ASA pre-8.3 post-8.3 migration tool
ASA pre-8.3 post-8.3 migration tool
hej,
czy wiecie czy istnieje jakis tool do migracji kodu ASA z pre-8.3 (8.2.x) do post-8.3, najlepiej do minimum 8.6.1 lub 9.0.1? Tak zeby mozna bylo przeniesc nie tylko zmiany 8.3 ale od razu przejsc ze starej platformy non-X do X. W tej chwili korzystam z tymczasowego 5510/20, ale nie zawsze jest to mozliwe, a recznie rzezbienie przy bardziej skomplikowanych konfigach to droga przez meke.
czy wiecie czy istnieje jakis tool do migracji kodu ASA z pre-8.3 (8.2.x) do post-8.3, najlepiej do minimum 8.6.1 lub 9.0.1? Tak zeby mozna bylo przeniesc nie tylko zmiany 8.3 ale od razu przejsc ze starej platformy non-X do X. W tej chwili korzystam z tymczasowego 5510/20, ale nie zawsze jest to mozliwe, a recznie rzezbienie przy bardziej skomplikowanych konfigach to droga przez meke.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
ASA automatycznie robi ci migracje jak dasz aktualizacje oprogramowania. Inna sprawa to, że przy większych konfiguracjach i tak lepiej to zrobić ręcznie.
http://www.cisco.com/c/en/us/td/docs/se ... ml#wp77266
Sprawa głównie rozbija się o NAT i fakt, że od 8.3+ polityka jest oparta o rzeczywisty adres IP a nie publiczny. To powoduje często problemy i wymaga łączenia ACL z manual NAT jak np. kilka publicznych IP jest natowanych do jednego prywatnego IP
Wszystkie ASA55XX obsługują soft 9.0 i 9.1 więc niezbyt wiem w czym jest problem. Możesz stary firewall zaktualizować do 9.0/9.1, na nim zrobić migracje i dopiero jak wszystko będzie działo przenieść na nowy sprzęt. Jak masz wolny firewall to na nim można całość "na sucho" zrobić.
Od strony konfiguracji modele -X nie różnią się niczym poza paroma dodatkami jak choćby clustering w niższych modelach no i nazwami portów.
Pozdr.
http://www.cisco.com/c/en/us/td/docs/se ... ml#wp77266
Sprawa głównie rozbija się o NAT i fakt, że od 8.3+ polityka jest oparta o rzeczywisty adres IP a nie publiczny. To powoduje często problemy i wymaga łączenia ACL z manual NAT jak np. kilka publicznych IP jest natowanych do jednego prywatnego IP
Wszystkie ASA55XX obsługują soft 9.0 i 9.1 więc niezbyt wiem w czym jest problem. Możesz stary firewall zaktualizować do 9.0/9.1, na nim zrobić migracje i dopiero jak wszystko będzie działo przenieść na nowy sprzęt. Jak masz wolny firewall to na nim można całość "na sucho" zrobić.
Od strony konfiguracji modele -X nie różnią się niczym poza paroma dodatkami jak choćby clustering w niższych modelach no i nazwami portów.
Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
problemem jest zarówno zmiana kodu jak i sprzętu na raz. czeka mnie kilka projektów (10+ w najbliższym czasie) gdzie będę zarówno zmieniał ASA55x0 na ASA55x5X (a czasem i PIXy), i będzie to podmiana w sieciach produkcyjnych.
ASA-X nie obsluguje kodu poniżej 8.6.1, 5585X ponizej 9.0.1. A nie wrzucę kodu 8.2.x z ASY do ASY-X, która ma >=8.6 (raczej 9.2.2.4+). W przeszłości korzystałem z tymczasowej ASA5510 lub 5520, ale czasem jest niezbyt wygodnie targac ja ze sobą, więc zastanawiałem się czy Cisco zrobiło jakiś tool który działa bez ASY.
Co do zmian w NAT/ACL - raz robiłem ręcznie i dziękuję, przy prostych konfigach spoko, ale nie przy rozbudowanych ACLkach i NATach. Wystarczy mi, że muszę potem sprawdzać konfig po migracji 8.2.5 -> 8.3.1, na budowanie całości konfigów nie ma czasu projektowego. A tool wbudowany w kod migracyjny na ASA pomimo problemów na początku jakie miałem zaczyna się sprawować ok, tylko trzymam się procedur, które działają bo za dużo rzeczy się w przeszłości wykrzaczało.
ASA-X nie obsluguje kodu poniżej 8.6.1, 5585X ponizej 9.0.1. A nie wrzucę kodu 8.2.x z ASY do ASY-X, która ma >=8.6 (raczej 9.2.2.4+). W przeszłości korzystałem z tymczasowej ASA5510 lub 5520, ale czasem jest niezbyt wygodnie targac ja ze sobą, więc zastanawiałem się czy Cisco zrobiło jakiś tool który działa bez ASY.
Co do zmian w NAT/ACL - raz robiłem ręcznie i dziękuję, przy prostych konfigach spoko, ale nie przy rozbudowanych ACLkach i NATach. Wystarczy mi, że muszę potem sprawdzać konfig po migracji 8.2.5 -> 8.3.1, na budowanie całości konfigów nie ma czasu projektowego. A tool wbudowany w kod migracyjny na ASA pomimo problemów na początku jakie miałem zaczyna się sprawować ok, tylko trzymam się procedur, które działają bo za dużo rzeczy się w przeszłości wykrzaczało.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
No tak ale przy większych konfiguracjach i tak nie masz żadnej pewności, że konwerter zrobi ci to dobrze. Ja robiłem kilka takich projektów ale z aktualizacją jednocześnie robiliśmy przegląd regułek co oczywiście zajmowało mase czasu ale dawało możliwość dokładnej analizy i wywalenia przynajmniej części starego syfu. Do analizy dobry jest NSEL.
To samo było z migracją z Checkpoint do ASA. Tool niby jest ale generalnie beznadziejnie działał i tylko mi się przydał do stworzenia objects i object-groups. NAT musiałem samemu zrobić.
Z PIX do ASA to masz toola dostępnego publicznie w downloads.
Co do samego narzędzia do ASA 8.3+ to był takowy ale nie był dostępny publicznie. Pogadaj z partnerem cisco albo bezpośrednio z TAC jak masz smartnet. Może jak się uśmiechniesz do Łukasza Bromirskiego to coś więcej ci powie bo ja w Cisco nie pracuje.
Web-Based NAT Migration Tool for ASA 5500 Series Appliances
Co do 9.2 to nie wiem czy warto. W produkcji głównie 9.0 stosuje ale generalnie soft jeszcze nie jest dopracowany. Mase problemów miałem i to nawet w ostatnich miesiącach gdzie oba firewall wylatywały jeden po drugim i musieliśmy czekać na poprawki. Ostatnio to skakaliśmy między kolejnymi wersjami Interim i nikt nawet nie marzył o 9.2. Co jeden błąd kolejna wersja poprawiła to następny wypływał.
Niedawno wszystkie zaktualizowaliśmy do 9.0.4.29 i póki co wszystko działa. Jeszcze crash nie było Miałem sytuacje, gdzie OSPF na jednym interface wyłączył się na godzinę ale nie mogliśmy dojść z TAC co było tego przyczyną (akurat jak siadło to byłem na urlopie a ruch poleciał przez inne firewalle).
Najciekawsze jest to, że jeszcze sporo non -X modeli mam z softem 9.0 i nie ma problemów. Może przypadek a może po prostu kwestia SMP na modelach -X powodowała sporo problemów.
Teraz mam dostać nowe klocki to chyba spróbuje 9.1.6 bo z tego co widze to nasze błędy są w nim poprawione. 9.2.3 masz z grudnia 2014, 9.1.6 z marca 2015.
Pozdr.
To samo było z migracją z Checkpoint do ASA. Tool niby jest ale generalnie beznadziejnie działał i tylko mi się przydał do stworzenia objects i object-groups. NAT musiałem samemu zrobić.
Z PIX do ASA to masz toola dostępnego publicznie w downloads.
Co do samego narzędzia do ASA 8.3+ to był takowy ale nie był dostępny publicznie. Pogadaj z partnerem cisco albo bezpośrednio z TAC jak masz smartnet. Może jak się uśmiechniesz do Łukasza Bromirskiego to coś więcej ci powie bo ja w Cisco nie pracuje.
