Adressobjektlimit auf Panorama verwalteten Low-End-Plattformen überschritten, auch wenn "Nicht verwendete Adress- und Dienstobjekte mit Gerät freigeben" deaktiviert ist
25865
Created On 04/13/19 03:38 AM - Last Modified 04/26/21 17:04 PM
Symptom
Wenn Sie Konfigurationsänderungen von Gerätegruppen übertragen, werden standardmäßig Panorama alle freigegebenen Objekte an Firewalls übertragen, unabhängig davon, ob freigegebene oder Gerätegruppenregeln policy auf die Objekte verweisen. Sie können jedoch konfigurieren, Panorama dass nur die freigegebenen Objekte übertragen werden, auf die Regeln in den Gerätegruppen verweisen. Mit der Option Nicht verwendete Adress- und Dienstobjekte mit Geräten freigeben können Sie die Objekte einschränken, Panorama die an die verwalteten Firewalls übertragen werden.
Wenn "Nicht verwendete Adress- und Dienstobjekte mit Gerät freigeben" deaktiviert/deaktiviert ist, Panorama wertet nicht verwendete Objekte aus, während die Konfiguration auf das Gerät übertragen wird. Diese Funktion ignoriert jedoch das "Zielgerät" in Sicherheitsregeln, während nicht verwendete Objekte ausgewertet werden.
Environment
Dieser Artikel gilt für alle Panorama PanOS-Unterstützungsoptionen für "Nicht verwendete Adress- und Dienstobjekte mit Gerät teilen"
Cause
Wir werden das oben erwähnte Verhalten im Detail besprechen. Betrachten Sie beispielsweise die folgende Panorama policy Struktur:
Nehmen Sie eine einfache Gerätegruppenhierarchie und Panorama -konfiguration wie folgt an:
Freigegeben:
DeviceGroup1
Firewall-1
DeviceGroup2
Firewall-2
geteilt:
Adress Objekte
Address1
Address2
Richtlinien
SharedPolicy1
Quelle : Adresse1
Zielgerät : Firewall -2
DeviceGroup1:Adress Objekte
Address3
Richtlinien
DG1-Politik1
Quelle : Adresse3
Zielgerät : Alle
DeviceGroup2:
Adress Objekte
Address4
Richtlinien
DG2-Politik1
Quelle : Adresse2
Zielgerät : Alle
DG2-Politik2
Quelle : Adresse4
Zielgerät : Alle
Die so übertragene Konfiguration auf Firewall -1 wird sein:
Richtlinien:
DG1-Politik1
Quelle : Adresse3
Adressobjekte:Address1
Address3
Die Konfiguration wird auf Firewall -2 verschoben:
Richtlinien:
SharedPolicy1
Quelle : Adresse1
DG2-Politik1
Quelle : Adresse2
DG2-Politik2
Quelle : Adresse4
Adressobjekte:Address1
Address2
Address4
Hinweis Adressobjekt "Address1". Sie wurde unter Freigegebene Hierarchie definiert und in einer shared verwendet, Policy die nur für eine in firewall DeviceGroup2 ausgerichtet war. Dennoch wird es auf -1 verschoben, da die Firewall Zielgeräteeinstellung für die Auswertung nicht verwendeter Objekte ignoriert wird.
Resolution
Als Lösung sollten wir die Gerätegruppenhierarchie so gestalten, dass Richtlinien, die nicht auf bestimmte Geräte ausgerichtet sind, nicht unter die übergeordnete Gerätegruppe oder die gemeinsame Hierarchie gestellt werden. Firewalls mit ähnlichen policy Anforderungen können in separate Gerätegruppenhierarchien eingeteilt werden.
Im obigen Beispiel sollte die SharedPolicy1 direkt unter DeviceGroup2 abgelegt worden sein.
Additional Information
NOTE : Die Planung der Panorama Konfiguration sollte unter Berücksichtigung der zu verwaltenden Plattformen mit der niedrigsten Kapazität erfolgen. Der obige Artikel sollte auch während der Konfigurationsplanung berücksichtigt Panorama werden, um Probleme in Zukunft zu vermeiden, wenn die Konfigurationsgröße skaliert wird.