CDO内のFMTを使用したcdFMCへのFDMの移行

はじめに

このドキュメントでは、CDOのFirepower移行ツール(FMT)を使用して、Firepower Device Manager(FDM)をクラウド配信FMC(cdFMC)に移行する方法について説明します。

前提条件

要件

• Firepowerデバイスマネージャ(FDM)7.2+
• クラウド提供のファイアウォール管理センター(cdFMC)
• CDOに含まれるFirepower Migration Tool(FMT)

使用するコンポーネント

このドキュメントは、前述の要件に基づいて作成されました。

• バージョン7.4.1上のFirePOWERデバイスマネージャ(FDM)
• クラウド提供のファイアウォール管理センター(cdFMC)
• クラウド防衛オーケストレータ(CDO)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

CDO管理者ユーザは、デバイスがバージョン7.2以降である場合に、そのデバイスをcdFMCに移行できます。このドキュメントで説明する移行では、cdFMCはすでにCDOテナントで有効になっています。

設定

1.- FDMでシスコクラウドサービスを有効にする

移行を開始するには、保留中の導入がないFDMデバイスを使用して、クラウドサービスに登録する必要があります。Cloud Servicesに登録するには、System Settings > See More > Cloud Servicesの順に移動します。

Cloud Servicesセクションで、デバイスが登録されていないことがわかりました。したがって、タイプSecurity/CDO Accountで登録を行う必要があります。登録キーを設定してから登録する必要があります。

Registration Cloudサービス

クラウドサービスを介して、が登録されていないことが示されます。CDOアカウント登録タイプを選択し、CDOから登録キーを入力します。

クラウドサービスへの登録

登録キーはCDO内にあります。CDOに移動し、Inventory > Add symbolに移動します。

メニューが表示され、使用しているデバイスのタイプを選択できます。FTDオプションを選択します。FDMオプションを使用可能にする必要があります。使用可能にしない場合、対応する移行は実行できません。登録のタイプは、登録キーの使用を使用します。このオプションでは、登録キーがステップ3に表示されます。このキーをコピーしてFDMに貼り付ける必要があります。

オンボードFDM、オプションの追加

[Select a Device or Service Type] （デバイスまたはサービスタイプの選択）メニューが表示されます。

デバイスまたはサービスタイプの選択

このドキュメントでは、「Select Registration Key」が選択されています。

登録タイプ

ここでは、前の手順で必要な登録キーが示されています。

登録プロセス

登録キーを取得したら、それをコピーしてFDMに貼り付け、登録をクリックします。クラウドサービス内にFDMを登録すると、図に示すようにEnabledと表示されます。

デバイスが起動して実行されるとデバイスが登録されるため、スマートライセンスはスキップされました。

FDM登録

FDMを登録すると、テナント、接続されているクラウドサービス、および登録済みのクラウドサービスが表示されます。

FDM登録の完了

CDO内のインベントリメニューでは、FDMはオンボーディングおよび同期のプロセスにあります。この同期の進捗状況とフローは、「ワークフロー」セクションで確認できます。

このプロセスが完了すると、「Synced and Online」と表示されます。

CDOインベントリFDMオンボーディング

デバイスが同期されると、「Online」および「Synced」と表示されます。

FDMオンボーディング

FDMがCDOに正常にオンボーディングされたら、FDMからログアウトする必要があります。FDMからログアウトした後、CDO内でTools & Services > Migration > Firewall Migration Toolの順に移動します。

Addシンボルをクリックすると、名前がランダムに表示されます。これは、移行プロセスを開始するには名前を変更する必要があることを示します。

名前を変更したら、Launchをクリックして移行を開始します。

移行の初期化

Launchをクリックして、移行の設定を開始します。

移行の開始プロセス

Launchをクリックすると、移行プロセスのためのウィンドウが開き、オプションのCisco Secure Firewall Device Manager(7.2+)が選択されます。前述したように、このオプションはバージョン7.2から有効になっています。

FMTソース設定の選択

選択すると、3つの異なる移行オプションが表示されます。共有設定のみ、デバイスと共有設定を含む、デバイスと共有設定を含む、FTDの新しいハードウェアへの移行オプションです。

この例では、2番目のオプションであるMigrate Firepower Device Manager(Includes Device & Shared Configuration)が実行されます。

