如何限制共享对象的数量全景推送到受控设备

问题

已在全景上创建了许多共享对象, 这些目标在2个单独的设备组 (DG) 中管理帕洛阿尔托网络防火墙。在 dg a 上使用的所有共享对象都由全景图推送到 dg b, 即使它们没有在 dg b 上使用。

解决办法

在特定设备组中创建对象时, 不要检查 "共享" 复选框。这将只保留该设备组中的对象, 而不将它们发送到组外的设备。

或者, 在 PAN OS 5.0 中引入了一个新选项来共享或不共享未使用的地址和对象。按照下列步骤操作, 防止将未引用的地址、地址组、服务对象和服务组对象共享到所有受管理的设备:

在 Web UI 上

1. 转到 UI 上的以下选项卡: 全景 > 安装 > 管理
2. 取消选中 "在全景设置中使用设备共享未使用的地址和服务对象", 如下所示:
   
   默认情况下选中此选项可与受控设备共享所有全景共享对象. 取消选中该选项, 以确认只与设备共享必需的对象, 并同时减少受控设备上的总对象计数。
   注意: 取消选中此选项会强制全景图检查其对对象的引用的所有策略, 并且可能会根据配置增加提交时间. 查看全景提交需要很长时间

在 CLI 上

> 配置

# 设置 deviceconfig 设置管理共享-未使用的对象-设备不

# 提交

所有者： apasupulati