シスコ ASA の PA への移行ゾーンの割り当ての問題
11355
Created On 09/25/18 19:54 PM - Last Modified 06/08/23 07:25 AM
Resolution
問題
シスコの ASA の設定のための PA の移行ツールを使用している間、それは、アクセスリストには、tcp/udp/ip any を持っているときに、移行ツールは、ゾーンを割り当てることができない自動ゾーンの割り当てを使用するときに注意された
解決方法
- Replace
- tcp any-> tcp ホスト<zone-name-any></zone-name-any>
- udp any-> udp ホスト<zone-name-any></zone-name-any>
- ip アドレス-> ip ホスト<zone-name-any>secur</zone-name-any>
- この場合のゾーン名は、eg のアクセスリストによって異なります。
- "アクセスリスト fromout 拡張許可 tcp 任意のホスト 1.2.3.4 eq www" と "アクセスリスト fromout 拡張許可 tcp ホスト外-任意のホスト 1.2.3.4 eq www" を置き換える
- "アクセスリスト fromin 拡張許可 tcp 任意のホスト 1.2.3.4 eq の www" と "アクセスリスト fromin 拡張許可 tcp ホスト内部-任意のホスト 1.2.3.4 eq www" を置き換える
- 選択するゾーン名は、アクセスグループが割り当てられているインターフェイスによって異なります。
- 上記の例に沿って、アクセスグループ fromout と fromin は、外部と内部のインターフェイスに適用されます: インターフェイス内のアクセスグループ fromin 外部インターフェイス内のアクセスグループ fromout
- したがって、アクセスグループのコンサルタント & vip が内部インターフェイスに割り当てられている場合は、ステップ 1 & 2 で同じゾーン名 (内側の任意の) 置換を使用できます。
- 各 zonename の config ファイルにアドレス名のエントリを作成する-ステップ1/2 などで使用されるすべてのオブジェクト。名前1.1.1.1 外-任意の名前2.2.2.2 内部-任意の
- 変更した構成ファイルを移行ツールにインポートする
- 最初のインポートが完了したら (自動ゾーンの割り当てを行う前に) セクションのインターフェイスとゾーンのエントリを作成します: ネットワークネットマスクゾーン 1.1.1.1 255.255.255.255 外部 2.2.2.2 255.255.255.255 内部
- 変更を保存する
- 自動ゾーン割り当てを行う
- 最終的に外部-任意の、内部-任意の etc は、PA の設定ファイルのいずれかで置き換えることができます
所有者: panagent