CDO 내에서 FMT를 사용하여 FDM을 cdFMC로 마이그레이션

소개

이 문서에서는 CDO의 FMT(Firepower 마이그레이션 도구)를 사용하여 FDM(Firepower 장치 관리자)을 cdFMC(클라우드 제공 FMC)로 마이그레이션하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

• Firepower 장치 관리자(FDM) 7.2+
• 클라우드 제공 방화벽 관리 센터(cdFMC)
• CDO에 포함된 FMT(firepower 마이그레이션 도구)

사용되는 구성 요소

이 문서는 앞서 언급한 요구 사항을 바탕으로 작성되었습니다.

• 버전 7.4.1의 FDM(firepower 장치 관리자)
• 클라우드 제공 방화벽 관리 센터(cdFMC)
• CDO(Cloud Defence Orchestrator)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

CDO 관리자 사용자는 디바이스가 버전 7.2 이상인 경우 디바이스를 cdFMC로 마이그레이션할 수 있습니다. 이 문서에 설명된 마이그레이션에서 cdFMC는 CDO 테넌트에서 이미 활성화되어 있습니다.

구성

1.- FDM에서 Cisco Cloud Services 활성화

마이그레이션을 시작하려면 보류 중인 배포가 없는 FDM 장치를 가지고 Cloud Services에 등록해야 합니다. Cloud Services(클라우드 서비스)에 등록하려면 System Settings(시스템 설정) > See More(자세히) > Cloud Services(클라우드 서비스)로 이동합니다.

Cloud Services(클라우드 서비스) 섹션에서 디바이스가 등록되지 않았으므로 Security/CDO Account(보안/CDO 어카운트) 유형으로 등록을 수행해야 합니다. 등록 키를 구성한 다음 등록을 수행해야 합니다.

클라우드 서비스 등록

Over Cloud Services(클라우드 서비스 이상)에는 등록되지 않은 것으로 표시됩니다. CDO 계정 등록 유형을 선택하고 CDO의 등록 키를 제공합니다.

클라우드 서비스에 등록

등록 키는 CDO 내부에서 찾을 수 있습니다. CDO로 이동하고 Inventory(인벤토리) > Add symbol(기호 추가)로 이동합니다.

사용 중인 디바이스 유형을 선택하는 메뉴가 나타납니다. FTD 옵션을 선택합니다. FDM 옵션을 활성화해야 합니다. 그렇지 않으면 해당 마이그레이션을 수행할 수 없습니다. 등록 유형에서는 Use Registration Key를 사용합니다. 이 옵션에서는 3단계에 등록 키가 나타나며, 이를 복사하여 FDM에 붙여넣어야 합니다.

Onboard FDM, 추가 옵션

Select a Device or Service Type(디바이스 또는 서비스 유형 선택) 메뉴가 나타납니다.

장치 또는 서비스 유형 선택

이 문서에서는 Select Registration Key(등록 키 선택)를 선택했습니다.

등록 유형

여기에는 이전 단계에서 필요한 등록 키가 표시됩니다.

등록 프로세스

등록 키를 가져온 후 FDM에 복사하여 붙여넣은 후 등록을 누릅니다. FDM을 Cloud Services 내에 등록하면 이미지에 표시된 것처럼 Enabled로 표시됩니다.

디바이스가 가동되어 실행되면 디바이스가 등록되므로 Smart 라이센스를 건너뛰었습니다.

FDM 등록

FDM을 등록하면 Tenancy, Cloud services connected 및 Registered가 표시됩니다.

FDM 등록 완료

CDO의 Inventory(인벤토리) 메뉴에서 FDM을 온보딩 및 동기화 과정에서 찾을 수 있습니다. 이 동기화의 진행률과 흐름은 Workflows(워크플로) 섹션에서 검토할 수 있습니다.

이 프로세스가 완료되면 동기화 및 온라인으로 표시됩니다.

FDM 온보딩된 CDO 인벤토리

디바이스가 동기화되면 Online(온라인) 및 Synced(동기화됨)로 표시됩니다.

FDM 온보딩된

FDM이 CDO에 성공적으로 온보딩되면 FDM에서 로그아웃해야 합니다. FDM에서 로그아웃한 후 CDO 내에서 Tools & Services(툴 및 서비스) > Migration(마이그레이션) > Firewall Migration Tool(방화벽 마이그레이션 도구)로 이동합니다.

Add(추가) 기호를 클릭하면 임의의 이름이 나타나며, 이는 마이그레이션 프로세스를 시작하기 위해 이름을 변경해야 함을 나타냅니다.

이름을 바꾼 후 Launch(실행)를 클릭하여 마이그레이션을 시작합니다.

마이그레이션 초기화

Launch(실행)를 클릭하여 마이그레이션 컨피그레이션을 시작합니다.

마이그레이션 시작 프로세스

Launch(실행)를 클릭하면 마이그레이션 프로세스를 위한 창이 열립니다. 여기서 Cisco Secure Firewall Device Manager(7.2+) 옵션이 선택됩니다. 앞에서 설명한 대로 이 옵션은 버전 7.2부터 활성화됩니다.

FMT 소스 선택 컨피그레이션

선택하면 세 가지 마이그레이션 옵션이 표시됩니다. 공유 구성 전용, 장치 및 공유 구성 포함, 장치 및 공유 구성을 FTD 새 하드웨어에 포함.

이 경우 두 번째 옵션인 Migrate Firepower Device Manager(Migrate Device Manager)(Includes Device & Shared Configuration(디바이스 및 공유 컨피그레이션 포함)가 수행됩니다.

마이그레이션 옵션

마이그레이션 방법을 선택한 후 제공된 목록에서 디바이스를 선택합니다.

