移行元モデルから移行先モデルへの Management Center の移行

この章では、Management Center モデル移行の前提条件とワークフローについて説明します。

移行の準備

一般的な前提条件

移行元モデルから移行できる移行先モデルを判断するには、サポートされている移行パスを参照してください。
Management Center モデル移行では、評価、接続済み、および特定のライセンス予約（SLR）を含む、すべての Management Center ライセンスモードをサポートします。
移行先の Management Center のインターフェイス数が移行元の Management Center と同じであることを確認します。
移行先の Management Center のバージョンが移行元の Management Center のバージョン（パッチ、脆弱性データベース（VDB）、Lightweight Security Package（LSP）、および Snort ルール更新（SRU）を含む）と一致することを確認します。これを確認するには、各 Management Center で [ヘルプ（Help）] > [バージョン情報（About）] を選択します。
保留中の展開がすべて正常に完了したことを確認します。
移行元の Management Center でバックアップファイルを設定します。
1. [システム（）] > [バックアップ/復元（Backup/Restore）] を選択します。
2. [バックアップ管理（Backup Management）] タブをクリックし、[ファイアウォール管理のバックアップ（Firewall Management Backup）] をクリックします。
3. 次のチェックボックスをオンにします。
  - バックアップ構成
  - バックアップイベント（Backup Events）
  - Threat Intelligence Directorのバックアップ（Backup Threat Intelligence Director）
Cisco Smart Software Manager（CSSM）に正しい数の Threat Defense 権限があることを確認します。
Management Center が上位のプラットフォームに移行し、より多くの Threat Defense デバイスを管理する場合は、追加分の Threat Defense デバイスに必要なライセンスを取得する必要があります。
移行元の Management Center が Unified Capabilities Approved Products List（UCAPL）またはコモンクライテリア（CC）に準拠している場合、移行後は移行先の Management Center も UCAPL または CC 準拠となります。
Management Center の HA 移行では、次の操作を実行します。
- 移行先の Management Center が HA の場合は、移行前に移行先の Management Center での同期を一時停止する必要があります。
- すべての HA 要件を満たしていることを確認します。詳細については、以下を参照してください。
  - バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「Requirements for Firepower Management Center High Availability」トピックを参照してください。
  - バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Requirements for Management Center High Availability」トピックを参照してください。
移行後に移行元の Management Center でライセンスを登録解除し、移行先の Management Center でライセンスを登録する必要があります。

移行後も移行元の Management Center で Threat Defense デバイスの別のグループを管理する場合は、次の手順を実行します。

移行元の Management Center が古い Threat Defense デバイスに到達できないことを確認します。
移行先の Management Center で現在管理されている古いデバイスを削除します。

（注）

移行元の Management Center が古いデバイスに到達できる場合、これらのデバイスは移行先の Management Center から登録解除されます。

Management Center 1000、2500、または 4500 から Management Center 1700、2700、または 4700 への移行時の前提条件

Management Center 1000、2500、または 4500 および対応するすべての管理対象 Threat Defense デバイスがバージョン 7.0.x であることを確認します。

バージョン 7.0.5 を使用することが推奨されます。
Management Center 1000、2500、または 4500 のバージョンを 7.0.x から 7.4.x へアップグレードします。このアップグレードは移行専用です。

アップグレードパッケージは、「Special Release」からダウンロードできます。アップグレードパッケージを解凍し（ただし、展開はしない）、オンプレミスの Management Center にアップロードします。

アップグレードの詳細については、『Cisco Firepower Management Center Upgrade Guide, Version 6.0–7.0』を参照してください。

Management Center 1600、2600、または 4600 から Management Center 1700、2700、または 4700 への移行時の前提条件

Management Center 1600、2600、または 4600 を 7.4.x にアップグレードします。アップグレードの詳細については、『Cisco Secure Firewall Threat Defense Upgrade Guide for Management Center』を参照してください。
移行元の Management Center がバージョン 7.0.x の Threat Defense デバイスのみを管理していることを確認します。

Management Center 4600 から AWS 用 Management Center Virtual 300（FMCv300）への移行時の前提条件

Management Center Virtual 300 の制限は Management Center 4600 よりも少ないことに注意してください。移行する前に、次の表を参照することをお勧めします。

