Migration von ASA zu Firepower Threat Defense (FTD) mit FMT

Download-Optionen

  • PDF     (2.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:30. Januar 2025
Dokument-ID:222707

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird das Verfahren zur Migration der Cisco Adaptive Security Appliance (ASA) auf Cisco Firepower Threat Device beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse der Cisco Firewall Threat Defense (FTD)- und Adaptive Security Appliance (ASA)-Lösungen verfügen.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Mac OS mit Firepower Migration Tool (FMT) v7.0.1
    • Adaptive Security Appliance (ASA) v9.16(1)
    • Secure Firewall Management Center (FMCv) v7.4.2
    • Secure Firewall Threat Defense Virtual (FTDv) v7.4.1

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.


    Überblick

    Spezifische Anforderungen für dieses Dokument:

    • Cisco Adaptive Security Appliance (ASA) Version 8.4 oder höher
    • Secure Firewall Management Center (FMCv) Version 6.2.3 oder höher

    Das Firewall Migration-Tool unterstützt diese Liste von Geräten:

    • Cisco ASA (8,4+)
    • Cisco ASA (9.2.2+) mit FPS
    • Cisco Secure Firewall Device Manager (7.2+)
    • Prüfpunkt (r75-r77)
    • Prüfpunkt (r80)
    • Fortinet (5,0+)

    ・ ・ Palo Alto Networks (6.1+)

    Hintergrundinformationen

    Führen Sie vor der Migration Ihrer ASA-Konfiguration die folgenden Aktivitäten aus:

    Abrufen der ASA-Konfigurationsdatei

    Um ein ASA-Gerät zu migrieren, verwenden Sie show running-config für einen einzelnen Kontext oder show tech-support für den Multi-Context-Modus, um die Konfiguration abzurufen, speichern sie als .cfg- oder .txt-Datei und übertragen sie mit dem Secure Firewall Migration Tool auf den Computer.

    PKI-Zertifikat von ASA exportieren und in Management Center importieren

    Verwenden Sie diesen Befehl, um das PKI-Zertifikat über die CLI aus der ASA-Quellkonfiguration mit den Schlüsseln in eine PKCS12-Datei zu exportieren:
    ASA(config)#crypto kann <trust-point-name> pkcs12 <Passphrase> exportieren 
    Importieren Sie dann das PKI-Zertifikat in ein Verwaltungscenter (Object Management PKI Objects). Weitere Informationen finden Sie unter PKI-Objekte im Konfigurationsleitfaden für das FirePOWER Management Center.

    Abrufen von AnyConnect-Paketen und -Profilen

    AnyConnect-Profile sind optional und können über das Management Center oder das Secure Firewall Migration Tool hochgeladen werden.

    Verwenden Sie diesen Befehl, um das erforderliche Paket von der Quell-ASA auf einen FTP- oder TFTP-Server zu kopieren:

    Kopieren Sie <Quelldateispeicherort:/Quelldateiname> <Ziel>

    ASA# copy disk0:/anyconnect-win-4.10.02086-webdeploy-k9.pkg tftp://1.1.1.1 <----- Beispiel zum Kopieren von AnyConnect-Paketen.

    ASA# copy disk0:/ external-sso- 4.10.04071-webdeploy-k9.zip tftp://1.1.1.1 <----- Beispiel zum Kopieren eines externen Browserpakets.

    ASA# copy disk0:/ hostscan_4.10.04071-k9.pkg tftp://1.1.1.1 <----- Beispiel zum Kopieren des Hostscan-Pakets.

    ASA# copy disk0:/ dap.xml tftp://1.1.1.1. <----- Beispiel zum Kopieren von Dap.xml

    ASA# copy disk0:/ sdesktop/data.xml tftp://1.1.1.1 <----- Beispiel zum Kopieren von Data.xml

    ASA# copy disk0:/ VPN_Profile.xml tftp://1.1.1.1 <----- Beispiel für das Kopieren von AnyConnect-Profil.

