CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 20 kwie 2018, 08:41

Strefa czasowa UTC+02:00




Nowy temat  Odpowiedz w temacie  [ Posty: 6 ] 
Autor Wiadomość
Post #1 : 24 lis 2017, 14:29 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 31 paź 2008, 16:05
Posty: 1626
Lokalizacja: UK
Hej,

Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1

Pzdr

_________________
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Do you have questions about CCIE.pl board ?
Just mail me :) patryk@ccie.pl


Na górę
Post #2 : 24 lis 2017, 16:28 
Offline
wannabe
wannabe

Rejestracja: 10 kwie 2006, 10:37
Posty: 725
Lokalizacja: Kraina Deszczowcow
Cytuj:
Hej,

Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1

Pzdr
ja mam do tego celu "staging" ASA5520:
- wrzucam config klienta do 8.2.x , "no nat-control" jesli byl w konfigu
- upgrade do 8.4.6
- werifykacja
- upgrade do 9.1.x
- mala modyfikacja dla ASAX (interfejsy)
- przerzucenie konfigu na ASAX i upgrade do 9.6/8
- dodanie "arp permit non-connected" dla swietego spokoju

jest tez Cisco online tool : https://fwm.cisco.com , testowalem pare razy, pomielil config pare godzin i wyplul ze nie da rady. Metoda z Asa zawsze sie sprawdza ( a robiłem już sporo migracji), wiec nie zmieniam podejscia. Przydaje sie tez do migracji do FTD ale potem jest jeszcze krok ze staging FMC do migracji konfigu i przemielenia na FTD style i wrzucenie do produkcyjnego ale ta metoda dziala tylko dla ACLek na interfejsach i NATu (ale tu sa kwiatki) reszte trzeba z palca.

_________________
ML


Na górę
Post #3 : 24 lis 2017, 18:31 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 31 paź 2008, 16:05
Posty: 1626
Lokalizacja: UK
Cytuj:
Cytuj:
Hej,

Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1

Pzdr
ja mam do tego celu "staging" ASA5520:
- wrzucam config klienta do 8.2.x , "no nat-control" jesli byl w konfigu
- upgrade do 8.4.6
- werifykacja
- upgrade do 9.1.x
- mala modyfikacja dla ASAX (interfejsy)
- przerzucenie konfigu na ASAX i upgrade do 9.6/8
- dodanie "arp permit non-connected" dla swietego spokoju

jest tez Cisco online tool : https://fwm.cisco.com , testowalem pare razy, pomielil config pare godzin i wyplul ze nie da rady. Metoda z Asa zawsze sie sprawdza ( a robiłem już sporo migracji), wiec nie zmieniam podejscia. Przydaje sie tez do migracji do FTD ale potem jest jeszcze krok ze staging FMC do migracji konfigu i przemielenia na FTD style i wrzucenie do produkcyjnego ale ta metoda dziala tylko dla ACLek na interfejsach i NATu (ale tu sa kwiatki) reszte trzeba z palca.
Hej,


Ciekawy patent z ta strona.
Wyslalem swoj konfig, ciekawe czy pyknie. Jak myslisz ?
Cytuj:
Conversion created successfully : CSCO-ASA 5550-CSCO-ASA 5555-X-20322. You will be notified over e-mail once the conversion is completed.

_________________
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Do you have questions about CCIE.pl board ?
Just mail me :) patryk@ccie.pl


Na górę
Post #4 : 24 lis 2017, 18:57 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 31 paź 2008, 16:05
Posty: 1626
Lokalizacja: UK
Cytuj:
Cytuj:
Hej,

Czy ktos posiada jakis skrypt, lub co kolwiek, co pozwoli mi zrobic konwersje NAT 8.2 -> 9.1

Pzdr
ja mam do tego celu "staging" ASA5520:
- wrzucam config klienta do 8.2.x , "no nat-control" jesli byl w konfigu
- upgrade do 8.4.6
- werifykacja
- upgrade do 9.1.x
- mala modyfikacja dla ASAX (interfejsy)
- przerzucenie konfigu na ASAX i upgrade do 9.6/8
- dodanie "arp permit non-connected" dla swietego spokoju

jest tez Cisco online tool : https://fwm.cisco.com , testowalem pare razy, pomielil config pare godzin i wyplul ze nie da rady. Metoda z Asa zawsze sie sprawdza ( a robiłem już sporo migracji), wiec nie zmieniam podejscia. Przydaje sie tez do migracji do FTD ale potem jest jeszcze krok ze staging FMC do migracji konfigu i przemielenia na FTD style i wrzucenie do produkcyjnego ale ta metoda dziala tylko dla ACLek na interfejsach i NATu (ale tu sa kwiatki) reszte trzeba z palca.