表 1. Management Center 4600 から AWS 用 Management Center Virtual 300 への移行に関する互換性チェック
性能と機能	Management Center 4600（現在の設定）	Management Center Virtual 300（上限）
全体のサイズ（イベント記憶域）	3.2 TB	2 TB
総デバイス数	750	300
IPS イベントの最大数	3 億	6,000 万
メモリ	128 GB	64 GB
CPU	Intel Xeon 4214 プロセッサ X 2	32 vCPU
最大ネットワークマップサイズ（ホスト/ユーザー）	600,000/600,000	150,000/150,000
最大イベントレート（イベント数/秒）	20,000 eps	12,000 eps

移行元の Management Center 4600 と移行先の AWS 用 Management Center Virtual 300 がバージョン 7.4.x であることを確認します。
AWS 用 Management Center Virtual 300 にライセンスが付与されていることを確認します。
バージョン 7.4.x 以降では、移行後に次のパラメータを更新する必要があります。
- 移行先の Management Center の IP アドレス
- すべての管理対象 Threat Defense デバイスでのマネージャの詳細。詳細については、Threat Defense デバイスで Management Center の IP アドレスまたはホスト名を更新するを参照してください。

Management Center 1000/2500/4500/1600/2600/4600 から Management Center 1700/2700/4700 への移行に関する制限事項

移行では、Management Center 1000、2500、または 4500 のみをバージョン 7.0.x から 7.4.x にアップグレードできます。7.0.x から 7.1.x、7.2.x、または 7.3.x へのアップグレードは利用できません。
バージョン 7.4.x の Management Center 1000、2500、または 4500 を使用して Threat Defense デバイスを管理することはできません。7.0.x から 7.4.x へのアップグレードでは、Management Center 1700、2700、または 4700 への移行のみがサポートされます。
次のタイプのデバイスを管理する Management Center 1000、2500、4500、1600、2600、または 4600 は移行できません。
- バージョン 7.0.x より前の Threat Defense デバイス。
- NGIPSv または FirePOWER サービス。

スタンドアロンの Management Center モデル移行ワークフロー

次のフローチャートは、移行元の Management Center から移行先の Management Center へと移行するためのワークフローを示しています。

（注）

移行の準備に記載されている前提条件を満たしていることを確認してください。

表 2. スタンドアロンの Management Center モデル移行ワークフロー
ステップ	タスク	詳細
	移行元の Management Center でバックアップファイルを作成します。	バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「Back Up the FMC」トピックを参照してください。バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Back Up the Management Center」トピックを参照してください。
	移行の準備をします。	「移行の準備」を参照してください。
	生成されたバックアップファイルを移行先の Management Center にコピーします。	バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「Restore an FMC from Backup」トピックを参照してください。バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Restore Management Center from Backup」トピックを参照してください。
	移行先の Management Center をネットワークから切断します。	移行先の Management Center をネットワークから物理的に切断します。
	移行先の Management Center で移行スクリプトを実行します。	「Management Center モデル移行スクリプトの使用方法」を参照してください。
	Cisco Smart Software Manager（CSSM）から移行元の Management Center を登録解除します。	バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「Deregister a Firepower Management Center from the Cisco Smart Software Manager」トピックを参照してください。バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Deregister the Management Center」トピックを参照してください。
	移行元の Management Center をネットワークから切断します。	移行元の Management Center をネットワークから物理的に切断します。
	移行先の Management Center をネットワークに接続します。	移行が正常に完了すると、移行先の Management Center で移行元の Management Center の IP アドレスが取得されます。必要に応じて、移行先の Management Center に新しい IP アドレスを割り当てることができます。移行後に Management Center の IP アドレスを変更する場合は、次の操作を行う必要があります。 Threat Defense デバイスで Management Center の IP アドレスまたはホスト名を更新する。 Management Center とその管理対象デバイス間の NAT 設定を更新します。
	必要に応じて、すべての管理対象 Threat Defense デバイスでマネージャの詳細を更新します。	「Threat Defense デバイスで Management Center の IP アドレスまたはホスト名を更新する」を参照してください。
	移行先の Management Center でスマートライセンスを有効にします。	バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「License Requirements for Firepower Management Center」トピックを参照してください。バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Configure Smart Licensing」トピックを参照してください。
	移行先の Management Center によって管理されているすべての Threat Defense デバイスのハートビートを確認します。データが移行先の Management Center に正常に移行されたことを確認します。	移行先の Management Center にログインします。すべての設定が復元されていること、およびポリシーの編集、展開、スケジュール済みジョブなど、基本的な Management Center の操作が想定どおりに動作することを確認します。

Management Center の高可用性モデル移行ワークフロー

移行先のプライマリ Management Center とセカンダリ Management Center で移行スクリプトを実行することで、Management Center の HA セットアップを移行できます。

