Fehler: Anzahl der Adressen, dynamischen Gruppen, externen IP-Listen usw. übersteigt die Plattformkapazität

48427

Created On 04/16/19 11:16 AM - Last Modified 01/31/23 01:46 AM

Symptom

Wenn der Commit-Push an Firewalls ausgeführt wird, kann der Commit mit firewall dem folgenden Fehler fehlschlagen.
Oder
Auto-Commit schlägt nach dem Upgrade PAN-OS von 7.1.x auf 8.0.x mit dem folgenden Fehler fehl.

Error: Number of addresses, dynamic groups, external-ip-lists, external-predefined-ip-lists and predefined ip-block-lists (xxxx) exceeds platform capacity (yyyy)
(Module: device)
Commit failed
Failed to commit policy to device

Wenn xxxx yyyy überschreitet:
Benutzeriertes Bild

Environment

Panorama
PAN-OS
Firewall Version 8.0.0 und höher

Cause

Jede firewall Plattform hat ihre eigene harte Grenze für die Anzahl der Adressobjekte, die konfiguriert werden können.
PAN-OS Vor 8.0 wurden Validierungen nicht mit lokalen Objekten erzwungen und Panorama Objektkapazitätsbeschränkungen verschoben.

Resolution

Lösungen für dieses Problem hängen davon ab, wie die firewall verwaltet werden.

Lösung 1:
Wenn die lokal verwaltet Firewall wird, reduzieren Sie die Anzahl der Objekte basierend auf dem Grenzwert. Überprüfen Sie die Objektgrenze des Geräts, indem Sie den folgenden Befehl verwenden:

admin@PA-FW> show system state | match cfg.general.max-address

Lösung 2:
Wenn das firewall von verwaltet Panorama wird und alle Objekte freigegeben oder deaktiviert sind, deaktivieren Sie in den Panorama Einstellungen die Option Nicht verwendete Adress- und Dienstobjekte mit Geräten teilen, um die verwendeten Objekte per Push zu übertragen.

Benutzeriertes Bild

Wenn dies immer noch nicht hilft, reduzieren Sie die Anzahl der Objekte basierend auf dem Limit der in der firewall Gerätegruppe.

Additional Information