什么是完全合格的域名 ( FQDN ) 对象限制?
77632
Created On 09/25/18 19:20 PM - Last Modified 05/06/23 02:03 AM
Symptom
目前对对象的最大限制 FQDN 是 2000 小平台和所有 VM- 系列,2048 PA-3200 个系列,以及 6144 个大型平台。
对象 FQDN IP 限制在 7.0 前版本中硬编码为 10。 它被设置为 32 在 PAN-OS 7.1 和更高的版本。
Environment
- PAN-OS 任何。
- 帕洛阿尔托防火墙。
- FQDN 对象配置。
Resolution
下面显示了前 7.x 的示例。 fqdntest. pantac. lab 有 11 个 IP 地址分配给域名
在 firewall 使用 PAN-OS 7.0 或更低时,只有 10 个条目被视为达到最大限制。 此条目限制为 32 在 PAN-OS 7.1 和更高。
解决 方案
如果需要超过 32 个地址, A 则可以使用创建动态块列表的脚本。 此阻止列表可以用作 FQDN 对象。
A linux/mac上的可能脚本是: 主机fqdntest.pantac.lab|grep|awk'{打印$4}">> fqdn_list.txt
fqdn_list.txt文件将包含 IP 与fqdntest.潘塔克.实验室关联的所有地址:
在服务器上提供该文件 HTTP ,并在 firewall :
转到 GUI : 动态块列表>对象:( PAN-OS 7.1 及以上>外部动态列表的对象)
在安全策略中使用该对象。 要验证 IP 使用的地址,请使用以下命令:
> request system external-list show name fqdntest.pantac.lab (7.0 or below) or > request system external-list show type ip name fqdntest.pantac.lab (7.1 and higher) vsys1/fqdntest.pantac.lab: IPs: 1.1.1.1 1.1.1.3 1.1.1.2 1.1.1.11 1.1.1.10 1.1.1.9 1.1.1.8 1.1.1.7 1.1.1.6 1.1.1.5 1.1.1.4
Additional Information
有关配置的其他详细信息,请参阅外部动态列表。