    Importieren Sie die heruntergeladenen Pakete in das Management Center (Objektverwaltung > VPN > AnyConnect-Datei).

    a-Dap.xml und Data.xml müssen über das Migrationstool für sichere Firewalls im Abschnitt Prüfen und validieren > Remotezugriff-VPN > AnyConnect-Datei in das Verwaltungscenter hochgeladen werden.

    b-AnyConnect-Profile können direkt in das Management Center hochgeladen werden oder über das Migrationstool Secure Firewall im Abschnitt Prüfen und validieren > Remote Access VPN > AnyConnect-Datei.

    Konfigurieren

    Konfigurationsschritte:

    1.Herunterladen das neueste Firepower Migration Tool von Cisco Software Central:

    Software DownloadSoftware-Download

    1. Klicken Sie auf die Datei, die Sie zuvor auf Ihren Computer heruntergeladen haben.

    The FileDie Datei

    Console LogsKonsolenprotokolle

    note-icon

    Anmerkung: Das Programm wird automatisch geöffnet, und eine Konsole generiert automatisch Inhalte für das Verzeichnis, in dem Sie die Datei ausgeführt haben.

    1. Nachdem Sie das Programm ausgeführt haben, wird ein Webbrowser geöffnet, in dem die "Endbenutzer-Lizenzvereinbarung" angezeigt wird.
      1. Aktivieren Sie das Kontrollkästchen, um die Geschäftsbedingungen zu akzeptieren.
      2. Klicken Sie auf Fortfahren.

    EULAEULA

    1. Melden Sie sich mit einem gültigen CCO-Konto an, und die grafische FMT-Benutzeroberfläche wird im Webbrowser angezeigt.

      FMT LoginFMT-Anmeldung
    2. Wählen Sie die zu migrierende Quell-Firewall aus.

    Source FirewallQuell-Firewall

    1. Wählen Sie die Extraktionsmethode aus, die zum Abrufen der Konfiguration verwendet werden soll.
      1. Beim manuellen Hochladen müssen Sie die Running Config Datei der ASA im Format ".cfg" oder ".txt" hochladen.
      2. Stellen Sie eine Verbindung zur ASA her, um Konfigurationen direkt aus der Firewall zu extrahieren.

    ExtractionExtraktion

    note-icon

    Anmerkung: In diesem Beispiel stellen Sie eine direkte Verbindung mit der ASA her.

    1. Eine Zusammenfassung der auf der Firewall gefundenen Konfiguration wird als Dashboard angezeigt. Klicken Sie auf "Weiter".

    SummaryZusammenfassung

    8. Wählen Sie das Ziel-FMC, das für die Migration verwendet werden soll.

    Geben Sie die IP-Adresse des FMC ein. Es öffnet ein Popup-Fenster, in dem Sie zur Eingabe der Anmeldeinformationen des FMC aufgefordert werden.

    FMC IPFMC-IP

    1. (Optional)Wählen Sie die FTD-Zielnummer aus, die Sie verwenden möchten.
      1. Wenn Sie zu einem FTD migrieren möchten, wählen Sie das FTD aus, das Sie verwenden möchten.
      2. Wenn Sie kein FTD verwenden möchten, können Sie das Kontrollkästchen aktivieren. Proceed without FTD

    Target FTDZiel-FTD

    1. Wählen Sie die Konfigurationen aus, die migriert werden sollen. Die Optionen werden in den Screenshots angezeigt.

    ConfigurationsKonfigurationen

    11. Starten Sie die Umwandlung der Konfigurationen von ASA in FTD.

    Start ConversionKonvertierung starten

    1. Nach Abschluss der Konvertierung wird ein Dashboard mit der Zusammenfassung der zu migrierenden Objekte angezeigt (auf Kompatibilität beschränkt).
      1. Optional können Sie auf klickenDownload Report, um eine Zusammenfassung der zu migrierenden Konfigurationen anzuzeigen.

