Erreur : Le nombre d’adresses, de groupes dynamiques, de listes d’adresses IP externes, etc. dépasse la capacité de la plate-forme

48449

Created On 04/16/19 11:16 AM - Last Modified 01/31/23 01:46 AM

Symptom

Lorsque la validation push est effectuée sur les pare-feu, la validation peut échouer sur le avec l’erreur firewall ci-dessous.
Ou
la validation automatique échoue après la mise à niveau PAN-OS de 7.1.x vers 8.0.x avec l’erreur ci-dessous.

Error: Number of addresses, dynamic groups, external-ip-lists, external-predefined-ip-lists and predefined ip-block-lists (xxxx) exceeds platform capacity (yyyy)
(Module: device)
Commit failed
Failed to commit policy to device

Lorsque xxxx dépasse yyyy:
Image ajoutée par l'utilisateur

Environment

Panorama
PAN-OS
Firewall Version 8.0.0 et ultérieure

Cause

Chaque firewall plate-forme a sa propre limite sur le nombre d’objets d’adresse pouvant être configurés.
Avant la PAN-OS version 8.0, les validations n’étaient pas appliquées aux objets locaux et Panorama repoussaient les limitations de capacité des objets.

Resolution

Les solutions à ce problème dépend de la façon dont le firewall est géré.

Solution 1:
Si le produit est géré Firewall localement, réduisez le nombre d’objets en fonction de la limite. Vérifiez la limite d’objet de l’appareil en utilisant la commande ci-dessous :

admin@PA-FW> show system state | match cfg.general.max-address

Solution 2 :
si le est géré par le Panorama et que tous les objets sont partagés ou désactivés, décochez Partager l’adresse inutilisée et les objets de service avec les périphériques dans les paramètres pour pousser les Panorama objets en cours d’utilisationfirewall.

Image ajoutée par l'utilisateur

Si cela ne vous aide toujours pas, réduisez le nombre d’objets en fonction de la limite du dans le groupe de firewall périphériques.

Additional Information