Cisco FMC Data Import

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
lukewisniewski
wannabe
wannabe
Posty: 54
Rejestracja: 04 sty 2016, 20:36

Cisco FMC Data Import

#1

#1 Post autor: lukewisniewski »

Cześć,

Chciałbym się zapytać czy do FMC jestem w stanie przygotować import danych. Czy to przez API czy inny interfejs, przez który w stosownej składki załaduję reguły NAT oraz Rulki Access Policy?
Ewentualnie czy istnieje inny "szybszy" sposób niż przeklikiwanie rulek jedna po drugiej podczas wprowadzania konfiguracji?
Dzięki za odpowiedź.
Pozdrawiam

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Cisco FMC Data Import

#2

#2 Post autor: drake »

Hej,
a z czego migrujesz, z ASA czy FW innego producenta niz Cisco? Jesli z jakiejs starszej ASA, to jest migration tool, jednak ma pewne min. wymagania ;)
Natomiast migrujac z innego FW niestety zostaje ci wprowadzenie wszystkiego z palca, bo plik .SFO ktory jest uzywany do import/export danych na FMC nie jest zwyklym plikiem tekstowym, ktory moglbys wyedytowac i wprowadzic ACL (raczej reguly ACP), reguly NAT, Platform settings czy Health Policy.

Pozdruffka!
Never stop exploring :)

https://iverion.de

lukewisniewski
wannabe
wannabe
Posty: 54
Rejestracja: 04 sty 2016, 20:36

Re: Cisco FMC Data Import

#3

#3 Post autor: lukewisniewski »

Tak też myślałem.
Pytałem ogólnie, natomiast jak migration tool? Dobrze on funkcjonuje?
Pozdrawiam

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: Cisco FMC Data Import

#4

#4 Post autor: lbromirs »

"Jako przedstawiciel BU" mogę powiedzieć, że użytkownicy sobie chwalą. Przygotowujemy się do opublikowania wersji 2.0 i od niej pojawią się migracje z konfiguracji innych producentów.

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Cisco FMC Data Import

#5

#5 Post autor: mihu »

ASA-2-FTD migration tool nie jest zły (info z 1.5 roku temu), ale zależy jaki masz config na wejściu , chyba ze dużo się zmieniło od 6.2.3 , bo było rzeźbienia (ach te ograniczenia o ilości znaków w nazwach obiektów i nazwach ACLek.... )

jak masz dostęp do konta partnerskiego to był jeszcze tool do migracji z 3rd party (CheckPoint, NetScreen, Juniper , piszę z pamięci) do ASY - a potem FTD migration tool - przydaje się szczególnie przy NATach ale i tak trzeba było rzeźbić.

"szybszy"? mhm to zależy jaki bajzel w konfigu chcesz zostawić klientowi ;)
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Cisco FMC Data Import

#6

#6 Post autor: drake »

Sam FPR jak i toolsy dookolne bardzo szybko sie rozwijaja, zdecydowanie na korzysc. Migration tool dziala fajnie, a sam soft np. jak porownam stary 5.4 i aktualny 6.4/6.5, to juz dwa swiaty w kwestii szybkosci dzialania i wspieranych features.

Pozdruffka!
Never stop exploring :)

https://iverion.de

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Cisco FMC Data Import

#7

#7 Post autor: mihu »

bede musiał sie przyjrzeć w takim razie ponownie FTD bo 6.2.3 z punktu PS było tragiczne, dlatego wolałem ponownie zaglebic sie w CheckPoint-a i Palo. Ale słyszałem trochę o zmianach w 6.5

Btw - dalej jest limit 50 ACLek per page i jak usuniesz jedna to musisz przeskakiwać cala stronę ? I czy po podświetleniu obiektu pokaże Ci co jest w środku / IP czy trzeba 20x klikać ?

I jeszcze jedno - czy jak jeden z n L2L VPN tuneli ma dynamiczny adres to wszystkie zmieniają się dynamiczne ?
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: Cisco FMC Data Import

#8

#8 Post autor: lbromirs »

mihu pisze: 11 paź 2019, 11:53 bede musiał sie przyjrzeć w takim razie ponownie FTD bo 6.2.3 z punktu PS było tragiczne, dlatego wolałem ponownie zaglebic sie w CheckPoint-a i Palo. Ale słyszałem trochę o zmianach w 6.5

Btw - dalej jest limit 50 ACLek per page i jak usuniesz jedna to musisz przeskakiwać cala stronę ? I czy po podświetleniu obiektu pokaże Ci co jest w środku / IP czy trzeba 20x klikać ?
Nie, od 6.5 masz możliwość ustawienia sobie dowolnej ilości. Domyślnie jest 100, można rozciągnąć do 500.
mihu pisze: 11 paź 2019, 11:53I jeszcze jedno - czy jak jeden z n L2L VPN tuneli ma dynamiczny adres to wszystkie zmieniają się dynamiczne ?
Nie rozumiem o co pytasz - ACLki? Polityki?

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Cisco FMC Data Import

#9

#9 Post autor: mihu »

czyli w końcu da sie na tym pracować ? ;)

nie mam juz dostępu do konta partnerskiego - czy da sie sciagnac demo FMC i FTD ?

re2: bodajze w 6.2.x jesli jedno L2L VPN miało dynamiczny adres a pozostałe 10-100 jest ustawione statycznie to FTD zmieniał je wszystkie w remote VPN , czyli można było zainicjować polaczenie tylko z drugiej strony dla wszystkich tuneli - można było to zobaczyć z poziomu ASY (LINY)
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