思科向 PA 迁移区分配问题
11341
Created On 09/25/18 19:54 PM - Last Modified 06/08/23 07:25 AM
Resolution
问题
在使用 PA 迁移工具进行 Cisco 的 ASA 配置时, 注意到当使用自动区域分配时, 当访问列表具有 tcp/ip/udp/ip 时, 迁移工具无法分配区域。
解决办法
- 替换
- tcp 任意->> tcp 主机<zone-name-any></zone-name-any>
- udp udp 主机<zone-name-any></zone-name-any>
- ip 任意->> ip 主机<zone-name-any>安全</zone-name-any>
- 本例中的区域名称取决于以下内容的访问列表:
- 替换 "访问列表 fromout 扩展允许 tcp 任何主机 1.2.3.4 eq www" 与 "访问列表 fromout 扩展允许 tcp 主机外部-任何主机 1.2.3.4 eq www"
- 替换 "访问列表 fromin 扩展允许 tcp 任何主机 1.2.3.4 eq www" 与 "访问列表 fromin 扩展允许 tcp 主机内-任何主机 1.2.3.4 eq www"
- 您选择的区域名称取决于所分配的访问组的接口。
- 按照上面的示例, 访问组 fromout 和 fromin 应用于外部和内部接口: 访问-组 fromout 在接口外部访问-组 fromin 内接口内
- 因此, 如果访问组顾问和贵宾被分配到内部接口, 您可以在步骤1和2中使用相同的区域名称 (内任意) 替换
- 在配置文件中为每个 zonename 创建地址名称项-步骤1/2 中使用的任何对象。名称1.1.1.1 外部-任何名称2.2.2.2 内-任何
- 将修改后的配置文件导入到迁移工具中
- 初始导入完成后 (在执行自动区域分配之前), 在 "" 部分界面和区域中创建条目: 网络掩码区域 1.1.1.1 255.255.255.255 外部 2.2.2.2 255.255.255.255 内
- 保存更改
- 执行自动区域分配
- 最终外部-任何, 内部-任何等都可以取代任何在 PA 配置文件
所有者︰ panagent