Einleitung
In diesem Dokument wird beschrieben, wie Sie einen FirePOWER Device Manager (FDM) mithilfe des FirePOWER Migration Tools (FMT) in CDO zu Cloud-gestütztem FMC (cdFMC) migrieren.
Voraussetzungen
Anforderungen
- FirePOWER Device Manager (FDM) 7.2+
- Cloud-bereitgestelltes Firewall Management Center (cdFMC)
- FirePOWER Migration Tool (FMT) im CDO enthalten
Verwendete Komponenten
Dieses Dokument wurde auf der Grundlage der oben genannten Anforderungen erstellt.
- Firepower Device Manager (FDM) auf Version 7.4.1
- Cloud-bereitgestelltes Firewall Management Center (cdFMC)
- Cloud Defense Orchestrator (CDO)
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
CDO-Administrator-Benutzer können Migrationen ihrer Geräte auf cdFMC durchführen, wenn die Geräte auf Version 7.2 oder höher sind. Bei der in diesem Dokument beschriebenen Migration ist cdFMC auf dem CDO Tenant bereits aktiviert.
Konfigurieren
1.- Unterstützung von Cisco Cloud Services auf FDM
Um mit der Migration zu beginnen, muss das FDM-Gerät ohne ausstehende Bereitstellungen konfiguriert sein und sich für Cloud-Services registrieren. Um sich für Cloud-Services zu registrieren, navigieren Sie zu Systemeinstellungen > Weitere Informationen > Cloud-Services.
Im Bereich Cloud-Services ist das Gerät nicht registriert. Aus diesem Grund muss die Registrierung über den Typ Security/CDO-Konto erfolgen. Sie müssen einen Registrierungsschlüssel konfigurieren und anschließend registrieren.
Registrierung Cloud-Services
Über Cloud-Services wird angezeigt, dass nicht registriert ist. Wählen Sie den CDO-Kontoregistrierungstyp aus, und geben Sie den Registrierungsschlüssel von CDO an.
Registrierung für Cloud-Services
Der Registrierungsschlüssel befindet sich im CDO. Navigieren Sie zu CDO, und gehen Sie zu Bestand > Symbol hinzufügen.
Ein Menü wird angezeigt, in dem Sie den Gerätetyp auswählen können. Wählen Sie die FTD-Option aus. Sie müssen die FDM-Option aktivieren. Andernfalls kann die entsprechende Migration nicht durchgeführt werden. Bei der Art der Registrierung wird der Registrierungsschlüssel verwendet. Bei dieser Option wird der Registrierungsschlüssel in Schritt 3 angezeigt, den Sie kopieren und in den FDM einfügen müssen.
Integriertes FDM, Option hinzufügen
Es wird ein Menü angezeigt, in dem Sie ein Gerät oder einen Servicetyp auswählen können.
Gerät oder Servicetyp auswählen
Für dieses Dokument wurde Registrierungsschlüssel auswählen ausgewählt.
Registrierungstyp
Hier wird der im vorherigen Schritt erforderliche Registrierungsschlüssel angezeigt.
Registrierungsprozess
Wenn Sie den Registrierungsschlüssel erhalten haben, kopieren Sie ihn, fügen Sie ihn in den FDM ein, und klicken Sie auf Registrieren. Nach der Registrierung des FDM bei Cloud Services wird er wie im Bild gezeigt als Aktiviert angezeigt.
Die Smart License wurde übersprungen, da das Gerät registriert wird, sobald es betriebsbereit ist.
FDM-Registrierung
Bei der FDM-Registrierung werden Tenancy, verbundene und registrierte Cloud-Services angezeigt.
FDM-Registrierung abgeschlossen
In CDO befindet sich der FDM im Menü "Inventory" (Bestand) und wird nun integriert und synchronisiert. Fortschritt und Ablauf dieser Synchronisation können im Abschnitt Workflows überprüft werden.
Sobald dieser Prozess abgeschlossen ist, wird er als Synchronisiert und Online angezeigt.
CDO-Bestand - FDM-integriert
Wenn die Geräte synchronisiert wurden, wird dies als "Online" und "Synchronisiert" angezeigt.
Integrierte FDM
Wenn der FDM erfolgreich in CDO integriert wurde, müssen wir uns vom FDM abmelden. Navigieren Sie nach dem Abmelden vom FDM in CDO zu Tools & Services > Migration > Firewall Migration Tool.
Klicken Sie auf das Symbol Hinzufügen, um einen zufälligen Namen anzuzeigen, der angibt, dass der Name umbenannt werden muss, um den Migrationsprozess zu starten.
Nach der Umbenennung klicken Sie auf Starten, um die Migration zu starten.
Migration initialisieren
Klicken Sie auf Starten, um die Migrationskonfiguration zu starten.
Startprozess der Migration
Wenn Sie auf Starten klicken, öffnet sich ein Fenster für den Migrationsprozess, in dem die Option Cisco Secure Firewall Device Manager (7.2+) ausgewählt ist. Wie bereits erwähnt, ist diese Option ab Version 7.2 aktiviert.
FMT Quellkonfiguration auswählen
Nach der Auswahl werden drei verschiedene Migrationsoptionen angezeigt: Nur gemeinsam genutzte Konfiguration, Einschließlich Geräte- und gemeinsam genutzter Konfigurationen und Einschließlich Geräte- und gemeinsam genutzter Konfigurationen für neue FTD-Hardware.
Für diese Instanz wird die zweite Option "Migrate FirePOWER Device Manager (Includes Device & Shared Configuration)" ausgeführt.
Migrationsoptionen
Fahren Sie nach Auswahl der Migrationsmethode mit der Auswahl des Geräts aus der Liste fort.
Auswahl von FDM-Geräten
Konfigurationsextraktion abgeschlossen
Es wird empfohlen, die Registerkarte oben zu öffnen, um zu überprüfen und zu verstehen, in welchem Schritt das Gerät ausgewählt wurde.
Schritte für den Migrationsprozess
Wählen Sie als neue Migration Abbrechen, wenn Sie mit der Option "Möchten Sie eine vorhandene Zugriffskontrollrichtlinie, NAT oder RAVPN-Richtlinie auf FMC verwenden?" aufgefordert werden.
Abbrechen-Option für vorhandene Konfiguration
Anschließend stehen Optionen zur Auswahl der zu migrierenden Funktionen zur Verfügung, wie im Bild dargestellt. Klicken Sie auf Fortfahren.
Zu wählende Funktionen
Anschließend Konvertierung starten.
Konvertierung starten.
Nach Abschluss des Analyseprozesses können Sie zwei Optionen nutzen: Laden Sie das Dokument herunter und setzen Sie die Migration fort, indem Sie auf Weiter klicken.
Bericht herunterladen
Die Geräteschnittstellen sind so eingestellt, dass sie angezeigt werden. Es wird empfohlen, auf Aktualisieren zu klicken, um die Schnittstellen zu aktualisieren. Klicken Sie nach der Validierung auf Weiter.
Angezeigte Schnittstellen
Navigieren Sie zum Abschnitt Sicherheitszonen und Schnittstellengruppen, wo Sie SZ und IG manuell hinzufügen müssen. Für dieses Beispiel wurde Auto-Create ausgewählt. Auf diese Weise können die Schnittstellen innerhalb des FMC, zu denen Sie migrieren, automatisch generiert werden. Klicken Sie anschließend auf die Schaltfläche Weiter.
Sicherheitszonen und Schnittstellengruppen
Bei der Option "Auto-Create" (Automatisch erstellen) werden FDM-Schnittstellen vorhandenen FTD-Sicherheitszonen und Schnittstellengruppen im FMC zugeordnet, die denselben Namen haben.
Option zum automatischen Erstellen.
Wählen Sie dann Weiter aus.
Nach der automatischen Erstellung.
Nehmen Sie sich in Schritt 5, wie in der oberen Leiste gezeigt, die Zeit, die Zugriffskontrollrichtlinien (ACP), Objekte und NAT-Regeln zu überprüfen. Überprüfen Sie die einzelnen Elemente sorgfältig, und klicken Sie dann auf Validieren, um sicherzustellen, dass keine Probleme mit Namen oder Konfigurationen vorliegen.
