Configuración de FTD desde el archivo de configuración de ASA con la herramienta de migración de Firepower

Opciones de descarga

  • PDF     (2.5 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.3 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de febrero de 2022
ID del documento:217668

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe un ejemplo de migración de Adaptive Security Appliance (ASA) a Firepower Threat Defence (FTD) en FPR4145.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimientos básicos de ASA
    • Conocimiento de Firepower Management Center (FMC) y FTD

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • ASA versión 9.12(2)
    • FTD versión 6.7.0
    • FMC Versión 6.7.0
    • Firepower Migration Tool versión 2.5.0

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Exporte el archivo de configuración de ASA en.cfgo.txtformato. El CSP debe desplegarse con un FTD registrado en virtud del mismo.

    Configurar

    1. Descargue la herramienta de migración de Firepower desde software.cisco.com como se muestra en la imagen.

    Cisco Software Download Page - FMT

    2. Revise y verifique los requisitos de la sección Herramienta de migración de Firepower.

    3. Si tiene previsto migrar un archivo de configuración de gran tamaño, configure los ajustes de suspensión para que el sistema no pase a la suspensión durante una migración.

    3.1. Para Windows, navegue hasta Opciones de energía en el Panel de control. Haga clic en Cambiar la configuración del plan junto al plan de energía actual y, a continuación, active Poner el equipo en suspensión en Nunca. Haga clic en Guardar cambios.

    3.2. Para MAC, navegue hasta Preferencias del sistema > Ahorro de energía. Marque la casilla que aparece junto a Evitar que el equipo se duerma automáticamente cuando la pantalla está apagada y arrastre el Desactivar pantalla después del control deslizante a Nunca.

    Nota: Este cuadro de diálogo de advertencia aparece cuando los usuarios de MAC intentan abrir el archivo descargado. Ignore esto y siga el paso 4.1.

    Warning Pop Up on MAC

    4.1. Para MAC - Utilice el terminal y ejecute estos comandos:

    MAC Terminal Commands

    MAC Terminal Output

    4.2. Para Windows, haga doble clic en la herramienta de migración de Firepower para iniciarla en un navegador de Google Chrome.

    5. Acepte la licencia como se muestra en la imagen:

    End User License Agreement - FMT

    6. En la página de inicio de sesión de la herramienta de migración de Firepower, haga clic en el enlace Iniciar sesión con Cisco Connection Online (CCO) para iniciar sesión en su cuenta de Cisco.com con sus credenciales de inicio de sesión único.

    Nota: si no dispone de una cuenta de Cisco.com, créela en la página de inicio de sesión de Cisco.com. Inicie sesión con estas credenciales predeterminadas: Username—admin y Password—Admin123.

    Redirection to Cisco Login Page

    7. Seleccione la configuración de origen. En esta situación, se trata de Cisco ASA (8.4+).

    Source Firewall Vendor Dropdown

    8. Seleccione Carga Manual si no tiene conectividad con el ASA. De lo contrario, puede recuperar la configuración en ejecución del ASA e ingresar la IP de administración y los detalles de inicio de sesión. En esta situación, se realizó una carga manual.

    Extracting ASA Configuration

    Nota: Este error aparece si el archivo no es compatible. Asegúrese de cambiar el formato a texto sin formato. (Se observa un error a pesar de tener una extensión.cfg.)

    File Type Warning

    ASA Configuration File (.cfg file type)

    9. Después de cargar el archivo, los elementos se analizan proporcionando un resumen como se muestra en la imagen:

    Summary of the Parsed Configuration

    10. Introduzca la IP de FMC y las credenciales de conexión a las que se migrará la configuración de ASA. Asegúrese de que el FMC IP es accesible desde su estación de trabajo.

    Connect to FMC

    FMC Login Credentials

    11. Una vez conectado el CSP, se muestran los FTD gestionados que se encuentran en su parte inferior.

    FTDs Managed under FMC

    12. Seleccione el FTD al que desea realizar la migración de la configuración de ASA.

    Target FTD Selection

    Nota: se recomienda elegir el dispositivo FTD; de lo contrario, las interfaces, las rutas y la configuración VPN de sitio a sitio se deben realizar manualmente.

    FTD Device Selection Recommendation

    13. Seleccione las funciones que se deben migrar, como se muestra en la imagen:

    Features Available for Migration

    14. Seleccione Iniciar Conversión para iniciar la premigración que rellena los elementos pertenecientes a la configuración de FTD.