次のフローチャートは、Management Center の HA セットアップを移行元のモデルから移行先のモデルへと移行するためのワークフローを示しています。

（注）

移行の準備に記載されている前提条件を満たしていることを確認してください。

表 3. Firewall Management Center の高可用性モデル移行ワークフロー

ステップ

タスク

詳細

移行元の各 Management Center でバックアップファイルを作成します。

バックアップでは HA 同期を一時停止します。

バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「Back Up the FMC」トピックを参照してください。

バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Back Up the Management Center」トピックを参照してください。

移行先の Management Center をセットアップします。

「移行の準備」を参照してください。

生成されたバックアップファイルを移行先の Management Center にコピーします。

次の手順を実行してください。

移行元のプライマリ Management Center から移行先のプライマリ Management Center にバックアップファイルをコピーします。
移行元のセカンダリ Management Center から移行先のセカンダリ Management Center にバックアップファイルをコピーします。

バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「Restore an FMC from Backup」トピックを参照してください。

バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Restore Management Center from Backup」トピックを参照してください。

移行先の Management Center をネットワークから切断します。

（注）

移行先の Management Center が HA の場合は、移行前に移行先の Management Center での同期を一時停止する必要があります。

移行先の Management Center をネットワークから物理的に切断します。

移行先の Management Center で移行スクリプトを実行します。

Management Center モデル移行スクリプトの使用方法

Cisco Smart Software Manager（CSSM）から移行元の Management Center を登録解除します。

バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「Deregister a Firepower Management Center from the Cisco Smart Software Manager」トピックを参照してください。

バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Deregister the Management Center」トピックを参照してください。

移行元の Management Center をネットワークから切断します。

移行元の Management Center をネットワークから物理的に切断します。

移行先の Management Center をネットワークに接続します。

移行が正常に完了すると、移行先の Management Center で移行元の Management Center の IP アドレスが取得されます。必要に応じて、新しい IP アドレスを割り当てることができます。

移行後に Management Center の IP アドレスを変更する場合は、次の操作を行う必要があります。

Threat Defense デバイスで Management Center の IP アドレスまたはホスト名を更新する。
Management Center とその管理対象デバイス間の NAT 設定を更新します。

必要に応じて、すべての管理対象 Threat Defense デバイスでマネージャの詳細を更新します。

「Threat Defense デバイスで Management Center の IP アドレスまたはホスト名を更新する」を参照してください。

移行先の Management Center 間の接続を検証します。

バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「Viewing Firepower Management Center High Availability Status」トピックを参照してください。

バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Viewing Management Center High Availability Status」トピックを参照してください。

Threat Defense で移行先の Management Center に接続し、HA 同期を再開するまで HA 同期を一時停止します。

バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「Pausing Communication Between Paired Firepower Management Centers」トピックおよび「Restarting Communication Between Paired Firepower Management Centers」トピックを参照してください。

バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Pausing Communication Between Paired Management Centers」トピックおよび「Restarting Communication Between Paired Management Centers」トピックを参照してください。

Management Center の HA 設定が正常であり、アラートがないことを確認します。

移行先のプライマリアクティブ Management Center にスマートライセンスを登録します。

バージョン 6.5 ～ 7.1 をご使用の場合は、『Firepower Management Center Configuration Guide』の「License Requirements for Firepower Management Center」トピックを参照してください。

バージョン 7.2 以降をご使用の場合は、『Cisco Secure Firewall Management Center Administration Guide』の「Configure Smart Licensing」トピックを参照してください。

移行先の Management Center によって管理されているすべての Threat Defense デバイスのハートビートを確認します。

データが移行先の Management Center に正常に移行されたことを確認します。

移行先の Management Center にログインします。すべての設定が復元されていること、およびポリシーの編集、展開、スケジュール済みジョブなど、基本的な Management Center の操作が想定どおりに動作することを確認します。

Management Center モデル移行スクリプトの使用方法

移行スクリプトを使用するには、次の手順を実行します。この手順は Management Center モデル移行の一部でしかないことに注意してください。完全なモデル移行ワークフローについては、スタンドアロンの Management Center モデル移行ワークフローまたはManagement Center の高可用性モデル移行ワークフローを参照してください。

手順

ステップ 1

移行先の Management Center CLI にログインします。

ステップ 2

エキスパートモードに切り替えるには、 expert コマンドを実行します。

ステップ 3

次の移行コマンドを実行します。

/var/sf/backup/sf-migration.pl backup_file_path

例:


root@firepower:# /var/sf/bin/sf-migration.pl /var/sf/backup/100localbackup-2023-05-20examp.tar

