개요

이 가이드에서는 소스 방화벽에서 대상 방화벽으로 설정과 정책을 원활하고 안전하며 효율적으로 전송하여 중단을 최소화하고 마이그레이션 후 보안 태세를 최적화하는 데 필요한 필수 모범 사례를 제공합니다.

마이그레이션 전 모범 사례

성공적인 방화벽 마이그레이션을 위해서는 철저한 준비가 중요합니다. 다음 모범 사례를 따르십시오.

  • 디바이스 및 소프트웨어 버전 식별: 소스 및 대상 방화벽 디바이스와 각각의 소프트웨어 버전을 명확하게 식별합니다. 자세한 내용은 Cisco Secure Firewall 마이그레이션 툴 호환성 가이드를 참조하십시오.

  • 마이그레이션 범위 정의: 마이그레이션하려는 대상(전체 구성, 부분 설정 또는 특정 정책)을 정확하게 결정합니다.

  • 이해 관계자 참여: 네트워크, 보안 및 체인 관리 팀과 같은 모든 관련 이해 관계자를 참여시켜 마이그레이션 목표 및 타임라인을 준수합니다.

  • 네트워크 토폴로지 문서화: 현재 네트워크 아키텍처에 대한 포괄적인 맵을 생성합니다. 이렇게 하면 종속성을 파악하고 마이그레이션을 효과적으로 계획하는 데 도움이 됩니다.

  • 유지 보수 기간 확인: 잠정 또는 고정 유지 보수 기간을 설정하여 서비스 중단 가능성을 최소화합니다.

  • 모든 항목 백업: 소스 방화벽의 전체 구성 백업을 수행합니다. 여기에는 인증서, VPN 키 및 연결 패키지가 포함되어야 합니다.

  • 액세스 및 라이선스 확인: 소스 및 대상 방화벽 모두에 대한 SSH, FPS 또는 콘솔 액세스 권한이 있는지 확인합니다. 또한 필요한 모든 라이선스가 대상 디바이스에서 활성 상태인지 확인합니다 .

  • 상태 확인 수행: 마이그레이션과 관련된 모든 디바이스에서 상태 확인을 수행하여 준비도를 확인합니다.

  • 대상 방화벽 준비: 필요한 경우 대상 방화벽에서 공장 초기화를 수행하거나 기존 구성을 지웁니다. 소프트웨어 버전이 마이그레이션 계획과 일치하는지 확인합니다.

마이그레이션 중 모범 사례

준비가 완료되면 Secure Firewall 마이그레이션 툴을 적극적으로 사용하면서 다음 모범 사례를 따르십시오.

  • 최신 방화벽 마이그레이션 툴 설치:소프트웨어 다운로드 페이지에서 최신 버전의 방화벽 마이그레이션 툴을 다운로드하여 설치합니다. 그런 다음 마이그레이션을 시작하기 전에 툴의 기능을 확인합니다.

  • 예행 연습 또는 테스트 수행: 마이그레이션 예행 연습을 실행합니다. 랩 환경에서 프로세스를 테스트하거나 방화벽 마이그레이션 툴의 데모 모드를 사용합니다. 이러한 작업은 잠재적인 문제를 사전에 식별하고 해결하는 데 도움이 됩니다. 방화벽 마이그레이션 툴 홈페이지에서 제공되는 마이그레이션 전 지침을 검토하십시오.

    이 이미지는 방화벽 마이그레이션 툴 기본 화면을 표시합니다.

  • 구성 변경 고정: 마이그레이션 프로세스 중에는 소스 방화벽의 구성을 변경하지 마십시오. 변경을 수행해야 하는 경우 마이그레이션 후 대상 방화벽에 적용해야 합니다.

  • 구성 푸시: 모든 이전 단계를 완료하고 시스템이 준비 상태인지 확인합니다. 그런 다음 방화벽 마이그레이션 툴을 사용하여 구성을 대상 방화벽에 푸시합니다.

