Grupo de direcciones dinámicas compartidas Los objetos que usan etiquetas para rellenar los miembros están vacíos en los firewalls administrados después Panorama de insertar un grupo de dispositivos.

Grupo de direcciones dinámicas compartidas Los objetos que usan etiquetas para rellenar los miembros están vacíos en los firewalls administrados después Panorama de insertar un grupo de dispositivos.

21815
Created On 12/16/21 16:06 PM - Last Modified 04/22/24 21:58 PM


Symptom


  • Hay confirmación de que el grupo de Panorama direcciones dinámicas se ha rellenado
admin@panorama-01> show object dynamic-address-group name TAC-Test-DAG

        device group name:shared
        address group name:TAC-Test-DAG
                members: total 2
                        TAC-Address-1 (O)
                        TAC-Address-2 (O)

O: address object; R: registered ip; D: dynamic group; S: static group
  • Después de una inserción de configuración a los firewalls, en el firewall se DAG muestra como vacío
admin@lab-fwl-01(active-primary)> show object dynamic-address-group name TAC-Test-DAG

Dynamic address groups in vsys vsys1:
----------------------------------------------------
----------------defined in vsys --------------------
        TAC-Test-DAG
                filter: 'TAC-Test-TAG'
                members: total 0
O: address object; R: registered ip; D: dynamic group; S: static group

 

Environment


  • Panorama con las versiones 9.1.12, 9.1.12-h3 y 10.1.4 de PanOS
  • Grupo dinámico de direcciones (DAG) Objetos que utilizan etiquetas para rellenar dinámicamente los DAG
  • Las reglas de los grupos de dispositivos hacen referencia a los DAG
  • Compartir direcciones no utilizadas y objetos de servicio con dispositivos está deshabilitado / desmarcado
  • Confirmación completa Panorama antes de una inserción de configuración de grupo de dispositivos

Cause


Regresión introducida por un cambio de código anterior para mejorar el procesamiento de confirmaciones.

Resolution


Arreglo:
  1. Para una corrección permanente, actualice Panorama a PAN-OS 9.1.12-h4 o 10.1.4-h1 y superior.
Solución alternativa:
  1. La solución consiste en realizar un pequeño cambio en /objects compartidos policyo en un cambio específico del grupo de dispositivos y realizar una confirmación parcial justo antes de la inserción de configuración. Tenga en cuenta que el problema se observa solo con una confirmación completa, Panorama pero no con una parcial.
Ejemplo:
  • En Panorama crear una dirección ficticia y agregarla a la prueba de grupo TAC-de direcciones dinámicas,DAG aplicando el archivo .tag
  • Luego ejecute una confirmación parcial y envíe la configuración a los firewalls. Por último, confirme que puede ver los miembros del DAGarchivo .
admin@panorama-01# commit partial device-and-network excluded

Commit job 3039 is in progress. Use Ctrl+C to return to command prompt
...13%..79%81%.......90%.....100%
Partial changes to commit: changes to configuration by all administrators

admin@lab-fwl-01(active-primary)> show object dynamic-address-group name TAC-Test-DAG
Dynamic address groups in vsys vsys1:
----------------------------------------------------
----------------defined in vsys --------------------
TAC-Test-DAG
filter: 'TAC-Test-TAG'
TAC-Address-1 (O)
TAC-Address-2 (O)
TAC-Address-3 (O)
TAC-Address-4 (O)

members: total 4
O: address object; R: registered ip; D: dynamic group; S: static group
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004Ma0CAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language