Configurazione dello strumento di migrazione Secure Firewall per la migrazione di ASA

Introduzione

In questo documento viene descritta la procedura di migrazione di Cisco Adaptive Security Appliance (ASA) a Cisco Firepower.

Contributo di Ricardo Vera, Cisco TAC Engineer.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza di Cisco Firewall Threat Defense (FTD) e Adaptive Security Appliance (ASA).

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Windows PC con Firepower Migration Tool (FMT) versione 3.0.1
• Adaptive Security Appliance (ASA) v9.16.1
• Secure Firewall Management Center (FMCv) v7.0.1
• Secure Firewall Threat Defense Virtual (FTDv) v7.0.1

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

I requisiti specifici per questo documento includono:

• Cisco Adaptive Security Appliance (ASA) versione 8.4 o successive
• Secure Firewall Management Center (FMCv) versione 6.2.3 o successiva

Lo strumento di migrazione del firewall supporta questo elenco di dispositivi:

• Cisco ASA (8.4+)
• Cisco ASA (9.2.2+) con FPS
• Punto di controllo (r75-r77)
• Punto di controllo (r80)
• Fortinet (5.0+)
• Palo Alto Networks (6.1+)

Prima di procedere con la migrazione, prendere in considerazione le linee guida e le limitazioni per lo strumento di migrazione del firewall.

Configurazione

Esempio di rete

Procedura di configurazione

1. Scarica l'ultimo strumento di migrazione Firepower da Cisco Software Central:

2. Fare clic sul file scaricato in precedenza sul computer.

Nota: Il programma si apre automaticamente e una console genera automaticamente il contenuto nella directory in cui è stato eseguito il file.

3. Dopo l'esecuzione del programma, viene aperto un browser Web che visualizza il "Contratto di licenza con l'utente finale".
   1. Selezionare la casella di controllo per accettare i termini e le condizioni.
   2. Fare clic su Continua.

4. Accedere allo strumento di migrazione.
   1. È possibile accedere con l'account CCO o con l'account predefinito locale.
      1.       Le credenziali dell'account predefinito locale sono: admin/Admin123

5. Selezionare il firewall di origine di cui eseguire la migrazione.
   1. Nell'esempio, viene usato Cisco ASA (8.4+) come origine.

6. Selezionare il metodo di estrazione da utilizzare per ottenere la configurazione.
   1. Per il caricamento manuale è necessario caricare Running Config dell'ASA nel formato ".cfg" o ".txt".
   2. Collegare l'appliance ASA per estrarre le configurazioni direttamente dal firewall.

Nota: Per questo esempio, connettersi direttamente all'appliance ASA.

7. Un riepilogo della configurazione rilevata sul firewall viene visualizzato come dashboard. Fare clic su Avanti.

8. Selezionare il FMC di destinazione da utilizzare nella migrazione.
   1. Fornire l'indirizzo IP del CCP.
      1.       Viene visualizzata una finestra popup in cui vengono richieste le credenziali di accesso del CCP.

9. (Facoltativo) Selezionare l'FTD di destinazione da utilizzare.
   1. Se si sceglie di eseguire la migrazione a un FTD, selezionare l'FTD che si desidera utilizzare.
   2. Se non si desidera utilizzare un FTD, è possibile compilare la casella di controllo Proceed without FTD

10. Selezionare le configurazioni di cui si desidera eseguire la migrazione. Le opzioni vengono visualizzate negli screenshot.

11. Avviare la conversione delle configurazioni da ASA a FTD.

12. Al termine della conversione, viene visualizzato un dashboard con il riepilogo degli oggetti da migrare (limitato alla compatibilità).
    1. È possibile fare clic su Download Report per ricevere un riepilogo delle configurazioni da migrare.

Esempio di report pre-migrazione, come mostrato nell'immagine:

13. Mappare le interfacce ASA con le interfacce FTD sullo strumento di migrazione.

14. Creare le aree di sicurezza e i gruppi di interfacce per le interfacce sull'FTD

Le aree di sicurezza (SZ) e i gruppi di interfaccia (IG) vengono creati automaticamente dallo strumento, come mostrato nell'immagine:

15. Rivedere e convalidare le configurazioni da migrare sullo strumento di migrazione.
    
    1. Se l'analisi e l'ottimizzazione delle configurazioni sono già state completate, fare clic su Validate.

16. Se lo stato di convalida ha esito positivo, eseguire il push delle configurazioni nei dispositivi di destinazione.

Esempio di configurazione sottoposta a push tramite lo strumento di migrazione, come mostrato nell'immagine:

Esempio di migrazione riuscita, come mostrato nell'immagine:

17. (Facoltativo) Se si è scelto di eseguire la migrazione della configurazione a un FTD, è necessaria una distribuzione per eseguire il push della configurazione disponibile dal FMC al firewall, al fine di distribuire la configurazione:
    1. Accedere alla GUI del CCP.
    2. Passare alla Deploy .
    3. Selezionare la distribuzione per eseguire il push della configurazione nel firewall.
    4. Clic Deploy.

Risoluzione dei problemi

Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

Verificare i log nella directory in cui è stato inserito il file dello strumento di migrazione di Firepower, ad esempio:

Firepower_Migration_Tool_v3.0.1-7373.exe/logs/log_2022-08-18-21-24-46.log