使用入门

选择正确的迁移流程

有两种使用 安全云控制 (前称为 Cisco Defense Orchestrator)将自适应安全设备 (ASA) 配置迁移到 FDM 管理 设备的方法:

  • 安全云控制 解决方案 - 如果您打算将 ASA 配置迁移到 FDM 管理 设备并使用 安全云控制 和 Firepower 设备管理器进行管理,请使用 安全云控制 中基于云的流程迁移 ASA 配置。

  • 本地解决方案(Firepower 设备管理器)- 如果您打算将 ASA 配置迁移到 FDM 管理 设备,请在 安全云控制 中使用基于云的过程来迁移 ASA 配置。然后,您可以使用 Firepower 设备管理器来管理配置。

本指南假定您对 安全云控制 操作有基本的了解。要了解更多信息,请参阅 安全云控制 数据表

关于 安全云控制 迁移流程

安全云控制 可以帮助您将自适应安全设备 (ASA) 迁移到 FDM 管理 设备。安全云控制 提供 ASA 到 FDM 迁移向导,帮助您将 ASA 的运行配置迁移到 FDM 模板。


必须启用 show-fdmenable-asa-to-ftd-migration 功能标志,才能查看安全设备页面上右边窗格的设备操作下的迁移到 FDM 选项。如果您没有看到 ASA 到 FDM 的迁移 选项,请联系 TAC。

您可以使用 ASA 到 FDM 迁移向导将 ASA 的以下运行配置元素迁移到 FDM 模板:

  • 接口

  • 路由

  • 访问控制规则 (ACL)

  • 网络地址转换 (NAT) 规则

  • 网络对象和网络组对象
    安全云控制 不支持使用保留关键字的对象名称。通过向其添加后缀“ftdmig”来重命名对象名称。

  • 服务对象和服务组对象

  • 站点间 VPN

安全云控制 仅迁移引用的对象。访问控制列表中已定义但未引用到访问组的对象不会迁移。安全云控制未能迁移某些元素的常见原因可能是以下一个或多个原因:

  • 无 ICMP 代码的 ICMP 访问列表

  • 无访问组配置的 TCP/UDP 访问列表

  • IP 访问列表未映射到站点间 VPN 配置文件

  • 引用到未迁移的访问列表的任何网络对象或组

  • 称为关闭的接口
在迁移期间,配置中任何未引用的对象或对象组也将被丢弃并标记为未使用。有关尚未迁移的元素的信息,请参阅迁移报告

将 ASA 运行配置的这些元素迁移到 FTD 模板后,即可将 FDM 模板应用于由 安全云控制管理的新 FDM 管理 设备。FDM 管理 设备采用模板中定义的配置,因此,FDM 管理 现在配置了 ASA 运行配置的某些方面。

使用此过程不会迁移 ASA 运行配置的其他元素。这些其他元素在 FDM 模板中由空值表示。将模板应用于 FDM 管理设备时,我们会应用迁移到新设备的值并忽略空值。无论新设备具有哪些其他默认值,它都会保留。我们未迁移的 ASA 运行配置的其他元素将需要在迁移过程之外在 FDM 管理 设备上重新创建。

迁移过程的许可证

FDM 管理 设备迁移过程是 安全云控制 的一部分,不需要 安全云控制 许可证以外的任何特定许可证。

准则和限制
在迁移期间,安全云控制 中不支持的配置将被删除为 不受支持,并将在 迁移报告中进行报告。

功能或函数名称

可以迁移的内容

迁移的限制或限制

防火墙模式

路由防火墙模式

无法迁移透明模式配置。

接口配置

  • 物理接口

  • 子接口

  • 设备的物理接口数量必须等于或大于要迁移的 ASA 接口配置。FDM 管理

  • 子接口(子接口 ID 在迁移时会始终被设为与 VLAN ID 相同的编号)

  • 以下接口配置不会迁移到设备:FDM 管理

    • ASA 接口上的辅助 VLAN

    • 冗余接口

    • 桥接组接口

    • Virtual Tunnel Interface
EtherChanel

在物理接口上配置的 EtherChannel。

迁移期间会保留映射到 EtherChanel 的成员接口。

  • 在迁移配置之前,您必须使用 安全云控制FDM 管理 设备上创建等效数量的 EtherChannel。请参阅为 FDM 托管设备添加 EtherChannel 接口