移行オプション

移行方法を選択したら、表示されたリストからデバイスを選択します。

FDMデバイスの選択

構成の抽出が完了しました

デバイスを選択したときの手順を確認し、理解するために、上部にあるタブを開くことをお勧めします。

移行プロセスの手順

新しい移行であるため、「Do you want to use an Existing Access Control Policy, NAT or RAVPN Policy on FMC?（FMCで既存のアクセスコントロールポリシー、NATまたはRAVPNポリシーを使用しますか？）」オプションの指示に従って、Cancelを選択します。

既存の構成のキャンセルオプション

その後、図に示すように、移行する機能を選択するオプションが表示されます。[続行（Proceed）] をクリックします。

選択するフィーチャ

次に、変換を開始します。

変換を開始します。

解析プロセスが終了したら、次の2つのオプションが使用できます。ドキュメントをダウンロードし、Nextをクリックして移行を続行します。

レポートのダウンロード

デバイスインターフェイスが表示されるように設定されています。ベストプラクティスとして、Refreshをクリックしてインターフェイスを更新することを推奨します。検証されたら、Nextをクリックして続行できます。

表示されるインターフェイス

Security Zones and Interface Groupsセクションに移動します。このセクションで、Add SZ & IGを使用して手動で追加する必要があります。 この例では「Auto-Create」が選択されています。これにより、移行先のFMC内でインターフェイスを自動的に生成できます。完了したら、Nextボタンをクリックします。

セキュリティゾーンとインターフェイスグループ

自動作成オプションは、FDMインタフェースを既存のFTDセキュリティ・ゾーンおよびFMC内の同じ名前のインタフェース・グループにマッピングします。

Auto-Createオプション

次にNextを選択します。

After Auto-Creationオプション

手順5では、上部のバーに示されているように、時間をかけてアクセスコントロールポリシー(ACP)、オブジェクト、およびNATルールを調べます。各項目を注意深く確認して続行し、Validateをクリックして、名前や設定に問題がないことを確認します。

アクセスコントロール、オブジェクト、およびNAT設定

次に、共有設定のみをプッシュします

プッシュ共有構成のみ

完了の割合と作業している特定のタスクを確認できます。

プッシュ率

手順5が完了したら、上部のバーに表示されている手順6に進みます。このバーで、共有設定をFMCにプッシュします。ここで、Nextボタンを選択して次に進みます。

共有構成のFMCへのプッシュが完了しました

このオプションを選択すると、確認メッセージが表示され、マネージャの移行の続行を促すメッセージが表示されます。

移動マネージャの確認

マネージャの移行を進めるには、Management Center IDとNAT IDを手元に用意しておく必要があります。これは必須です。これらのIDは、Update Detailsを選択して取得できます。この操作によって、cdFMC内のFDM表現の目的の名前を入力するポップアップウィンドウが開始され、続いて変更が保存されます。

マネージャセンターIDとNAT ID

登録するデバイス名を更新します。

この操作の後、前述のフィールドのIDが表示されます。

管理センターIDとNAT ID。

Update Detailsオプションを選択した後、デバイスの同期が開始されます。

FDMデバイスの同期

移行が完了したら、次の手順として、検証を選択してFDMで構成されているインターフェイス、ルート、およびDHCP設定を確認します。

FDM構成設定の検証

検証後、Push Configurationを選択して設定のプッシュプロセスを開始します。このプロセスは、移行が終了するまで続行されます。また、実行中のタスクを監視することもできます。

検証ステータス：プッシュ設定。

プッシュ率の構成を示すポップアップウィンドウ。

プッシュ率の完了

完了すると、新しい移行を開始するオプションが表示され、FDMからcdFMCへの移行プロセスが終了します。

完全移行

確認

FDMがcdFMCに正常に移行されたことを確認します。

CDO > Tools & Services > Firepower Management Centerの順に移動します。そこに、登録されたデバイスの数が増えていることがわかります。

cdFMCに登録されているデバイス

Devices > Device Management内でデバイスを確認します。また、FMCのタスクでは、デバイスが正常に登録され、最初の導入が正常に完了した時点を確認できます。

cdFMC登録タスクが完了しました。

デバイスはcdFMC > Device > Device Managementにあります。

cdFMCに登録されているデバイス

アクセスコントロールポリシーはPolicies > Access Controlで移行しました。

移行ポリシー

同様に、cdFMCに正しく移行されたFDMで作成されたオブジェクトを確認できます。

FDMからcdFMCに移行されたオブジェクト

オブジェクト管理インターフェイスが移行されました。

オブジェクト管理インターフェイスが移行されました。