在CDO中使用FMT將FDM移轉至cdFMC

簡介

本文檔介紹如何使用CDO中的Firepower遷移工具(FMT)將Firepower裝置管理器(FDM)遷移到雲交付的FMC (cdFMC)。

必要條件

需求

• Firepower裝置管理器(FDM) 7.2+
• 雲端提供的防火牆管理中心(cdFMC)
• CDO中包含Firepower遷移工具(FMT)

採用元件

本檔案是根據前述要求所建立。

• Firepower裝置管理器(FDM) 7.4.1版
• 雲端提供的防火牆管理中心(cdFMC)
• Cloud Defense Orchestrator (CDO)

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

CDO管理員使用者可以在裝置使用版本7.2或更新版本時，將裝置移轉至cdFMC。在本文檔中描述的遷移中，cdFMC已在CDO租戶上啟用。

設定

1.-在FDM上啟用思科雲服務

要開始遷移，FDM裝置必須沒有任何掛起部署並註冊到雲服務。要註冊到雲服務，請導航到系統設定>檢視更多>雲服務。

在雲服務部分中，您發現裝置未註冊，因此必須使用型別安全/CDO帳戶執行註冊。必須配置註冊金鑰，然後配置註冊。

註冊雲服務

在雲服務上，顯示未註冊。選擇CDO帳戶註冊型別，並提供CDO的註冊金鑰。

註冊雲服務

您可以在CDO中找到註冊金鑰。導航到CDO，轉至資產>增加符號。

出現一個選單，用於選擇您擁有的裝置型別。選取FTD選項。您必須啟用FDM選項；否則，將無法執行對應的移轉。註冊型別使用使用註冊金鑰。在此選項中，註冊金鑰會顯示在步驟編號3，我們必須將其複製並貼到FDM中。

內建FDM，新增選項

出現一個選單，用於選擇裝置或服務型別。

選擇裝置或服務型別

對於此文檔，已選擇「選擇註冊金鑰」。

註冊型別

此處，它顯示上一步所需的註冊金鑰。

註冊程式

取得註冊金鑰後，將其複製並貼到FDM中，然後按一下「註冊」。在Cloud Services中註冊FDM後，其將顯示為Enabled，如下圖所示。

已跳過智慧許可證，因為裝置將在啟動並運行後進行註冊。

FDM註冊

註冊FDM時，它會顯示「租戶」、「已連線的雲服務」和「已註冊」。

FDM註冊完成

在CDO的「存貨」功能表中，FDM可在登入和同步化過程中找到。可以在工作流部分中檢視此同步的進度和流。

此程式完成後，會顯示為「已同步」和「線上」。

已登入CDO清查FDM

裝置同步後，將顯示為「聯機」和「已同步」。

FDM已登入

當FDM成功登入CDO後，我們必須登出FDM。註銷FDM後，在CDO中導航至工具和服務>遷移>防火牆遷移工具。

按一下Add符號，系統會顯示一個隨機名稱，指示需要重新命名該名稱以啟動遷移過程。

重新命名後，按一下Launch開始遷移。

初始化移轉

按一下Launch開始遷移配置。

移轉啟動程式

點選啟動後，將打開一個窗口，供選擇思科安全防火牆裝置管理器(7.2+)選項的遷移進程使用。如前所述，此選項從版本7.2開始啟用。

FMT選取來源組態

選取此選項後，會顯示三種不同的移轉選項：僅限共用組態、包含裝置與共用組態，以及包含裝置與FTD新硬體的共用組態。

對於此例項，將執行第二個選項「遷移Firepower裝置管理器」（包括裝置和共用配置）。

移轉選項

選擇遷移方法後，繼續從提供的清單中選擇裝置。

FDM裝置選擇

配置提取已完成

建議打開位於頂部的頁籤，檢視並瞭解選擇裝置時的步驟。

移轉程式的步驟

作為新遷移，當系統提示Do you want to use an Existing Access Control Policy， NAT or RAVPN Policy on FMC？ 選項時，請選擇Cancel

現有組態的取消選項

之後，會提供選項來選取要移轉的功能，如圖所示。按一下Proceed。

要選取的特徵

然後開始轉換。

開始轉換。

解析過程完成後，可以使用兩個選項：下載文檔並透過按一下下一步繼續遷移。

下載報告。

裝置介面已設定為顯示。作為一種最佳實踐，建議按一下Refresh更新介面。驗證之後，您可以點選下一步繼續。

顯示的介面

導航到安全區域和介面組部分，需要使用「增加SZ和IG」手動增加。 對於此示例，已選擇Auto-Create。這有助於自動生成要遷移到的FMC中的介面。完成後，按一下Next按鈕。

安全區域和介面組

「自動建立」選項會將FDM介面對映至現有FTD安全性區域和FMC中具有相同名稱的介面群組。

自動建立選項。

然後選擇Next。

自動建立後選項。

如頂欄所示，在步驟5中，請花時間檢查訪問控制策略(ACP)、對象和NAT規則。繼續仔細檢視每個專案，然後按一下Validate確認名稱或配置沒有問題。

訪問控制、對象和NAT配置

然後僅推送共用配置

僅推送共用配置

可以觀察到完成百分比和正在處理的特定任務。

推進百分比

完成步驟5後，繼續執行步驟6（如頂欄所示），在此步驟中會執行將共用配置推送到FMC。這時，請選擇Next按鈕以繼續。

將共用配置推送到FMC已完成

此選項會觸發確認訊息，提示繼續移轉管理員。

確認移動管理員

要繼續管理員遷移，必須擁有管理中心ID和NAT ID，這一點非常重要。透過選擇Update Details可以檢索這些ID。此動作會啟動一個快顯視窗，在此視窗中輸入cdFMC中FDM表示的所需名稱，然後儲存變更。

管理員中心ID和NAT ID

更新裝置名稱以進行註冊。

執行此操作後，將顯示上述欄位的ID。

管理中心ID和NAT ID。

選擇Update Details 選項後，裝置將開始同步。

同步FDM裝置

完成遷移後，下一步是透過選擇驗證來檢查FDM中配置的介面、路由和DHCP設定。

驗證FDM組態設定

驗證後，選擇Push Configuration以啟動配置推送過程，該過程將一直持續到遷移結束。此外，還可以監視正在執行的任務。

驗證狀態-推送配置。

具有百分比推入配置的彈出窗口。

推送完成百分比

完成時，會顯示啟動新移轉的選項，標示從FDM到cdFMC的移轉程式結束。

完成移轉

驗證

確認FDM已成功移轉至cdFMC。

導航到CDO > Tools & Services > Firepower Management Center。您會發現註冊裝置的數量增加了。

cdFMC註冊裝置

在Devices > Device Management中檢查裝置。此外，在FMC的任務中，您可以找到裝置成功註冊和首次部署成功完成的時間。

cdFMC註冊任務已完成。

裝置位於cdFMC > Device > Device Management中。

在cdFMC上註冊的裝置

訪問控制策略在策略>訪問控制下遷移。

遷移策略

同樣地，您可以檢視在FDM中建立的物件，這些物件已正確移轉至cdFMC。

從FDM移轉至cdFMC的物件

已遷移對象管理介面。

已遷移對象管理介面。