Migrando a configuração ASA pre-8.3 para 8.3+

12

Quais são as melhores práticas que migram a configuração do ASA para 8.3 e para a frente?

Criei manualmente um novo arquivo de configuração com as seguintes alterações:

  • novos objetos de rede
  • novas declarações NAT
  • novas listas de acesso que referenciam objetos de rede

Meus próximos passos seriam atualizar da 8.2 para a 8.3, observando os erros. Em vez de limpar a configuração, seria mais fácil refazê-la linha por linha?

Rowell
fonte

Respostas:

10

Dê um conjunto de configurações suficientemente curto, reconfigurar manualmente deve ser uma opção aceitável. Você pode até pegar sua configuração existente e tentar implementá-la novamente através do ASDM para ver o que a nova GUI retorna.

Se sua configuração tiver várias páginas ou possuir um grande número de objetos, talvez seja melhor implementá-la em uma caixa de teste para ver o que volta como uma mensagem de erro antes de colocá-la em produção.

Ao contrário da migração de PIX para ASA, a Cisco nunca lançou uma ferramenta de verificação de sanidade.

NetworkingNerd
fonte
9

Definitivamente, recomendo reconstruir a configuração para limpá-la. Muitas vezes, as regras são aplicadas e ficam obsoletas ou nunca são usadas. Esta é uma oportunidade perfeita para recomeçar com uma lousa limpa.

A última atualização que fiz levou cerca de uma semana para reescrever as regras, mas elas eram muito mais limpas e rotuladas.

twidfeki
fonte
7

Recentemente, passamos por isso e reconstruí a configuração do zero. Minha configuração tinha apenas 6 páginas, então não foi terrível. Isso também permitiu alguma consolidação em grupos de objetos e auditoria de regras que existiam no ASA.

Se sua configuração for muito grande, você poderá tentar configurar o 8.2 no GNS3, aplicando sua configuração e atualizando. Nunca tentei uma atualização ASA no GNS3, mas 8.2, 8.3 e 8.4 funcionaram corretamente no GNS3.

Outra opção, se você tiver um par Ativo / Em espera, seria interromper o par durante a manutenção e atualizar o Standby. Depois que tudo for validado, torne-o primário e traga a outra unidade de volta ao par como espera após atualizá-lo. Se o teste falhar, faça o downgrade da unidade em espera e volte a colocá-la no par antigo.

Stephen_Santos
fonte