Đây là cách tôi đã làm điều tương tự.
Đầu tiên tôi đã thay đổi tất cả các tên giao diện của mình thành "_REPLACE" ở cuối.
Điều này đảm bảo rằng tôi chỉ chọn những nơi thực sự có giao diện.
Một số mục sẽ mặc định được đặt tên với tên giao diện mặc định tại thời điểm chúng được tạo, nhưng sẽ không thay đổi nếu bạn đổi tên giao diện sau này. Hơn nữa, bạn có thể có các đối tượng bạn đặt tên với tên giao diện tại một số điểm, điều này cũng có thể bị nhầm lẫn.
EG: Arbitrary_Netgiao diện đã trở thànhArbitrary_Net_REPLACE
Sau đó, tôi đã tạo một Kênh cổng qua một vài giao diện và tạo Giao diện Vlan Bên dưới những giao diện này, đặt Vlan ID làm số giao diện con và gắn vào tên Giao diện di chuyển ở đó.
Arbitrary_NetGiao diện EG: " " được bật VLAN 173, vì vậy PortChannel1.123đã được chỉ định VLAN ID 123và được đặt tên " Arbitrary_Net_123"
Tuy nhiên, thực hiện lại tôi sẽ sửa đổi quy trình này thành đơn giản chỉ có " _NEW" ở cuối thay vì " Arbitrary_Net_NEW" vì điều này có thể cho phép tôi thực hiện các thay đổi nhanh hơn nhiều.
Tôi đảm bảo rằng các Giao diện đã thiết lập địa chỉ MAC cho HA, v.v. và các kênh cổng đang hoạt động và một số Vlan tạm thời tùy ý tôi tạo ra ASA và công tắc cho thấy ASA có thể ping công tắc và Switch có thể ping ASA để đảm bảo đã kết nối rồi.
Tôi cũng đã thay đổi HTTP và SSH để sử dụng LOCAL thay vì AAA cho đến khi các thay đổi hoàn thành. Tôi sẽ thay đổi chúng trở lại và tôi đã thêm và kiểm tra quyền truy cập quản lý từ một máy chủ trên một mạng riêng từ mạng quản lý thông thường của mình để tôi có thể di chuyển mạng đó trước sau đó hoàn thành các thay đổi từ nó sau khi xác nhận rằng tôi vẫn có quyền truy cập quản lý.
Sau đó, tôi chỉ cần TFTP xuống cấu hình copy run tftp://[hostIP]/[Path]/FW_Cluster A_Primary_Active_Original.asavà mở nó trong Notepad ++ để chỉnh sửa.
Để thận trọng, tôi chỉ tìm kiếm tất cả các câu lệnh "_Replace" và đặt chúng vào một tệp riêng biệt (hãy gọi đây là "Tệp chính"
Tôi đã xem xét những điều này và nếu bất kỳ người nào không tuôn ra phía bên trái, tôi đã kiểm tra khu vực đó để đảm bảo rằng tôi đã lấy các lệnh bên ngoài cần thiết từ tệp TFTPed.
Lưu ý: Tôi có thể thực hiện điều đó với các thiết lập AAA nhưng tôi cho rằng việc để ASDM đảm bảo việc viết lại các lệnh chính xác trên các lệnh đó vì AAA phải được gỡ bỏ hoàn toàn và thực hiện lại một nửa tá thiết lập. Vì vậy, tôi chỉ loại bỏ các mặt hàng AAA cho đến sau này.
Tương tự như vậy, tôi đã loại bỏ các lệnh như nameifvà MTUđiều đó không thay đổi.
Điều này chủ yếu để lại một loạt các quy tắc NAT, ACE để liên kết giao diện, Cyrptomaps và một số tuyến đường, v.v. trong Tệp chính
Các Routes, tôi đã chuyển sang một tệp riêng (gọi nó là Penultimate File), ở đây tôi đã nhân đôi chúng, đưa no routevào giao diện cũ và sau đó routeđến giao diện mới và nhóm chúng theo giao diện.
WebVPN và HTTP Redirect tôi cũng đã sao chép vào tệp áp chót và tôi đã thêm tiền tố vào tất cả những thứ này với nochúng.
Tôi đã thêm một vài tỷ lệ cược và Kết thúc vào Tệp áp chót cần được xóa và sau đó thêm lại, chẳng hạn như:
no management Arbitrary_NET_REPLACE
management Arbitrary_NET_NEW
Khi tôi quay lại Tệp MAIN và hài lòng, không có thứ gì trong số đó còn lại trong đó
Vì vậy, tôi mới thực hiện tìm kiếm _REPLACEvà Thay thế bằng _New(hoặc nếu bạn đang theo dõi tôi thực sự đã thực hiện một loạt trong số này vì tôi đang sử dụng ID Vlan trên các giao diện)
Tôi cũng đã rút tất cả các Quy tắc NAT ra khỏi Excel và chạy sh run nat | in _REPLACEtrên ASA
Tôi đặt đầu ra của lệnh đó trong một tập hợp các ô và các phiên bản mới của các lệnh trong bộ khác và xem xét để đảm bảo chúng được khớp với nhau.
