シスコ ASA の PA への移行ゾーンの割り当ての問題

問題

シスコの ASA の設定のための PA の移行ツールを使用している間、それは、アクセスリストには、tcp/udp/ip any を持っているときに、移行ツールは、ゾーンを割り当てることができない自動ゾーンの割り当てを使用するときに注意された

解決方法

• Replace
  • tcp any-> tcp ホスト<zone-name-any></zone-name-any>
  • udp any-> udp ホスト<zone-name-any></zone-name-any>
  • ip アドレス-> ip ホスト<zone-name-any>secur</zone-name-any>
• この場合のゾーン名は、eg のアクセスリストによって異なります。
  • "アクセスリスト fromout 拡張許可 tcp 任意のホスト 1.2.3.4 eq www" と "アクセスリスト fromout 拡張許可 tcp ホスト外-任意のホスト 1.2.3.4 eq www" を置き換える
  • "アクセスリスト fromin 拡張許可 tcp 任意のホスト 1.2.3.4 eq の www" と "アクセスリスト fromin 拡張許可 tcp ホスト内部-任意のホスト 1.2.3.4 eq www" を置き換える
• 選択するゾーン名は、アクセスグループが割り当てられているインターフェイスによって異なります。
  • 上記の例に沿って、アクセスグループ fromout と fromin は、外部と内部のインターフェイスに適用されます: インターフェイス内のアクセスグループ fromin 外部インターフェイス内のアクセスグループ fromout
  • したがって、アクセスグループのコンサルタント & vip が内部インターフェイスに割り当てられている場合は、ステップ 1 & 2 で同じゾーン名 (内側の任意の) 置換を使用できます。
• 各 zonename の config ファイルにアドレス名のエントリを作成する-ステップ1/2 などで使用されるすべてのオブジェクト。名前1.1.1.1 外-任意の名前2.2.2.2 内部-任意の
• 変更した構成ファイルを移行ツールにインポートする
• 最初のインポートが完了したら (自動ゾーンの割り当てを行う前に) セクションのインターフェイスとゾーンのエントリを作成します: ネットワークネットマスクゾーン 1.1.1.1 255.255.255.255 外部 2.2.2.2 255.255.255.255 内部
• 変更を保存する
• 自動ゾーン割り当てを行う
• 最終的に外部-任意の、内部-任意の etc は、PA の設定ファイルのいずれかで置き換えることができます

所有者: panagent