¿Cuáles son las mejores prácticas para migrar ASA config a 8.3 y hacia adelante?
He creado manualmente un nuevo archivo de configuración con los siguientes cambios:
Mis próximos pasos serían actualizar de 8.2 a 8.3 teniendo en cuenta cualquier error. En lugar de limpiar la configuración, ¿sería más fácil volver a hacerlo línea por línea?
Respuestas:
Proporcione un conjunto de configuración lo suficientemente corto, la reconfiguración a mano debería ser una opción aceptable. Incluso podría tomar su configuración existente e intentar implementarla nuevamente a través del ASDM para ver qué devuelve la nueva GUI.
Si su configuración es de varias páginas o tiene una gran cantidad de objetos, podría ser mejor implementarla en un cuadro de prueba para ver qué regresa como un mensaje de error antes de ponerlo en producción.
A diferencia de la migración de PIX a ASA, Cisco nunca lanzó una herramienta de verificación de cordura.
Definitivamente recomendaría reconstruir la configuración para limpiarla. A menudo, las reglas se ponen y quedan obsoletas o nunca se usan. Esta es una oportunidad perfecta para comenzar de nuevo con una pizarra limpia.
La última actualización que hice tomó alrededor de una semana para volver a escribir las reglas, pero estaban mucho más limpias y etiquetadas.
Hace poco pasamos por esto y reconstruí la configuración desde cero. Mi configuración era de solo 6 páginas, así que no fue terrible. Esto también permitió cierta consolidación en grupos de objetos y la auditoría de las reglas que existían en el ASA.
Si su configuración es demasiado grande, puede intentar configurar 8.2 en GNS3, aplicar su configuración y luego actualizar. Nunca probé una actualización ASA en GNS3, pero he tenido 8.2, 8.3 y 8.4 funcionando correctamente en GNS3.
Otra opción, si tiene un par activo / en espera, sería romper el par durante el mantenimiento y actualizar el modo en espera. Una vez que todo se valida, conviértalo en el primario y vuelva a poner la otra unidad en el par como en espera después de actualizarlo. Si la prueba falla, rebaje la unidad de reserva y vuelva a colocarla en el par anterior.