排除迁移问题

Cisco Secure Firewall 迁移工具的故障排除

PAN 配置文件上传或将已迁移的配置推送到 管理中心 时,迁移通常会失败。

意外文件 - 检测到无效的 PAN 文件。例如,使用 Mac 操作系统压缩时会创建 Mac 系统文件。删除 Mac 文件。

Cisco Secure Firewall 迁移工具支持捆绑包

Cisco Secure Firewall 迁移工具提供下载支持捆绑包的选项,以提取重要的故障排除信息,例如日志文件、数据库和配置文件。请执行以下操作:

  1. 完成迁移 (Complete Migration) 屏幕上,点击支持 (Support) 按钮。

    系统将显示“帮助”支持页面。

  2. 选中支持捆绑包复选框,然后选择要下载的配置文件。


    默认情况下,系统已选择要下载的日志和 dB 文件。

  3. 点击下载 (Download)

    支持捆绑包文件以 .zip 格式下载到您的本地路径。解压缩 Zip 文件夹以查看日志文件、DB 和配置文件。

  4. 点击给我们发送邮件 (Email us),通过电子邮件将故障详细信息发送给技术团队。

    您还可以将下载的支持文件附加到电子邮件中。

  5. 点击访问 TAC 页面 (Visit TAC page),在思科支持页面上创建 TAC 支持请求。


    您可以在迁移过程中随时从支持页面提交 TAC 支持请求。

用于排除故障的日志和其他文件

可在以下文件中找到有助于识别和排除问题的信息。

文件 位置

日志文件

<migration_tool_folder>\logs

迁移前报告

<migration_tool_folder>\resources

迁移后报告

<migration_tool_folder>\resources

未解析文件

<migration_tool_folder>\resources

telemetry_sessionid_timestamp.json

<migration_tool_folder>\resources\telemetry_data

APN 故障排除示例:找不到对象组的成员

在本示例中,由于一个元素的配置出错,PAN 配置文件上传和解析失败。

过程

步骤 1

查看错误消息以确定问题。

此失败生成以下错误消息:

位置 错误消息

Cisco Secure Firewall 迁移工具消息

Check Point 配置文件解析出错。

日志文件

[ERROR | objectGroupRules] > "ERROR, SERVICE_GROUP_RULE not applied for port-group object [services_epacity_nt_abc] as CheckPoint object [ica] does not exist in <service> table;"

[INFO | objectGroupRules] > "Parsing object-group service:[services_gvxs06]"

[INFO | objectGroupRules] > "Parsing object-group service:[services_iphigenia]"

[INFO | objectGroupRules] > "Parsing object-group service:[Services_KPN_ISP]"

步骤 2

打开 PAN services.xml 文件。

步骤 3

搜索名称为 services_gvxs06 的对象组。

步骤 4

使用智能控制板创建对象组的缺失成员。

步骤 5

再次导出配置文件。有关详细信息,请参阅 。

步骤 6

如果没有其他错误,将新 PAN 配置压缩文件上传到 Cisco Secure Firewall 迁移工具并继续执行迁移。