Error: El número de direcciones, grupos dinámicos, listas de IP externas, etc. supera la capacidad de la plataforma

48427

Created On 04/16/19 11:16 AM - Last Modified 01/31/23 01:46 AM

Symptom

Cuando se realiza la inserción de confirmación en los firewalls, la confirmación puede fallar en el firewall error a continuación.
O
se produce un error en la confirmación automática después de actualizar PAN-OS de 7.1.x a 8.0.x con el siguiente error.

Error: Number of addresses, dynamic groups, external-ip-lists, external-predefined-ip-lists and predefined ip-block-lists (xxxx) exceeds platform capacity (yyyy)
(Module: device)
Commit failed
Failed to commit policy to device

Donde xxxx supera el aaaa:
Imagen de usuario añadido

Environment

Panorama
PAN-OS
Firewall Versión 8.0.0 y superior

Cause

Cada firewall plataforma tiene su propio límite estricto en el número de objetos de dirección que se pueden configurar.
Antes de la versión 8.0, las validaciones no se aplicaban con objetos locales y Panorama se imponían limitaciones de PAN-OS capacidad de objetos.

Resolution

Las soluciones a este problema dependen de cómo firewall se administre.

Solución 1:
Si se administra Firewall localmente, reduzca el número de objetos en función del límite. Compruebe el límite de objetos del dispositivo mediante el siguiente comando:

admin@PA-FW> show system state | match cfg.general.max-address

Solución 2:
Si el es administrado por el firewall Panorama y todos los objetos están compartidos o deshabilitados, desmarque Compartir direcciones no utilizadas y objetos de servicio con dispositivos en la Panorama configuración para insertar los objetos que están en uso.

Imagen de usuario añadido

Si eso aún no ayuda, reduzca el número de objetos en función del límite del grupo de firewall dispositivos.

Additional Information