Inleiding
Dit document beschrijft de procedure om Cisco adaptieve security applicatie (ASA) te migreren naar Cisco Firepower.
Bijgedragen door Ricardo Vera, Cisco TAC Engineer.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van Cisco Firewall Threat Defence (FTD) en Adaptieve Security Applicatie (ASA).
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Windows PC met Firepower Migration Tool (FMT) v3.0.1
- Adaptieve security applicatie (ASA) v9.16.1
- Secure Firewall Management Center (FMCv) v7.0.1
- Secure Firewall Threat Defense Virtual (FTDv) v7.0.1
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Specifieke eisen voor dit document zijn:
- Cisco adaptieve security applicatie (ASA) versie 8.4 of hoger
- Secure Firewall Management Center (FMCv) versie 6.2.3 of hoger
De Firewall Migration Tool ondersteunt deze lijst met apparaten:
- Cisco ASA (8,4+)
- Cisco ASA (9.2.2+) met FPS
- Controlepunt (r75-r77)
- Controlepunt (r80)
- Fortinet (5,0+)
- Palo Alto-netwerken (6.1+)
Voordat u doorgaat met de migratie, moet u rekening houden met de Richtlijnen en Beperkingen voor de Firewall Migration Tool.
Configureren
Netwerkdiagram
![Topology - Migration Tool](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-00.png)
Configuratiestappen
- Download de meest recente Firepower Migration Tool van Cisco Software Central:
![Firepower Migration Tool software download](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-01.png)
- Klik op het bestand dat u eerder naar uw computer hebt gedownload.
![Select Firepower application](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-02.png)
Opmerking: Het programma wordt automatisch geopend en een console-auto genereert inhoud in de map waarin u het bestand hebt uitgevoerd.
![Console directory](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-03.png)
![End User License Agreement](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-04.png)
- Nadat u het programma hebt uitgevoerd, wordt er een webbrowser geopend die de 'Gebruiksrechtovereenkomst' weergeeft.
- Vink het aanvinkvakje aan om de voorwaarden te aanvaarden.
- Klik op Doorgaan.
![Firepower Migration Tool user log in](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-05.png)
- Log in op het migratietool.
- U kunt inloggen met de CCO-account of met de lokale standaardaccount.
- Lokale standaard accountreferenties zijn:
admin/Admin123
![Secure Firewall Vendor selection](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-06.png)
- Selecteer de te migreren bronfirewall.
- In dit voorbeeld wordt Cisco ASA (8.4+) gebruikt als bron.
![Extract information](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-07.png)
- Selecteer de extractiemethode die gebruikt moet worden om de configuratie te verkrijgen.
- Handmatig uploaden vereist dat u de
Running Config
bestand van de ASA in ".cfg"- of ".txt"-formaat.
- Verbind met de ASA om configuraties rechtstreeks uit de firewall te halen.
![Configuration summary](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-08.png)
Opmerking: Sluit bijvoorbeeld rechtstreeks aan op de ASA.
- Een samenvatting van de configuratie gevonden op de firewall wordt weergegeven als een dashboard, klik op Volgende.
![FMCIP Address](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-09.png)
- Selecteer het beoogde VCC dat bij de migratie moet worden gebruikt.
- Verstrek de IP van het VCC.
- Het opent een pop-upvenster waarin u wordt gevraagd om de inlogreferenties van het VCC.
![Select Target and configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-10.png)
- (Optioneel) Selecteer de gewenste FTD.
- Als u ervoor kiest om naar een FTD te migreren, selecteert u de FTD die u wilt gebruiken.
- Als u geen FTD wilt gebruiken, kunt u het aankruisvakje invullen
Proceed without FTD
![Start Conversation](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-11.png)
- Selecteer de configuraties die u wilt migreren, de opties worden weergegeven in de screenshots.
![Download Report](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-12.png)
- Start de conversie van de configuraties van ASA naar FTD.
![Pre-Migration Report](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-13.png)
- Wanneer de conversie is voltooid, wordt een dashboard weergegeven met een overzicht van de te migreren objecten (beperkt tot compatibiliteit).
- U kunt optioneel op klikken
Download Report
om een samenvatting te ontvangen van de configuraties die worden gemigreerd.
![Map ASA Interfaces](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-14.png)
Voorbeeld van een pre-migratierapport, zoals in de afbeelding:
![Map Security Zones and Interface Groups](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-15.png)
- Breng de ASA interfaces met de FTD interfaces in kaart via de Migration Tool.
![Security Zones and Interface Groups auto-created16](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-16.png)
- De security zones en interfacegroepen voor de interfaces op de FTD maken
![Validate configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-17.png)
Security Zones (SZ) en Interfacegroepen (IG) worden automatisch door het gereedschap gemaakt, zoals in de afbeelding:
![Push Configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-18.png)
- Bekijk en valideer de configuraties die op de Migration Tool moeten worden gemigreerd.
- Als u de configuraties al hebt beoordeeld en geoptimaliseerd, klikt u op
Validate
.
![Push in progress](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-19.png)
- Als de validatiestatus succesvol is, duw dan de configuraties naar de doelapparaten.
![Validation status](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-20.png)
Voorbeeld van configuratie die door het migratietool wordt gedrukt, zoals in de afbeelding:
![Deploy](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-21.png)
Voorbeeld van een geslaagde migratie, zoals in de afbeelding:
![Complete Migration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-22.png)
- (Optioneel) Als u ervoor hebt gekozen om de configuratie naar een FTD te migreren, dient u de beschikbare configuratie van het FMC naar de firewall te verplaatsen om de configuratie te kunnen implementeren:
- Log in op de GUI van het VCC.
- Naar het
Deploy
tabblad.
- Selecteer de implementatie om de configuratie naar de firewall te duwen.
- Klik
Deploy
.
![Deploy tab selected](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/218120-configure-the-secure-firewall-migration-23.png)
Problemen oplossen
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Controleer de logbestanden in de map waarin het bestand Firepower Migration Tool is geplaatst, bijvoorbeeld:
Firepower_Migration_Tool_v3.0.1-7373.exe/logs/log_2022-08-18-21-24-46.log