Groupe d’adresses dynamiques partagé Les objets qui utilisent des balises pour remplir les membres sont vides sur les pare-feu gérés après Panorama l’envoi du groupe d’appareils.

• Il Panorama est confirmé que le groupe d’adresses dynamiques est rempli

admin@panorama-01> show object dynamic-address-group name TAC-Test-DAG

        device group name:shared
        address group name:TAC-Test-DAG
                members: total 2
                        TAC-Address-1 (O)
                        TAC-Address-2 (O)

O: address object; R: registered ip; D: dynamic group; S: static group

• Après une poussée de configuration vers les pare-feu, sur le firewall le affiche DAG comme vide

admin@lab-fwl-01(active-primary)> show object dynamic-address-group name TAC-Test-DAG

Dynamic address groups in vsys vsys1:
----------------------------------------------------
----------------defined in vsys --------------------
        TAC-Test-DAG
                filter: 'TAC-Test-TAG'
                members: total 0
O: address object; R: registered ip; D: dynamic group; S: static group

• Panorama exécution des versions PanOS 9.1.12, 9.1.12-h3 et 10.1.4
• Groupe d’adresses dynamique (DAG) Objets qui utilisent des balises pour remplir dynamiquement les DAG
• Les DAG sont référencés par des règles dans Device Groups
• Partager l’adresse inutilisée et les objets de service avec les appareils est désactivé / désactivé
• Validation complète Panorama avant une poussée de configuration de groupe de périphériques

1. Pour une correction permanente, effectuez une mise à niveau Panorama vers PAN-OS 9.1.12-h4 ou 10.1.4-h1 et versions ultérieures.

2. La solution consiste à apporter une petite modification aux /objects partagés policyou à une modification spécifique au groupe de périphériques et à effectuer une validation partielle juste avant la poussée de configuration. Notez que le problème n’est observé qu’avec une validation complète Panorama , mais pas avec une validation partielle.

• On Panorama crée une adresse factice et ajoute-la au test du groupe TAC-d’adresses dynamique enDAG appliquant le fichier tag.
• Ensuite, exécutez une validation partielle et poussez la configuration vers les pare-feu. Enfin, vérifiez que vous pouvez voir les membres du DAGfichier .

admin@panorama-01# commit partial device-and-network excluded

Commit job 3039 is in progress. Use Ctrl+C to return to command prompt
...13%..79%81%.......90%.....100%
Partial changes to commit: changes to configuration by all administrators

admin@lab-fwl-01(active-primary)> show object dynamic-address-group name TAC-Test-DAG
Dynamic address groups in vsys vsys1:
----------------------------------------------------
----------------defined in vsys --------------------
TAC-Test-DAG
filter: 'TAC-Test-TAG'
TAC-Address-1 (O)
TAC-Address-2 (O)
TAC-Address-3 (O)
TAC-Address-4 (O)

members: total 4
O: address object; R: registered ip; D: dynamic group; S: static group