Mode de pare-feu
|
Mode de pare-feu routé
|
Les configurations en mode transparent ne peuvent pas être migrées.
|
Configuration de l’interface
|
-
Interfaces physiques
-
Sous-interfaces
|
-
Le Géré par FDMpériphérique doit avoir autant d’interfaces physiques ou plus que les configurations d’interface ASA faisant l’objet de la
migration.
-
Sous-interfaces (l’ID de sous-interface sera toujours défini sur le même numéro que l’ID de VLAN lors de la migration)
-
Les configurations d’interface suivantes ne seront pas migrées vers Géré par FDMle périphérique :
|
EtherChanels |
EtherChannels configurés sur les interfaces physiques.
Les interfaces membres mappées aux EtherChanels sont conservées pendant la migration.
|
-
Avant de migrer les configurations, vous devez créer le nombre équivalent d’EtherChannels sur Géré par FDM le périphérique à l’aide de CDO. Voir Ajouter une interface EtherChannel pour un périphérique géré par FDM.
-
Peut uniquement être migré vers des configurations de périphériques Firepower de série 1000 ou 2100 : 1010, 1120, 1140, 1150,
2110, 2120, 2130, 2140.
-
Vous pouvez migrer les configurations EtherChannel d’ASA 8.4+ vers Géré par FDM un périphérique exécutant la version logicielle 6.5+.
-
Les EtherChannels créés sur le Géré par FDMpériphérique avant la migration doivent être du même type que l’EtherChannel faisant l’objet de la migration.
CDO fera uniquement migrer EtherChannel vers EtherChannel et interface physique vers interface physique.
-
Les interfaces membres mappées aux EtherChannels dans le modèle FDM ne seront pas disponibles pour les utilisateurs lors de
l’étape de mappage d’interface de l’assistant de migration. Cependant, ils sont conservés et migrés vers leurs EtherChannels
attribués.
|
Routage |
du routage statique;
|
-
Lorsqu’il existe plusieurs routes statiques avec le même réseau comme destination, une seule route avec une valeur de mesure
minimale est migrée et les autres sont abandonnées.
-
Les fonctionnalités de routage suivantes ne seront pas migrées vers Géré par FDMle périphérique :
|
Règles de contrôle d’accès (ACL)
|
-
Règles de contrôle d’accès activées
-
Objets source et destination
-
CDO prend en charge des actions telles que Autoriser, Faire confiance et Bloquer pour Géré par FDMle périphérique. Pendant la migration, les actions d’autorisation et de refus dans la configuration ASA source sont gérées
et mappées à l’action prise en charge pour Géré par FDMle périphérique sur CDO.
-
CDO prend en charge la migration des listes de contrôle d’accès associées à une politique, à une interface ou à un groupe
d’accès sans protocole IP.
-
ACE avec protocoles de tunnel L3 non chiffrés
|
Les fonctionnalités d’ACL suivantes ne seront pas migrées vers Géré par FDMle périphérique :
-
CDO et le gestionnaire d'appareil Firepowerne ne prennent pas en charge les ACL avec les protocoles IPv4 et IPv6 mixtes
-
Journalisation des informations sur le niveau de gravité
-
Règles inactives ou désactivées
-
ACE avec objet de service ou groupe de services ayant des protocoles non TCP, UDP ou ICMP
-
ACE avec objets de service non TCP ou UDP
-
Protocole non TCP ou UDP dans ACE avec objets en ligne
-
ACE avec l'intervalle de temps
-
Liste d’accès non mappée avec le groupe d’accès
|
Règles de traduction d’adresses réseau (NAT)
|
|
Les fonctionnalités de règles NAT suivantes ne seront pas migrées vers Géré par FDMle périphérique :
-
Réserve PAT
-
Unidirectionnelle
-
Inactif
-
Avec Twice NAT, l’utilisation d’objets de service de destination pour la traduction de port de destination (service) (y compris les objets de service qui ont à la fois la source et la destination)
-
Traduction du port de destination
-
NAT46, NAT64
Remarque
|
CDO ne prend pas en charge les objets réseau avec 0.0.0.0/32.
|
|
Objets de service et objets de groupe de services
|
Objets de service et groupes imbriqués
Consultez la section Protocoles pris en charge sur CDO pour obtenir la liste des protocoles utilisés dans les objets de service pris en charge par CDO.
|
-
Les protocoles BCC-RCC-MON et BBN-RCC-MON ne sont pas pris en charge.
-
Les opérateurs comme inférieur à, supérieur à pas égal à, ne sont pas pris en charge.
-
Imbrication de groupes d’objets
|
Objets réseau et objets de groupe de réseaux
|
Objets réseau et objets de groupe de réseaux
|
Les objets réseau ou groupes de réseaux suivants ne sont pas pris en charge :
|
Types ICMP
|
Types ICMP
|
Les types ICMP suivants ne sont pas pris en charge :
-
Entrées d’objets de service basées sur ICMP avec un type ou un code ICMP INVALIDE
-
Objet de type service ou ICMP sans code pour le type ICMPv4 ou ICMPv6
-
Tout type d’ICMP non affecté (selon IANA) ou type d’ICMP non valide
|
Objets divers non pris en charge
|
- |
Les objets divers suivants ne sont pas pris en charge :
|
VPN de site à site
|
-
Propositions de phases 1 et 2 pour IKEv1 et IKEv2
-
Perfect Forward Secrecy (Confidentialité de transmission parfaite) (PFS) pour IKEv1 et IKEv2
-
Liste d’accès de chiffrement avec groupe d’objets imbriqués
-
Carte de chiffrement avec plusieurs adresses IP homologues
-
IKEv1 et IKEv2 utilisés pour un tunnel dans Crypto Map
|
Les fonctionnalités VPN de site à site suivantes ne sont pas prises en charge :
-
VPN-Filtre
-
vpn-délai-d'inactivité
-
isakmp keepalive seuil 10 réessayer 10
-
Crypto Map VPNMAP 200 définir la durée de vie de l'association de sécurité en 360 secondes
-
définir la durée de vie de l’association de sécurité en kilo-octets illimités
-
définir la durée de vie de l’association de sécurité en 3600 secondes
-
Authentification du certificat
-
Carte de chiffrement dynamique
-
Virtual Tunnel Interface (VPN) basé sur la route
|