Limite d’objet d’adresse Panorama dépassée sur les plates-formes low end gérées même si « Partager des objets d’adresse et de service inutilisés avec l’appareil » n’est pas coché
25859
Created On 04/13/19 03:38 AM - Last Modified 04/26/21 17:04 PM
Symptom
Lorsque vous poussez les modifications de configuration groupes périphériques, par défaut pousse tous les objets partagés vers Panorama des pare-feu si oui ou non les règles de groupe partagé ou policy périphérique référencent les objets. Toutefois, vous pouvez configurer Panorama pour pousser uniquement les objets partagés qui règlent la référence dans les groupes d’appareils. L’option Partager des objets d’adresse et de service inutilisés avec des périphériques vous permet de limiter les Panorama objets qui poussent vers les pare-feu gérés.
Si « Partager des objets d’adresse et de service inutilisés avec l’appareil » est désactivé/non contrôlé, évalue les objets inutilisés tout en Panorama poussant la configuration vers l’appareil. Toutefois, cette fonctionnalité ignore le « périphérique cible » dans les règles de sécurité lors de l’évaluation des objets inutilisés.
Environment
Cet article s’applique à toutes Panorama les options de support PanOS pour « Partager des objets d’adresse et de service inutilisés avec l’appareil »
Cause
Nous discuterons en détail du comportement mentionné ci-dessus. Par exemple, considérez la Panorama policy structure suivante : Supposons
une hiérarchie et une configuration simples du groupe d’appareils Panorama comme ci-dessous :
Partagée :
DeviceGroup1 (en)
Firewall-1
DeviceGroup2 (en)
Firewall-2
Partagé:
Objets d'adresse
Adresse1
Adresse2
Politiques
SharedPolicy1 (en)
Source : Adresse1
Dispositif cible : Firewall -2
DeviceGroup1:Objets d'adresse
Address3
Politiques
DG1-Politique1
Source : Adresse3
Dispositif cible : Tous
DeviceGroup2:
Objets d'adresse
Address4
Politiques
DG2-Politique1
Source : Adresse2
Dispositif cible : Tous
DG2-Politique2
Source : Adresse4
Dispositif cible : Tous
Ainsi, la configuration poussée Firewall à -1 sera:
Politiques:
DG1-Politique1
Source : Adresse3
Objets d’adresse :Adresse1
Address3
Configuration poussée à Firewall -2 sera:
Politiques:
SharedPolicy1 (en)
Source : Adresse1
DG2-Politique1
Source : Adresse2
DG2-Politique2
Source : Adresse4
Objets d’adresse :Adresse1
Adresse2
Address4
Objet d’adresse d’avis « Address1 ». Il a été défini sous hiérarchie partagée, et utilisé dans un Policy partage qui a été targetted pour un dans firewall devicegroup2 seulement. Néanmoins, il sera poussé à Firewall -1 puisque le paramètre de périphérique cible est ignoré pour l’évaluation des objets inutilisés
Resolution
En tant que résolution, nous devrions concevoir la hiérarchie du groupe périphérique de manière à ce que les stratégies qui ne sont pas cibler pour certains appareils ne soient pas mises sous le groupe d’appareils parent ou la hiérarchie partagée. Les pare-feux ayant policy des exigences similaires pourraient être regroupés en hiérarchies distinctes du groupe périphérique.
Dans l’exemple ci-dessus, le SharedPolicy1 aurait dû être placé directement sous DeviceGroup2.
Additional Information
NOTE : La planification de la Panorama configuration doit être faite en gardant à l’esprit les plates-formes de capacité les plus faibles gérées. L’article ci-dessus doit être considéré même pendant Panorama la planification de configuration pour éviter les problèmes à l’avenir lorsque la taille de configuration s’échelle.