마이그레이션 후 모범 사례

마이그레이션 후 확인과 최적화는 성공적이고 안전한 전환을 위해 매우 중요합니다.

  • 마이그레이션 후 보고서 다운로드: 항상 FMT에서 생성된 마이그레이션 후 보고서를 다운로드합니다. 장애 또는 문제가 발생하는 경우 즉시 TAC(Technical Assistance Center)에 문의하십시오.

    이 이미지는 마이그레이션 후 보고서 화면에 표시됩니다.

  • 연결성 확인: 사용자 환경의 주요 IP 주소에 대해 ping 또는 트레이스라우트(traceroute) 툴을 사용하여 네트워크 연결성을 테스트합니다.

  • VPN 및 규칙 테스트: 사이트 간 및 원격 액세스 VPN, 액세스 규칙, NAT 기능 및 로깅의 기능을 확인합니다.

  • 통합 검토: 시스템 로그, SNMP, NTP, DNS 및 모니터링 툴과 같은 모든 통합 서비스가 예상대로 실행되고 있는지 확인합니다.

  • 정책 최적화: 연결성을 확인한 후, Security Cloud Control의 정책 분석기 및 정책 옵티마이저를 사용하여 액세스 정책을 구체화합니다.

방화벽 마이그레이션 툴 문제 해결

이 섹션에서는 방화벽 마이그레이션 툴의 문제 해결 단계 및 리소스에 대해 설명합니다.

마이그레이션 실패는 소스 구성 파일을 업로드하는 도중이나 마이그레이션된 구성을 (으)로 푸시하는 도중에 자주 발생합니다.

일반적인 원인은 다음과 같습니다.

  • 소스 구성 아카이브에 잘못되었거나 예기치 않은 파일이 있습니다.

  • 구성 요소가 누락되었거나 완료되지 않았습니다.

  • 지원되지 않는 파일 형식 또는 압축 유형입니다.

  • 인식되지 않거나 형식이 잘못된 구성 라인으로 인한 구문 분석 오류입니다.

  • 마이그레이션 중 네트워크 연결성 문제가 발생했습니다.

Firepower 마이그레이션 툴 지원 번들

방화벽 마이그레이션 툴은 로그 파일, DB, 컨피그레이션 파일과 같은 중요한 문제 해결 정보를 포함하는 지원 번들을 제공합니다. 지원 번들 다운로드 방법:

  1. Complete Migration(마이그레이션 완료) 화면에서 Support(지원) 버튼을 클릭합니다.

  2. Support Bundle(지원 번들) 체크 박스를 선택한 다음 다운로드할 컨피그레이션 파일을 선택합니다.


    참고

    로그 및 DB 파일은 기본적으로 다운로드하도록 선택됩니다.

  3. Download(다운로드)를 클릭합니다.

    지원 번들을 로컬 경로에 .zip 파일로 다운로드합니다. zip 파일의 압축을 풀고 로그, 데이터베이스 및 컨피그레이션 파일을 봅니다.

  4. Email us(이메일 문의)를 클릭하여 기술 팀에 실패 세부 정보를 이메일로 보냅니다.

    다운로드한 지원 파일을 이메일에 첨부할 수도 있습니다.

  5. TAC 페이지 방문을 클릭하여 이 실패에 대한 Cisco Technical Assistance Center(TAC) 케이스를 생성합니다.


    참고

    마이그레이션하는 동안 언제라도 지원 페이지에서 TAC 케이스를 열 수 있습니다.

문제 해결에 사용되는 로그 및 기타 파일

다음 표는 문제를 식별하고 해결하는 데 사용되는 파일의 이름과 위치를 나열합니다.

파일

위치

로그 파일

<migration_tool_folder>\logs

마이그레이션 전 보고서

<migration_tool_folder>\resources

마이그레이션 후 보고서

<migration_tool_folder>\resources

구문 분석되지 않은 파일

<migration_tool_folder>\resources

오류 메시지와 해결 방법

이 섹션에는 방화벽 마이그레이션 툴에서 보고된 오류와 권장 조치가 나와 있습니다.

