Cisco IOS Migration

Wer kennt das nicht, Upgrade von IOS 8.2(x), IOS 8.3(x) oder 8.4(x) auf höhere Versionen, Änderung im NAT, bei den ACL Regeln etc. macht das Vorhaben schnell zu einer Mamutaufgabe mit sehr vielen Fallstricken. Von der Kenntnis des genauen Upgradepfades bis hin zu den händischen Nachbesserungen vor dem nächsten Schritt, hat alles zu sitzen und dafür muss man sich zwangsläufig in den diversen Foren informieren. Selbst dann klappt es nicht auf Anhieb. Den Lernprozess bei einer Migration kann man sich als reiner Netzwerker mit entsprechenden Equip und IOS Bibliothek leisten, nicht jeder hat aber noch zusätzliche Geräte im Schrank stehen und kann mal eben ausgiebig testen. In den Cisco Foren bin ich aktuell über ein Tool gestolpert, welches genau diese Aufgabe für uns abnehmen soll!

Firewall Migration Services Platform – https://fwm.cisco.com

Vom Prinzip her ist das Tool schnell erklärt. Einloggen eine neue Conversion mit entsprechenden Angaben (von -> nach) anlegen, abfeuern und auf das Ergebnis warten. Die 1. Herausforderung die dieses Tool aktuell bekommt ist die Migration einer Standalone AsA 5510 mit der IOS Version 8.2(1) auf eine AsA 5515-X mit IOS 9.2(2).

Konfiguration hochgeladen und 15 Minuten später gab es ein ZIP File zum Download.

Direkt nach dem entpacken erst einmal in das Logverzeichnis geschaut und mit 3 Warnungen konfrontiert. In den Warnungen wird angezeigt, welche Probleme er mit welchen Statement in welcher Zeile das Tool hatte und wie er damit umgegangen ist. In diesem Fall musste er eine object-group auflösen und hatte Probleme mit NAT. Alle NAT Warnings sind der Umstellung auf real-IP Version geschuldet und die entsprechenden Regeln wurden sauber angelegt.

Ein Test der migrierten Regeln ergab, sie funktionierten anstandslos.

Wichtig – ob durch die Migration der Konfiguration Regeln nicht mehr ziehen etc. und so Sicherheitslöcher entstehen muss natürlich jeder nachtesten. Hier bloß kein blindes Vertrauen!