FDM 장치 선택

구성 추출 완료

맨 위에 있는 탭을 열어 디바이스를 선택한 시점의 단계를 검토하고 이해하는 것이 좋습니다.

마이그레이션 프로세스 단계

새 마이그레이션인 경우 "FMC에서 기존 액세스 제어 정책, NAT 또는 RAVPN 정책을 사용하시겠습니까?" 옵션이 표시되면 Cancel(취소)을 선택합니다.

기존 구성에 대한 취소 옵션

그런 다음 이미지에 표시된 대로 마이그레이션할 피쳐를 선택하는 옵션이 있습니다. Proceed(진행)를 클릭합니다.

선택할 기능

그런 다음 변환을 시작합니다.

변환을 시작합니다.

구문 분석 프로세스가 완료되면 문서를 다운로드하고 다음을 클릭하여 마이그레이션을 계속하는 두 가지 옵션을 사용할 수 있습니다.

보고서 다운로드.

디바이스 인터페이스가 표시되도록 설정됩니다. 모범 사례로서, Refresh를 클릭하여 인터페이스를 업데이트하는 것이 좋습니다. 검증이 완료되면 Next(다음)를 클릭하여 계속할 수 있습니다.

표시되는 인터페이스

Security Zones and Interface Groups(보안 영역 및 인터페이스 그룹) 섹션으로 이동합니다. 여기서 Add SZ & IG(SZ 및 IG 추가)를 사용하여 수동으로 추가해야 합니다. 이 예에서는 자동 생성이 선택되었습니다. 이렇게 하면 마이그레이션할 FMC 내에서 인터페이스를 자동으로 생성할 수 있습니다. 작업을 마치면 Next(다음) 버튼을 클릭합니다.

보안 영역 및 인터페이스 그룹

[자동 생성] 옵션은 FDM 인터페이스를 동일한 이름을 가진 FMC의 기존 FTD 보안 영역 및 인터페이스 그룹에 매핑합니다.

자동 생성 옵션.

그런 다음 다음을 선택합니다.

자동 생성 후 옵션

5단계에서는 위쪽 막대에 표시된 것처럼 시간을 두고 ACP(Access Control Policies), Objects 및 NAT 규칙을 검토합니다. 각 항목을 신중하게 검토한 다음 Validate(검증)를 클릭하여 이름 또는 구성에 문제가 없음을 확인합니다.

액세스 제어, 객체 및 NAT 컨피그레이션

그런 다음 공유 컨피그레이션만 푸시

공유 컨피그레이션만 푸시

완료율과 작업 중인 특정 작업을 관찰할 수 있습니다.

푸시 비율

5단계를 완료한 후 상단 표시줄에 표시된 대로 6단계로 진행합니다. 여기서 FMC로 공유 구성 밀어넣기가 수행됩니다. 이때 다음 단추를 선택하여 진행합니다.

FMC에 공유 구성 밀어넣기 완료

이 옵션은 확인 메시지를 트리거하여 관리자 마이그레이션을 계속할지 묻습니다.

관리자 이동 확인

관리자 마이그레이션을 진행하려면 Management Center ID 및 NAT ID가 있어야 하며, 이는 필수적입니다. 이러한 ID는 Update Details(업데이트 세부사항)를 선택하여 검색할 수 있습니다. 이 작업을 수행하면 cdFMC 내의 FDM 표현에 대해 원하는 이름을 입력한 다음 변경 사항을 저장하는 팝업 창이 시작됩니다.

관리자 센터 ID 및 NAT ID

등록을 위해 디바이스 이름을 업데이트합니다.

이 작업 후에는 앞서 설명한 필드의 ID가 표시됩니다.

관리 센터 ID 및 NAT ID

Update Details 옵션을 선택한 후 동기화를 시작할 디바이스입니다.

FDM 장치 동기화

마이그레이션이 완료되면 다음 단계는 Validate(검증)를 선택하여 FDM에 구성된 인터페이스, 경로 및 DHCP 설정을 검토하는 것입니다.

FDM 구성 설정 검증

검증 후 구성 밀어넣기를 선택하여 구성 밀어넣기 프로세스를 시작합니다. 이 작업은 마이그레이션이 완료될 때까지 계속됩니다. 추가로, 실행 중인 태스크들을 모니터링할 수 있다.

유효성 검사 상태 - 구성 밀어넣기

푸시 컨피그레이션의 백분율이 표시된 팝업 창

푸시 완료율

완료되면 FDM에서 cdFMC로의 마이그레이션 프로세스의 종료를 표시하는 새 마이그레이션 시작 옵션이 표시됩니다.

마이그레이션 완료

다음을 확인합니다.

FDM이 cdFMC로 성공적으로 마이그레이션되었는지 확인합니다.

firepower CDO > Tools & Services > Monitoring Management Center로 이동합니다. 여기에서 등록된 디바이스 수가 증가했음을 확인할 수 있습니다.

cdFMC 등록된 디바이스

Devices(디바이스) > Device Management(디바이스 관리) 내에서 디바이스를 확인합니다. 또한 FMC의 작업 내에서 디바이스가 성공적으로 등록되고 첫 번째 구축이 성공적으로 완료된 시점을 찾을 수 있습니다.

cdFMC 등록 작업이 완료되었습니다.

디바이스가 cdFMC > Device > Device Management에 있습니다.

cdFMC에 등록된 디바이스

액세스 제어 정책은 Policies(정책) > Access Control(액세스 제어)에서 마이그레이션됩니다.

마이그레이션 정책

마찬가지로 FDM에서 생성된 객체를 검토하여 cdFMC로 올바르게 마이그레이션한 객체를 검토할 수 있습니다.

FDM에서 cdFMC로 마이그레이션된 객체

마이그레이션된 개체 관리 인터페이스입니다.

개체 관리 인터페이스가 마이그레이션되었습니다.