクスポートします。

ステップ 7

エクスポートしたファイルをファイアウォールの外部の場所に保存します。このバックアップを使用すると、構成を移行できる Cisco Secure Firewall 移行ツールをアップロードできます。

ステップ 8

(任意)接続先 NAT に同じ送信元ゾーンと接続先ゾーンがある NAT ポリシーがある場合は、次の手順を実行します。

  1. ファイアウォールで CLI から show routing route コマンドを実行します。

  2. ルーティングテーブルを .txt ファイルにコピーします。

  3. この .txt ファイルをフォルダに追加します。このフォルダで .txt ファイルと .xml ファイル(panconfig.xml を含む)を圧縮します。

これらのステップは、移行に必須ではありません。これらのステップを実行しないと、接続先ゾーンは Cisco Secure Firewall 移行ツールでの移行中にマッピングされず、移行レポートに含まれます。

(注)  

 

show routing route コマンドを使用して、ルーティングテーブルの詳細を抽出します。抽出した出力をメモ帳に貼り付けます。

Palo Alto ファイアウォールからの構成ファイル(Panorama の管理対象)

デバイスが Panorama で管理されている場合は、ゲートウェイから設定を抽出する必要があります。Panorama 設定をゲートウェイと統合し、設定を抽出します。

Cisco Secure Firewall 移行ツールのユーザーインターフェイスで、次の手順を実行します。

始める前に
スーパーユーザーアカウントを使用して、Palo Alto ファイアウォールの Web UI にログインします。
手順

ステップ 1

[デバイス(Device)] > [サポート(Support)] > [テクニカルサポートファイル(Tech Support File)]に移動します。

ステップ 2

[テクニカルサポートファイルの生成(Generate Tech Support File)]をクリックします。

ステップ 3

生成されたファイルが利用可能になったら、[テクニカルサポートファイルのダウンロード(Download Tech Support File)] をクリックします。

ステップ 4

ファイルを解凍して展開し、パス \opt\pancfg\mgmt\saved-configs\ に移動して、merged-running-config.xml ファイルを取得します。

次のタスク
エクスポートされたファイルの圧縮

エクスポートされたファイルの圧縮

Palo Alto Gateway ファイアウォールの panconfig.xml、および route.txt をエクスポートします(同じ送信元ゾーンと宛先ゾーンを持つ NAT ルールがある場合)。

Multicloud Defense の接続先パラメータを指定する

始める前に

  • Multicloud Defense が有効JTAPIになっている Security Cloud Control テナントがある。

  • Multicloud Defense に必要な運用ライセンスを購入している。


    (注)  

    90 日の無料トライアル期間中でも有料サブスクリプションの完全な機能を体験していただけるため、この期間であっても Multicloud Defense に構成を移行できます。

  • Multicloud Defense のベース URL と Security Cloud Control テナント名を保持している。

  • API キーを作成し、API キー作成時に、Multicloud Defense が生成する API キー IDAPI キーシークレットもコピーした。詳細については、「Multicloud DefenseAPI キーを作成する」を参照してください。

手順

ステップ 1

[ターゲットを選択(Select Target)] ウィンドウで、Multicloud Defense を選択します。

ステップ 2

対応するフィールドに次のパラメータを指定して、移行ツールと Multicloud Defense 間の接続を確立します。

  • ベース URL の入力:これは、Multicloud Defense コントローラに接続する際にブラウザで確認できるベース URL です。たとえば、コントローラダッシュボードで、/dashboard の部分を除くブラウザ上のりリンクをコピーします。URL は https://xxxx.mcd.apj.cdo.cisco.com のようになります。

  • テナント名の入力Security Cloud Control テナントの名前。Multicloud Defense ウィンドウにいる場合は、右上の [プロファイル(Profile)] ドロップダウンから、Security Cloud Control ウィンドウにいる場合は、[管理(Administration)] > [一般設定(General Settings)] からコピーします。

  • API キー ID の入力[システムとアカウント(System and Accounts)] > [API キー(API Keys)] の順番に選択して、API キーを作成する際に、Multicloud Defense コントローラが生成するAPI キー ID。キーの名前、E メールアドレス、API キーに必要なロール、API キーに付与するロールおよびキーを生成するための API キーの有効期間を指定します。キーのデフォルトの有効期間は、365 日に設定されています。

  • APIキーシークレットの入力:APIキーの作成時に Multicloud Defense コントローラが生成する API キーシークレット

    (注)  