오류: 네트워크 그룹을 푸시하는 동안 오류 발생: 데이터 없음

설명 권장 조치

이 오류는 소스 컨피규레이션 파일에서 IP 주소 또는 포트 값이 정의되지 않은 개체가 있는 경우 발생합니다.

방화벽 마이그레이션 툴에서 자세한 로그를 확인하여 오류가 있는 파일을 식별합니다. 웹 시각화 툴을 사용하여 컨피규레이션 파일의 압축을 다시 풉니다. 이 문제는 Check Point의 내보내기 문제로 인해 발생합니다. 문제가 지속되는 경우 TAC에 문의하여 이 실패에 대한 케이스를 생성하고 방화벽 마이그레이션 툴에서 다운로드한 지원 번들을 제공하십시오.

지원 번들을 다운로드하는 방법에 대한 자세한 내용은 Firepower 마이그레이션 툴 지원 번들의 내용을 참조하십시오.

오류: VLAN 인터페이스 유형이 이 디바이스 모델에서 지원되지 않음

설명 권장 조치
이 오류는 이전 버전의 방화벽 마이그레이션 툴을 사용하는 경우에 발생합니다. 마이그레이션을 계속 진행하려면 최신 버전의 방화벽 마이그레이션 툴을 다운로드합니다.

오류: 대량 액세스 목록 [1 - 1000] 다른 사용자의 다른 작업으로 인해 이 작업이 금지되었습니다. 다시 시도하십시오.

설명 권장 조치
이 오류는 마이그레이션 중에 여러 사용자가 방화벽 마이그레이션 툴로 관리 센터에 연결하려고 시도할 때 발생합니다.

방화벽 마이그레이션 툴이 구성을 마이그레이션할 때 관리 센터에 대한 다중 연결을 피하십시오.

오류: 다른 사용자의 다른 작업으로 인해 이 작업이 금지되었습니다. 잠시 후 다시 시도해 주십시오.

설명 권장 조치
이 오류는 마이그레이션 중에 여러 사용자가 방화벽 마이그레이션 툴로 관리 센터에 연결하려고 시도할 때 발생합니다. 방화벽 마이그레이션 툴이 구성을 마이그레이션할 때 관리 센터에 대한 다중 연결을 피하십시오.

오류: 외부에 대한 개체 삭제가 제한됩니다. 다음 위치에서 개체를 제거하십시오. 디바이스 - AUMEL DHCP Relay Se

설명 권장 조치
이 오류는 관리 센터에 여러 기존 구성이 있고 방화벽 마이그레이션 툴이 푸시 단계 중에 디바이스별 구성의 속성을 지울 수 없는 경우에 발생합니다. 관리 센터에서 기존 구성을 지우고 마이그레이션을 진행합니다. 문제가 지속되는 경우 Cisco TAC에 문의하여 이 실패에 대한 TAC 케이스를 생성하고 방화벽 마이그레이션 툴에서 다운로드한 지원 번들을 제공하십시오.

오류: Ethernet1/2에서 사용된 논리적 이름이 유효하지 않습니다. 해당 이름은 마이그레이션 툴에서 지원하지 않는 정책에서 사용되고 있습니다. 마이그레이션에 클린 디바이스를 사용하는 것이 좋습니다.

설명 권장 조치
이 오류는 관리 센터에 여러 기존 구성이 있고 방화벽 마이그레이션 툴이 푸시 단계 중에 디바이스별 구성의 속성을 지울 수 없는 경우에 발생합니다. 관리 센터에서 기존 구성을 지우고 마이그레이션을 진행합니다. 문제가 지속되는 경우 Cisco TAC에 문의하여 이 실패에 대한 TAC 케이스를 생성하고 방화벽 마이그레이션 툴에서 다운로드한 지원 번들과 함께 제공하십시오.

