将 Check Point 迁移到防火墙威胁防御 2100 - 示例
 注 |
创建迁移完成后可在目标设备上运行的测试计划。 |
在维护窗口之前执行以下任务
开始之前
过程
| 步骤 1 |
使用 Check Point Web 可视化工具和 FMT-CP-Config-Extractor_v3.0.1-7373 工具收集您尝试迁移的 Check Point 设备配置,并保存一份 Check Point 配置文件。 |
||
| 步骤 2 |
查看 Check Point 配置 zip 文件。 |
||
| 步骤 3 |
在网络中部署 Firepower 2100 系列 设备,连接接口并打开设备电源。 有关详细信息,请参阅《适用于使用管理中心的 2100 系列的思科威胁防御快速入门指南》。 |
||
| 步骤 4 |
注册 Firepower 2100 系列 设备以接受 管理中心 的管理。 有关详细信息,请参阅将设备添加到管理中心。 |
||
| 步骤 5 |
(可选)如果源 Check Point 配置具有绑定接口,请在目标 Firepower 2100 系列 设备上创建端口通道 (EtherChannel)。 有关详细信息,请参阅配置 EtherChannel 和冗余接口。 |
||
| 步骤 6 |
从 https://software.cisco.com/download/home/286306503/type 下载并运行最新版本的 防火墙迁移工具。 有关详细信息,请参阅 从 Cisco.com 下载防火墙迁移工具。 |
||
| 步骤 7 |
启动 防火墙迁移工具 并指定目标参数时,请确保选择注册到 管理中心 的 Firepower 2100 系列 设备。 有关详细信息,请参阅 指定防火墙迁移工具的目标参数。 |
||
| 步骤 8 |
将 Check Point 接口与 威胁防御 接口映射。
例如,您可以将 Check Point 中的绑定接口映射到 威胁防御 中的物理接口。 有关详细信息,请参阅映射 Check Point 接口与威胁防御接口。 |
||
| 步骤 9 |
将逻辑接口映射到安全区时,点击自动创建 (Auto-Create) 以允许 防火墙迁移工具 创建新的安全区。要使用现有安全区,请手动将 Check Point 逻辑接口映射到安全区。 有关详细信息,请参阅将 Check Point 逻辑接口映射到安全区和接口组。 |
||
| 步骤 10 |
按照本指南的说明依次检查和验证要迁移的配置,然后将配置推送到 管理中心。 |
||
| 步骤 11 |
查看迁移后报告,手动设置其他配置并部署到 威胁防御,完成迁移。 有关详细信息,请参阅查看迁移后报告并完成迁移。 |
||
| 步骤 12 |
使用您在计划迁移时创建的测试计划测试 Firepower 2100 系列 设备。 |
在维护窗口期间执行以下任务
开始之前
过程
| 步骤 1 |
通过 Gaia Console 连接到 Check Point 安全网关。 |
| 步骤 2 |
通过 Gaia Console 关闭意向安全网关的 Check Point 接口。 |
| 步骤 3 |
(可选)访问 管理中心并配置动态路由、平台设置,以及防火墙迁移工具未迁移、需要为 Firepower 2100 系列设备手动迁移的其他功能。 |
| 步骤 4 |
清除周围交换基础设施上的地址解析协议 (ARP) 缓存。 |
| 步骤 5 |
执行从周围交换基础设施到 Firepower 2100 系列 设备接口 IP 地址的基本 ping 测试,确保它们可访问。 |
| 步骤 6 |
执行从需要第 3 层路由的设备到 Firepower 2100 系列 设备接口 IP 地址的基本 ping 测试。 |
| 步骤 7 |
如果要为 Firepower 2100 系列 设备分配新的 IP 地址,而不是重新使用分配给 Check Point 设备的 IP 地址,请执行以下步骤:
|
| 步骤 8 |
运行全面的测试计划并监控管理 Firepower 2100 设备的 管理中心。 |
反馈