Web-Based NAT Migration Tool for ASA 5500 Series Appliances
Co do 9.2 to nie wiem czy warto. W produkcji głównie 9.0 stosuje ale generalnie soft jeszcze nie jest dopracowany. Mase problemów miałem i to nawet w ostatnich miesiącach gdzie oba firewall wylatywały jeden po drugim i musieliśmy czekać na poprawki. Ostatnio to skakaliśmy między kolejnymi wersjami Interim i nikt nawet nie marzył o 9.2. Co jeden błąd kolejna wersja poprawiła to następny wypływał.
Niedawno wszystkie zaktualizowaliśmy do 9.0.4.29 i póki co wszystko działa. Jeszcze crash nie było Miałem sytuacje, gdzie OSPF na jednym interface wyłączył się na godzinę ale nie mogliśmy dojść z TAC co było tego przyczyną (akurat jak siadło to byłem na urlopie a ruch poleciał przez inne firewalle).
Najciekawsze jest to, że jeszcze sporo non -X modeli mam z softem 9.0 i nie ma problemów. Może przypadek a może po prostu kwestia SMP na modelach -X powodowała sporo problemów.
Teraz mam dostać nowe klocki to chyba spróbuje 9.1.6 bo z tego co widze to nasze błędy są w nim poprawione. 9.2.3 masz z grudnia 2014, 9.1.6 z marca 2015.
Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
5585X obsługuje nawet 8.4, ja migrowałem automatem który robi konwersje podczas upgrade'u uzywajac dodatkowego pudełka. W moim przypadku bardzo rozbudowana konfiguracja z 5520 na 5585-x poszła bez problemu robiłem skok z 8.0 na dodatkowym pudełku do 8.4 później przegranie konfiguracji na 5585 zrobiłem testy wyczyściłem konfig ze smieci migracyjnych i podmieniłem hardware.
Minus toola to z około ~500 wpisów NAT automat stworzył 5000 na nowym sofcie:) ALe miałem bardzo dużo NATów w obu kierunkach które zostały przekonwertowane na twice NAT.
W chwili migracji robiłem upgrade na 8.4(4) i przy późniejszym upgradzie do 8.4(7) miałem niemiłą niespodzianke z CSCud77458 i UN-NATem wiec radze uważać.
Minus toola to z około ~500 wpisów NAT automat stworzył 5000 na nowym sofcie:) ALe miałem bardzo dużo NATów w obu kierunkach które zostały przekonwertowane na twice NAT.
W chwili migracji robiłem upgrade na 8.4(4) i przy późniejszym upgradzie do 8.4(7) miałem niemiłą niespodzianke z CSCud77458 i UN-NATem wiec radze uważać.
To nic tylko życzyć powodzenia Ja zostaje na IPS, z którym też były przejścia swego czasu.
Poza obciążeniem procesora ciągle na 100% (według Cisco to normalne) działa ok aczkolwiek po odfiltrowaniu botnetów, Chin, Iranu etc. na brzegowych routerach większość alertów generuje firma robiąca skan naszych podsieci co tydzień za co płacimy
Pozdr.
Poza obciążeniem procesora ciągle na 100% (według Cisco to normalne) działa ok aczkolwiek po odfiltrowaniu botnetów, Chin, Iranu etc. na brzegowych routerach większość alertów generuje firma robiąca skan naszych podsieci co tydzień za co płacimy
Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
jak to mowia nasz klient nasz pan. wymiana firewalli i upgrade wychodzi w tym wypadku "przy okazji" projektu SFR. Co do toola bede musial dowiedziec sie od Cisco czy takowy istenieje dla partnerow, ale opcja webowa odpada. Ostatecznie ASA5520 nie jest taka ciezka i zawsze mozna wrzucic na tyl auta / do plecaka...lukaszbw pisze:To nic tylko życzyć powodzenia Ja zostaje na IPS, z którym też były przejścia swego czasu.
Poza obciążeniem procesora ciągle na 100% (według Cisco to normalne) działa ok aczkolwiek po odfiltrowaniu botnetów, Chin, Iranu etc. na brzegowych routerach większość alertów generuje firma robiąca skan naszych podsieci co tydzień za co płacimy
Pozdr.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"