配置导入/导出

关于配置导入/导出的配置导入/导出准则

使用配置导出功能将包含 Firepower 4100/9300 机箱的逻辑设备和平台配置设置的 XML 文件导出到远程服务器或本地计算机。之后,您便可以导入此配置文件,快速将配置设置应用于 Firepower 4100/9300 机箱,以返回到已知的正确配置,或从系统故障中恢复。

准则和限制

  • 从 FXOS 2.6.1 开始,可配置加密密钥。必须先设置加密密钥,才可导出配置。导入该配置时,必须在系统上设置相同的加密密钥。如果您修改了加密密钥确保其与导出期间使用的密钥不再匹配,导入操作将失败。请确保记录用于每个导出配置的加密密钥。

  • 请勿修改配置文件的内容。如果配置文件被修改,使用该文件进行配置导入可能会失败。

  • 特定应用的配置设置不包含在配置文件内。您必须使用应用提供的配置备份工具来管理特定应用的设置和配置。

  • 将配置导入到 Firepower 4100/9300 机箱 时,Firepower 4100/9300 机箱 上的所有现有配置(包括任何逻辑设备)会被删除并完全替换为导入文件中包含的配置。

  • 除了在 RMA 场景中,我们建议您只将配置文件导入当初从中导出该配置的同一个 Firepower 4100/9300 机箱

  • 进行导入的 Firepower 4100/9300 机箱 的平台软件版本应与执行导出时的版本相同。否则,导入操作将无法确保会成功。我们建议您在升级或降级 Firepower 4100/9300 机箱 时导出备份配置。

  • 进行导入的 Firepower 4100/9300 机箱 必须在与执行导出时所用的相同插槽中安装相同的网络模块。

  • 进行导入的 Firepower 4100/9300 机箱 必须为您正在导入的导出文件中定义的任意逻辑设备安装了正确的软件应用映像。

  • 如果导入的配置文件包含其应用具有最终用户许可协议 (EULA) 的逻辑设备,则在导入配置之前,您必须在 Firepower 4100/9300 机箱上接受该应用的 EULA,否则操作将失败。

  • 要避免覆盖现有的备份文件,请更改备份操作中的文件名或将现有文件复制到其他位置。

为配置导入/导出设置加密密钥

导出配置时,FXOS 将加密敏感数据,例如密码和密钥。

从 FXOS 2.6.1 开始,可配置加密密钥。必须先设置加密密钥,才可导出配置。导入该配置时,必须在系统上设置相同的加密密钥。如果您已修改加密密钥确保其与导出期间使用的密钥不再匹配,导入操作将失败。请确保记录用于每个导出配置的加密密钥。

您可以在“导出”页面或“导入”页面上设置加密密钥。然而,设置完成后,同一密钥可用于导出和导入。

如果要将从 2.6.1 以前版本 FXOS 导出的配置导入 FXOS 2.6.1 或更高版本,系统将不会检查加密密钥并将允许导入。

如果要进行导入的平台软件版本与进行导出的版本不一致,则不能保证导入操作成功。我们建议您在升级或降级 Firepower 4100/9300 机箱时导出备份配置。

每当 FTD 逻辑设备升级到新软件时,使用“设置版本”(Set Version) 选项并导出备份配置,以便新的启动版本与升级版本的软件版本相匹配。

过程

步骤 1

依次选择系统 (System) > 配置 (Configuration) > 导出 (Export)
步骤 2

加密项下,在密钥字段中输入密钥,用于加密/解密敏感数据。加密密钥的长度必须介于 4 至 40 个字符之间。

步骤 3

单击保存密钥

导出和导入配置时,设置加密密钥,并将其用于加密/解密敏感数据。系统在密钥字段旁边显示设置:是,指示已设置加密密钥。

导出 FXOS 配置文件

使用配置导出功能将包含 Firepower 4100/9300 机箱逻辑设备和平台配置设置的 XML 文件导出到远程服务器或本地计算机

开始之前

查看准则和限制

过程

步骤 1

在 上依次选择系统 (System) > 配置 (Configuration) > 导出 (Export)
步骤 2

要将配置文件导出到本地计算机,请单击本地导出 (Export Locally)