    Pre-Migration Selection

    15. Haga clic en Descargar informe visto anteriormente para ver el informe previo a la migración, que es como se muestra en la imagen:

    Pre-Migration Report

    16. Asigne las interfaces ASA a las interfaces FTD como se indica en la imagen:

    Mapping Interfaces

    17. Asigne zonas de seguridad y grupos de interfaces a las interfaces FTD.

    Assigning Security Zone and Interface Groups

    17.1. Si el CSP tiene zonas de seguridad y grupos de interfaces ya creados, puede seleccionarlos según sea necesario:

    Selecting Existing Security Zone

    17.2. Si es necesario crear zonas de seguridad y un grupo de interfaz, haga clic en Add SZ & IG como se muestra en la imagen:

    Creating New Security Zone and Interface Groups

    17.3. De lo contrario, puede continuar con la opción Auto-Create, que crea zonas de seguridad y grupos de interfaz con el nombre ASA Logical interface_sz y ASA Logical Interface_ig respectivamente.

    Auto-Create for New Security Zone and Interface Groups

    Mapping Security Zone and Interface Groups

    18. Revise y valide cada uno de los elementos del FTD creados. Las alertas se ven en rojo, como se muestra en la imagen:

    Review and Validate the FTD Elements

    19. Las acciones de migración se pueden elegir como se muestra en la imagen si desea editar cualquier regla. Las funciones de FTD de adición de archivos y política IPS se pueden realizar en este paso.

    Additional Actions

    Nota: Si ya existen políticas de archivos en el FMC, se rellenan como se muestra en la imagen. Lo mismo puede decirse de las políticas IPS junto con las políticas predeterminadas.

    File Policy Selection

    La configuración del registro se puede realizar para las reglas requeridas. La configuración del servidor Syslog existente en el FMC se puede elegir en esta etapa.

    Logging Configuration

    Las acciones de regla elegidas se resaltan en consecuencia para cada regla.

    Rule Action Highlights

    20. Del mismo modo, la traducción de direcciones de red (NAT), los objetos de red, los objetos de puerto, las interfaces, las rutas, los objetos VPN, los túneles VPN de sitio a sitio y otros elementos según su configuración se pueden revisar paso a paso.

    Nota: La alerta se notifica como se muestra en la imagen para actualizar la clave previamente compartida ya que no se copia en el archivo de configuración ASA. Navegue hasta Acciones > Actualizar clave previamente compartida para ingresar el valor.

    Updating Pre-Shared Key

    Entering Pre-Shared Key

    21. Finalmente, haga clic en el icono Validar en la parte inferior derecha de la pantalla como se muestra en la imagen:

    Validate Icon

    22. Una vez que la validación sea exitosa, haga clic en Push Configuration como se muestra en la imagen:

    Validation Status

    Push in Progress

    Push in Progress

    23. Una vez que la migración es exitosa, el mensaje que se muestra se muestra en la imagen.

    Migration Completion

    Nota: Si la migración no se realiza correctamente, haga clic en Descargar informe para ver el informe posterior a la migración.

    Report Download

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    Validación en el CSP:

    1. Navegue hastaPolicies > Access Control > Access Control Policy > Policy Assignmentpara confirmar que el FTD seleccionado se ha rellenado.

    ACP Assignment to FTD on FMC

    Nota: La política de control de acceso a la migración tiene un nombre con el prefijoFTD-Mig-ACP. Si anteriormente no se ha seleccionado ningún FTD, este debe seleccionarse en el FMC.

    2. Introduzca la política en el FTD. Desplácese hastaDeploy > Deployment > FTD Name > Deploycomo se muestra en la imagen:

    Pushing the Deployment

    Errores conocidos relacionados con la herramienta de migración de Firepower

    • Id. de error de Cisco CSCwa56374: la herramienta FMT se cuelga en la página de asignación de zonas con un error con una alta utilización de la memoria
    • Id. de error de Cisco CSCvz88730: error de inserción de interfaz para el tipo de interfaz de administración de canal de puerto FTD
    • ID de bug de Cisco CSCvx21986 - Migración de Port-Channel a la plataforma de destino - FTD virtual no es compatible
    • Cisco bug ID CSCvy63003 - La herramienta de migración debe inhabilitar la función de interfaz si FTD ya es parte del clúster
    • Cisco bug ID CSCvx08199 - ACL necesita dividirse cuando la referencia de la aplicación es más de 50

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    4.0
    08-Feb-2022
    Referencias y errores conocidos actualizados
    3.0
    07-Feb-2022
    Se agregaron errores conocidos y referencias.
    2.0
    04-Feb-2022
    Actualización de versión de software
    1.0
    02-Feb-2022
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Poornima Krishnan
      Cisco TAC Engineer
    • Carol Dsouza
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos