Configurer FTD à partir du fichier de configuration ASA avec l'outil de migration Firepower

Options de téléchargement

  • PDF     (2.5 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (2.3 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:8 février 2022
ID du document:217668

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit un exemple de migration d'un dispositif de sécurité adaptatif (ASA) vers un dispositif de défense contre les menaces Firepower (FTD) sur le FPR4145.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissances de base sur ASA
    • Connaissance de Firepower Management Center (FMC) et FTD

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • ASA version 9.12(2)
    • FTD Version 6.7.0
    • FMC version 6.7.0
    • Outil de migration Firepower version 2.5.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Exportez le fichier de configuration ASA au format.cfgou.txt. FMC doit être déployé avec FTD enregistré sous celui-ci.

    Configurer

    1. Téléchargez l'outil de migration Firepower à partir de software.cisco.com comme illustré dans l'image.

    Cisco Software Download Page - FMT

    2. Examinez et vérifiez les conditions requises pour la section Outil de migration Firepower.

    3. Si vous prévoyez de migrer un fichier de configuration volumineux, configurez les paramètres de mise en veille afin que le système ne soit pas mis en veille pendant une poussée de migration.

    3.1. Sous Windows, accédez à Options d'alimentation dans le Panneau de configuration. Cliquez sur Modifier les paramètres du plan en regard de votre mode de gestion de l'alimentation actuel, puis activez Mettre l'ordinateur en veille sur Jamais. Cliquez sur Enregistrer les modifications.

    3.2. Pour MAC, accédez à Préférences système > Économies d'énergie. Cochez la case en regard de Empêcher l'ordinateur de dormir automatiquement lorsque l'écran est éteint et faites glisser le curseur Désactiver l'écran après sur Jamais.

    Remarque : cet avertissement s'affiche lorsque les utilisateurs MAC tentent d'ouvrir le fichier téléchargé. Ignorez ceci et suivez l'étape 4.1.

    Warning Pop Up on MAC

    4.1. Pour MAC : utilisez le terminal et exécutez les commandes suivantes :

    MAC Terminal Commands

    MAC Terminal Output

    4.2. Pour Windows - double-cliquez sur l'outil de migration Firepower afin de le lancer dans un navigateur Google Chrome.

    5. Acceptez la licence comme indiqué dans l'image :

    End User License Agreement - FMT

    6. Sur la page de connexion de l'outil de migration Firepower, cliquez sur le lien Connexion avec Cisco Connection Online (CCO) afin de vous connecter à votre compte Cisco.com avec vos informations d'identification d'authentification unique.

    Remarque : si vous ne disposez pas d'un compte Cisco.com, créez-le sur la page de connexion Cisco.com. Connectez-vous avec ces informations d'identification par défaut : Username—admin et Password—Admin123.

    Redirection to Cisco Login Page

    7. Choisissez la configuration d'origine. Dans ce scénario, il s'agit de Cisco ASA (8.4+).

    Source Firewall Vendor Dropdown

    8. Choisissez Manual Upload si vous n'avez pas de connectivité à l'ASA. Sinon, vous pouvez récupérer la configuration en cours à partir de l'ASA et entrer l'IP de gestion et les détails de connexion. Dans ce scénario, un téléchargement manuel a été effectué.

    Extracting ASA Configuration

    Remarque : cette erreur s'affiche si le fichier n'est pas pris en charge. Veillez à remplacer le format par du texte brut. (Une erreur s'est produite malgré l'extension.cfg.)

    File Type Warning

    ASA Configuration File (.cfg file type)

    9. Une fois le fichier téléchargé, les éléments sont analysés pour fournir un résumé, comme indiqué dans l'image :

    Summary of the Parsed Configuration

    10. Entrez les informations d’identification IP et de connexion FMC vers lesquelles la configuration ASA doit être migrée. Assurez-vous que l’adresse IP FMC est accessible depuis votre station de travail.

    Connect to FMC

    FMC Login Credentials

    11. Une fois le FMC connecté, les FTD gérés qui se trouvent sous celui-ci sont affichés.

    FTDs Managed under FMC

    12. Choisissez le FTD vers lequel vous souhaitez effectuer la migration de la configuration ASA.

    Target FTD Selection

    Remarque : il est recommandé de choisir le périphérique FTD, sinon les interfaces, les routes et la configuration VPN site à site doivent être effectuées manuellement.

    FTD Device Selection Recommendation

    13. Choisissez les fonctions devant être migrées comme indiqué dans l'image :

    Features Available for Migration

    14. Choisissez Start Conversion afin de lancer la pré-migration qui renseigne les éléments appartenant à la configuration FTD.

    Pre-Migration Selection

    15. Cliquez sur Télécharger le rapport vu précédemment afin d'afficher le rapport de pré-migration qui est comme illustré dans l'image :

    Pre-Migration Report

    16. Mappez les interfaces ASA aux interfaces FTD, comme indiqué dans l’image :

    Mapping Interfaces

    17. Attribuez des zones de sécurité et des groupes d’interfaces aux interfaces FTD.

    Assigning Security Zone and Interface Groups

    17.1. Si le FMC a déjà créé des zones de sécurité et des groupes d’interfaces, vous pouvez les sélectionner selon vos besoins :

    Selecting Existing Security Zone

    17.2. S’il est nécessaire de créer des zones de sécurité et un groupe d’interfaces, cliquez sur Add SZ & IG comme indiqué dans l’image :

    Creating New Security Zone and Interface Groups

    17.3. Sinon, vous pouvez continuer avec l'option Auto-Create qui crée des zones de sécurité et des groupes d'interfaces avec le nom ASA interface_logique_sz et ASA interface_logique_ig respectivement.

    Auto-Create for New Security Zone and Interface Groups

    Mapping Security Zone and Interface Groups

    18. Vérifiez et validez chacun des éléments FTD créés. Les alertes s'affichent en rouge, comme illustré dans l'image :

    Review and Validate the FTD Elements

    19. Les actions de migration peuvent être choisies comme indiqué dans l'image si vous souhaitez modifier une règle. Les fonctions FTD d'ajout de fichiers et de stratégie IPS peuvent être effectuées à cette étape.

    Additional Actions

    Remarque : si des stratégies de fichiers existent déjà dans le FMC, elles sont renseignées comme indiqué dans l'image. Il en va de même pour les stratégies IPS et les stratégies par défaut.

    File Policy Selection

    La configuration du journal peut être effectuée pour les règles requises. La configuration du serveur Syslog existant sur le FMC peut être choisie à ce stade.

    Logging Configuration

    Les actions de règle choisies sont mises en surbrillance en conséquence pour chaque règle.

    Rule Action Highlights

    20. De même, la traduction d’adresses de réseau (NAT), les objets réseau, les objets de port, les interfaces, les routes, les objets VPN, les tunnels VPN site à site et d’autres éléments selon votre configuration peuvent être revus étape par étape.

    Remarque : l'alerte est notifiée comme indiqué dans l'image afin de mettre à jour la clé pré-partagée car elle n'est pas copiée dans le fichier de configuration ASA. Accédez à Actions > Mettre à jour la clé pré-partagée afin d'entrer la valeur.

    Updating Pre-Shared Key

    Entering Pre-Shared Key

    21. Enfin, cliquez sur l'icône Valider en bas à droite de l'écran, comme illustré dans l'image :

    Validate Icon

    22. Une fois la validation réussie, cliquez sur Push Configuration comme indiqué dans l'image :

    Validation Status

    Push in Progress

    Push in Progress

    23. Une fois la migration réussie, le message qui s’affiche s’affiche dans l’image.

    Migration Completion

    Remarque : si la migration échoue, cliquez sur Download Report afin d'afficher le rapport post-migration.

    Report Download

    Vérifier

    Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

    Validation sur le FMC :

    1. Accédez àPolicies > Access Control > Access Control Policy > Policy Assignmentafin de confirmer que le FTD sélectionné est renseigné.

    ACP Assignment to FTD on FMC

    Remarque : la stratégie de contrôle d'accès de migration a un nom avec le préfixeFTD-Mig-ACP. Si aucun FTD n'a été sélectionné précédemment, le FTD doit être sélectionné sur le FMC.

    2. Transmettez la politique au FTD. Naviguez jusqu'àDeploy > Deployment > FTD Name > Deploycomme indiqué dans l'image :

    Pushing the Deployment

    Bogues connus liés à l'outil de migration Firepower

    • ID de bogue Cisco CSCwa56374 - L'outil FMT se bloque sur la page de mappage de zone avec une erreur avec une utilisation de mémoire élevée
    • ID de bogue Cisco CSCvz8730 - Défaillance de transmission d'interface pour le type d'interface de gestion de canal de port FTD
    • ID de bogue Cisco CSCvx21986 - Migration Port-Channel vers la plate-forme cible - Virtual FTD non pris en charge
    • ID de bogue Cisco CSCvy63003 - L'outil de migration doit désactiver la fonctionnalité d'interface si FTD fait déjà partie du cluster
    • ID de bogue Cisco CSCvx08199 - ACL doit être fractionné lorsque la référence d'application est supérieure à 50

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    4.0
    08-Feb-2022
    Références et bogues connus mis à jour
    3.0
    07-Feb-2022
    Ajout de bogues et de références connus.
    2.0
    04-Feb-2022
    Mise à jour de version logicielle
    1.0
    02-Feb-2022
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Poornima Krishnan
      Ingénieur TAC Cisco
    • Carol Dsouza
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits