Cisco ASA zu PA Migration Zone Zuweisungs Fragen

Cisco ASA zu PA Migration Zone Zuweisungs Fragen

11343
Created On 09/25/18 19:54 PM - Last Modified 06/08/23 07:25 AM


Resolution


Problem

Während der Verwendung des PA-Migrations Werkzeugs für die ASA-Konfiguration von Cisco wurde festgestellt, dass das Migrationswerkzeug bei der Verwendung von Auto-Zone nicht in der Lage ist, die Zone zuzuordnen, wenn die Zugriffsliste ein TCP/UDP/IP hat.

 

Lösung

  • Ersetzen Sie
    • TCP any-> TCP Host<zone-name-any></zone-name-any>
    • UDP any-> UDP Host<zone-name-any></zone-name-any>
    • IP any-> IP Host <zone-name-any>Secur</zone-name-any>
  • Der Zonen Name hängt in diesem Fall von der Zugriffsliste ab, z.b.:
    • Ersetzen Sie "Zugriffsliste von der erweiterten Erlaubnis TCP jedes Host 1.2.3.4 EQ www" mit "Zugriffsliste von der erweiterten Erlaubnis TCP-Host außerhalb-jeder Host 1.2.3.4 EQ www"
    • Ersetzen Sie "Zugriffsliste Fromin Extended Erlaubnis TCP any Host 1.2.3.4 EQ www" mit "Zugriffsliste Fromin Extended Erlaubnis TCP Host Inside-jeder Host 1.2.3.4 EQ www"
  • Der von Ihnen gewählte Zonen Name hängt von der Schnittstelle ab, der die Zugriffs Gruppe zugeordnet ist.
    • In Übereinstimmung mit dem obigen Beispiel werden die Zugriffs Gruppen von out und Fromin auf die Außen-und innen Schnittstellen aufgetragen: Access-Gruppe fromout im Interface-außen Zugriff-Gruppe Fromin in Interface innen
    • Wenn also Zugangsgruppen Berater und VIPs der innen Schnittstelle zugeordnet werden, können Sie den gleichen Zonen Namen (inside-any) in Schritt 1 & 2 verwenden.
  • Erstellen Sie Adressnamen-Einträge in der Konfigurationsdatei für jeden zonename-jedes Objekt, das in den Schritten 1/2 zB verwendet wird. Name 1.1.1.1 outside-jeder Name 2.2.2.2 innen-jeder
  • Importieren Sie die modifizierte Konfigurationsdatei in das MigrationsWerkzeug
  • Sobald der anfängliche Import abgeschlossen ist (bevor die Auto-Zone zuweisen) in den Abschnitt SchnittStellen und Zonen erstellen Einträge für: Netzwerk-netmask-Zone 1.1.1.1 255.255.255.255 außerhalb 2.2.2.2 255.255.255.255 im Inneren
  • Rettet den Wandel
  • Machen Sie die Zuweisung der Auto-Zone
  • Schließlich kann die Außenseite-alle, innen-alle etc. durch eine in der PA-Konfigurationsdatei ersetzt werden.

 

Besitzer: Panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clh1CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language