     

    API キーの作成時にのみ表示される API キー IDAPI キーシークレットの両方をコピーしてください。コピーし忘れた場合は、作成した API キーを削除して新しいキーを生成し、今回は必ずコピーしてください。

ステップ 3

[接続(Connect)] をクリックし、Multicloud Defense への接続試行が成功したことを確認する「正常に収集済み」メッセージを受信するまで待機します。

ステップ 4

[機能を選択(Select Features)] を使用すると、Multicloud Defense に移行する構成を選択できます。[アクセス制御(Access Control)] および [参照オブジェクトのみを移行(Migrate Only Reference Objects)] チェックボックスはデフォルトでオンになっています。

この移行では、インターフェイスやルートなどの送信元ファイアウォールからのその他の構成はサポートされていないのでご注意ください。

ステップ 5

[続行(Proceed)][変換を開始(Start Conversion)] の順に選択します。移行ツールが送信元の構成を解析するまで待機します。

ステップ 6

Cisco Secure Firewall 移行ツールによって変換された要素の概要を確認します。

構成ファイルが正常にアップロードおよび解析されたかどうかを確認するには、移行を続行する前に移行前レポートをダウンロードして確認します。

ステップ 7

[レポートのダウンロード(Download Report)] をクリックし、移行前レポートを保存します。

移行前レポートのコピーも、Cisco Secure Firewall 移行ツールと同じ場所にある Resources フォルダに保存されます。

ステップ 8

[次へ(Next)] をクリックします。

移行前レポートの確認

移行中に移行前レポートをダウンロードし忘れた場合は、次のリンクを使用してダウンロードしてください。

移行前レポートのダウンロードエンドポイント:http://localhost:8888/api/downloads/pre_migration_summary_html_format


(注)  
レポートは、Cisco Secure Firewall 移行ツールの実行中にのみダウンロードできます。

手順

ステップ 1

移行前レポートをダウンロードした場所に移動します。

移行前レポートのコピーも、Cisco Secure Firewall 移行ツールと同じ場所にある Resources フォルダに保存されます。

ステップ 2

移行前レポートを開き、その内容を慎重に確認して、移行が失敗する原因となる問題を特定します。

移行前レポートには、次の情報が含まれています。

  • 脅威に対する防御 または Multicloud Defense への移行に成功したサポートされている 構成要素と移行用に選択された特定の 機能のサマリー

  • エラーがある構成行:Cisco Secure Firewall 移行ツールが解析できなかったために正常に移行できない 構成要素の詳細。 構成でこれらのエラーを修正し、新しい構成ファイルをエクスポートしたら、新しい構成ファイルを Cisco Secure Firewall 移行ツールにアップロードして、続行します。

  • 無視された構成Multicloud Defense または Cisco Secure Firewall 移行ツールがサポートしていないために無視された 構成要素の詳細。Cisco Secure Firewall 移行ツールはこれらの行を解析しません。これらの行を確認し、各機能が Multicloud Defense でサポートされているかどうかを確認します。サポートされている場合は、機能を手動で構成することを計画します。

ステップ 3

移行前レポートで修正措置が推奨されている場合は、 インターフェイスで、これらの修正を完了し、再度 構成ファイルをエクスポートし、更新された構成ファイルをアップロードして、続行します。

ステップ 4

構成ファイルを正常にアップロードし、解析したら、Cisco Secure Firewall 移行ツールに戻り、[次へ(Next)] をクリックして移行を続行します。

移行する構成の最適化、確認および検証

始める前に

[設定の最適化、確認および検証(Optimize, Review and Validate Configuration)] ページでは、ターゲット Multicloud Defense に移行しようとしている構成パラメータを確認および検証できます。このステップでは、移行ツールは Multicloud Defense の既存の構成に対して構成を検証し、ターゲット Multicloud Defense での重複を避けるために、アクセス制御ルールの関連付けやオブジェクト名の変更など、移行を成功させるために実行する必要がある変更を提案します。

検証後にタブが点滅している場合は、タブで実行する必要があるアクションがあることを示します。

手順

ステップ 1

すべてのアクセス制御リスト(ACL)エントリを一覧する [アクセス制御(Access Control)] タブで、次を実行します。

  • [ACLを最適化(Optimize ACL)] をクリックすると、移行ツールがすべてのシャドウ ACL と冗長 ACL を識別し、無効な ACL として移行するか、移行から除外するかを選択できます。