  • 只能迁移到 Firepower 1000 或 2100 系列硬件设备的配置:1010、1120、1140、1150、2110、2120、2130、2140。

  • 您可以将 EtherChannel 配置从 ASA 8.4+ 迁移到在软件版本 6.5+ 上运行的设备。FDM 管理

  • 迁移前在设备上创建的 EtherChannel 必须与正在迁移的 EtherChannel 的类型相同。FDM 管理

    安全云控制 只会将 Etherchannel 迁移到 EtherChannel,并将物理接口迁移到物理接口。

  • 在迁移向导的接口映射步骤中,用户将无法使用 FDM 模板中映射到 EtherChannel 的成员接口。但是,它们会保留并迁移到为其分配的 EtherChannel。
路由

静态路由

  • 当有多个与目的网络相同的静态路由时,仅迁移一个具有最小度量值的路由,其他路由将被丢弃。

  • 以下路由功能不会迁移到设备:FDM 管理

    • 隧道路由

    • Null 0 接口路由

    • 有 SLA 跟踪的静态路由

访问控制规则 (ACL)

  • 已启用的访问控制规则

  • 源和目标对象

  • 安全云控制 支持对 FDM 管理 设备执行“允许”、“信任”和“阻止”等操作。在迁移过程中,系统会处理源 ASA 配置中的允许和拒绝操作,并将其映射到 安全云控制上的 FDM 管理 设备支持的操作。

  • 安全云控制 支持在没有 IP 协议的情况下迁移附加到策略、接口或访问组的 ACL。

  • 使用未加密的第 3 层隧道协议的 ACE

以下 ACL 功能不会迁移到设备:FDM 管理

  • 安全云控制 和 Firepower 设备管理器不支持使用 IPv4 和 IPv6 混合协议的 ACL

  • 记录严重性级别信息

  • 非活动或已禁用的规则

  • 具有非 TCP、UDP 或 ICMP 协议的服务对象或服务组的 ACE

  • 具有非 TCP 或 UDP 服务对象的 ACE

  • ACE 中包含内联对象的非 TCP 或 UDP 协议

  • 具有时间范围的 ACE

  • 访问列表未与访问组映射

网络地址转换 (NAT) 规则

  • 网络对象(自动)和两次(手动)NAT 或 PAT

  • 静态 NAT

  • 动态 NAT 或 PAT

  • 身份 NAT

  • 源端口(服务)转换

以下 NAT 规则功能不会迁移到设备:FDM 管理

  • PAT 池

  • 单向

  • 非活动

  • 通过两次 NAT,使用目的服务对象进行目的端口(服务)转换(包括同时具有源和目的的服务对象)

  • 目的端口转换

  • NAT46, NAT64

 

安全云控制 不支持具有 0.0.0.0/32 的网络对象。

服务对象和服务组对象

服务对象和嵌套组

有关 安全云控制 支持的服务对象中使用的协议列表,请参阅 安全云控制 上支持的协议

  • 不支持 BCC-RCC-MON 和 BBN-RCC-MON 协议。

  • 不支持小于、大于和不等于等运算符。

  • 对象组嵌套

网络对象和网络组对象

网络对象和网络组对象

不支持以下网络对象或网络组:

  • 基于不连续掩码

  • IPv4 地址中第一个八位组“0”开头的 IP 地址

ICMP 类型

ICMP 类型

以下 ICMP 类型不受支持:

  • 具有 INVALID ICMP 类型或/和代码的基于 ICMP 的服务对象条目

  • 无 ICMPv4 或 ICMPv6 类型代码的服务类型或 ICMP 类型对象

  • 任何未分配的 ICMP 类型(根据 IANA)或无效的 ICMP 类型

其他不受支持的对象

 -

不支持以下其他对象:

  • 基于 SGT 的网络对象组

  • 基于用户的网络对象组

站点间 VPN

  • IKEv1 和 IKEv2 的第 1 阶段和第 2 阶段提议

  • IKEv1 和 IKEv2 的完全前向保密 (PFS)

  • 带嵌套对象组的加密访问列表

  • 具有多个对等 IP 的加密映射

  • IKEv1 和 IKEv2 均用于加密映射中的隧道

不支持以下站点间 VPN 功能:

  • VPN-Filter

  • vpn-idle-timeout

  • isakmp keepalive threshold 10 retry 10

  • Crypto Map VPNMAP 200 set security-association lifetime seconds 360

  • set security-association lifetime千字节无限制

  • set security-association lifetime seconds 3600

  • 证书身份验证

  • 动态加密映射

  • 基于路由的 VPN(虚拟隧道接口)

有关准则和限制的详细信息,请参阅 ASA 配置准则和限制以及FDM 管理设备准则和限制

安全云控制上支持的 IP 协议

安全云控制 支持的服务对象 IP 协议如下:

服务对象中的 IP 协议

1= ICMP

2 = IGMP

3 = GGP

5 = ST2

6 = TCP

7 = CBT

8 = EGP

9 = IGP

10 = BBNRCCMON

11 = NVP2

12 = PUP

13 = ARGUS

14 = EMCON

15=XNET

16 = CHAOS

17 = UDP

18 = MUX

19 = DCNMEAS

20 = HMP

21 = PRM

22 = XNSIDP

23 = TRUNK1

24 = TRUNK2

25 = LEAF1

26 = LEAF2

27 = RDP

28 = IRTP

29 = ISOTP4

30 = NETBLT

31 = MFENSP

32 = MERITINP

33 = SEP

34 = THREEPC

35 = IDPR

36 = XTP

37 = DDP

38 = IDPRCMTP

39 = TPPLUSPLUS

40 = IL

42 = SDRP

45 = IDRP

46 = RSVP

48 = MHRP

49 = BNA

50 = ESP

51 = AH

52 = INLSP

53 = SWIPE

54 = NARP

55 = MOBILE

56 = TLSP

57 = 跳过

58= IPv6-ICMP

59 = IPv6NONXT

62 = CFTP

64 = SATEXPAK

65 = KRYPTOLAN

66 = RVD

67 = IPPC

69 = SATMON

70 = VISA

71 = IPCV

72 = CPNX

73 = CPHB

74 = WSN

75 = PVP

76 = BRSATMON

78 = WBMON

77 = SUNND

79 = WBEXPAK

80 = ISOIP

81 = VMTP

82 = SECUREVMTP

83 = VINES

84 = TTP

85 = NSFNETIGP

86 = DGP

87 = TCF

88 = EIGRP

89 = OSPFIGP

90 = SPRITERPC

91 = LARP

92 = MTP

93 = AX25

94 = IPIP

95 = MICP

96 = SCCSP

97 = ETHERIP

98 = ENCAP

100 = GMTP

101 = IFMPP

102= PNNI

103= PIM

104 = ARIS

105=SCPS

106= QNX

107 = AN

108 = IPCOMP

109= SNP

110 = COMPAQPEER

111 = IPXINIP

112 = VRRP

113= PGM

115 = L2TP

116 = DDX

117= IATP

118 = ST

119= SRP

120= UTI

121= SMP

122= SM

123= PTP

124= ISIS

125 = FIRE

126 = CRTP

127 = CRUDP

128 = SSCOPMCE

129 = IPLT

130 = SPS

131= PIPE

132 = SCTP

133 = FC

254 = DIVERT

最佳实践

使用 安全云控制 将 ASA 配置迁移到 FDM 模板时,请遵循以下最佳实践:

  • 确保在模型设备迁移中使用 show run 命令从 ASA 设备获取运行配置。

  • 查看已跳过、不支持和部分支持的配置的迁移报告。

  • 迁移后,请验证 FDM 模板中已迁移的规则和对象,然后再将其部署到FDM 管理设备。

  • 在将 ASA 策略迁移到 FDM 模板之前对其进行优化。

  • 我们建议您将迁移的 ASA 配置部署到没有现有配置的FDM 管理设备。