Mihu,

Dostalem kilka bledow w pliku upgrade_startup_errors_.log
Cytuj:
The following 'nat' command didn't have a matching 'global' rule on interface 'vpssharedsvcs' and was not migrated.
nat (ril) 1 10.0.0.0 255.0.0.0
Cytuj:
WARNING: The following 'nat exempt' rule with "deny" access-list was replaced by an estimated NAT rule.
nat (ril) 0 access-list TEST-RIL-NONAT
Oczywiscie jest tego wiecej.

_________________
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Do you have questions about CCIE.pl board ?
Just mail me :) patryk@ccie.pl


Na górę
Post #5 : 24 lis 2017, 23:20 
Offline
wannabe
wannabe

Rejestracja: 10 kwie 2006, 10:37
Posty: 725
Lokalizacja: Kraina Deszczowcow
osobiście nie ufam temu tool-owi. jest też inny do konwersji z NetScreena (w miarę ok ale dużo trzeba korygować) i CheckPointa - robi tylko global ACL ale przy FTD już się poddałem bo tam tak samo.

NATy statyczne są konwertowane prakatycznie 100% ok, mówię o ASA5520, ale ten FWM tool pewnie to pewnie to samo podejście, inne to już różnie i " sh run start error" to Twój najlepszy przyjaciel, w przeszłości miałem kiedyś sytuację że po reboocie po cichu coś wywalił jak AnyConnect bo nie znalazł pliku czy wspomniane "arp permit-..."
Cytuj:
The following 'nat' command didn't have a matching 'global' rule on interface 'vpssharedsvcs' and was not migrated.
nat (ril) 1 10.0.0.0 255.0.0.0
a masz global (vpssharedsvcs) 1 ? jak nie to masz odpowiedź jak tak to tool dał ciała, ASA5520 (tak na prawdę to jest jedna z tych o których kiedyś była afera - bo jest to 5510 podszywająca się pod 5520) daje radę.
Cytuj:
WARNING: The following 'nat exempt' rule with "deny" access-list was replaced by an estimated NAT rule.
nat (ril) 0 access-list TEST-RIL-NONAT
robiłem tego na prawdę sporo, ale nie przypominam sobie deny w NAT ACL to nie PBR - i szczerze powiedziawszy nie powinien tam być , pare lat temu był bug i firewall się zapętlał przy bootowaniu w takiej konfiguracji.

jak chcesz skontaktuj sie na priva i mogę zerknąć, a i jeszcze jedno nie wiem jak podmieniasz te firewalle (chyba że to tylko upgrade) bo jeszcze są kwiatki z czyszczeniem ARPow na NATach.

_________________
ML


Na górę
Post #6 : 24 lis 2017, 23:55 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 31 paź 2008, 16:05
Posty: 1626
Lokalizacja: UK
Cytuj:
osobiście nie ufam temu tool-owi. jest też inny do konwersji z NetScreena (w miarę ok ale dużo trzeba korygować) i CheckPointa - robi tylko global ACL ale przy FTD już się poddałem bo tam tak samo.

NATy statyczne są konwertowane prakatycznie 100% ok, mówię o ASA5520, ale ten FWM tool pewnie to pewnie to samo podejście, inne to już różnie i " sh run start error" to Twój najlepszy przyjaciel, w przeszłości miałem kiedyś sytuację że po reboocie po cichu coś wywalił jak AnyConnect bo nie znalazł pliku czy wspomniane "arp permit-..."
Cytuj:
The following 'nat' command didn't have a matching 'global' rule on interface 'vpssharedsvcs' and was not migrated.
nat (ril) 1 10.0.0.0 255.0.0.0
a masz global (vpssharedsvcs) 1 ? jak nie to masz odpowiedź jak tak to tool dał ciała, ASA5520 (tak na prawdę to jest jedna z tych o których kiedyś była afera - bo jest to 5510 podszywająca się pod 5520) daje radę.
Cytuj:
WARNING: The following 'nat exempt' rule with "deny" access-list was replaced by an estimated NAT rule.
nat (ril) 0 access-list TEST-RIL-NONAT
robiłem tego na prawdę sporo, ale nie przypominam sobie deny w NAT ACL to nie PBR - i szczerze powiedziawszy nie powinien tam być , pare lat temu był bug i firewall się zapętlał przy bootowaniu w takiej konfiguracji.

jak chcesz skontaktuj sie na priva i mogę zerknąć, a i jeszcze jedno nie wiem jak podmieniasz te firewalle (chyba że to tylko upgrade) bo jeszcze są kwiatki z czyszczeniem ARPow na NATach.
Robie upgrade z 8.2 do 9.1

Podrzuce ci konfig na priv, ale to jutro ok ?

_________________
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Do you have questions about CCIE.pl board ?
Just mail me :) patryk@ccie.pl


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 6 ] 

Strefa czasowa UTC+02:00


Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 4 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl