Problèmes d'Assignation de zone de migration de Cisco ASA vers PA

Problèmes d'Assignation de zone de migration de Cisco ASA vers PA

11351
Created On 09/25/18 19:54 PM - Last Modified 06/08/23 07:25 AM


Resolution


Demande client

Lors de L'utilisation de l'outil de migration PA pour la configuration ASA de Cisco, il a été noté que lors de L'utilisation de la zone Auto Assign, l'outil de migration n'est pas en mesure d'assigner la zone lorsque la liste d'accès a un TCP/UDP/IP tout

 

Résolution

  • Remplacer
    • TCP any-> hôte TCP<zone-name-any></zone-name-any>
    • UDP any-> host UDP<zone-name-any></zone-name-any>
    • IP any-> IP host <zone-name-any>Secur</zone-name-any>
  • Le nom de zone dans ce cas dépend de la liste d'accès pour EG:
    • Remplacer "Access-List fromout permis étendu TCP any host 1.2.3.4 EQ www" avec "Access-List fromout extension TCP Host à l'extérieur-tout hôte 1.2.3.4 EQ www"
    • Remplacer "Access-List de la licence étendue TCP tout hôte 1.2.3.4 EQ www" avec "Access-List de l'hôte de permis étendu TCP à l'intérieur-tout hôte 1.2.3.4 EQ www"
  • Le nom de zone que vous choisissez dépend de l'interface à laquelle le groupe d'accès est assigné.
    • Conformément à L'exemple ci-dessus, les groupes d'accès fromout et fromn sont appliqués à l'extérieur et à l'intérieur des interfaces: Access-Group fromout dans l'interface en dehors de l'accès-groupe de l'interface à l'intérieur
    • Donc, si Access-Group Consultants & VIP sont affectés à l'interface interne, vous pouvez utiliser le même nom de zone (Inside-any) substitution à l'étape 1 & 2
  • Créer des entrées de nom d'adresse dans le fichier de configuration pour chaque NomZone-tout objet utilisé dans les étapes 1/2 EG. nom 1.1.1.1 extérieur-tout nom 2.2.2.2 à l'intérieur-tout
  • Importer le fichier de configuration modifié dans l'Outil de migration
  • Une fois que l'importation initiale est effectuée (avant de faire l'assignation de zone automatique) dans la section interfaces et zones créer des entrées pour: Network masque zone 1.1.1.1 255.255.255.255 extérieur 2.2.2.2 255.255.255.255 à l'intérieur
  • Enregistrer la modification
  • Faire l'Assignation de zone automatique
  • Finalement l'extérieur-tout, à l'intérieur-tout etc peut être remplacé par tout dans le fichier de configuration PA

 

propriétaire : panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clh1CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language