FortiStore
España
Servicio en toda España:Madrid • Barcelona • Valencia • Sevilla
Contacto:[email protected]
Guía de Migración

Migrar de Cisco ASA a FortiGate

Guía completa con checklist, mapeo de funcionalidades y mejores prácticas para una migración exitosa.

Complejidad: Media-AltaRequiere planificación

Índice de contenidos

  1. 1. ¿Por qué migrar a FortiGate?
  2. 2. Mapeo de funcionalidades ASA → FortiGate
  3. 3. Checklist de pre-migración
  4. 4. Proceso de migración paso a paso
  5. 5. Validación post-migración
  6. 6. Plan de rollback

1¿Por qué Migrar a FortiGate?

Las principales razones para migrar de Cisco ASA a FortiGate:

Rendimiento Superior

Los procesadores SPU de FortiGate ofrecen 3-5x más throughput que ASA equivalente, especialmente con UTM activo.

TCO Menor

Licenciamiento más simple y económico. SD-WAN, NGFW y muchas funciones incluidas sin coste adicional.

SD-WAN Integrado

FortiGate incluye SD-WAN líder en el mercado. ASA requiere Viptela/SD-WAN separado.

Security Fabric

Ecosistema integrado de switches, APs, endpoints que comparten inteligencia de amenazas.

2Mapeo de Funcionalidades

Cisco ASAFortiGate EquivalenteNotas
ACL (Access Control Lists)Firewall PoliciesPolíticas con objetos, más visual
NAT (static, dynamic, PAT)Virtual IPs + IP PoolsVIPs para DNAT, IP Pools para SNAT
Object GroupsAddress Objects/GroupsConcepto similar
Service ObjectsService ObjectsConcepto idéntico
VPN Site-to-Site (IKEv1/v2)IPsec VPNMismos algoritmos soportados
AnyConnect VPNSSL-VPN + FortiClientFortiClient gratuito
Failover (Active/Standby)HA (Active-Passive)También soporta Active-Active
Firepower (IPS, AMP)UTM (IPS, AV, Sandboxing)Integrado, no módulo separado
Security ContextsVDOMsConcepto similar de multi-tenancy
ASDM (GUI)FortiGate GUI / FortiManagerGUI más moderna e intuitiva

3Checklist de Pre-Migración

Exportar configuración actual del ASA

show running-config > backup completo

Documentar topología de red

Interfaces, VLANs, IPs, rutas, VPNs

Inventariar todas las ACLs activas

show access-list | Identificar reglas críticas

Documentar NATs (static, dynamic, PAT)

show nat | Mapear a VIPs de FortiGate

Listar todas las VPNs site-to-site

Peers, encryption, redes protegidas

Documentar configuración AnyConnect

Profiles, group policies, AAA

Verificar integraciones (AD, RADIUS, etc.)

Servidores, secretos, configuración

Dimensionar FortiGate adecuado

Usuarios, throughput, funciones requeridas

Planificar ventana de mantenimiento

Comunicar a usuarios, definir rollback

Pre-configurar FortiGate en paralelo

Configurar todo antes del cutover

4Proceso de Migración

Fase 1: Preparación (1-2 semanas antes)

  1. Usar FortiConverter para importar configuración ASA
  2. Revisar y ajustar objetos/grupos importados
  3. Recrear políticas de firewall (verificar orden)
  4. Configurar NAT (VIPs, IP Pools)
  5. Configurar VPNs (sin activar)
  6. Configurar integración AAA (LDAP, RADIUS)
  7. Probar en laboratorio si es posible

Fase 2: Cutover (ventana de mantenimiento)

  1. Comunicar inicio de mantenimiento
  2. Guardar estado final del ASA
  3. Desconectar cables del ASA
  4. Conectar FortiGate (mismas IPs si es posible)
  5. Verificar conectividad básica
  6. Activar VPNs y coordinar con peers
  7. Probar accesos críticos

Fase 3: Estabilización (1-2 semanas después)

  1. Monitorizar logs intensivamente
  2. Ajustar políticas según tráfico real
  3. Resolver incidencias reportadas
  4. Documentar configuración final
  5. Desmantelar ASA cuando todo esté estable

5Validación Post-Migración

Checklist de validación después del cutover:

  • ✓ Navegación a Internet desde todas las VLANs
  • ✓ Acceso a servidores internos publicados (DNAT)
  • ✓ VPNs site-to-site establecidas
  • ✓ Usuarios remotos pueden conectar por VPN SSL
  • ✓ Autenticación LDAP/RADIUS funciona
  • ✓ Logs registran tráfico correctamente
  • ✓ HA funciona (si aplica): probar failover
  • ✓ Aplicaciones críticas funcionan (ERP, email, etc.)

6Plan de Rollback

Importante: Siempre ten un plan de rollback. Mantén el ASA conectado y listo para reconectar durante la primera semana.

Procedimiento de rollback:

  1. Desconectar cables del FortiGate
  2. Reconectar ASA con configuración original
  3. Verificar que ASA recupera estado
  4. Comunicar a peers VPN si es necesario
  5. Documentar razón del rollback
  6. Planificar nuevo intento con correcciones

Preguntas Frecuentes

¿Existe una herramienta automática para migrar de ASA a FortiGate?
Sí, Fortinet ofrece FortiConverter, una herramienta que puede importar configuraciones de Cisco ASA y convertirlas a FortiOS. No es perfecta y requiere revisión manual, pero acelera significativamente el proceso de migración de políticas y objetos.
¿Puedo mantener las mismas IPs al migrar?
Sí, puedes configurar FortiGate con las mismas IPs que tenía el ASA. Esto minimiza los cambios en el resto de la red. Solo asegúrate de que el FortiGate esté apagado hasta el momento del cutover para evitar conflictos de IP.
¿Cuánto tiempo toma una migración típica?
Depende de la complejidad. Una migración simple (50-100 reglas, sin VPNs complejas) puede hacerse en un día. Migraciones enterprise con cientos de reglas, múltiples VPNs y alta disponibilidad pueden requerir varias semanas de planificación más una ventana de mantenimiento.
¿Qué pasa con las VPNs site-to-site existentes?
Las VPNs site-to-site requieren coordinación con el otro extremo. FortiGate soporta los mismos algoritmos de cifrado que ASA, pero necesitarás ajustar la configuración en ambos lados o esperar a que el peer reconfigure. Planifica esto con antelación.

¿Planificando migrar de Cisco ASA?

Nuestros ingenieros tienen experiencia en migraciones Cisco → FortiGate. Te ayudamos con todo el proceso.

Solicitar Servicio de Migración