Quelles sont les meilleures pratiques pour la migration de la configuration ASA vers 8.3 et vers l'avant?
J'ai créé manuellement un nouveau fichier de configuration avec les modifications suivantes:
Mes prochaines étapes seraient de passer de 8.2 à 8.3 en gardant note de toute erreur. Au lieu de nettoyer la configuration, serait-il plus facile de la refaire ligne par ligne?
Donnez un ensemble de configuration assez court, la reconfiguration à la main devrait être une option acceptable. Vous pouvez même prendre votre configuration existante et essayer de l'implémenter à nouveau via l'ASDM pour voir ce que la nouvelle interface graphique renvoie.
Si votre configuration comprend plusieurs pages ou contient un grand nombre d'objets, il peut être préférable de l'implémenter sur une boîte de test pour voir ce qui revient comme un message d'erreur avant de le mettre en production.
Contrairement à la migration PIX vers ASA, Cisco n'a jamais publié d'outil de vérification d'intégrité.
Je recommanderais certainement de reconstruire la configuration pour la nettoyer. Souvent, les règles sont mises en place et deviennent obsolètes ou ne sont jamais utilisées. C'est l'occasion idéale de tout recommencer avec une table rase.
La dernière mise à niveau que j'ai effectuée a pris environ une semaine pour réécrire les règles, mais elles étaient beaucoup plus propres et étiquetées.
Nous venons tout juste de passer par là et j'ai reconstruit la configuration à partir de zéro. Ma configuration n'était que d'environ 6 pages, donc ce n'était pas terrible. Cela a également permis une certaine consolidation en groupes d'objets et un audit des règles qui existaient sur l'ASA.
Si votre configuration est trop volumineuse, vous pouvez essayer de configurer 8.2 dans GNS3, d'appliquer votre configuration puis de la mettre à jour. Jamais essayé une mise à niveau ASA dans GNS3, mais les versions 8.2, 8.3 et 8.4 fonctionnaient correctement dans GNS3.
Une autre option, si vous avez une paire active / veille, serait de rompre la paire pendant la maintenance et de mettre à niveau la veille. Une fois que tout est validé, faites-en le principal et ramenez l'autre unité dans la paire en veille après l'avoir mise à niveau. Si le test échoue, rétrogradez l'unité de secours et remettez-la dans l'ancienne paire.