配置文件已创建,然后根据您的浏览器,该文件可能会自动下载到默认下载位置,或者系统会提示您保存文件。
步骤 3

要将配置文件导出到之前配置的远程服务器,请单击您要使用的远程配置的导出 (Export) 按钮。

配置文件已创建,并已被导出到指定位置。
步骤 4

要将配置文件导出到新的远程服务器:

  1. 在“按需导出 (On-Demand Export)”下面,单击添加按需配置 (Add On-Demand Configuration)

  2. 选择与远程服务器通信时要使用的协议。它可以是以下协议之一:FTP、TFTP、SCP 或 SFTP。

  3. 输入备份文件应存储位置的主机名或 IP 地址。这可以是 Firepower 4100/9300 机箱可通过网络访问的服务器、存储阵列、本地驱动器或任何读/写介质。

    如果使用主机名而不使用 IP 地址,则必须配置 DNS 服务器。

  4. 如果您使用非默认端口,请在端口 (Port) 字段中输入端口号。

  5. 输入系统在登录远程服务器时应使用的用户名。如果协议是 TFTP,将无法应用该字段。

  6. 输入远程服务器用户名的密码。如果协议是 TFTP,将无法应用该字段。

  7. 位置 (Location) 字段中,输入配置文件导出位置的完整路径,包括文件名。

  8. 单击确定 (OK)

    “远程配置 (Remote Configuration)”将添加到按需导出 (On-Demand Export) 表。

  9. 单击您想使用的远程配置导出 (Export) 按钮。

    配置文件已创建,并已被导出到指定位置。

计划自动配置导出

使用计划的导出功能将包含 Firepower 4100/9300 机箱逻辑设备和平台配置设置的 XML 文件自动导出到远程服务器或本地计算机。您可以计划每日、每周或每两周运行一次导出。配置导出将按计划执行,计划基于计划的导出功能的启用时间。例如,如果您在星期三的晚上 10:00 启用每周一次的计划的导出,系统将在每个星期三的晚上 10:00 触发新的导出。

请查看准则和限制 (Guidelines and Restrictions),了解有关使用配置导出功能的重要信息。

过程

步骤 1

依次选择系统 (System) > 配置 (Configuration) > 导出 (Export)
步骤 2

单击计划导出 (Schedule Export)

您将看到配置计划的导出 (Configure Scheduled Export) 对话框。
步骤 3

选择与远程服务器通信时要使用的协议。它可以是以下协议之一:FTP、TFTP、SCP 或 SFTP。

步骤 4

要启用计划的导出,请选中启用 (Enable) 复选框。

 

之后,您可以使用此复选框启用或禁用计划的导出;但是,在启用或禁用计划的导出时,您将需要重新指定密码。

步骤 5

输入备份文件应存储位置的主机名或 IP 地址。这可以是 Firepower 4100/9300 机箱可通过网络访问的服务器、存储阵列、本地驱动器或任何读/写介质。

如果使用主机名而不使用 IP 地址,则必须配置 DNS 服务器。

步骤 6

如果您使用非默认端口,请在端口 (Port) 字段中输入端口号。

步骤 7

输入系统在登录远程服务器时应使用的用户名。如果协议是 TFTP,将无法应用该字段。

步骤 8

输入远程服务器用户名的密码。如果协议是 TFTP,将无法应用该字段。

步骤 9

位置 (Location) 字段中,输入配置文件导出位置的完整路径,包括文件名。如果您省略了文件名,导出操作步骤将为该文件分配一个名称。

步骤 10

选择您想要根据它自动导出配置的计划。它可以是以下计划之一:“每天 (Daily)”、“每周 (Weekly)”或“每两周 (BiWeekly)”。

步骤 11

单击 OK

计划的导出已创建。如果启用了计划的导出,系统将按照您选择的计划自动将配置文件导出到指定位置。

设置配置导出提醒

使用导出提醒功能,让系统在一定天数内没有执行配置导出时报告错误。

默认情况下,导出提醒的启用频率为 30 天。

如果提醒频率小于计划导出策略中的天数(每天、每周或每两周),您将收到导出提醒错误消息(“配置备份可能已过期(Config backup may be outdated)”)。例如,如果您的导出计划为每周且提醒频率为五天,若未在此时间内导出配置,则会每五天会发出此故障消息。

过程

步骤 1

依次选择系统 (System) > 配置 (Configuration) > 导出 (Export)
步骤 2

要启用配置导出提醒,请选中导出触发提醒 (Reminder to trigger an export) 下的复选框。

步骤 3

输入在两次配置导出之间,系统在生成提醒错误前应等待的天数(1 和 365 之间的整数)。

步骤 4

单击保存提醒 (Save Reminder)

导入配置文件

您可以使用配置导入功能应用之前已从 Firepower 4100/9300 机箱导出的配置设置。此功能允许您返回已知的良好配置或从系统故障中进行恢复。

开始之前

查看准则和限制

过程

步骤 1

选择 系统 (System) > 工具 (Tools) > 导入/导出 (Import/Export)
步骤 2

要从本地配置文件导入:

  1. 单击选择文件 (Choose File) 以导航到要导入的配置文件并将其选定。

  2. 单击 Import

    系统将打开确认对话框,请求您确认是否要继续,并警告您可能需要重新启动机箱。

  3. 单击是 (Yes) 以确认要导入指定的配置文件。

    现有配置被删除,导入文件中指定的配置应用到 Firepower 4100/9300 机箱。在导入过程中,如果有分支端口配置更改,Firepower 4100/9300 机箱将需要重新启动。
步骤 3

要从之前配置的远程服务器导入配置文件:

  1. 在“Remote Import (远程导入)”表中,单击您想要使用的远程配置的导入 (Import) 按钮。

    系统将打开确认对话框,请求您确认是否要继续,并警告您可能需要重新启动机箱。

  2. 单击是 (Yes) 以确认要导入指定的配置文件。

    现有配置被删除,导入文件中指定的配置应用到 Firepower 4100/9300 机箱。在导入过程中,如果有分支端口配置更改,Firepower 4100/9300 机箱将需要重新启动。
步骤 4

要从新的远程服务器上的配置文件导入:

  1. 在“远程导入 (Remote Import)”下,单击添加远程配置 (Add Remote Configuration)

  2. 选择与远程服务器通信时要使用的协议。它可以是以下协议之一:FTP、TFTP、SCP 或 SFTP。

  3. 如果您使用非默认端口,请在端口 (Port) 字段中输入端口号。

  4. 输入备份文件存储位置的主机名或 IP 地址。这可以是 Firepower 4100/9300 机箱可通过网络访问的服务器、存储阵列、本地驱动器或任何读/写介质。

    如果使用主机名而不使用 IP 地址,则必须配置 DNS 服务器。

  5. 输入系统在登录远程服务器时应使用的用户名。如果协议是 TFTP,将无法应用该字段。

  6. 输入远程服务器用户名的密码。如果协议是 TFTP,将无法应用该字段。

  7. 文件路径 (File Path) 字段中,输入配置文件的完整路径,包括文件名。

  8. 单击保存 (Save)

    远程配置将添加到“远程导入 (Remote Import)”表。

  9. 单击您想使用的远程配置导入 (Import) 按钮。

    系统将打开确认对话框,请求您确认是否要继续,并警告您可能需要重新启动机箱。

  10. 单击是 (Yes) 以确认要导入指定的配置文件。

    现有配置被删除,导入文件中指定的配置应用到 Firepower 4100/9300 机箱。在导入过程中,如果有分支端口配置更改,Firepower 4100/9300 机箱将需要重新启动。