    Cisco Secure Firewall 移行ツールの ACL 最適化の概要

    Cisco Secure Firewall 移行ツールは、ネットワーク機能に影響を与えることなく、ファイアウォールルールベースから最適化(無効化または削除)できる ACL を識別および分離するサポートを提供します。

    ACL 最適化は、次の ACL タイプをサポートします。

    • 冗長 ACL:2 つの ACL の構成とルールのセットが同じ場合、基本以外の ACL を削除してもネットワークに影響はありません。たとえば、2 つのルールが同じネットワーク上で FTP および IP トラフィックを許可し、アクセスを拒否するルールが定義されていない場合、最初のルールを削除できます。

    • シャドウ ACL:最初の ACL は、2 番目の ACL の設定を完全にシャドウイングします。2 つのルールに同様のトラフィックがある場合、2 番目のルールはアクセスリストの後半に表示されるため、どのトラフィックにも適用されません。2 つのルールがトラフィックに対して異なるアクションを指定している場合、シャドウイングされたルールを移動するか、いずれかのルールを編集して必要なポリシーを実装できます。たとえば、特定の送信元または宛先に対して、基本ルールで IP トラフィックを拒否し、シャドウイングされたルールで FTP トラフィックを許可できます。

    Cisco Secure Firewall 移行ツールは、ACL 最適化のルールを比較する際に次のパラメータを使用します。

    • 無効化された ACL は、最適化プロセス中に考慮されません。

    • 送信元の ACL は、対応する ACE(インライン値)に展開された後、次のパラメータについて比較されます。

      • 送信元と宛先のネットワーク

      • 送信元/宛先ポート

    [レポートのダウンロード(Download Report)] をクリックして、ACL 名と、対応する冗長 ACL およびシャドウされた ACL を Excel ファイルで表形式で確認します。ACL の詳細情報を表示するには、[詳細なACL情報(Detailed ACL Information)] シートを使用します。

    [続行(Proceed)] をクリックして、最適化プロセスを開始します。

  • テーブル内の各エントリについて、マッピングを確認し、それらが正しいことを確認します。

    移行済みのアクセスポリシールールは、ACL 名をプレフィックスとして使用し、ACL ルール番号を追加することで、構成ファイルにマッピングしやすくします。たとえば、ACL の名前が、「inside_access」の場合、ACL の最初のルール(または ACE)行の名前は、「inside_access_#1.」になります。TCP または UDP の組み合わせ、拡張サービスオブジェクト、またはその他の理由でルールを拡張する必要がある場合、Cisco Secure Firewall 移行ツールは名前に番号付きサフィックスを追加します。たとえば、許可ルールが移行のために 2 つのルールへ拡張される場合、それらのルールには "inside_access_#1-1" と "inside_access_#1-2" という名前が付けられます。

    サポートされていないオブジェクトを含むルールの場合、Cisco Secure Firewall 移行ツールは名前に "_UNSUPPORTED" というサフィックスを追加します。

  • 移行しない場合、または一部の ACL を無効として移行する場合は、行のチェックボックスをオンにし、 [アクション(Actions)]をクリックして、該当するオプションを選択します。一括変更を実行するには、 [すべてのエントリを選択(Select all entries) ] チェックボックスをオンにします。

  • アクセス制御リストポリシーを編集するには。ポリシーのチェックボックスをオンにして行を選択し、[アクション(Actions)] > [編集(Edit)] の順に選択します。

    該当しないすべてのルールは、テーブルでグレーアウトされます。

ステップ 2

[オブジェクト(Objects)] タブでは、次を実行できます。

次のタブを選択し、マッピングを確認します。

  • ネットワークオブジェクト

  • ポート オブジェクト

  • FQDN オブジェクト

  • URL オブジェクト

オブジェクト名を変更する場合は、オブジェクトの行のチェックボックスをオンにし、[アクション(Actions)] をクリックして [名前を変更(Rename)] を選択します。一括変更を実行するには、 [すべてのエントリを選択(Select all entries) ] チェックボックスをオンにします。

ステップ 3

確認が完了したら、[検証(Validate)] をクリックします。注意が必要な必須フィールドは、値を入力するまで点滅し続けることに注意してください。[検証(Validate)] ボタンは、すべての必須フィールドに入力した後にのみ有効になります。

