Problemas de asignación de zona de migración de Cisco ASA a PA

Problemas de asignación de zona de migración de Cisco ASA a PA

11339
Created On 09/25/18 19:54 PM - Last Modified 06/08/23 07:25 AM


Resolution


Incidencia

Durante el uso de la herramienta de migración de PA para la configuración de ASA de Cisco, se observó que cuando se utiliza la asignación de zona automática, la herramienta de migración no puede asignar la zona cuando la lista de acceso tiene un TCP/UDP/IP cualquiera

 

Resolución

  • Reemplazar
    • TCP any-> TCP host<zone-name-any></zone-name-any>
    • UDP any-> UDP host<zone-name-any></zone-name-any>
    • IP cualquier-> IP host <zone-name-any>SECUR</zone-name-any>
  • El nombre de zona en este caso depende de la lista de acceso por ejemplo:
    • Reemplace "Access-List fromout Extended permit TCP cualquier host 1.2.3.4 EQ www" con "Access-List fromout Extended permit TCP host fuera-cualquier host 1.2.3.4 EQ www"
    • Reemplazar "lista de acceso desde el permiso extendido TCP cualquier host 1.2.3.4 EQ www" con "Access-List de permiso extendido TCP host dentro-cualquier host 1.2.3.4 EQ www"
  • El nombre de zona que elija dependerá de la interfaz a la que se asigne el grupo de acceso.
    • De acuerdo con el ejemplo anterior, los grupos de acceso fromout y fromen se aplican a las interfaces exterior e interior: Grupo de acceso fromout en interfaz exterior de acceso-grupo de en interfaz dentro
    • Así que si los consultores de grupos de acceso y VIPs están asignados a la interfaz interna puede usar la misma sustitución de nombre de zona (dentro de cualquier) en el paso 1 & 2
  • Crear entradas de nombre de dirección en el archivo de configuración para cada zonename-cualquier objeto utilizado en los pasos 1/2 EG. nombre 1.1.1.1 fuera-cualquier nombre 2.2.2.2 dentro-cualquier
  • Importar el archivo de configuración modificado en la herramienta de migración
  • Una vez finalizada la importación inicial (antes de realizar la asignación de zona automática) en la sección interfaces y zonas crear entradas para: red máscara zona 1.1.1.1 255.255.255.255 fuera de 2.2.2.2 255.255.255.255 dentro
  • Guardar el cambio
  • Hacer la asignación de zona automática
  • Eventualmente el exterior-cualquier, dentro-cualquier etc puede ser sustituido por cualquier en el archivo de configuración de PA

 

Propietario: panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clh1CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language