完全修飾ドメイン名 ( ) FQDN オブジェクトの制限とは何ですか。
77640
Created On 09/25/18 19:20 PM - Last Modified 05/06/23 02:03 AM
Symptom
オブジェクトの現在の上限 FQDN は、より小さいプラットフォームとすべてのシリーズの場合は VM- 2000、シリーズでは 2048、 PA-3200 すべての大規模プラットフォームでは 6144 です。
FQDNオブジェクト IP の制限は、Pre 7.0 リリースでは 10 にハードコーディングされています。 7.1 以降のリリースでは 32 に設定 PAN-OS されています。
Environment
- PAN-OS 任意.
- パロアルトファイアウォール。
- FQDN オブジェクトの構成。
Resolution
Pre 7.x の例を以下に示します。 ドメイン名に割り当てられた IP アドレスが 11 個
firewall PAN-OS 7.0 以下を使用すると、最大制限に達すると 10 個のエントリのみが表示されます。 このエントリ制限は 7.1 以上で 32 PAN-OS です。
回避 策
32 を超えるアドレスが必要な場合 A は、ダイナミック ブロック リストを作成するスクリプトを使用できます。 このブロックリストはオブジェクトとして使用できます FQDN 。
A Linux/mac で可能なスクリプトは次のようになります: ホスト fqdntest.pantac.lab | grep は awk '{print $4}' |>> fqdn_list.txt
fqdn_list.txt ファイルには IP 、fqdntest.pantac.lab に関連付けられているすべてのアドレスが含まれます。
サーバーでそのファイルを使用できるように HTTP し、 でダイナミック ブロック リストを構成します firewall 。
移動 GUI 先 : ダイナミック ブロック リスト>オブジェクト: ( PAN-OS 7.1 以上の外部動的リスト>オブジェクト)
セキュリティポリシーでそのオブジェクトを使用します。 使用されているアドレスを確認するには IP 、次のコマンドを使用します。
> request system external-list show name fqdntest.pantac.lab (7.0 or below) or > request system external-list show type ip name fqdntest.pantac.lab (7.1 and higher) vsys1/fqdntest.pantac.lab: IPs: 1.1.1.1 1.1.1.3 1.1.1.2 1.1.1.11 1.1.1.10 1.1.1.9 1.1.1.8 1.1.1.7 1.1.1.6 1.1.1.5 1.1.1.4
Additional Information
設定の詳細については、外部動的リストを参照してください。