    Download ReportBericht herunterladen

    Beispiel für einen Bericht vor der Migration, wie in der Abbildung dargestellt:

    Pre-Migration ReportBericht vor der Migration

    13. Ordnen Sie die ASA-Schnittstellen den FTD-Schnittstellen des Migrations-Tools zu.

    Map interfacesSchnittstellen zuordnen

    1. Erstellen Sie die Sicherheitszonen und Schnittstellengruppen für die Schnittstellen auf dem FTD.

    Security Zones & Interface GroupsSicherheitszonen und Schnittstellengruppen

    Sicherheitszonen (SZ) und Schnittstellengruppen (IG) werden automatisch vom Tool erstellt, wie im Bild gezeigt:

    Auto-Create toolTool zum automatischen Erstellen

    1. Prüfen und validieren Sie die zu migrierenden Konfigurationen im Migrations-Tool.
      1. Wenn Sie die Überprüfung und Optimierung der Konfigurationen bereits abgeschlossen haben, klicken Sie aufValidate.

    Review and validatePrüfen und validieren

    1. Wenn der Validierungsstatus erfolgreich ist, übertragen Sie die Konfigurationen auf die Zielgeräte.

    ValidationValidierung

    Beispiel einer Konfiguration, die über das Migrations-Tool durchgeführt wird, wie in der Abbildung dargestellt:

    PushPush

    Beispiel einer erfolgreichen Migration, wie in der Abbildung dargestellt:

    Successful migrationErfolgreiche Migration

    (Optional) Wenn Sie sich für die Migration der Konfiguration zu einem FTD entschieden haben, ist eine Bereitstellung erforderlich, um die verfügbare Konfiguration vom FMC auf die Firewall zu übertragen.

    So stellen Sie die Konfiguration bereit:

    1. Melden Sie sich an der FMC-GUI an.
    2. Navigieren Sie zurDeployRegisterkarte.
    3. Wählen Sie die Bereitstellung aus, um die Konfiguration per Push an die Firewall weiterzuleiten.
    4. Klicken Sie auf . Deploy

    Fehlerbehebung

    Fehlerbehebung Secure Firewall Migration-Tool

    • Häufige Migrationsfehler:
      • Unbekannte oder ungültige Zeichen in der ASA-Konfigurationsdatei.
      • Fehlende oder unvollständige Konfigurationselemente.
      • Probleme mit der Netzwerkverbindung oder Latenz.
      • Probleme beim Hochladen der ASA-Konfigurationsdatei oder beim Übertragen der Konfiguration an das Management Center.
      • Häufige Probleme sind:
    • Verwendung des Support-Pakets zur Fehlerbehebung:
      • Klicken Sie im Bildschirm "Complete Migration" (Migration abschließen) auf die Schaltfläche Support.
      • Wählen Sie Support Bundle und die herunterzuladenden Konfigurationsdateien aus.
      • Protokoll- und DB-Dateien sind standardmäßig ausgewählt.
      • Klicken Sie auf Herunterladen, um eine ZIP-Datei herunterzuladen.
      • Extrahieren Sie die ZIP-Datei, um Protokolle, DB- und Konfigurationsdateien anzuzeigen.
      • Klicken Sie auf Uns per E-Mail kontaktieren, um Fehlerdetails an das technische Team zu senden.
      • Hängen Sie das Support-Paket an Ihre E-Mail an.
      • Klicken Sie auf die Seite "TAC aufrufen", um ein Cisco TAC-Ticket zu erstellen.
      • Mit diesem Tool können Sie ein Support-Paket für Protokoll-, Datenbank- und Konfigurationsdateien herunterladen.
      • Herunterzuladende Schritte:
      • Weitere Unterstützung:

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    30-Jan-2025
    Erstveröffentlichung
    1.0
    21-Jan-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Wasim Hussain Dhaar
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.