Wie kann man die Anzahl der geteilten Objekte begrenzen, die Panorama auf das verwaltete Gerät schiebt
Resolution
Problem
Eine Reihe von geteilten Objekten wurden auf einem Panorama erstellt, das Palo Alto Networks Firewalls in 2 separaten Gerätegruppen (DG) verwaltet. Alle gemeinsam genutzten Objekte, die auf DG-a verwendet werden, werden von Panorama zu DG-b geschoben, obwohl Sie auf DG-b nicht verwendet werden.
Lösung
Wenn Sie ein Objekt in einer bestimmten Gerätegruppe erstellen, überprüfen Sie nicht das Kästchen "Shared". Dadurch werden die Objekte nur in dieser Gerätegruppe aufbewahrt und nicht an Geräte außerhalb der Gruppe gesendet.
Alternativ wurde in Pan-OS 5,0 eine neue Option eingeführt, um ungenutzte Adressen und Objekte zu teilen oder nicht. Folgen Sie den folgenden Schritten, um den Austausch von nicht referenzierten Adressen, Adressgruppen, Service Objekten und Service Gruppen Objekten an alle verwalteten Geräte zu verhindern:
Auf der Web-UI
- Gehen Sie auf die folgende Registerkarte im UI: Panorama > Setup > Management
- Deaktivieren Sie "ungenutzte Adress-und Service Objekte mit Geräten" in den Panorama Einstellungen, wie gezeigt:
diese Option wird standardmäßig überprüft, um alle Panorama-geteilten Objekte mit den verwalteten Geräten zu teilen. Deaktivieren Sie die Option, um zu bestätigen, dass nur die notwendigen Objekte mit den Geräten geteilt werden, und reduzieren Sie im Gegenzug auch die gesamte Objekt Zahl auf dem verwalteten Gerät.
Hinweis: das Deaktivieren dieser Option zwingt das Panorama, alle seine Richtlinien auf Verweise auf die Objekte zu überprüfen und kann die Commit-Zeiten je nach Konfiguration erhöhen. Siehe Panorama-Commits dauern eine lange Zeit
Auf der CLI
> konfigurieren
# Set DeviceConfig-Einstellung Management Share-ungenutzte-Objekte-mit-Geräten nicht
# commit
Besitzer: Apasupulati