오류: 시스템에 내부 문제가 발생했습니다. 로그를 확인하십시오.

설명 권장 조치
이 오류는 관리 센터에 여러 기존 구성이 있고 방화벽 마이그레이션 툴이 푸시 단계 중에 디바이스별 구성의 속성을 지울 수 없는 경우에 발생합니다. 관리 센터에서 기존 구성을 지우고 마이그레이션을 진행합니다. 문제가 지속되는 경우 Cisco TAC에 문의하여 이 실패에 대한 TAC 케이스를 생성하고 방화벽 마이그레이션 툴에서 다운로드한 지원 번들과 함께 제공하십시오.

오류: [PushException(PushException(Exception('EtherChannel 인터페이스의 멤버인 인터페이스를 수정할 수 없습니다.',),),), 'interfaces']

설명 권장 조치
이 오류는 관리 센터에 여러 기존 구성이 있고 방화벽 마이그레이션 툴이 푸시 단계 중에 디바이스별 구성의 속성을 지울 수 없는 경우에 발생합니다. 관리 센터에서 기존 구성을 지우고 마이그레이션을 진행합니다. 문제가 지속되는 경우 Cisco TAC에 문의하여 이 실패에 대한 TAC 케이스를 생성하고 방화벽 마이그레이션 툴에서 다운로드한 지원 번들과 함께 제공하십시오.

오류: 관리 센터 연결 문제

설명 권장 조치
이 오류는 방화벽 마이그레이션 툴과 관리 센터에 대한 연결성 손실이 있을 때 발생합니다. 네트워크 연결성을 확인하십시오.

오류: 잘못된 URL

설명 권장 조치
이 오류는 방화벽 마이그레이션 툴이 특정 기능의 마이그레이션을 지원할 때 발생합니다. 예: ACE 범주 마이그레이션. 관리 센터 또는 위협 방어가 API에서 해당 기능을 지원하는 버전이 아닙니다. 방화벽 마이그레이션 툴 사용자 가이드를 참조하여 관리 센터 또는 위협 방어를 필요한 버전으로 업그레이드하십시오.

오류: 리소스를 찾을 수 없음

설명 권장 조치
이 오류는 방화벽 마이그레이션 툴이 특정 기능의 마이그레이션을 지원할 때 발생합니다. 예: ACE 범주 마이그레이션. 관리 센터 또는 위협 방어가 API에서 해당 기능을 지원하는 버전이 아닙니다. 방화벽 마이그레이션 툴 사용자 가이드를 참조하여 관리 센터 또는 위협 방어를 필요한 버전으로 업그레이드하십시오.

오류: [1-50]에서 네트워크 개체 유형[호스트] 벌크 - {"error":{"category":"FRAMEWORK","messages":[{"description":"잘못된 개체 ?는 개체 설명에서 마지막 문자로 허용되지 않습니다. ?를 제거하거나 교체하고 다시 시도하십시오"}],"severity":"ERROR"}}

설명 권장 조치
이 오류는 개체의 개체 설명 매개변수에 특수 문자가 있는 경우 발생합니다. 자세한 로그를 확인하여 관리 센터에서 지원하지 않는 특수 문자를 포함하는 소스 구성 및 개체를 식별하십시오. 소스 구성을 수정한 다음 방화벽 마이그레이션 툴을 사용하여 구성을 다시 업로드하고 마이그레이션하십시오.

오류: 동일한 이름의 개체가 이미 존재합니다

설명 권장 조치
이 오류는 방화벽 마이그레이션 툴이 구문 분석된 구성을 관리 센터에서 사용할 수 있는 구성 요소(예: 개체)에 대해 확인할 수 없을 때 발생합니다. 이것은 연결성 손실과 같은 여러 가지 이유 중 하나로 인해 발생할 수 있습니다. 재개 > 확인 > 푸시를 선택하여 마이그레이션을 재개하고 구성을 다시 확인한 후 푸시하십시오.