移行プロセスが完了するとシステムが再起動することに注意してください。

次のタスク

スタンドアロンの Management Center モデル移行ワークフローまたはManagement Center の高可用性モデル移行ワークフローに戻り、残りの手順をすべて完了します。

Threat Defense デバイスで Management Center の IP アドレスまたはホスト名を更新する

移行後、移行先の Management Center のネットワーク設定が移行元の Management Center のネットワーク設定と異なる場合は、各 Threat Defense デバイスで Management Center の IP アドレスまたはホスト名を更新する必要があります。

手順

ステップ 1	Threat Defense CLI から、 show managers コマンドを使用して、Management Center の一意の識別子を取得します。例: `> show managers Type : Manager Host : xx.xx.x.x Display name : xx.xx.x.x Identifier : f7ffad78-bf16-11ec-a737-baa2f76ef602 Registration : Completed Management type : Configuration and analytics`
ステップ 2	configure manager コマンドを使用して、Management Center の IP アドレスまたはホスト名を更新します。 configure manager edit `fmc_uuid` hostname `fmc_ipaddress` 例: `> configure manager edit f7ffad78-bf16-11ec-a737-baa2f76ef602 hostname xx.xx.x.x Updating hostname from xx.xx.x.x to xx.xx.x.x Manager hostname updated.`
ステップ 3	configure manager コマンドを使用して、Management Center の表示名を更新します。 configure manager edit `fmc_uuid` displayname `fmc_ipaddress` 例: `> configure manager edit f7ffad78-bf16-11ec-a737-baa2f76ef602 displayname xx.xx.x.x Updating displayname from xx.xx.x.x to xx.xx.x.x Manager displayname updated.`
ステップ 4	show managers コマンドを再度使用して、更新された Management Center の設定を確認します。

Management Center モデル移行のトラブルシューティング

表 4. Management Center モデル移行のエラーメッセージ
エラーメッセージ	推奨処置
`Migration data size is greater than the storage space of the target management center.`	移行先 Management Center のサイズを増やします。
`Interface count mismatch.`	移行元と移行先の Management Center には、同じ数のインターフェイスが必要です。「移行の準備」を参照してください。
`No migration path exists from the Secure Firewall Management Center 4500 to Secure Firewall Management Center 2700.`	サポートされている移行パスを参照してください。
`No migration path exists from the Secure Firewall Management Center 4600 to the Secure Firewall Management Center for VMware 300.`	Cisco Secure Firewall Management Center 4600 は、AWS 用 Management Center Virtual 300（FMCv300）または Cisco Secure Firepower Management Center 4700 にのみ移行できます。「サポートされている移行パス」を参照してください。
`No migration path exists from the Secure Firewall Management Center 4600 to Secure Firewall Management Center for Azure 300.`
`Device count is more than 300.`	移行元の Management Center（Cisco Secure Firewall Management Center 4600）のデバイス数を減らします。移行先の Management Center（AWS 用 Management Center Virtual 300（FMCv300））に移行する前に、移行元の Management Center でバックアップファイルを作成します。「移行の準備」を参照してください。

Management Center 1000/2500/4500 または 1600/2600/4600 から Management Center 1700/2700/4700 へのモデル移行

Management Center 1000/2500/4500 または 1600/2600/4600 から Management Center 1700/2700/4700 へのモデル移行の場合：

移行しても想定どおりに機能せず、元に戻す場合、1000/2500/4500 および 1600/2600/4600 デバイスの一般的な操作ではバージョン 7.4 がサポートされていませんのでご注意ください。古い Management Center をサポートされているバージョンに戻すには、バージョン 7.0.x に再イメージ化し、バックアップから復元する必要があります。

Management Center のバージョン 7.0.x への再イメージ化の詳細については、ご使用の Management Center に応じて以下のスタートアップガイドを参照してください。

Management Center 1000/2500/4500 をご使用の場合は、『Cisco Firepower Management Center 1000, 2500, and 4500 Getting Started Guide』を参照してください。
Management Center 1600/2600/4600 をご使用の場合は、『Cisco Firepower Management Center 1600, 2600, and 4600 Getting Started Guide』を参照してください。

Cisco Secure Firewall Management Center モデル移行ガイド

偏向のない言語

翻訳について

Book Title

Cisco Secure Firewall Management Center モデル移行ガイド

Chapter Title