Zugriffskontrolle, Objekte und NAT-Konfigurationen
Push nur für freigegebene Konfiguration
Nur gemeinsam genutzte Konfiguration Push
Der Prozentsatz des Abschlusses und die spezifische Aufgabe, die bearbeitet wird, können beobachtet werden.
Push-Prozentsatz
Fahren Sie nach Abschluss von Schritt 5 mit Schritt 6 fort, wie in der oberen Leiste dargestellt, wo der Push Shared Configuration to FMC stattfindet. Klicken Sie nun auf die Schaltfläche Weiter, um fortzufahren.
Push der freigegebenen Konfiguration an FMC abgeschlossen
Diese Option löst eine Bestätigungsmeldung aus und fordert Sie auf, die Migration des Managers fortzusetzen.
Verschieben-Manager bestätigen
Um die Manager-Migration fortzusetzen, ist es erforderlich, über die Management Center-ID und die NAT-ID zu verfügen. Dies ist äußerst wichtig. Diese IDs können durch Auswahl von Update Details (Details aktualisieren) abgerufen werden. Durch diese Aktion wird ein Popup-Fenster mit dem gewünschten Namen für die FDM-Darstellung im cdFMC geöffnet, in dem die Änderungen gespeichert werden.
Manager Center-ID und NAT-ID
Gerätename für Registrierung aktualisieren.
Nach diesem Vorgang werden die IDs für die oben genannten Felder angezeigt.
Warnung: Nehmen Sie keine Änderungen an der Management Center-Schnittstelle vor. Standardmäßig ist die Option "Management" ausgewählt. Lassen Sie diese Option als Standardeinstellung unverändert.
Management Center-ID und NAT-ID
Nachdem Sie die Option Update Details (Details aktualisieren) ausgewählt haben, beginnt das Gerät mit der Synchronisierung.
FDM-Gerät wird synchronisiert
Nach Abschluss der Migration müssen im nächsten Schritt die im FDM konfigurierten Schnittstellen, Routen und DHCP-Einstellungen überprüft werden. Wählen Sie dazu Validieren.
Überprüfen der FDM-Konfigurationseinstellungen
Wählen Sie nach der Validierung Push Configuration aus, um den Push-Prozess für die Konfiguration zu initiieren. Dieser Vorgang wird fortgesetzt, bis die Migration abgeschlossen ist. Zusätzlich ist es möglich, die ausgeführten Tasks zu überwachen.
Validierungsstatus - Push-Konfiguration.
Popup-Fenster mit der prozentualen Push-Konfiguration.
Verschiebeprozentsatz abgeschlossen
Nach Abschluss der Migration wird eine Option zur Initiierung einer neuen Migration vorgestellt, die das Ende des Migrationsprozesses von FDM zu cdFMC markiert.
Vollständige Migration
Überprüfung
Überprüft, ob der FDM erfolgreich zum cdFMC migriert wurde.
Navigieren Sie zu CDO > Tools & Services > FirePOWER Management Center. Dort haben Sie festgestellt, dass die Anzahl der registrierten Geräte gestiegen ist.
Registrierte cdFMC-Geräte
Überprüfen Sie das Gerät unter Devices (Geräte) > Device Management (Gerätemanagement). Darüber hinaus können Sie in den Aufgaben des FMC feststellen, wann das Gerät erfolgreich registriert und die erste Bereitstellung erfolgreich abgeschlossen wurde.
Die cdFMC-Registrierungsaufgabe wurde abgeschlossen.
Gerät ist auf cdFMC > Gerät > Gerätemanagement.
Auf cdFMC registriertes Gerät
Die Zugriffskontrollrichtlinie wurde unter Richtlinien > Zugriffskontrolle migriert.
Migrationsrichtlinie
Ebenso können Sie die im FDM erstellten Objekte überprüfen, die korrekt zum cdFMC migriert wurden.
Objekte von FDM auf cdFMC migriert
Objektverwaltungsschnittstellen migriert.
Objektverwaltungsschnittstellen migriert.