Configurazione di FTD dal file di configurazione ASA con lo strumento di migrazione Firepower

Opzioni per il download

  • PDF     (2.5 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.3 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:8 febbraio 2022
ID documento:217668

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive un esempio di migrazione di Adaptive Security Appliance (ASA) a Firepower Threat Defense (FTD) su FPR4145.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenze base di ASA
    • Conoscenza di Firepower Management Center (FMC) e FTD

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • ASA versione 9.12(2)
    • FTD versione 6.7.0
    • FMC versione 6.7.0
    • Firepower Migration Tool versione 2.5.0

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Esportare il file di configurazione ASA in formato.cfgo.txt. Il CCP deve essere installato con un FTD registrato.

    Configurazione

    1. Scaricare lo strumento di migrazione Firepower da software.cisco.com come mostrato nell'immagine.

    Cisco Software Download Page - FMT

    2. Esaminare e verificare i requisiti per la sezione Strumento di migrazione Firepower.

    3. Se si intende eseguire la migrazione di un file di configurazione di grandi dimensioni, configurare le impostazioni di sospensione in modo che il sistema non passi alla modalità sospensione durante un'operazione push di migrazione.

    3.1. Per Windows, passare a Opzioni risparmio energia nel Pannello di controllo. Fare clic su Cambia impostazioni combinazione accanto alla combinazione per il risparmio di energia corrente e quindi selezionare Metti il computer in sospensione su Mai. Fare clic su Salva modifiche.

    3.2. Per MAC, selezionare System Preferences > Energy Saver (Preferenze di sistema > Risparmio energia). Selezionare la casella accanto a Impedisci la sospensione automatica del computer quando lo schermo è spento e trascinare il dispositivo di scorrimento Spegni schermo dopo su Mai.

    Nota: questo avviso viene visualizzato quando gli utenti MAC tentano di aprire il file scaricato. Ignorare questa condizione e seguire il passo 4.1.

    Warning Pop Up on MAC

    4.1. Per MAC - Usare il terminale ed eseguire questi comandi:

    MAC Terminal Commands

    MAC Terminal Output

    4.2. Per Windows - fare doppio clic su Firepower Migration Tool (Strumento di migrazione Firepower) per avviarlo in un browser Google Chrome.

    5. Accettare la licenza come mostrato nell'immagine:

    End User License Agreement - FMT

    6. Nella pagina di accesso di Firepower Migration Tool, fare clic sul collegamento login con Cisco Connection Online (CCO) per accedere all'account Cisco.com con le credenziali di accesso singolo.

    Nota: se non disponi di un account Cisco.com, crealo nella pagina di accesso di Cisco.com. Accedere con le credenziali predefinite seguenti: Nome utente—admin e Password—Admin123.

    Redirection to Cisco Login Page

    7. Scegliere la configurazione di origine. In questo scenario, è Cisco ASA (8.4+).

    Source Firewall Vendor Dropdown

    8. Scegliere Caricamento manuale se non si dispone della connettività all'appliance ASA. In caso contrario, è possibile recuperare la configurazione in esecuzione dall'appliance ASA e immettere i dettagli dell'IP di gestione e di accesso. In questo scenario, è stato eseguito un caricamento manuale.

    Extracting ASA Configuration

    Nota: questo errore si verifica se il file non è supportato. Assicuratevi di modificare il formato in testo normale. L'errore viene rilevato nonostante l'estensione.cfg.

    File Type Warning

    ASA Configuration File (.cfg file type)

    9. Una volta caricato il file, gli elementi vengono analizzati fornendo un riepilogo come mostrato nell'immagine:

    Summary of the Parsed Configuration

    10. Immettere le credenziali di accesso e l'indirizzo IP del controller di dominio a cui migrare la configurazione ASA. Verificare che l'indirizzo IP del CCP sia raggiungibile dalla postazione di lavoro.

    Connect to FMC

    FMC Login Credentials

    11. Una volta collegato il CCP, vengono visualizzati i FTD gestiti al di sotto di esso.

    FTDs Managed under FMC

    12. Scegliere l'FTD su cui eseguire la migrazione della configurazione ASA.

    Target FTD Selection

    Nota: si consiglia di scegliere il dispositivo FTD, altrimenti le interfacce, i percorsi e la configurazione della VPN da sito a sito devono essere eseguiti manualmente.

