El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe la migración de las políticas de acceso dinámico (DAP) y la configuración de HostScan de Cisco Adaptive Security Appliances (ASA) a Cisco Firepower Threat Defense (FTD) gestionada localmente por Firepower Device Manager (FDM).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Nota: La información de este documento se creó a partir de dispositivos en un entorno de laboratorio específico. All of the devices used in this document started with a cleared (default) configuration. Si su red está activa, asegúrese de comprender el impacto potencial de cualquier cambio de configuración.
Aunque FTD tiene compatibilidad con la configuración de VPN de acceso remoto (RAVPN), carece de compatibilidad con DAP. A partir de la versión 6.7.0, se agrega soporte de API para DAP en el FTD. Se ha diseñado para admitir el caso práctico más básico de la migración de ASA a FTD. Los usuarios que tienen DAP configurado en sus ASA y están en proceso de migrar a FTD ahora tienen una ruta para migrar su configuración DAP junto con su configuración de VPN RA.
Para migrar correctamente la configuración DAP de ASA a FTD, asegúrese de estas condiciones:
Para verificar la licencia: Vaya a Dispositivos > Licencias inteligentes
Paso 1. Copie dap.xml de ASA en su PC local / servidor TFTP. Hay dos maneras de lograr lo mismo:
ASDM:
Vaya a Herramientas > Administración de archivos > Transferencia > Entre PC local y Flash.
CLI:
ASA# copy flash: tftp: Source filename []? dap.xml Address or name of remote host []? 10.197.161.160 Destination filename [dap.xml]? 440 bytes copied in 0.40 secs
Paso 2. Copie el archivo de configuración de HostScan (data.xml) y la imagen de HostScan desde ASA al dispositivo local.
ASDM:
Vaya a Herramientas > Administración de archivos > Transferencia > Entre PC local y Flash.
CLI:
ASA# copy flash: tftp: Source filename []? data.xml Address or name of remote host []? 10.197.161.160 Destination filename [data.xml]? 500 bytes copied in 0.40 secs
ASA# copy flash: tftp:
Source filename []? hostscan_4.9.03047-k9.pkg
Address or name of remote host []? 10.197.161.160
Destination filename [hostscan_4.9.03047-k9.pkg]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
56202408 bytes copied in 34.830 secs (1653012 bytes/sec)
ASA#
Paso 3. Obtenga el valor codificado base64 de dap.xml y data.xml.
En Mac: base64 -i <file>
En Windows powershell: certutil -encode dap.xml tmp.b64 ; findstr /v /c:- tmp.b64 > dap.b64
Siga el mismo procedimiento para data.xml.
Paso 4. Inicie el Explorador de API del FTD en una ventana del explorador.
Vaya a https://<FTD Management IP>/api-explorer
Esto contiene la lista completa de API disponibles en el FTD. Se divide en función de la función principal con varias solicitudes GET/POST/PUT/DELETE que admite el FDM.
DAPXml y HostScanPackageFile son la API utilizada.
Paso 5. Agregue una colección Postman para DAP.
Proporcione un nombre para la colección. Haga clic en Crear, como se muestra en esta imagen.
Paso 6. Agregar una nueva solicitud Autenticación para crear una solicitud POST de inicio de sesión en el FTD para obtener el token para autorizar cualquier solicitud POST/GET/PUT. Haga clic en Guardar.
El cuerpo de la solicitud POST debe contener lo siguiente:
Tipo | raw - JSON (aplicación/json) |
Grant_type | contraseña |
Nombre de usuario | Nombre de usuario del administrador para iniciar sesión en el FTD |
contraseña | La contraseña asociada a la cuenta de usuario administrador |
Solicitud POST: https://<FTD Management IP>/api/fdm/update/fdm/token
El cuerpo de la respuesta contiene el token de acceso que se utiliza para enviar cualquier solicitud PUT/GET/POST a/desde el FTD.
