排除迁移问题

Cisco Secure Firewall 迁移工具的故障排除

Check Point 配置文件上传或将已迁移的配置推送到 管理中心 时,迁移通常会失败。

Check Point 配置迁移过程失败的一些常见情况如下:

  • Check Point Config.zip 中文件缺失。

  • Cisco Secure Firewall 迁移工具在 Check Point Cofig.zip 中检测到无效文件

  • 如果 Check Point 配置文件是除 .zip 以外的任何压缩文件类型。

Cisco Secure Firewall 迁移工具支持捆绑包

Cisco Secure Firewall 迁移工具提供下载支持捆绑包的选项,以提取重要的故障排除信息,例如日志文件、数据库和配置文件。请执行以下操作:

  1. 完成迁移 (Complete Migration) 屏幕上,点击支持 (Support) 按钮。

    系统将显示“帮助”支持页面。

  2. 选中支持捆绑包复选框,然后选择要下载的配置文件。


    默认情况下,系统已选择要下载的日志和 dB 文件。

  3. 点击下载 (Download)

    支持捆绑包文件以 .zip 格式下载到您的本地路径。解压缩 Zip 文件夹以查看日志文件、DB 和配置文件。

  4. 点击给我们发送邮件 (Email us),通过电子邮件将故障详细信息发送给技术团队。

    您还可以将下载的支持文件附加到电子邮件中。

  5. 点击访问 TAC 页面 (Visit TAC page),在思科支持页面上创建 TAC 支持请求。


    您可以在迁移过程中随时从支持页面提交 TAC 支持请求。

用于排除故障的日志和其他文件

可在以下文件中找到有助于识别和排除问题的信息。

文件 位置

日志文件

<migration_tool_folder>\logs

迁移前报告

<migration_tool_folder>\resources

迁移后报告

<migration_tool_folder>\resources

未解析文件

<migration_tool_folder>\resources

Check Point 文件上传失败故障排除

如果 Check Point 配置文件上传失败,这通常是因为 Cisco Secure Firewall 迁移工具无法解析文件中的一行或多行。

可在以下位置找到导致上传和解析失败的错误的相关信息:

  • 未解析文件 - 查看文件末尾部分,确定已成功解析的 Check Point 配置文件中最后被忽略的行。

  • 意外文件 - 检测到的 Check Point 文件无效。例如,使用 Mac 操作系统压缩时会创建 Mac 系统文件。删除 Mac 文件。

  • (仅适用于 r75-r77.30)命名不正确的文件 - 没有为 Check Point 正确命名安全策略和 NAT 策略文件。正确重命名 ACL 和 NAT 文件。

  • 缺少文件 - Check Point config.zip 文件中缺少某些文件。添加所需的文件。

    对于 r77,手动提取缺失的配置文件。有关详细信息,请参阅导出 Check Point r77 配置文件

    对于 r80,使用 Live Connect 为 Cisco Secure Firewall 迁移工具提取正确的配置文件。有关详细信息,请参阅导出 Check Point r80 配置文件

Check Point 故障排除示例:找不到对象组的成员(仅限 r75–r77.30)

在本示例中,由于一个元素的配置出错,Check Point 配置文件上传和解析失败。

过程

步骤 1

查看错误消息以确定问题。

此失败生成以下错误消息:

位置 错误消息

Cisco Secure Firewall 迁移工具消息

Check Point 配置文件解析出错。

有关解析错误,请参阅迁移前报告的错误部分;有关推送阶段发生的推送错误,请参阅迁移后报告

日志文件

[ERROR | objectGroupRules] > "ERROR, SERVICE_GROUP_RULE not applied for port-group object [services_epacity_nt_abc] as CheckPoint object [ica] does not exist in <service> table;"

[INFO | objectGroupRules] > "Parsing object-group service:[services_gvxs06]"

[INFO | objectGroupRules] > "Parsing object-group service:[services_iphigenia]"

[INFO | objectGroupRules] > "Parsing object-group service:[Services_KPN_ISP]"

