Commit-Fehler aufgrund des Fehlers "negieren kann nicht für 'irgendein' in Quelle/Ziel ja sein" in einer Sicherheit Policy
10736
Created On 06/09/22 02:58 AM - Last Modified 05/09/23 08:17 AM
Symptom
Commit-Fehler aufgrund von negate in Kombination mit 'any' in source/destination.
. Error: negate cannot be yes for 'any' in source/destination . Error: Failed to parse security policy . (Module: device) . Commit failed
Environment
- Firewall
- Firewall verwaltet von Panorama
Cause
Die Sicherheit Policy wird so konfiguriert, dass negate auf "yes" festgelegt ist, was nicht zulässig ist, wenn "any" in der Quelle/dem Ziel konfiguriert ist. Dieser Konfigurationsfehler kann in jeder der Richtlinien mit der Bedingung "negate" und "any" auftreten.
- Sicherheitsregeln
- Entschlüsselungsrichtlinien
- NAT
- QOS policy
Resolution
- Suchen Sie alle Sicherheitsrichtlinien mit "any" in Source and Destination und prüfen Sie, ob die Option "negieren" aktiviert ist.
- Sobald Sie die Regel mit negate und 'any' gefunden haben, entfernen Sie die Negate-Option, die in den meisten Fällen versehentlich aktiviert ist.
- Eine andere Möglichkeit, die Regel zu finden, die das Problem verursacht, besteht darin, "Vorschau der Änderungen" durchzuführen, um die Regel mit negate-source yes zu finden und eine beliebige Quelle zu finden, wie in der Abbildung unten erwähnt.
- Wenn dies für die Konfiguration gilt, die von gepusht wird panorama, führen Sie eine Vergleichsoption aus, bevor Sie die Konfiguration pushen, und suchen Sie die Regel basierend auf der Differenz zwischen der vorhandenen und der neuen Konfiguration.
- Klicken Sie auf Push-to-Geräte > Auswahl bearbeiten > klicken Sie auf Vorschau der Änderungen für das Ziel, auf das firewall wir pushen möchten.