Sau đó, tôi đã sử dụng Excel để phân tách các số quy tắc NAT từ bộ ô đầu tiên và thêm nó vào số thứ hai ngay trước từ khóa "Nguồn"
IE Tôi đặt kết quả của chương trình vào cột B, các NAT từ Tệp chính vào Cột C và sau đó ** trong Cột EI đã thực hiện thay thế bằng excel =SUBSTITUTE(C1, source ,LEFT(B1," "&FIND(" ",B1)&"source ")) Điều này đã lấy số quy tắc và dán chúng ngay trước nguồn là điều cần thiết để đặt chúng theo đúng thứ tự.
(** TBH trước khi thực hiện thay thế trong cột E, tôi đã sử dụng Cột D để chạy so sánh với Cột B và C, xem xét các quy tắc NAT từ nguồn từ trở đi nhưng tôi không cảm thấy như viết vào phương trình đó vào lúc này gãi đầu, và kết quả cả 8 lần như mong đợi để kiểm tra trực quan của tôi đủ chính xác)
Sau đó, trong Cột A, tôi đã thêm Công thức này để lấy số quy tắc =LEFT(B1,FIND(" ",B1)-1)
Sau đó, tôi đã chọn Cột từ A đến E, nhấn Bộ lọc và Sắp xếp chúng để đảo ngược thứ tự của các quy tắc NAT để chúng được áp dụng từ số cao nhất đến số thấp nhất.
Sau đó tôi đã sao chép chúng trở lại vào Tệp CHÍNH thay thế các NAT đã có trước đó.
Cuối cùng, tôi đã quay lại Tệp TFTPed và sao chép các Lệnh Giao diện cho Giao diện cũ thành Tệp cuối cùng
Những cái này tôi đã thay đổi IP trên chúng thành một mạng hoàn toàn nằm ngoài phạm vi bình thường, giả sử các mạng gốc là tất cả 10.1.x.y, tôi đã thay đổi tất cả những điều này để 10.2.x.y
tôi thay đổi tất cả các Monitor câu lệnh thành no monitorvà thêm shutvào cuối
Sau đó, tôi đã sao chép tất cả các lệnh Giao diện mới vào và đặt int anh ta sửa địa chỉ IP và mặt nạ mạng con và tôi đã thêm monitortừ khóa cho mỗi lệnh.
Sau đó, tôi đã ghép từng giao diện cũ với giao diện mới để tôi có thể thực hiện các bộ này tại một thời điểm chỉ trong trường hợp tôi bỏ lỡ một số vấn đề.
Cuối cùng, tôi đã sao chép các lệnh ban đầu một lần nữa cho các giao diện gốc này và chỉ giữ lại interface gi0/0lệnh và nameiflệnh và nối thêm vào nomỗi lệnh nameifđể chúng được no nameifđặt và đặt nó trong một tệp riêng cho sau này, chỉ trong trường hợp.
Cuối cùng tôi đã sẵn sàng.
Tôi đã áp dụng những thay đổi từ tập tin Mian.
Bây giờ tôi đã có tất cả ACLss của mình được liên kết với cả giao diện mới và cũ và tất cả các quy tắc NAT cũng được sao chép cho chúng (điều này không thành vấn đề vì nó chỉ quan trọng khi lưu lượng truy cập vượt qua giao diện đã cho.)
Tôi có thể xem lại quy tắc NAT sin CLI hoặc ASDM và xem các quy tắc mới và cũ cạnh nhau một cách chính xác, điều này cũng rất hữu ích trong việc xác nhận không có vấn đề.
Sau đó, tôi đã áp dụng các thay đổi từ tệp Penultimate và tệp cuối cùng ONLy cho giao diện mà tôi đã thiết lập sin truy cập thay thế cho ASDM và SSH, sau đó tôi đã xác nhận tất cả đều ổn và đăng nhập vào SSH và ASDM để thực hiện các thay đổi còn lại.
Bây giờ tôi đã áp dụng tất cả các thay đổi còn lại từ tệp Áp chót, và sau đó Tất cả các Thay đổi từ Tệp FInal.
Điều này để lại cho tôi các giao diện gốc vẫn còn đó, các ACL và NAT vẫn áp dụng cho chúng, và tất cả các giao diện đó có thể được bật lại và bắt đầu hoạt động chỉ với một vài thay đổi nhỏ.
Một khi tôi đã hài lòng một vài giờ sau đó rằng những thay đổi là tốt
Tôi đã di chuyển tất cả các cài đặt AAA lạm dụng ASDM (cảm ơn ASDM!) Và sau đó tôi đã chạy các no nameiflệnh tôi đã lưu trong một tệp riêng biệt sau đó và tất cả các mục còn lại để thực hiện với các giao diện đó đã bị xóa khỏi cụm tường lửa .
Làm điều này bạn hoàn toàn có thể thực hiện tường lửa trung bình trong một hoặc hai ngày làm việc một khi bạn cảm thấy thoải mái với quy trình, nhưng tôi thấy rằng tôi thận trọng hơn nhiều và chỉ có cụm tường lửa với thực tế không có NAT và VPN nào có vẻ "nhanh" .
Một phần, bởi vì bạn sẽ muốn tripel kiểm tra mọi thứ và thậm chí đã hoàn thành nên bạn có thể quên một số điều nhỏ.
Tuy nhiên, tôi có thể nói rằng việc rời khỏi giao diện thay đổi cho đến bước cuối cùng cho phép tôi xử lý tốt các vấn đề nhỏ trước bước đó để khi lưu lượng truy cập thực sự di chuyển qua đó thường chỉ bị mất một hoặc hai lần nếu điều đó, thường chỉ là một chút độ trễ .