错误：地址数量、动态组、外部 IP 列表等超出平台容量

48443

Created On 04/16/19 11:16 AM - Last Modified 01/31/23 01:46 AM

Symptom

当对防火墙完成提交推送时，提交可能会失败firewall出现以下错误。
或者
升级后自动提交失败PAN-OS从 7.1.x 到 8.0.x，出现以下错误。

Error: Number of addresses, dynamic groups, external-ip-lists, external-predefined-ip-lists and predefined ip-block-lists (xxxx) exceeds platform capacity (yyyy)
(Module: device)
Commit failed
Failed to commit policy to device

当 xxxx 超过 yyyy 时：
用户添加的图像

Environment

Panorama
PAN-OS
Firewall 8.0.0及以上版本

Cause

每个firewall平台对可配置的地址对象数量有自己的硬性限制。
之前PAN-OS8.0，没有对本地对象强制执行验证，并且Panorama推送对象容量限制。

Resolution

这个问题的解决方案取决于firewall被管理。

解决方案 1 :
如果Firewall本地管理，在限制的基础上减少对象数量。使用以下命令检查设备的对象限制：

admin@PA-FW> show system state | match cfg.general.max-address

方案二:
如果firewall由Panorama并且所有对象都被共享或禁用，取消选中与设备共享未使用的地址和服务对象在里面Panorama设置推送正在使用的对象。

用户添加的图像

如果仍然没有帮助，则根据的限制减少对象的数量firewall在设备组中。

错误：地址数量、动态组、外部 IP 列表等超出平台容量

Symptom

Environment

Cause

Resolution

Additional Information

Other users also viewed: