Was sind bewährte Methoden für die Migration der ASA-Konfiguration auf 8.3 und höher?
Ich habe manuell eine neue Konfigurationsdatei mit den folgenden Änderungen erstellt:
Meine nächsten Schritte wären ein Upgrade von 8.2 auf 8.3, bei dem alle Fehler notiert werden. Wäre es einfacher, die Konfiguration Zeile für Zeile zu wiederholen, anstatt sie zu bereinigen?
Geben Sie einen ausreichend kurzen Konfigurationssatz an. Eine manuelle Neukonfiguration sollte eine akzeptable Option sein. Sie können sogar Ihre vorhandene Konfiguration übernehmen und versuchen, sie erneut über das ASDM zu implementieren, um zu sehen, was die neue GUI zurückgibt.
Wenn Ihre Konfiguration aus mehreren Seiten besteht oder eine große Anzahl von Objekten enthält, ist es möglicherweise am besten, sie auf einer Testbox zu implementieren, um zu sehen, was als Fehlermeldung zurückkommt, bevor Sie sie in Betrieb nehmen.
Im Gegensatz zur Migration von PIX zu ASA hat Cisco nie ein Tool zur Überprüfung der Integrität veröffentlicht.
Ich würde definitiv empfehlen, die Konfiguration neu zu erstellen, um sie zu bereinigen. Oft werden Regeln eingefügt und veralten oder werden nie angewendet. Dies ist eine perfekte Gelegenheit, um mit einer sauberen Tafel von vorne zu beginnen.
Das letzte Upgrade, das ich durchgeführt habe, dauerte ungefähr eine Woche, um die Regeln neu zu schreiben, aber sie waren viel sauberer und beschriftet.
Wir haben das erst kürzlich durchgearbeitet und die Konfiguration von Grund auf neu erstellt. Meine Konfiguration war nur ungefähr 6 Seiten, also war es nicht schrecklich. Dies ermöglichte auch eine gewisse Konsolidierung in Objektgruppen und die Prüfung von Regeln, die auf dem ASA existierten.
Wenn Ihre Konfiguration zu groß ist, können Sie versuchen, 8.2 in GNS3 einzurichten, Ihre Konfiguration anzuwenden und dann zu aktualisieren. Nie ein ASA-Upgrade in GNS3 ausprobiert, aber 8.2, 8.3 und 8.4 funktionierten in GNS3 einwandfrei.
Wenn Sie ein Aktiv / Standby-Paar haben, besteht eine andere Möglichkeit darin, das Paar während der Wartung zu trennen und das Standby zu aktualisieren. Sobald alles validiert ist, machen Sie es zum primären Gerät und bringen Sie das andere Gerät nach dem Upgrade wieder in den Standby-Modus. Wenn der Test fehlschlägt, führen Sie ein Downgrade der Standby-Einheit durch und setzen Sie sie wieder in das alte Paar ein.