Inleiding
Dit document beschrijft een voorbeeld van een FTD-migratie (Adaptive Security Appliance (ASA) naar FirePOWER Threat Defence (FTD) op FPR4145.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Basiskennis van ASA
- Kennis van Firepower Management Center (FMC) en FTD
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- ASA versie 9.12(2)
- FTD versie 6.7.0
- FMC versie 6.7.0
- Firepower Migration Tool versie 2.5.0
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Exporteer het ASA-configuratiebestand in.cfg
- of.txt
-formaat. Het VCC moet worden ingezet met een FTD die onder het VCC is geregistreerd.
Configureren
1. Download de Firepower Migration Tool van software.cisco.com zoals in de afbeelding.
![Cisco Software Download Page - FMT](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-00.png)
2. Controleer en controleer de vereisten voor de sectie Firepower Migration Tool.
3. Als u van plan bent om een groot configuratiebestand te migreren, configureer dan de slaapinstellingen zodat het systeem niet in slaap valt tijdens een migratie.
3.1. Ga voor Windows naar Energiebeheer in het Configuratiescherm. Klik op Change Plan Settings naast uw huidige energiebeheerschema en schakel vervolgens Zet de computer in de slaapstand op Never. Klik op Wijzigingen opslaan.
3.2. Ga voor MAC naar Systeemvoorkeuren > Energiebesparing. Vink het vakje naast Verhinderen dat de computer automatisch slaapt wanneer het display is uitgeschakeld aan en sleep de schakelaar Display uitschakelen na de schuifschakelaar naar Nooit.
Opmerking: deze waarschuwing, dialoog verschijnt wanneer MAC-gebruikers proberen om het gedownloade bestand te openen. Negeer dit en volg Stap 4.1.
![Warning Pop Up on MAC](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-01.png)
4.1. Voor MAC - gebruik de terminal en voer deze opdrachten uit:
![MAC Terminal Commands](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-02.png)
![MAC Terminal Output](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-03.png)
4.2. Voor Windows: dubbelklik op de Firepower Migration Tool om deze in een Google Chrome-browser te starten.
5. Accepteer de licentie zoals in de afbeelding:
![End User License Agreement - FMT](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-04.png)
6. Klik op de inlogpagina van de Firepower Migration Tool op de link Inloggen met Cisco Connection Online (CCO) om u aan te melden bij uw Cisco.com-account met uw referenties voor eenmalige aanmelding.
Opmerking: als u geen Cisco.com-account hebt, maakt u dit aan op de inlogpagina van Cisco.com. Meld u aan met deze standaardreferenties: Gebruikersnaam—Admin en Wachtwoord—Admin123.
![Redirection to Cisco Login Page](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-05.png)
7. Kies de bronconfiguratie. In dit scenario is het Cisco ASA (8.4+).
![Source Firewall Vendor Dropdown](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-06.png)
8. Kies handmatig uploaden als u geen verbinding met de ASA hebt. Anders kunt u de actieve configuratie ophalen van de ASA en de IP- en inloggegevens voor beheer invoeren. In dit scenario is een handmatige uploadbewerking uitgevoerd.
![Extracting ASA Configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-07.png)
Opmerking: deze fout wordt weergegeven als het bestand niet wordt ondersteund. Zorg ervoor dat u de opmaak als onbewerkte tekst wijzigt. (Fout wordt gezien ondanks dat deze extensie heeft.cfg
.)
![File Type Warning](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-08.png)
![ASA Configuration File (.cfg file type)](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-09.png)
9. Nadat het bestand is geüpload, worden de elementen geparseerd en wordt een samenvatting gegeven zoals in de afbeelding:
![Summary of the Parsed Configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-10.png)
10. Voer de IP- en inloggegevens in van het VCC waaraan de ASA-configuratie moet worden gemigreerd. Zorg ervoor dat het VCC IP bereikbaar is vanaf uw werkstation.
![Connect to FMC](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-11.png)
![FMC Login Credentials](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-12.png)
11. Zodra het VCC is aangesloten, worden de daaronder beheerde FTD's weergegeven.
![FTDs Managed under FMC](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-13.png)
12. Kies de FTD waaraan u de migratie van de ASA-configuratie wilt uitvoeren.
![Target FTD Selection](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-14.png)
Opmerking: het is raadzaam het FTD-apparaat, andere interfaces, routes en site-to-site VPN-configuratie handmatig te kiezen.
![FTD Device Selection Recommendation](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-15.png)
13. Kies de functies die moeten worden gemigreerd zoals in de afbeelding:
![Features Available for Migration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-16.png)
14. Kies Start Conversie om de pre-migratie te starten die de elementen betreffende de FTD-configuratie bevolkt.
![Pre-Migration Selection](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-17.png)
15. Klik op Rapport downloaden dat u eerder hebt gezien om het Pre-Migration Report te bekijken zoals in de afbeelding:
![Pre-Migration Report](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-18.png)
16. Stel ASA-interfaces op FTD-interfaces in zoals vereist zoals in de afbeelding:
![Mapping Interfaces](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-19.png)
17. Wijs veiligheidszones en interfacegroepen toe aan de FTD-interfaces.
![Assigning Security Zone and Interface Groups](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-20.png)
17.1. Indien het VCC reeds veiligheidszones en interfacegroepen heeft ingesteld, kunt u deze naar behoefte kiezen:
![Selecting Existing Security Zone](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-21.png)
17.2. Als er beveiligingszones en een interfacegroep moeten worden gemaakt, klikt u op SZ & IG toevoegen zoals in de afbeelding:
![Creating New Security Zone and Interface Groups](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-22.png)
17.3. Anders kunt u doorgaan met de optie Auto-Create die beveiligingszones en interfacegroepen maakt met respectievelijk de naam ASA logical interface_sz en ASA logical interface_ig.
![Auto-Create for New Security Zone and Interface Groups](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-23.png)
![Mapping Security Zone and Interface Groups](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-24.png)
18. Evalueer en valideer elk van de gecreëerde FTD-elementen. Waarschuwingen worden in rood weergegeven, zoals in de afbeelding:
![Review and Validate the FTD Elements](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-25.png)
19. Als u een regel wilt bewerken, kunt u de migratieacties kiezen zoals in de afbeelding wordt getoond. FTD-functies van het toevoegen van bestanden en IPS-beleid kunnen bij deze stap worden uitgevoerd.
![Additional Actions](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-26.png)
Opmerking: Als het VCC al bestandsbeleid bevat, worden deze ingevuld zoals in de afbeelding. Het zelfde geldt voor IPS-beleid samen met het standaardbeleid.
![File Policy Selection](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-27.png)
De configuratie van het logboek kan voor de vereiste regels worden gedaan. In deze fase kan worden gekozen voor de in het VCC bestaande systeemserverconfiguratie.
![Logging Configuration](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-28.png)
De gekozen regelacties worden voor elke regel dienovereenkomstig gemarkeerd.
![Rule Action Highlights](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-29.png)
20. Op dezelfde manier kunnen netwerkadresomzetting (NAT), netwerkobjecten, poortobjecten, interfaces, routers, VPN-objecten, site-to-site VPN-tunnels en andere elementen per configuratie stap voor stap worden beoordeeld.
Opmerking: het waarschuwingsbericht wordt weergegeven zoals in het beeld om de vooraf gedeelde sleutel bij te werken omdat deze niet wordt gekopieerd naar het ASA-configuratiebestand. Navigeer naar Acties > Vooraf gedeelde sleutel bijwerken om de waarde in te voeren.
![Updating Pre-Shared Key](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-30.png)
![Entering Pre-Shared Key](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-31.png)
21. Klik tot slot op het pictogram Validate rechtsonder op het scherm zoals in de afbeelding:
![Validate Icon](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-32.png)
2. Zodra de validatie is geslaagd, klikt u op Push Configuration zoals in het afbeelding:
![Validation Status](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-33.png)
![Push in Progress](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-34.png)
![Push in Progress](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-35.png)
23. Zodra de migratie succesvol is, wordt het bericht dat wordt weergegeven in het beeld weergegeven.
![Migration Completion](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-36.png)
Opmerking: als de migratie niet succesvol is, klikt u op Rapport downloaden om het rapport over de postmigratie te bekijken.
![Report Download](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-37.png)
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Validering bij het VCC:
- Blader naar
Policies > Access Control > Access Control Policy > Policy Assignment
om te bevestigen dat het geselecteerde FTD ingevuld is.
![ACP Assignment to FTD on FMC](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-38.png)
Opmerking: het beleid voor toegangscontrole voor migratie heeft een naam met het prefixFTD-Mig-ACP
. Als er niet eerder een FTD is geselecteerd, moet het FTD in het FMC worden geselecteerd.
2. Druk het beleid naar de FTD. Navigeren naarDeploy > Deployment > FTD Name > Deploy
zoals in de afbeelding:
![Pushing the Deployment](/c/dam/en/us/support/docs/security/adaptive-security-appliance-asa-software/217668-configure-ftd-from-asa-configuration-fil-39.png)
Bekende Bugs die zijn gerelateerd aan de Firepower Migration Tool
- Cisco bug-id CSC56374 - FMT-tool hangt op zone mapping pagina met fout met hoog geheugengebruik
- Cisco bug-id CSCvz8730 - interfaceduwfout voor FTD-poortbeheerinterfacetype
- Cisco bug-id CSCvx21986 - poortkanaals migratie naar doelplatform - virtueel FTD wordt niet ondersteund
- Cisco bug-id CSC63003 - Migratietool moet de interfacefunctie uitschakelen als FTD al deel uitmaakt van het cluster
- Cisco bug-id CSCvx08199 - ACL moet worden gesplitst wanneer de toepassingsreferentie meer dan 50 is
Gerelateerde informatie