Quali sono le migliori pratiche per la migrazione della configurazione ASA alla versione 8.3 e successive?
Ho creato manualmente un nuovo file di configurazione con le seguenti modifiche:
I miei prossimi passi sarebbero l'aggiornamento da 8.2 a 8.3 tenendo conto di eventuali errori. Invece di ripulire la configurazione sarebbe più facile rifarlo riga per riga?
Risposte:
Dai un set di configurazione abbastanza corto, la riconfigurazione a mano dovrebbe essere un'opzione accettabile. Potresti persino prendere la tua configurazione esistente e provare a implementarla di nuovo tramite ASDM per vedere cosa restituisce la nuova GUI.
Se la tua configurazione è composta da più pagine o contiene un numero elevato di oggetti, potrebbe essere meglio implementarla in una casella di prova per vedere cosa viene restituito come messaggio di errore prima di metterlo in produzione.
A differenza della migrazione da PIX a ASA, Cisco non ha mai rilasciato uno strumento di controllo di integrità.
Consiglio vivamente di ricostruire la configurazione per ripulirla. Spesso le regole vengono inserite e diventano obsolete o non vengono mai utilizzate. Questa è l'occasione perfetta per ricominciare da capo con una lavagna pulita.
L'ultimo aggiornamento che ho fatto è stato di circa una settimana per riscrivere le regole, ma erano molto più pulite ed etichettate.
Di recente ci siamo passati e ho ricostruito la configurazione da zero. La mia configurazione era solo di circa 6 pagine, quindi non è stato terribile. Ciò ha anche consentito un certo consolidamento nei gruppi di oggetti e il controllo delle regole esistenti sull'ASA.
Se la tua configurazione è troppo grande, puoi provare a impostare 8.2 in GNS3, applicare la configurazione e aggiornare. Non ho mai provato un aggiornamento ASA in GNS3, ma hanno funzionato correttamente in GNS3 8.2, 8.3 e 8.4.
Un'altra opzione, se si dispone di una coppia attiva / standby, sarebbe quella di interrompere la coppia durante la manutenzione e aggiornare lo standby. Una volta convalidato tutto, quindi impostalo come primario e riporta l'altra unità nella coppia come standby dopo averlo aggiornato. Se il test ha esito negativo, eseguire il downgrade dell'unità di standby e riportarla nella vecchia coppia.