将管理中心从源型号迁移到目标模型

本章提供有关管理中心型号迁移的前提条件和工作流程的信息。

准备迁移

一般前提条件

  • 请参阅支持的迁移路径以确定可从源型号迁移到的目标型号。

  • 管理中心型号迁移支持所有管理中心许可模式,包括评估、连接和特定许可证预留 (SLR)。

  • 确保目标管理中心与您的源管理中心具有相同数量的接口。

  • 验证目标管理中心版本是否与源管理中心版本匹配(包括补丁、漏洞数据库 [VDB]、轻量级安全软件包 [LSP] 和 Snort 规则更新 [SRU])。要进行验证,请在每个管理中心依次选择帮助 (Help) > 关于 (About)

  • 验证所有待处理的部署均已成功完成。

  • 在源管理中心配置备份文件:

    1. 选择 系统 (系统齿轮图标) > 备份/恢复 (Backup/Restore)

    2. 点击备份管理 (Backup Mangement) 选项卡,然后点击防火墙管理备份 (Firewall Mangement Backup)

    3. 选中以下复选框:

      • 备份配置

      • 备份事件

      • 备份威胁智能导向器

  • 确认您在思科智能软件管理器 (CSSM) 中拥有正确数量的威胁防御授权。

  • 如果管理中心迁移到更高的平台并管理更多威胁防御设备,则必须为其他威胁防御设备获取所需的许可证。

  • 如果源管理中心符合统一功能批准产品列表 (UCAPL) 或通用标准 (CC),则迁移后,目标管理中心也将符合 UCAPL 或 CC 标准。

  • 对于管理中心 HA 迁移:

  • 在迁移后,必须从源管理中心注销许可证,并在目标管理中心注册许可证。

  • 在迁移后,如果要在源管理中心管理另一组威胁防御设备:

    • 确保源管理中心无法访问过时的威胁防御设备。

    • 删除现在由目标管理中心管理的过时设备。

    如果源管理中心可以访问过时的设备,则这些设备将从目标管理中心注销。

  • 在将 Management Center Virtual (FMCv) 迁移到公共云中的另一个 Management Center Virtual 时,我们建议如下:

    • 使用保留的静态公共 IP 地址,而不是默认公共 IP 地址。

    • 使用 FQDN/DNS 名称,因为它可以在公共 IP 地址之间移动。

    • 如果不想更新目标Management Center Virtual的公共 IP 地址,请在威胁防御设备 CLI 中运行以下命令:

      configure manager add DONTRESOLVE any_key any_key_for_nat_field_input

      运行上述命令前,请确保 Management Center Virtual 可以连接到威胁防御设备。

    • 如果不执行上述操作,则必须在威胁防御设备 CLI 中使用以下命令更新威胁防御设备上的 Management Center Virtual IP 地址:

      configure manager edit fmc_uuid displayname fmc_ipaddress

独立管理中心型号迁移工作流程

以下流程图说明了将源管理中心迁移到目标管理中心的工作流程。

确保您已满足 如准备迁移中所述的前提条件。

表 1. 独立管理中心型号迁移工作流程

步骤

任务

更多信息

在源管理中心中创建备份文件。

对于版本 6.5 到 7.1,请参阅《Firepower 管理中心配置指南》中的“备份 FMC”主题。

对于 7.2 及更高版本,请参阅 Cisco Secure Firewall Management Center 管理指南中的备份管理中心主题。

准备迁移。

请参阅准备迁移

将生成的备份文件复制到目标管理中心。

对于版本 6.5 到 7.1,请参阅《Firepower 管理中心配置指南》中的“从备份恢复 FMC”主题。

对于 7.2 及更高版本,请参阅《Cisco Secure Firewall Management Center 管理指南》中的“从备份恢复管理中心”主题。

从网络断开目标管理中心连接。

物理断开目标管理中心与网络的连接。

在目标管理中心中执行迁移脚本。

请参阅如何使用管理中心模型迁移脚本

从思科智能软件管理器 (CSSM) 中取消注册源管理中心。

对于版本 6.5 到 7.1,请参阅《Firepower 管理中心配置指南》中的“从思科智能软件管理器注销 Firepower 管理中心”主题。

对于 7.2 及更高版本,请参阅《Cisco Secure Firewall Management Center 管理指南》中的“取消注册管理中心”主题。

从网络中断开源管理中心。

物理断开源管理中心与网络的连接。

将目标管理中心连接到网络。

迁移成功后,目标管理中心将获得源管理中心的 IP 地址。如果需要,可以为目标管理中心分配一个新的 IP 地址。

如果在迁移后更改管理中心 IP 地址,则必须执行以下操作:

如果需要,更新所有托管威胁防御设备上的管理器详细信息。

请参阅更新威胁防御设备上的管理中心 IP 地址或主机名

在目标管理中心中启用智能许可。

对于版本 6.5 到 7.1,请参阅《Firepower 管理中心配置指南》中的“Firepower 管理中心的许可证要求”主题。

对于 7.2 及更高版本,请参阅《Cisco Secure Firewall Management Center 管理指南》中的“配置智能许可”主题。

验证目标管理中心管理的所有威胁防御设备的心跳。

验证数据已成功迁移到目标管理中心。

登录目标管理中心。验证所有配置是否已恢复,策略编辑、部署和计划任务等基本管理中心操作是否按预期运行。

管理中心高可用性型号迁移工作流程

在目标主管理中心和辅助管理中心上执行迁移脚本,即可迁移管理中心 HA 设置。

以下流程图说明了将管理中心 HA 设置从源模型迁移到目标模型的工作流程。

确保您已满足 如准备迁移中所述的前提条件。

管理中心高可用性型号迁移流程图
表 2. 防火墙管理中心高可用性型号迁移工作流程

步骤

任务

更多信息

在每个源管理中心中创建一个备份文件。

备份会暂停 HA 同步。

对于版本 6.5 到 7.1,请参阅 Firepower 管理中心配置指南中的备份 FMC主题

对于 7.2 及更高版本,请参阅 Cisco Secure Firewall Management Center 管理指南中的备份管理中心主题。

设置目标管理中心。

请参阅准备迁移

将生成的备份文件复制到目标管理中心。

请确保执行以下操作:

  • 将备份文件从源主管理中心复制到目标主管理中心。

  • 将备份文件从源辅助管理中心复制到目标辅助管理中心。

对于版本 6.5 到 7.1,请参阅《Firepower 管理中心配置指南》中的“从备份恢复 FMC”主题。

对于 7.2 及更高版本,请参阅《Cisco Secure Firewall Management Center 管理指南》中的“从备份恢复管理中心”主题。

从网络断开目标管理中心连接。

 

如果目标管理中心处于高可用性模式,则在迁移之前,您必须暂停目标管理中心上的同步。

物理断开目标管理中心与网络的连接。

在目标管理中心中执行迁移脚本。

如何使用管理中心模型迁移脚本

从思科智能软件管理器 (CSSM) 中取消注册源管理中心。

对于版本 6.5 到 7.1,请参阅《Firepower 管理中心配置指南》中的“从思科智能软件管理器注销 Firepower 管理中心”主题。

对于 7.2 及更高版本,请参阅《Cisco Secure Firewall Management Center 管理指南》中的“取消注册管理中心”主题。

从网络中断开源管理中心。

物理断开源管理中心与网络的连接。

将目标管理中心与网络连接。

成功迁移后,目标管理中心将获取源管理中心的 IP 地址。如果需要,您可以分配新的 IP 地址。

如果在迁移后更改管理中心 IP 地址,则必须执行以下操作:

如果需要,更新所有托管威胁防御设备上的管理器详细信息。

请参阅更新威胁防御设备上的管理中心 IP 地址或主机名

验证目标管理中心之间的连接。

对于版本 6.5 到 7.1,请参阅《Firepower 管理中心配置指南》中的“查看 Firepower 管理中心高可用性状态”主题。

对于 7.2 及更高版本,请参阅《思科安全防火墙管理中心管理指南》中的“查看管理中心高可用性状态”主题。

暂停 HA 同步,直到威胁防御系统连接到目标管理中心并恢复 HA 同步。

对于版本 6.5 到 7.1,请参阅《Firepower 管理中心配置指南》中的“暂停成对的 Firepower 管理中心之间的通信”和“重新启动成对的 Firepower 管理中心之间的通信”主题。

对于 7.2 及更高版本,请参阅《Cisco Secure Firewall Management Center 管理指南》中的“暂停成对管理中心之间的通信”和“重新启动成对管理中心之间的通信”主题。

验证管理中心的 HA 配置是否正常,并且没有警报。

对于版本 6.5 到 7.1,请参阅《Firepower 管理中心配置指南》中的“查看 Firepower 管理中心高可用性状态”主题。

对于 7.2 及更高版本,请参阅《思科安全防火墙管理中心管理指南》中的“查看管理中心高可用性状态”主题。

在目标主要活动管理中心中注册智能许可。

对于版本 6.5 到 7.1,请参阅《Firepower 管理中心配置指南》中的“Firepower 管理中心的许可证要求”主题。

对于 7.2 及更高版本,请参阅《Cisco Secure Firewall Management Center 管理指南》中的“配置智能许可”主题。

验证目标管理中心管理的所有威胁防御设备的心跳。

验证数据已成功迁移到目标管理中心。

登录目标管理中心。验证所有配置是否已恢复,策略编辑、部署和计划任务等基本管理中心操作是否按预期运行。

如何使用管理中心模型迁移脚本

执行以下程序以使用迁移脚本。请注意,此程序只是管理中心型号迁移的一部分。有关完整的型号迁移工作流程的详细信息,请参阅独立管理中心型号迁移工作流程管理中心高可用性型号迁移工作流程

过程

步骤 1

登录目标管理中心 CLI。

步骤 2

运行 expert 命令以切换到专家模式。

步骤 3

执行迁移命令:

/var/sf/bin/sf-migration.plbackup_file_path

示例:


root@firepower:# /var/sf/bin/sf-migration.pl /var/sf/backup/100localbackup-2023-05-20examp.tar

请注意,迁移过程完成后,系统会重新启动。

下一步做什么

返回 独立管理中心型号迁移工作流程管理中心高可用性型号迁移工作流程完成所有剩余步骤。

更新威胁防御设备上的管理中心 IP 地址或主机名

迁移后,如果目标管理中心的网络配置与源管理中心的网络配置不同,则必须更新每个威胁防御设备上管理中心的 IP 地址或主机名。

过程

步骤 1

从威胁防御 CLI 中,使用 show manager 命令获取管理中心的唯一标识符:

示例:

> show managers
Type                      : Manager
Host                      : xx.xx.x.x
Display name              : xx.xx.x.x
Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
Registration              : Completed
Management type           : Configuration and analytics

步骤 2

使用 configure manager 命令更新管理中心 IP 地址或主机名:

configure manager edit fmc_uuid hostname fmc_ipaddress

示例:

> configure manager edit f7ffad78-bf16-11ec-a737-baa2f76ef602 hostname xx.xx.x.x
Updating hostname from xx.xx.x.x to xx.xx.x.x
Manager hostname updated.

步骤 3

使用 configure manager 命令更新管理中心显示名称:

configure manager edit fmc_uuid displayname fmc_ipaddress

示例:

> configure manager edit f7ffad78-bf16-11ec-a737-baa2f76ef602 displayname xx.xx.x.x
Updating displayname from xx.xx.x.x to xx.xx.x.x
Manager displayname updated.

步骤 4

再次使用 show manager 命令验证更新的管理中心配置。