Configuration de l'outil de migration Secure Firewall pour la migration ASA

Introduction

Ce document décrit la procédure à suivre pour migrer un dispositif de sécurité adaptatif Cisco (ASA) vers Cisco Firepower.

Contribution de Ricardo Vera, ingénieur du centre d'assistance technique Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez une bonne connaissance de Cisco Firewall Threat Defense (FTD) et Adaptive Security Appliance (ASA).

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• PC Windows avec outil de migration Firepower (FMT) v3.0.1
• Appareil de sécurité adaptatif (ASA) v9.16.1
• Centre de gestion du pare-feu sécurisé (FMCv) v7.0.1
• Pare-feu sécurisé FTDv (Virtual Threat Defense) v7.0.1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Les exigences spécifiques de ce document incluent :

• Appareil de sécurité adaptatif Cisco (ASA) version 8.4 ou ultérieure
• Secure Firewall Management Center (FMCv) version 6.2.3 ou ultérieure

L'outil de migration de pare-feu prend en charge cette liste de périphériques :

• Cisco ASA (8.4+)
• Cisco ASA (9.2.2+) avec FPS
• Point de contrôle (r75-r77)
• Point de contrôle (r80)
• Fortinet (5.0+)
• Palo Alto Networks (6.1+)

Avant de procéder à la migration, veuillez prendre en compte les consignes et restrictions relatives à l'outil de migration de pare-feu.

Configuration

Diagramme du réseau

Configuration Steps

1. Téléchargez l'outil de migration Firepower le plus récent depuis Cisco Software Central :

2. Cliquez sur le fichier que vous avez précédemment téléchargé sur votre ordinateur.

Note: Le programme s'ouvre automatiquement et une console génère automatiquement du contenu dans le répertoire où vous avez exécuté le fichier.

3. Une fois le programme exécuté, un navigateur Web s'ouvre et affiche le « Contrat de licence utilisateur final ».
   1. Cochez cette case pour accepter les conditions générales.
   2. Cliquez sur Continuer.

4. Connectez-vous à l'outil de migration.
   1. Vous pouvez vous connecter avec le compte CCO ou avec le compte local par défaut.
      1.       Les informations d'identification du compte local par défaut sont : admin/Admin123

5. Sélectionnez le pare-feu source à migrer.
   1. Dans cet exemple, Cisco ASA (8.4+) est utilisé comme source.

6. Sélectionnez la méthode d'extraction à utiliser pour obtenir la configuration.
   1. Le téléchargement manuel nécessite le téléchargement du Running Config de l'ASA au format « .cfg » ou « .txt ».
   2. Connectez-vous à l'ASA pour extraire les configurations directement du pare-feu.

Note: Dans cet exemple, connectez-vous directement à l'ASA.

7. Un résumé de la configuration trouvée sur le pare-feu s'affiche sous forme de tableau de bord, cliquez sur Next.

8. Sélectionnez le FMC cible à utiliser lors de la migration.
   1. Fournir l’adresse IP du FMC.
      1.       Il ouvre une fenêtre contextuelle dans laquelle il vous invite à saisir les informations d'identification de connexion du FMC.

9. (Facultatif) Sélectionnez le FTD cible que vous souhaitez utiliser.
   1. Si vous choisissez de migrer vers un FTD, sélectionnez le FTD que vous souhaitez utiliser.
   2. Si vous ne souhaitez pas utiliser de FTD, vous pouvez cocher la case Proceed without FTD

10. Sélectionnez les configurations que vous souhaitez migrer, les options sont affichées sur les captures d'écran.

11. Démarrez la conversion des configurations de ASA en FTD.

12. Une fois la conversion terminée, il affiche un tableau de bord avec le résumé des objets à migrer (limité à la compatibilité).
    1. Vous pouvez également cliquer sur Download Report pour recevoir un résumé des configurations à migrer.

Exemple de rapport de pré-migration, comme illustré dans l'image :

13. Mappez les interfaces ASA avec les interfaces FTD sur l'outil de migration.

14. Créez les zones de sécurité et les groupes d'interfaces pour les interfaces sur le FTD

Les zones de sécurité (SZ) et les groupes d'interfaces (IG) sont créés automatiquement par l'outil, comme illustré dans l'image :

15. Vérifiez et validez les configurations à migrer dans l'outil de migration.
    
    1. Si vous avez déjà terminé la révision et l'optimisation des configurations, cliquez sur Validate.

16. Si l’état de validation est réussi, envoyez les configurations aux équipements cibles.

Exemple de configuration transmise via l'outil de migration, comme illustré dans l'image :

Exemple d'une migration réussie, comme illustré dans l'image :

17. (Facultatif) Si vous avez choisi de migrer la configuration vers un FTD, un déploiement est nécessaire pour transmettre la configuration disponible du FMC au pare-feu, afin de déployer la configuration :
    1. Connectez-vous à l'interface graphique FMC.
    2. Accédez à la Deploy s'affiche.
    3. Sélectionnez le déploiement pour transmettre la configuration au pare-feu.
    4. Cliquer Deploy.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Vérifiez les journaux dans le répertoire où le fichier de l'outil de migration Firepower a été placé, par exemple :

Firepower_Migration_Tool_v3.0.1-7373.exe/logs/log_2022-08-18-21-24-46.log