步骤 2

打开 Check Point services.xml 文件。

步骤 3

搜索名称为 services_gvxs06 的对象组。

步骤 4

使用智能控制板创建对象组的缺失成员。

步骤 5

再次导出配置文件。有关详细信息,请参阅导出 Check Point 配置文件

步骤 6

如果没有其他错误,将新 Check Point 配置 zip 文件上传到 Cisco Secure Firewall 迁移工具并继续执行迁移。

Live Connect 的 Check Point (r80) 故障排除示例

示例 1:在 Check Point 安全管理器上请求详细信息。

在本示例中,Cisco Secure Firewall 迁移工具请求了 Check Point 安全管理器的详细信息。

查看错误消息以确定问题。此失败生成以下错误消息:

位置 错误消息

Cisco Secure Firewall 迁移工具消息

筛选请求以提供 Check Point 安全管理器的详细信息。

日志文件

[ERROR | connect_cp] > "Unable to extract the Extracted-objects.json file due to credentials with insufficient privileges, time-out issues and so on. 有关详细信息,请参阅 Cisco Secure Firewall 迁移工具用户指南。

127.0.0.1 - - [20/Jul/2020 17:20:43] "POST /api/CP/connect HTTP/1.1" 500 -

凭证不正确。按照上述步骤预先配置凭证。用于 Check Point 安全管理器的 Check Point Gaia 上使用的凭证必须有 /bin/bash shell 配置文件。必须为具有正常部署的“超级用户”权限的 Check Point 安全管理器在 Check Point 智能控制台应用上部署相同的凭证。如果使用了多域部署,则权限必须是“超级用户”。有关更多信息,请参阅使用 Live Connect 预先配置 Check Point (r80) 设备以进行配置提取

示例 2:错误的文件格式

在本例中,Cisco Secure Firewall 迁移工具迁移因文件格式错误而被阻止。

查看错误消息以确定问题。此失败生成以下错误消息:

位置 错误消息

Cisco Secure Firewall 迁移工具消息

已阻止

日志文件

[ERROR | cp_device_connection] > "Bad file format"

2020-07-20 17:10:57,347 [ERROR | connect_cp] > "Unable to download .tar file."

127.0.0.1 - - [20/Jul/2020 17:10:57] "GET /api/CP/generate_tar_file?package=Standard HTTP/1.1" 500 -

凭证不正确。按照上述步骤预先配置凭证。用于 Check Point 安全管理器的 Check Point Gaia 上使用的凭证必须有 /bin/bash shell 配置文件。必须为具有“超级用户”权限的 Check Point 安全管理器在 Check Point 智能控制台应用上部署相同的凭证。如果使用了多域部署,则必须授予“超级用户”权限。有关更多信息,请参阅使用 Live Connect 预先配置 Check Point (r80) 设备以进行配置提取

示例 3:被阻止的 VSX 功能在威胁防御中不受支持

在本示例中,由于威胁防御中的 VSX 功能被阻止,Cisco Secure Firewall 迁移工具迁移失败。

查看错误消息以确定问题。此失败生成以下错误消息:

位置 错误消息

Cisco Secure Firewall 迁移工具消息

被阻止的 VSX 功能在 FTD 中不受支持。

日志文件

[ERROR | config_upload] > "VSX Feature is UNSUPPORTED in FTD"

Traceback (most recent call last)

问题描述 – 之所以出现该错误是因为从 Check Point r80.40 开始弃用了 fw vsx stat 命令。

解决方法是执行以下步骤:

  1. 解压缩 config.zip 文件。

  2. 打开 networking.txt 文件。

    以下是样本输出的示例:

    firewall> fw vsx stat
Deprecated command, Please see sk144112 for alternative 
Deprecated commands: cphaprob cpinfo cplic fw ips raidconfig fwaccel

    按照如下步骤手动进行更换:

    firewall> fw vsx stat 
VSX is not supported on this platform

  3. 选择所有文件并以 .zip 扩展名将它们压缩。