Fehler "-profiles ist ein doppelter Knoten"hip beim Anhängen HIP von Profilen an Sicherheitsregeln
12353
Created On 07/19/21 19:46 PM - Last Modified 05/17/23 03:27 AM
Symptom
- Beim Anhängen eines HIP Profils an Sicherheitsrichtlinien kann der Benutzer auf eine Fehlermeldung stoßen: "-profiles ist ein doppelter Knoten"hip
- Das Commit/Pushen auf Geräte führt ebenfalls zu Commit-Fehlern.
Environment
- PAN-OS 10.0 oder neuer
- Panorama Wird verwendet, um Profile an Firewalls zu übertragen HIP
Cause
HIP Die Befehlssyntax wurde für PAN-OS Code 10.0 geändert.
Resolution
- Panorama CLIÄndern Sie das config-output-format in die Notation 'set', damit Sie die Konfigurationen leicht vergleichen können:
panorama> set cli config-output-format set
- Geben Sie die Konfigurations-Shell ein:
panorama> configure
- Durchsuchen Sie die laufende Konfiguration nach 'hip-profiles':
panorama# show | match hip-profiles set device-group My_Device_Group pre-rulebase security rules "trust-to-untrust" hip-profiles any set device-group My_Device_Group pre-rulebase security rules "dmz-to-untrust" hip-profiles any
- Im obigen Beispiel gab es zwei Konfigurationselemente mit hip-Profilen, die gelöscht werden mussten. Löschen Sie sie:
panorama# delete device-group My_Device_Group pre-rulebase security rules "trust-to-untrust" hip-profiles any panorama# delete device-group My_Device_Group pre-rulebase security rules "dmz-to-untrust" hip-profiles any
- Ersetzen Sie die gelöschte Konfiguration durch die neuere Syntax:
panorama# set device-group My_Device_Group pre-rulebase security rules "trust-to-untrust" source-hip any panorama# set device-group My_Device_Group pre-rulebase security rules "dmz-to-untrust" source-hip any
- Commit und Push von Panorama
Additional Information
Altes Kommando:
set device-group <device-group-name> post-rulebase security rules <security-rule-name> hip-profiles <HIP-profile-name>
Neuer Befehl:
set device-group <device-group-name> post-rulebase security rules <security-rule-name> source-hip <HIP-profile-name>
Hinweis: Das Schlüsselwort '-hipprofiles' wurde in Version 10.0 PAN-OS in CLI 'source-hip' geändert.