    FTD Device Selection Recommendation

    13. Scegliere le funzionalità necessarie per la migrazione, come illustrato nell'immagine:

    Features Available for Migration

    14. Scegliere Avvia conversione per avviare la pre-migrazione che popola gli elementi relativi alla configurazione FTD.

    Pre-Migration Selection

    15. Fare clic su Scarica rapporto visualizzato in precedenza per visualizzare il rapporto di pre-migrazione, come mostrato nell'immagine:

    Pre-Migration Report

    16. Mappare le interfacce ASA alle interfacce FTD come richiesto, come mostrato nell'immagine:

    Mapping Interfaces

    17. Assegnare zone di sicurezza e gruppi di interfacce alle interfacce FTD.

    Assigning Security Zone and Interface Groups

    17.1. Se nel CCP sono già state create zone di sicurezza e gruppi di interfacce, è possibile sceglierli in base alle esigenze:

    Selecting Existing Security Zone

    17.2. Se è necessario creare aree di sicurezza e un gruppo di interfacce, fare clic su Add SZ & IG come mostrato nell'immagine:

    Creating New Security Zone and Interface Groups

    17.3. In caso contrario, è possibile procedere con l'opzione Auto-Create per creare le zone di sicurezza e i gruppi di interfacce denominati rispettivamente ASA logical interface_sz e ASA logical interface_ig.

    Auto-Create for New Security Zone and Interface Groups

    Mapping Security Zone and Interface Groups

    18. Esaminare e convalidare ogni elemento FTD creato. Gli avvisi sono visualizzati in rosso, come mostrato nell'immagine:

    Review and Validate the FTD Elements

    19. Le azioni di migrazione possono essere scelte come mostrato nell'immagine se si desidera modificare qualsiasi regola. Le funzioni FTD per l'aggiunta di file e criteri IPS possono essere eseguite in questa fase.

    Additional Actions

    Nota: se i criteri file esistono già nel FMC, vengono popolati come illustrato nell'immagine. Lo stesso vale per i criteri IPS e per i criteri predefiniti.

    File Policy Selection

    È possibile eseguire la configurazione del registro per le regole richieste. In questa fase è possibile scegliere la configurazione del server Syslog esistente nel FMC.

    Logging Configuration

    Le azioni selezionate per ogni regola vengono evidenziate di conseguenza.

    Rule Action Highlights

    20. Analogamente, Network Address Translation (NAT), oggetti di rete, oggetti porta, interfacce, route, oggetti VPN, tunnel VPN da sito a sito e altri elementi in base alla configurazione possono essere rivisti passo dopo passo.

    Nota: l'avviso viene notificato come mostrato nell'immagine per aggiornare la chiave già condivisa, in quanto non viene copiata nel file di configurazione dell'ASA. Per immettere il valore, selezionare Azioni > Aggiorna chiave già condivisa.

    Updating Pre-Shared Key

    Entering Pre-Shared Key

    21. Infine, fare clic sull'icona Convalida nella parte inferiore destra della schermata, come mostrato nell'immagine:

    Validate Icon

    22. Una volta completata la convalida, fare clic su Push Configuration (Configurazione push) come mostrato nell'immagine:

    Validation Status

    Push in Progress

    Push in Progress

    23. Una volta completata la migrazione, il messaggio visualizzato viene visualizzato nell'immagine.

    Migration Completion

    Nota: se la migrazione non riesce, fare clic su Scarica report per visualizzare il report di post-migrazione.

    Report Download

    Verifica

    Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

    Convalida nel CCP:

    1. Passare aPolicies > Access Control > Access Control Policy > Policy Assignmentper confermare che l'FTD selezionato sia compilato.

    ACP Assignment to FTD on FMC

    Nota: il nome del criterio di controllo di accesso per la migrazione è preceduto dal prefissoFTD-Mig-ACP. Se in precedenza non è stato selezionato alcun FTD, questo deve essere selezionato nel CCP.

    2. Spostare il criterio nell'FTD. Passare aDeploy > Deployment > FTD Name > Deploycome mostrato nell'immagine:

    Pushing the Deployment

    Bug noti relativi allo strumento di migrazione Firepower

    • ID bug Cisco CSCwa56374 - Lo strumento FMT si blocca sulla pagina di mappatura della zona a causa di un errore dovuto all'elevato utilizzo della memoria
    • Cisco ID bug CSCvz88730 - Errore di push dell'interfaccia per il tipo di interfaccia di gestione del canale della porta FTD
    • ID bug Cisco CSCvx21986 - Migrazione porta-canale alla piattaforma di destinazione - FTD virtuale non supportato
    • ID bug Cisco CSCvy63003 - Lo strumento di migrazione deve disabilitare la funzionalità dell'interfaccia se FTD fa già parte del cluster
    • ID bug Cisco CSCvx08199 - È necessario suddividere l'ACL quando il riferimento dell'applicazione è superiore a 50

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    4.0
    08-Feb-2022
    Bug e riferimenti noti aggiornati
    3.0
    07-Feb-2022
    Sono stati aggiunti bug e riferimenti noti.
    2.0
    04-Feb-2022
    Aggiornamento versione software
    1.0
    02-Feb-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Poornima Krishnan
      Cisco TAC Engineer
    • Carol Dsouza
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti