Миграция конфигурации до 8.3 ASA в 8.3+

12

Каковы лучшие практики миграции конфигурации ASA на 8.3 и выше?

Я вручную создал новый файл конфигурации со следующими изменениями:

  • новые сетевые объекты
  • новые заявления NAT
  • новые списки доступа, ссылающиеся на сетевые объекты

Следующими моими шагами будет обновление с 8.2 до 8.3 с учетом любых ошибок. Вместо того, чтобы очистить конфиг, было бы легче сделать его построчно?

Роуэлл
источник

Ответы:

10

Дайте достаточно короткий набор настроек, перенастройка вручную должна быть приемлемой опцией. Вы даже можете взять существующий конфиг и попытаться реализовать его снова через ASDM, чтобы увидеть, что возвращает новый графический интерфейс.

Если ваша конфигурация состоит из нескольких страниц или содержит большое количество объектов, может быть лучше реализовать ее в тестовом окне, чтобы увидеть, что возвращается в виде сообщения об ошибке, прежде чем запускать его в производство.

В отличие от миграции с PIX на ASA, Cisco никогда не выпускала инструмент проверки работоспособности.

NetworkingNerd
источник
9

Я определенно рекомендую перестроить конфигурацию, чтобы очистить ее. Часто правила вставляются и либо устаревают, либо никогда не используются. Это прекрасная возможность начать все с чистого листа.

Последнее обновление, которое я сделал, заняло около недели, чтобы переписать правила, но они были намного чище и помечены.

twidfeki
источник
7

Мы только недавно прошли через это, и я перестроил конфиг с нуля. Мой конфиг был всего около 6 страниц, так что это не было ужасно. Это также учитывало некоторую консолидацию в группы объектов и аудит правил, существующих на ASA.

Если ваша конфигурация слишком велика, вы можете попробовать настроить 8.2 в GNS3, применить вашу конфигурацию, а затем обновить. Никогда не пытался обновить ASA в GNS3, но в GNS3 работали 8.2, 8.3 и 8.4.

Другой вариант, если у вас есть пара «активный / резервный», состоит в том, чтобы разорвать пару во время обслуживания и обновить резервный. После того, как все будет проверено, сделайте его основным и верните другой блок обратно в пару в режиме ожидания после обновления. Если тестирование не пройдено, понизьте резервный блок и верните его в старую пару.

Stephen_Santos
источник