Переходим на межсетевые экраны класса Cisco ASA 5500-X

В ее линейку входят модели 5512-Х, 5515-Х, 5525-Х, 5545-Х, 5555-Х. Несмотря на близость моделей, прямое копирование конфигурационных файлов невозможно, требуется провести определенную подготовку.

При приобретении новых моделей соблюдайте следующее соответствие устройств для минимизации работ при переходе:

Подготовка

При планировании миграции сначала необходимо проверить системные требования к оборудованию и программному обеспечению. Это не только уменьшит время проведения работ, но и сделает невозможным ситуацию, когда все параметры устройства придется настраивать «с нуля».

Обязательно следует проверить следующие моменты:

• лицензии для приобретенного устройства, так как они генерируются к каждому конкретному устройству отдельно. Если их нет – запросите на сайте производителя в соответствующем разделе.
• Версию используемого ПО ASA. В оборудовании класса 5500-Х используется ПО версии 8.6 и выше. При ее отсутствии, следует установить последнюю версию, взять ее можно на cisco.com

Затем выполните следующие действия:

• Скачайте и установите Cisco Security Manager последней версии;
• Обновите версию используемого ПО ASA минимум до v. 8.4.2. Если на вашем оборудовании установлено ПО более низкой версии, проводите обновление поэтапно, 7.4 – 8.0, затем 8.0 – 8.2 и только затем обновляйтесь к v. 8.4.2. При отсутствии навыков обновления микропрограммы оборудования следует загрузить официальный веб-инструмент миграции NAT, он предоставляется бесплатно по запросу в службе поддержки. Он автоматически проверит ваше устройство и перешлет обнаруженную активную конфигурацию в Cisco. Через несколько часов вам поступит измененный файл конфигурации, который необходимо «залить» в устройство.

Однако перед использованием этого средства нужно:

• Создать резервную копию конфигурации устройства и сохранить ее в надежном месте. Иногда бывает, что обновление закончится неудачей и необходимо будет откатиться на предыдущую версию. Ее можно сделать командой CLI copy либо с использованием ASDM-менеджера.
• При активности в вашем устройстве системы Cisco IPS, снимите копию и с ее конфигурации, так как она не сохраняется при создании общей резервной копии. Делается она также через CLI либо IDM/IME.
• В дополнение выполните экспорт существующих сертификатов и ключей шифрования.

Отличия серии устройств ASA 5500-X

При внимательном изучении документации можно заметить следующие отличия между сериями устройств:

• отсутствует SSM;
• управление службами ASA и IPS происходит через один и тот же порт;
• увеличено число входящих и исходящих портов со скоростью 1 Гбит и выше.

Поэтому при миграции необходимо несколько изменить конфигурационный файл для корректной работы.

Корректируем конфигурацию при переходе на 5500-Х

Из всех моделей конфигурацию требуется корректировать исключительно на ASA 5510, так как у него нет портов Gigabit. При изменении необходимо оповестить систему об их наличии в ASA 5515-Х. Для этого подкорректируем имена интерфейсов по указанному примеру ниже:

Конфигурация ASA 5510

Подкорректированный файл конфигурации ASA 5515-X

Пропишите в разделе IP-адреса ваш используемый адрес.

Указание корректного порта управления

Важной особенностью моделей ASA 5500-X является совмещение порта управления служб IPS и межсетевого экрана. Однако для передачи данных или в качестве части конфигурации high-accesibility его использовать нельзя и это стоит учитывать.

При использовании его в старом устройстве для других целей, то нужно его перенести. Выбирайте любой доступный с индексом старше G0/3. Пример изменений можно увидеть на картинке ниже.

Конфигурация ASA 5520

Конфигурация ASA 5515-X

Опять же, измените секцию IP-адреса на вашу.

Перенос конфигурации IPS

Если вы все правильно подкорректировали в предыдущих пунктах, то переносить конфигурацию IPS можно без изменений. Однако существует особенность активации службы IPS. Сначала потребует подложить лицензию на устройство ASA, а затем указать в соответствующем разделе лицензию на службу IPS.

Фактически, процедура миграции на устройства серии ASA 5500-X достаточно несложная и может быть проведена за пару часов. Часть этих работ проводится автоматизировано, но придется немного поработать и руками.