在CDO中使用FMT将FDM迁移到cdFMC

简介

本文档介绍如何使用CDO中的Firepower迁移工具(FMT)将Firepower设备管理器(FDM)迁移到云交付的FMC (cdFMC)。

先决条件

要求

• Firepower设备管理器(FDM) 7.2+
• 云交付的防火墙管理中心(cdFMC)
• CDO中包含Firepower迁移工具(FMT)

使用的组件

本文档正是基于上述要求而创建的。

• 版本7.4.1上的Firepower设备管理器(FDM)
• 云交付的防火墙管理中心(cdFMC)
• 云防御协调器(CDO)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

CDO管理员用户可以在设备使用版本7.2或更高版本时将其设备迁移到cdFMC。在本文档中介绍的迁移中，cdFMC已在CDO租户上启用。

配置

1.-在FDM上启用思科云服务

要开始迁移，必须使FDM设备没有挂起的部署并注册到云服务。要注册到云服务，请导航到系统设置(System Settings) >查看更多(See More) >云服务(Cloud Services)。

在云服务部分中，您发现设备未注册，因此必须使用类型安全/CDO帐户执行注册。您必须配置注册密钥，然后配置注册。

注册云服务

在云服务上，显示未注册。选择CDO帐户注册类型并提供CDO的注册密钥。

注册云服务

注册密钥可以在CDO中找到。导航至CDO，转至资产>添加符号。

系统将显示一个菜单，用于选择您拥有的设备类型。选择FTD选项。必须启用FDM选项；否则，无法执行相应的迁移。注册类型使用使用注册密钥。在此选项中，注册密钥出现在第3步中，我们必须将其复制并粘贴到FDM中。

板载FDM，添加选项

出现“Select a Device or Service Type（选择设备或服务类型）”菜单。

选择设备或服务类型

对于此文档，已选择“选择注册密钥”。

注册类型

此处显示上一步所需的注册密钥。

注册流程

获取注册密钥后，将其复制并粘贴到FDM中，然后单击注册(Register)。在云服务中注册FDM后，其将显示为启用，如图所示。

已跳过智能许可证，因为设备将在启动并运行后进行注册。

FDM注册

注册FDM时，它将显示租户、已连接和已注册的云服务。

FDM注册完成

在CDO中的“库存”(Inventory)菜单中，FDM可在入网和同步过程中找到。可以在Workflows部分中查看此同步的进度和流程。

此过程完成后，将显示为“已同步”和“联机”。

CDO资产FDM已注册

设备同步后，将显示为“联机”和“已同步”。

FDM已注册

当FDM成功注册到CDO后，我们必须注销FDM。退出FDM后，在CDO中导航到工具和服务>迁移>防火墙迁移工具。

单击Add符号，将显示一个随机名称，表示需要重命名该名称以启动迁移进程。

重命名后，单击Launch开始迁移。

初始化迁移

单击Launch开始迁移配置。

迁移启动流程

单击Launch后，将打开一个窗口，显示选择选项Cisco Secure Firewall Device Manager (7.2+)的迁移过程。如前所述，此选项从版本7.2开始启用。

FMT选择源配置

选择后，系统将显示三种不同的迁移选项：仅共享配置、包括设备和共享配置，以及从“设备和共享配置”到“FTD新硬件”。

对于此实例，将执行第二个选项“迁移Firepower设备管理器”(Migrate Firepower Device Manager)（包括设备和共享配置）。

迁移选项

选择迁移方法后，继续从提供的列表中选择设备。

FDM设备选择

配置提取已完成

建议打开顶部的选项卡，查看并了解选择设备时的步骤。

迁移过程的步骤

作为新迁移，请在系统提示时选择Cancel选项“Do you want to use an Existing Access Control Policy， NAT or RAVPN Policy on FMC？”

现有配置的取消选项

然后，系统将提供用于选择要迁移的功能（如图所示）的选项。单击Proceed。

要选择的功能

然后Start Conversion。

开始转换。

解析过程结束后，可以使用两个选项：下载文档并通过点击下一步继续迁移。

下载报告.

设备接口设置为显示。最佳做法是单击Refresh更新接口。验证完成后，您可以点击下一步继续。

显示的接口

导航到安全区域和接口组部分，需要在这里使用添加SZ和IG手动添加。 对于本示例，已选择Auto-Create。这有助于在要迁移到的FMC内自动生成接口。完成后，单击Next按钮。

安全区域和接口组

Auto-Create选项将FDM接口映射到具有相同名称的现有FTD安全区域和FMC中的接口组。

Auto-Create选项。

然后选择Next。

After-Creation选项。

在步骤5中，如顶部栏中所示，请花时间检查访问控制策略(ACP)、对象和NAT规则。继续仔细检查每个项目，然后单击Validate确认名称或配置没有问题。

访问控制、对象和NAT配置

然后仅推送共享配置

仅推送共享配置

可以观察到完成的百分比和正在处理的特定任务。

推送百分比

完成步骤5后，继续执行步骤6（如顶部栏所示），此时将将共享配置推送到FMC发生。此时，请选择Next按钮前进。

将共享配置推送到FMC已完成

此选项会触发确认消息，提示继续管理器迁移。

确认移动管理器

继续管理员迁移需要拥有管理中心ID和NAT ID，这是必不可少的。通过选择Update Details，可以检索这些ID。此操作将启动一个弹出窗口，在此窗口中输入cdFMC中FDM表示的所需名称，然后保存更改。

管理员中心ID和NAT ID

更新设备名称以进行注册。

执行此操作后，将显示上述字段的ID。

管理中心ID & NAT ID。

选择Update Details选项后，设备将开始同步。

同步FDM设备

完成迁移后，下一步是通过选择验证来检查FDM中配置的接口、路由和DHCP设置。

验证FDM配置设置

验证之后，选择Push Configuration以启动配置推送进程，该进程将持续到迁移结束为止。此外，还可以监控正在执行的任务。

验证状态-推送配置。

包含百分比推送配置的弹出窗口。

推送完成百分比

完成后，将显示启动新迁移的选项，标记从FDM到cdFMC的迁移过程的结束。

完成迁移

验证

验证FDM是否已成功迁移到cdFMC。

导航到CDO > Tools & Services > Firepower Management Center。您会发现注册设备的数量已增加。

cdFMC注册设备

在Devices > Device Management中检查设备。此外，在FMC的任务中，您可以找到设备成功注册和首次部署成功完成的时间。

cdFMC注册任务已完成。

设备位于cdFMC > Device > Device Management中。

在cdFMC上注册的设备

在Policies > Access Control下迁移的访问控制策略。

迁移策略

同样，您可以查看在FDM中创建的对象，这些对象已正确迁移到cdFMC。

从FDM迁移到cdFMC的对象

已迁移对象管理接口。

已迁移对象管理接口。