使用Firepower迁移工具从ASA配置文件配置FTD

下载选项

  • PDF     (2.6 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (2.3 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.2 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2022 年 2 月 8 日
文档 ID:217668

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍自适应安全设备(ASA)到FPR4145上的Firepower威胁防御(FTD)迁移的示例。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • ASA基础知识
    • 了解Firepower管理中心(FMC)和FTD

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • ASA 9.12(2) 版
    • FTD版本6.7.0
    • FMC版本6.7.0
    • Firepower迁移工具2.5.0版

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    以或格式导出ASA.cfg配置.txt文件。FMC必须部署在其下注册的FTD。

    配置

    1.从software.cisco.com下载Firepower迁移工具,如图所示。

    Cisco Software Download Page - FMT

    2.查看并验证Firepower迁移工具部分的要求。

    3.如果计划迁移大型配置文件,请配置休眠设置,使系统在迁移推送期间不会进入休眠状态。

    3.1.对于Windows,导航到控制面板中的电源选项。单击Change Plan Settings(更改当前电源计划旁边的计划设置),然后将Put the computer to sleep切换为Never。 点击Save Changes

    3.2.对于MAC,请导航至系统首选项>节能程序。 勾选“Prevent the Computer from Sleep Automatically when the display is off”(当显示器关闭时,防止计算机自动休眠)旁边的框,然后将Turn Display Off after滑块拖到Never

    注意:当MAC用户尝试打开下载的文件时,将弹出此警告,对话框。 请忽略此并按照步骤4.1操作。

    Warning Pop Up on MAC

    4.1.对于MAC — 使用terminal并运行以下命令:

    MAC Terminal Commands

    MAC Terminal Output

    4.2.对于Windows — 双击Firepower迁移工具,以便在Google Chrome浏览器中启动该工具。

    5.接受许可证,如图所示:

    End User License Agreement - FMT

    6.在Firepower迁移工具的登录页面上,点击使用Cisco Connection Online(CCO)链接登录,以便使用单点登录凭证登录到您的Cisco.com帐户。

    意:如果您没有Cisco.com帐户,请在Cisco.com登录页上创建。使用以下默认凭证登录:Username - admin and Password - Admin123。

    Redirection to Cisco Login Page

    7.选择源配置。在此方案中,它是Cisco ASA(8.4+)。

    Source Firewall Vendor Dropdown

    8.如果无法连接到ASA,请选择Manual Upload。否则,您可以从ASA检索运行配置并输入管理IP和登录详细信息。 在此场景中,执行手动上传。

    Extracting ASA Configuration

    :如果文件不受支持,则会出现此错误。 确保将格式更改为纯文本。(尽管分机号有误.cfg。)

    File Type Warning

    ASA Configuration File (.cfg file type)

    9.上传文件后,将解析元素,提供摘要信息,如图所示:

    Summary of the Parsed Configuration

    10.输入ASA配置要迁移到的FMC IP和登录凭证。确保可从工作站访问FMC IP。

    Connect to FMC

    FMC Login Credentials

    11.连接FMC后,将显示其下的托管FTD。

    FTDs Managed under FMC

    12.选择要执行ASA配置迁移到的FTD。

    Target FTD Selection

    意:建议选择FTD设备,否则接口、路由和站点到站点VPN配置必须手动完成。

    FTD Device Selection Recommendation

    13.选择需要迁移的功能,如图所示:

    Features Available for Migration

    14.选择Start Conversion以启动预迁移,此迁移将填充与FTD配置有关的要素。

    Pre-Migration Selection

    15.单击前面看到的下载报告,以查看迁移前报告,如图所示:

    Pre-Migration Report

    16.根据需要将ASA接口映射到FTD接口,如图所示:

    Mapping Interfaces

    17.将安全区域和接口组分配给FTD接口。

    Assigning Security Zone and Interface Groups

    17.1.如果FMC已创建安全区域和接口组,您可以根据需要选择它们:

    Selecting Existing Security Zone

    17.2.如果需要创建安全区域和接口组,请点击添加SZ & IG,如图所示:

    Creating New Security Zone and Interface Groups

    17.3.否则,您可以继续使用Auto-Create选项,该选项将分别创建名为ASA logical interface_szASA logical interface_ig的安全区域和接口组。

    Auto-Create for New Security Zone and Interface Groups

    Mapping Security Zone and Interface Groups

    18.审核并验证创建的每个FTD要素。 警报显示为红色,如图所示:

    Review and Validate the FTD Elements

    19.如果要编辑任何规则,可按图中所示选择迁移操作。在此步骤中,可以完成添加文件和IPS策略的FTD功能。

    Additional Actions

    注意:如果FMC中已存在文件策略,则会按图中所示填充这些策略。对于IPS策略以及默认策略,情况也是如此。

    File Policy Selection

    可以按照所需规则进行日志配置。在此阶段,可以选择FMC上现有的系统日志服务器配置。

    Logging Configuration

    选择的规则操作会针对每个规则相应地加亮。

    Rule Action Highlights

    20.同样,可以逐步查看网络地址转换(NAT)、网络对象、端口对象、接口、路由、VPN对象、站点到站点VPN隧道以及配置中的其他元素。

    意:由于预共享密钥未复制到ASA配置文件中,因此会按图中所示通知警报,以便更新预共享密钥。导航到操作>更新预共享密钥以输入值。

    Updating Pre-Shared Key

    Entering Pre-Shared Key

    21.最后,点击屏幕右下角的验证图标,如图所示:

    Validate Icon

    22.验证成功后,单击Push Configuration,如图所示:

    Validation Status

    Push in Progress

    Push in Progress

    23.迁移成功后,图中显示显示的消息。

    Migration Completion

    注意:如果迁移失败,请点击下载报告(Download Report)以查看迁移后报告。

    Report Download

    验证

    使用本部分可确认配置能否正常运行。

    FMC验证:

    1. 导航至Policies > Access Control > Access Control Policy > Policy Assignment,以确认已填充所选的FTD。

    ACP Assignment to FTD on FMC

    注意:迁移访问控制策略具有带有前缀的名称FTD-Mig-ACP。 如果之前未选择FTD,则必须在FMC上选择FTD。

    2.将策略推送到FTD。导航至Deploy > Deployment > FTD Name > Deploy,如图所示:

    Pushing the Deployment

    与Firepower迁移工具相关的已知漏洞

    • Cisco Bug ID CSCwa56374 - FMT工具在区域映射页面上挂起,错误是内存利用率高
    • 思科漏洞ID CSCvz88730 - FTD端口通道管理接口类型的接口推送故障
    • Cisco Bug ID CSCvx21986 — 端口通道到目标平台的迁移 — 不支持虚拟FTD
    • Cisco Bug ID CSCvy63003 — 如果FTD已经是集群的一部分,则迁移工具必须禁用接口功能
    • Cisco Bug ID CSCvx08199 — 当应用参考值超过50时,需要拆分ACL

    相关信息

    修订历史记录

    版本 发布日期 备注
    4.0
    08-Feb-2022
    更新的已知错误和参考
    3.0
    07-Feb-2022
    添加了已知错误和参考。
    2.0
    04-Feb-2022
    软件版本更新
    1.0
    02-Feb-2022
    初始版本
    TAC Authored

    由思科工程师提供

    • 普尔尼玛·克里希南
      思科TAC工程师
    • 卡罗尔·杜萨
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品