思科向 PA 迁移区分配问题

思科向 PA 迁移区分配问题

11341
Created On 09/25/18 19:54 PM - Last Modified 06/08/23 07:25 AM


Resolution


问题

在使用 PA 迁移工具进行 Cisco 的 ASA 配置时, 注意到当使用自动区域分配时, 当访问列表具有 tcp/ip/udp/ip 时, 迁移工具无法分配区域。

 

解决办法

  • 替换
    • tcp 任意->> tcp 主机<zone-name-any></zone-name-any>
    • udp udp 主机<zone-name-any></zone-name-any>
    • ip 任意->> ip 主机<zone-name-any>安全</zone-name-any>
  • 本例中的区域名称取决于以下内容的访问列表:
    • 替换 "访问列表 fromout 扩展允许 tcp 任何主机 1.2.3.4 eq www" 与 "访问列表 fromout 扩展允许 tcp 主机外部-任何主机 1.2.3.4 eq www"
    • 替换 "访问列表 fromin 扩展允许 tcp 任何主机 1.2.3.4 eq www" 与 "访问列表 fromin 扩展允许 tcp 主机内-任何主机 1.2.3.4 eq www"
  • 您选择的区域名称取决于所分配的访问组的接口。
    • 按照上面的示例, 访问组 fromout 和 fromin 应用于外部和内部接口: 访问-组 fromout 在接口外部访问-组 fromin 内接口内
    • 因此, 如果访问组顾问和贵宾被分配到内部接口, 您可以在步骤1和2中使用相同的区域名称 (内任意) 替换
  • 在配置文件中为每个 zonename 创建地址名称项-步骤1/2 中使用的任何对象。名称1.1.1.1 外部-任何名称2.2.2.2 内-任何
  • 将修改后的配置文件导入到迁移工具中
  • 初始导入完成后 (在执行自动区域分配之前), 在 "" 部分界面和区域中创建条目: 网络掩码区域 1.1.1.1 255.255.255.255 外部 2.2.2.2 255.255.255.255 内
  • 保存更改
  • 执行自动区域分配
  • 最终外部-任何, 内部-任何等都可以取代任何在 PA 配置文件

 

所有者︰ panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clh1CAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language