検証中、Cisco Secure Firewall 移行ツールは Multicloud Defense に接続し、既存のオブジェクトを確認し、それらのオブジェクトを移行対象オブジェクトのリストと比較します。オブジェクトがすでに Multicloud Defense に存在する場合、Cisco Secure Firewall 移行ツールは次の処理を実行します。

  • オブジェクトの名前と構成が同じ場合、Cisco Secure Firewall 移行ツールは既存のオブジェクトを再利用し、Multicloud Defense に新しいオブジェクトを作成しません。

  • オブジェクトの名前が同じで構成が異なる場合、Cisco Secure Firewall 移行ツールはオブジェクトの競合を報告します。

検証の進行状況はコンソールで確認できます。

ステップ 4

検証が完了し、[検証ステータス(Validation Status)] ダイアログボックスに 1 つ以上のオブジェクトの競合が表示された場合は、次の手順を実行します。

  1. [競合の解決(Resolve Conflicts)] をクリックします。

    Cisco Secure Firewall 移行ツールは、オブジェクトの競合が報告された場所に応じて、[ネットワークオブジェクト(Network Objects)] タブまたは [ポートオブジェクト(Port Objects)] タブのいずれかまたは両方に警告アイコンを表示します。

  2. タブをクリックし、オブジェクトを確認します。

  3. 競合がある各オブジェクトのエントリを確認し、[アクション(Actions)] > [競合の解決(Resolve Conflicts)] を選択します。

  4. [競合の解決(Resolve Conflicts)] ウィンドウで、推奨アクションを実行します。

    たとえば、既存の Multicloud Defense オブジェクトとの競合を避けるために、オブジェクト名にサフィックスを追加するように求められる場合があります。デフォルトのサフィックスを受け入れるか、独自のサフィックスに置き換えることができます。

  5. [解決(Resolve)] をクリックします。

  6. タブ上のすべてのオブジェクトの競合を解決したら、[保存(Save)] をクリックします。

  7. [検証(Validate)] をクリックして構成を再検証し、すべてのオブジェクトの競合を解決したことを確認します。

ステップ 5

検証が完了し、[検証状態(Validation Status)] ダイアログボックスに、「検証成功」というメッセージが表示されたら、引き続き Multicloud Defense に構成をプッシュします。

Multicloud Defense に構成をプッシュする

始める前に

構成を正常に検証しておらず、すべてのオブジェクト競合を解決していない場合、構成を Multicloud Defense にプッシュできません。


(注)  

Cisco Secure Firewall 移行ツールが 構成を Multicloud Defense に送信中は、構成を変更したりデバイスにデプロイしたりしないでください。

手順

ステップ 1

[検証ステータス(Validation Status)] ダイアログボックスで、検証の概要を確認します。

ステップ 2

[構成をプッシュ(Push Configuration)] をクリックして、送信元ファイアウォール構成を Multicloud Defense に送信します。

Cisco Secure Firewall 移行ツールに、移行の進行状況の概要が表示されます。コンソールに、Multicloud Defense にプッシュされているコンポーネントの詳細な進行状況を行ごとに表示できます。

(注)  

 

一括設定プッシュの実行中にエラーのある設定がある場合、移行ツールは警告をスローし、移行を中止してエラーを手動で修正するか、誤った設定を除外して移行を続行することを求めます。エラーのある設定を表示してから、[移行の続行(Continue with migration)] または [中止(Abort)] を選択できます。移行を中止する場合は、トラブルシューティング バンドルをダウンロードし、分析のために Cisco TAC と共有できます。

移行を続行する場合は、移行ツールは移行を部分的に成功した移行として扱います。移行後レポートをダウンロードして、プッシュエラーが原因で移行されなかった設定のリストを表示できます。

ステップ 3

移行が完了したら、[レポートのダウンロード(Download Report)] をクリックして、移行後レポートをダウンロードして保存します。

移行後レポートのコピーも、Cisco Secure Firewall 移行ツールと同じ場所にある Resources フォルダに保存されます。

ステップ 4

移行できなかった場合、移行後レポート、ログファイル、未解析構成ファイルを慎重に確認し、失敗の原因を把握します。

トラブルシューティングについては、サポートチームに問い合わせることもできます。

移行の失敗のサポート

移行に失敗する場合は、サポートにお問い合わせください。

  1. [移行完了(Complete Migration)] 画面で、[サポート(Support)] ボタンをクリックします。

    [ヘルプ(Help)] サポートページが表示されます。

  2. [サポートバンドル(Support Bundle)] チェックボックスをオンにして、ダウンロードする構成ファイルを選択します。

    (注)  

