Erreur '-profiles is a duplicate node'hip lors de l'attachement de profils aux règles de HIP sécurité
12351
Created On 07/19/21 19:46 PM - Last Modified 05/17/23 03:28 AM
Symptom
- Lors de l'attachement d'un HIP profil à des stratégies de sécurité, l'utilisateur peut rencontrer une erreur : '-profiles is a duplicate node'hip
- L’engagement/l’envoi vers des appareils entraîne également des erreurs de validation.
Environment
- PAN-OS 10.0 ou plus récent
- Panorama Utilisé pour pousser HIP des profils vers des pare-feu
Cause
HIP La syntaxe des commandes a changé pour PAN-OS le code 10.0.
Resolution
- À partir de la Panorama CLI, remplacez le format config-output par la notation 'set' afin de pouvoir facilement comparer les configurations :
panorama> set cli config-output-format set
- Entrez l’interpréteur de commandes de configuration :
panorama> configure
- Recherchez 'hip-profiles' dans la configuration en cours d'exécution :
panorama# show | match hip-profiles set device-group My_Device_Group pre-rulebase security rules "trust-to-untrust" hip-profiles any set device-group My_Device_Group pre-rulebase security rules "dmz-to-untrust" hip-profiles any
- Dans l’exemple ci-dessus, il y avait deux éléments de configuration avec hip-profiles qui devaient être supprimés. Supprimez-les :
panorama# delete device-group My_Device_Group pre-rulebase security rules "trust-to-untrust" hip-profiles any panorama# delete device-group My_Device_Group pre-rulebase security rules "dmz-to-untrust" hip-profiles any
- Remplacez la configuration supprimée par la syntaxe la plus récente :
panorama# set device-group My_Device_Group pre-rulebase security rules "trust-to-untrust" source-hip any panorama# set device-group My_Device_Group pre-rulebase security rules "dmz-to-untrust" source-hip any
- Valider et pousser à partir de Panorama
Additional Information
Ancienne commande:
set device-group <device-group-name> post-rulebase security rules <security-rule-name> hip-profiles <HIP-profile-name>
Nouvelle commande:
set device-group <device-group-name> post-rulebase security rules <security-rule-name> source-hip <HIP-profile-name>
Remarque : le hipmot-clé '-profiles' a été remplacé par 'source-hip' dans CLI la version 10.0 PAN-OS .