使用FMT将ASA迁移到Firepower威胁防御(FTD)

简介

本文档介绍将Cisco自适应安全设备(ASA)迁移到Cisco Firepower威胁设备的过程。

先决条件

要求

思科建议您了解思科防火墙威胁防御(FTD)和自适应安全设备(ASA)。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 带Firepower迁移工具(FMT)v7.0.1的Mac OS
• 自适应安全设备(ASA)v9.16(1)
• 安全防火墙管理中心(FMCv)v7.4.2
• 安全防火墙威胁防御虚拟(FTDv)v7.4.1

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

概述

本文档的具体要求包括：

• 思科自适应安全设备(ASA)8.4版或更高版本
• 安全防火墙管理中心(FMCv)版本6.2.3或更高版本

防火墙迁移工具支持以下设备列表：

• 思科ASA(8.4+)
• 带FPS的Cisco ASA(9.2.2+)
• 思科安全防火墙设备管理器(7.2+)
• 检查点(r75-r77)
• 检查点(r80)
• Fortinet(5.0+)

· Palo Alto Networks(6.1+)

背景信息

在迁移ASA配置之前，请执行以下活动：

获取ASA配置文件

要迁移ASA设备，请使用单情景的show running-config或多情景模式的show tech-support获取配置，将其另存为.cfg或.txt文件，然后使用安全防火墙迁移工具将其传输到计算机。

从ASA导出PKI证书并导入管理中心

使用此命令通过CLI将带密钥的PKI证书从源ASA配置导出到PKCS12文件：
ASA(config)#crypto ca export <trust-point-name> pkcs12 <passphrase> 
然后，将PKI证书导入管理中心（对象管理PKI对象）。 有关详细信息，请参阅Firepower管理中心配置指南中的PKI对象。

检索AnyConnect软件包和配置文件

AnyConnect配置文件是可选的，可以通过管理中心或安全防火墙迁移工具上传。

使用此命令将所需的软件包从源ASA复制到FTP或TFTP服务器：

复制<源文件位置：/源文件名> <目标>

ASA# copy disk0:/anyconnect-win-4.10.02086-webdeploy-k9.pkg tftp://1.1.1.1 <-----复制Anyconnect软件包的示例。

ASA# copy disk0:/ external-sso- 4.10.04071-webdeploy-k9.zip tftp://1.1.1.1 <-----复制外部浏览器软件包的示例。

ASA# copy disk0:/ hostscan_4.10.04071-k9.pkg tftp://1.1.1.1 <-----复制Hostscan软件包的示例。

ASA# copy disk0:/ dap.xml tftp://1.1.1.1. <-----复制Dap.xml的示例

ASA# copy disk0:/ sdesktop/data.xml tftp://1.1.1.1 <-----复制Data.xml的示例

ASA# copy disk0:/ VPN_Profile.xml tftp://1.1.1.1 <复制Anyconnect配-----文件的示例。

将下载的软件包导入管理中心(对象管理 > VPN > AnyConnect文件)。

a-Dap.xml和Data.xml必须从Review and Validate > Remote Access VPN > AnyConnect File部分的安全防火墙迁移工具上传到管理中心。

b-AnyConnect配置文件可以直接上传到管理中心，也可以通过审核和验证 > 远程访问VPN > AnyConnect文件部分中的安全防火墙迁移工具上传。

配置

配置步骤:

1.下载 思科软件中心最新的Firepower迁移工具：

软件下载

2. 单击之前下载到计算机的文件。

文件

控制台记录

3. 运行该程序后，它会打开一个显示“最终用户许可协议”的Web浏览器。
   1. 选中此复选框可接受条款和条件。
   2. 单击Proceed。

EULA

4. 使用有效的CCO帐户登录，并且FMT GUI界面显示在Web浏览器上。
   
   FMT登录
5. 选择要迁移的源防火墙。

源防火墙

6. 选择用于获取配置的提取方法。
   1. 手动上传要求您Running Config以“.cfg”或“.txt”格式上传ASA文件。
   2. 连接到ASA以直接从防火墙提取配置。

提取

7. 在防火墙上找到的配置摘要显示为控制面板，请点击下一步。

摘要

8.选择要用于迁移的目标FMC。

提供FMC的IP。它会打开一个弹出窗口，提示您输入FMC的登录凭证。

FMC IP

9. （可选）选择要使用的目标FTD。
   1. 如果选择迁移到FTD，请选择要使用的FTD。
   2. 如果不想使用FTD，可以填写此复选框 Proceed without FTD

目标FTD

10. 选择要迁移的配置，屏幕截图上会显示选项。

配置

11.开始将配置从ASA转换为FTD。

开始转换

12. 转换完成后，它将显示一个控制面板，其中包含要迁移的对象（仅限于兼容性）的摘要。
    1. 或者，您可Download Report以点击接收要迁移的配置摘要。

下载报告

迁移前报告示例，如图所示：

迁移前报告

13.将ASA接口映射到迁移工具上的FTD接口。

映射接口

14. 为FTD上的接口创建安全区域和接口组

安全区域和接口组

安全区域(SZ)和接口组(IG)由该工具自动创建，如图所示：

自动创建工具

15. 查看并验证要在迁移工具上迁移的配置。
    
    1. 如果您已完成配置的审核和优化，请单击Validate。

审核和验证

16. 如果验证状态成功，将配置推送到目标设备。

验证

通过迁移工具推送的配置示例，如图所示：

推送

成功迁移的示例，如图所示：

成功迁移

（可选） 如果选择将配置迁移到FTD，则需要部署以将可用配置从FMC推送到防火墙。

要部署配置，请执行以下操作：

1. 登录到FMC GUI。
2. 导航到选项Deploy卡。
3. 选择要将配置推送到防火墙的部署。
4. 单击。 Deploy

故障排除

安全防火墙迁移工具故障排除

• 常见迁移失败:
  • ASA配置文件中未知或无效的字符。
  • 配置元素缺失或不完整。
  • 网络连接问题或延迟。
• ASA配置文件上传或将配置推送到管理中心时出现问题。
• 常见问题包括：
• 使用支持捆绑包进行故障排除:
  • 在“Complete Migration”（完成迁移）屏幕上，单击Support按钮。
  • 选择Support Bundle并选择要下载的配置文件。
  • 默认情况下会选择日志文件和数据库文件。
  • 单击Download获取.zip文件。
  • 解压缩.zip以查看日志、数据库和配置文件。
  • 单击Email us将故障详细信息发送给技术团队。
  • 在邮件中附加支持捆绑包。
  • 单击访问TAC页面以创建思科TAC案例以获取帮助。
• 该工具允许您下载日志文件、数据库和配置文件的支持捆绑包。
• 下载步骤：
• 如需更多支持：