Änderungen an der IP zulässigen Adressliste Panorama werden nicht wirksam.
5037
Created On 06/30/21 08:40 AM - Last Modified 06/26/25 21:01 PM
Symptom
Wenn Sie die Liste der zulässigen IP Adressen auf einer Panorama Nicht-Verwaltungsschnittstelle aktualisieren, scheint die Konfiguration angewendet zu werden, die Änderungen an der Zulassungsliste werden jedoch nicht wirksam.
Environment
- Any Panorama
- PANOS: 9.0, 9.1, 10.0
Cause
Dies wird angezeigt, wenn die Liste der zulässigen IP Adressen auf einer Nicht-Verwaltungsschnittstelle (z. B. ethernet1/1) geändert wird und nur ein Commit Panorama durchgeführt wird.
Resolution
Damit die Änderung erfolgreich angewendet werden kann, muss nach einem lokalen Panorama Commit auch ein Push an die Collector-Gruppe durchgeführt werden.
Additional Information
Da sich dies nur auf die Nicht-Verwaltungsschnittstellen auswirkt, wirkt sich dies in der Regel auf die Protokollerfassung mithilfe der zusätzlichen Schnittstellen in Panorama.
Wenn Sie die Konfiguration anzeigen, sieht es so aus, als ob die Änderung übernommen wurde, aber die sdb-Variable wurde nicht aktualisiert, wie die folgende CLI Ausgabe zeigt:
> show system state filter cfg.net.s0.eth*.aclBeispielausgabe nach dem Hinzufügen von 10.1.1.0/24 zu ethernet1/1:
cfg.net.s0.eth0.acl: { 'peers': [ 10.1.1.0/24, ], 'services': [ ssh, https, pan-panorama, pan-dlsrvr, snmp, snmptrap, ping, icmp, ], 'v6peers': [ ], } cfg.net.s0.eth1.acl: { 'peers': [ ], 'services': [ icmp, ping, pan-dlsrvr, ], 'v6peers': [ ], } <--- ethernet1 does not have any peers.