タグを使用してメンバーを設定する共有動的アドレス グループ オブジェクトは、後で管理されたファイアウォールで空になります。Panoramaデバイス グループのプッシュ。

タグを使用してメンバーを設定する共有動的アドレス グループ オブジェクトは、後で管理されたファイアウォールで空になります。Panoramaデバイス グループのプッシュ。

21811
Created On 12/16/21 16:06 PM - Last Modified 04/22/24 21:58 PM


Symptom


  • の上Panorama動的アドレス グループが設定されていることが確認されます
admin@panorama-01> show object dynamic-address-group name TAC-Test-DAG

        device group name:shared
        address group name:TAC-Test-DAG
                members: total 2
                        TAC-Address-1 (O)
                        TAC-Address-2 (O)

O: address object; R: registered ip; D: dynamic group; S: static group
  • ファイアウォールへの構成プッシュの後、firewallのDAG空として表示されます
admin@lab-fwl-01(active-primary)> show object dynamic-address-group name TAC-Test-DAG

Dynamic address groups in vsys vsys1:
----------------------------------------------------
----------------defined in vsys --------------------
        TAC-Test-DAG
                filter: 'TAC-Test-TAG'
                members: total 0
O: address object; R: registered ip; D: dynamic group; S: static group

 

Environment


  • Panorama PanOS バージョン 9.1.12、9.1.12-h3、および 10.1.4 を実行している
  • ダイナミック アドレス グループ (DAG ) タグを使用して DAG を動的に設定するオブジェクト
  • DAG は、デバイス グループのルールによって参照されます
  • [未使用のアドレスとサービス オブジェクトをデバイスと共有する] が無効/チェックされていない
  • 満杯Panoramaデバイス グループの設定をプッシュする前にコミットする

Cause


コミット処理を改善するための以前のコード変更によって導入された回帰。

Resolution


修理:
  1. 恒久的な修正を行うには、アップグレードしてくださいPanoramaにPAN-OS9.1.12-h4 または 10.1.4-h1 以降。
回避策:
  1. 回避策は、いずれかの共有に小さな変更を加えることですpolicy/objects またはデバイス グループ固有の変更を行い、構成プッシュの直前に部分的なコミットを実行します。 この問題は、完全なPanoramaコミットしますが、部分的なものではありません。
例:
  • の上Panoramaダミー アドレスを作成し、ダイナミック アドレス グループに追加します。TAC-テスト-DAG正しく適用することでtag.
  • 次に、部分的なコミットを実行し、構成をファイアウォールにプッシュします。 最後に、のメンバーが表示されることを確認します。DAG .
admin@panorama-01# commit partial device-and-network excluded

Commit job 3039 is in progress. Use Ctrl+C to return to command prompt
...13%..79%81%.......90%.....100%
Partial changes to commit: changes to configuration by all administrators

admin@lab-fwl-01(active-primary)> show object dynamic-address-group name TAC-Test-DAG
Dynamic address groups in vsys vsys1:
----------------------------------------------------
----------------defined in vsys --------------------
TAC-Test-DAG
filter: 'TAC-Test-TAG'
TAC-Address-1 (O)
TAC-Address-2 (O)
TAC-Address-3 (O)
TAC-Address-4 (O)

members: total 4
O: address object; R: registered ip; D: dynamic group; S: static group
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004Ma0CAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language