Cisco Secure Firewall 迁移工具常见问题解答
Q. |
版本 3.0.1 的 Cisco Secure Firewall 迁移工具支持哪些新功能? |
A. |
Cisco Secure Firewall 迁移工具 3.0.1 现在仅支持将 Cisco Secure Firewall 3100 系列作为从 Palo Alto Networks 迁移的目标设备。 |
Q. |
版本 3.0 的 Cisco Secure Firewall 迁移工具支持哪些新功能? |
A. |
版本 3.0 支持的功能包括:
|
Q. |
防火墙迁移工具可以迁移策略的源平台和目标平台是什么? |
A. |
Cisco Secure Firewall 迁移工具可以将策略从支持的 PAN 防火墙平台迁移到 threat defense virtual 平台。有关详细信息,请参阅支持的源 PAN 平台。 |
Q. |
从 PAN 转换到威胁防御虚拟有哪些硬件限制? |
A. |
如果 PAN 操作系统版本为 6.1.x 及更高版本,则 Cisco Secure Firewall 迁移工具将迁移配置。 |
Q. |
PAN 防火墙是否支持接口组? |
A. |
否。PAN 防火墙向 threat defense virtual 转换时,不支持接口组。 |
Q. |
NAT 使用 FQDN,而后者不受 管理中心 的支持。应该怎么办? |
A. |
如您所知, 管理中心不支持 NAT 中的 FQDN,同样 Cisco Secure Firewall 迁移工具也不支持 FQDN。要复制与源相同的配置,必须在迁移后配置手动映射到 FQDN 的整个 IP 地址集。 |
Q. |
当源防火墙的接口比目标防火墙更多时,该怎么办? |
A. |
如果源防火墙的接口比目标防火墙更多,则在启动迁移之前在 threat defense virtual 上创建子接口。 |
Q. |
Cisco Secure Firewall 迁移工具是否会迁移汇聚接口(端口通道)? |
A. |
Cisco Secure Firewall 迁移工具不会迁移汇聚接口(端口通道)。在启动迁移之前,必须在 管理中心 上配置端口通道接口。 |
Q. |
管理中心 是否支持 VR 间路由? |
A. |
不支持以“下一 VR”为“下一跳”的任何路由。 |
Q. |
从 PAN 提取路由表的命令是什么? |
A. |
使用 Show routing route 命令。将路由粘贴到 txt 文件后,请确保格式正确。如果有多个 VSYS,请仅粘贴相关 VSYS 的路由。我们建议您从路由表中删除隧道、环回和 VLAN 路由,因为 管理中心 不支持这些接口。 |
Q. |
我应该如何处理被忽略的配置文件? |
A. |
被忽略的配置包含 PAN 独有的 XML 标签,与 管理中心 不相关。因此,它们会被忽略。您必须仔细查看忽略的配置。忽略部分中反映的任何意外情况都应在 管理中心 上手动配置。 |
Q. |
我的迁移前报告中有一个错误。是否可以忽略接口并继续? |
A. |
如果您选择在没有接口的情况下继续,则路由也不会迁移。 |
Q. |
解析失败的常见原因是什么? |
A. |
如果接口有多个 IP 地址或为其分配了子网中的 IP 地址(例如 /32 或 /128),则发生解析失败。要继续操作,您必须更正 IP 地址并重试迁移。 |
Q. |
为什么解析前摘要中的 NAT 显示为零? |
A. |
有关详细信息,请参阅解析摘要。 |
Q. |
如何导出 PAN 配置? |
A. |
如果您的设备是由 Panorama 管理的,则必须从网关提取配置。合并 Panorama 配置和网关并提取配置。 有关详细信息,请参阅从 Palo Alto Networks 防火墙导出配置。 |
Q. |
应用映射有什么作用? |
A. |
通过应用映射,您可以将应用映射到相应的目标应用,例如 HTTP、SSH。您还可以迁移基于应用的规则。 有关详细信息,请参阅映射配置和应用。 |
Q. |
包含“application-default”的策略会怎么样? |
A. |
请执行以下操作:
|