     
    ログファイルと DB ファイルは、デフォルトでダウンロード用に選択されています。

  3. [ダウンロード(Download)] をクリックします。

    サポートバンドルファイルは、ローカルパスに .zip としてダウンロードされます。zip フォルダを解凍して、ログファイル、DB、構成ファイルを確認します。

  4. [Email us] をクリックして、テクニカルチームに障害の詳細を電子メールで送信します。

    ダウンロードしたサポートファイルを電子メールに添付することもできます。

  5. [TAC ページに移動(Visit TAC page)] をクリックして、シスコのサポートページで TAC ケースを作成します。

    (注)  

     
    TAC ケースは、移行中にいつでもサポートページからオープンできます。

移行後レポートの確認と移行の完了

始める前に

移行後レポートには、さまざまなカテゴリの ACL カウント、ACL 最適化、および構成ファイルで実行された最適化の全体的なビューに関する詳細が表示されます。

手順

ステップ 1

移行後レポートをダウンロードした場所に移動します。

ステップ 2

移行後レポートを開き、その内容を慎重に確認して、ソース構成がどのように移行されたかを理解します。

  1. 移行の概要Multicloud Defense へのソースファイアウォールから正常に移行された構成の概要。

    また、移行前の状態と移行後の状態の差異を示す比較チャートも確認できます。

  2. オブジェクト競合処理Multicloud Defense に既存しているオブジェクトと競合していると識別されたオブジェクトの詳細。オブジェクトの名前と設定が同じ場合、Cisco Secure Firewall 移行ツールは Multicloud Defense オブジェクトを再利用しています。オブジェクトの名前が同じで構成が異なる場合は、管理者がそれらのオブジェクトの名前を変更しています。これらのオブジェクトを慎重に確認し、競合が適切に解決されたことを確認します。

  3. 移行しないと判断したアクセス制御ルール:Cisco Secure Firewall ツールを使用して移行しないと判断したルールの詳細。Cisco Secure Firewall 移行ツールによって無効化され、移行されなかったこれらのルールを確認します。これらの行を確認し、選択したすべてのルールがこのセクションにリストされていることを確認します。必要に応じて、これらのルールを手動で構成できます。

  4. 一部移行済み構成:高度なオプションなしで移行できる高度なオプション付きルールを含む、一部のみ移行されたルールの詳細。これらの行を確認し、詳細オプションが Multicloud Defense でサポートされているかどうかを確認します。サポートされている場合は、これらのオプションを手動で構成します。

  5. サポートされない構成:Cisco Secure Firewall 移行ツールがこれらの機能の移行をサポートしないため、移行されなかったソースファイアウォール構成要素の詳細。これらの行を確認し、各機能が Multicloud Defense でサポートされているかどうかを確認します。その場合は、Multicloud Defense でこれらの機能を手動で構成します。

  6. 拡張アクセス制御ポリシー:移行中に単一ポイントルールから複数 Multicloud Defense ルールに拡張されたソースファイアウォールのアクセス制御ポリシーの詳細。

  7. Actions Taken on Access Control Rules

    • 移行しないと判断したアクセスルール:Cisco Secure Firewall ツールを使用して移行しないと判断したアクセス制御の詳細。これらの行を確認し、選択したすべてのルールがこのセクションにリストされていることを確認します。必要に応じて、Multicloud Defense でこれらのルールを手動で構成できます。

    • Access Rules with Rule Action Change:Cisco Secure Firewall 移行ツールを使用して「ルールアクション」が変更されたすべてのアクセス コントロール ポリシー ルールの詳細。ルールアクションの値は、Allow、Trust、Monitor、Block、Block with reset です。これらの行を確認し、選択したすべてのルールがこのセクションにリストされていることを確認します。必要に応じて、Multicloud Defense でこれらのルールを手動で構成できます。

(注)  

 
サポートされていないルールが移行されなかった場合、不要なトラフィックがファイアウォールを通過する問題が発生します。このトラフィックがブロックされるように、Multicloud Defense でルールを構成することをお勧めします。

ステップ 3

移行前レポートを開き、Multicloud Defense で手動で移行する必要がある構成項目をメモします。

ステップ 4

移行されたすべての構成パラメータが、Multicloud Defense で使用できることを確認します。