Paso 7. Cree una solicitud de configuración DAP para agregar la configuración DAP. Haga clic en Guardar en DAP, como se muestra en esta imagen.
La ficha Autorización debe contener esto para todas las solicitudes POST posteriores:
Tipo | Token portador |
Token | El token de acceso recibido al ejecutar la solicitud POST de autenticación |
SOLICITUD POST: https://<FTD Management IP>/api/fdm/latter/object/dapxml
El cuerpo de la solicitud debe contener el valor codificado base64 de dap.xml y data.xml convertido en el paso 3. Los atributos de autorización deben agregarse manualmente y deben tener el nombre de registro DAP, Acción, ACL de red y prioridad.
dapXMLConfig | valor codificado base64 de dap.xml |
dapRecordName | Nombre del DAP registrado |
mensaje | Escriba el mensaje que se muestra al usuario si se selecciona DAP |
prioridad | Agregue la prioridad para DAP |
networkAcl | Agregar objeto ACL si es necesario |
hostScanXmlConfig
|
valor codificado base64 de data.xml |
El cuerpo de la respuesta muestra la configuración de DAP lista para ser enviada al dispositivo.
Paso 8. Cree una solicitud para Cargar la imagen del análisis de host. Haga clic en Guardar en DAP, como se muestra en esta imagen.
Cargue el archivo de análisis de host en la sección FileUpload.
SOLICITUD POST: https://<FTD Management IP>/api/fdm/current/action/uploadDiskfile
El cuerpo de la solicitud debe contener el archivo de escaneo de host agregado en Body en formato de datos de formulario. El archivo Hostscan se puede descargar de HostScan Download o puede utilizar la imagen de análisis de host copiada de ASA en el Paso 2.
El tipo de clave debe ser Archivo para FileUpload.
El cuerpo de la respuesta proporciona un id/nombre de archivo que se utiliza para crear la configuración de HostScan.
Paso 9. Cree una solicitud para la configuración del paquete hostscan. Haga clic en Guardar.
SOLICITUD POST: https://<FDM IP>/api/fdm/update/object/hostscanpackagefiles
El cuerpo de la solicitud contiene id/nombre de archivo obtenido en el paso anterior como diskFileName. Agregue el nombre del paquete hostscan como Nombre que se muestra en running-config.
El cuerpo de la respuesta muestra el archivo de HostScan listo para ser enviado al dispositivo.
Paso 12. Implemente la configuración en el dispositivo. La configuración se puede implementar a través de FDM. Los cambios pendientes muestran los atributos de autorización de DAP y HostScan que se deben enviar.
Configuración enviada a la CLI de FTD después de una implementación correcta:
!--- RA VPN Configuration ---!
webvpn
enable outside
hostscan image disk0:/hostscan_4.9.03047-k9.pkg
hostscan enable
anyconnect image disk0:/anyconnpkgs/anyconnect-win-4.9.00086-webdeploy-k9.pkg 2
anyconnect profiles defaultClientProfile disk0:/anyconncprofs/defaultClientProfile.xml
anyconnect enable
tunnel-group-list enable
!--- DAP Authorization Configuration ---!
dynamic-access-policy-record Test
user-message "User Selected is Test"
priority 1
dynamic-access-policy-record DfltAccessPolicy
dynamic-access-policy-record Cisco
user-message "Welcome locally authenticated User"
priority 2
Vaya a la ficha Implementación (en la esquina superior derecha) > Historial de implementación.
show run webvpn show run all dynamic-access-policy-record show flash: | inc dap.xml show flash: | inc data.xml
Esta sección proporciona la información que puede utilizar para resolver problemas de su configuración.
Depuraciones De Dap
Nota: En el FTD, puede establecer varios niveles de depuración; de forma predeterminada, se utiliza el nivel 1. Si cambia el nivel de depuración, la verbosidad de las depuraciones podría aumentar. Haga esto con precaución, especialmente en entornos de producción.
debug dap trace 127
debug dap errors 127