Échec de validation dû à l'erreur « negate ne peut pas être oui pour 'tout' dans la source/destination » dans une sécurité Policy
10752
Created On 06/09/22 02:58 AM - Last Modified 05/09/23 08:17 AM
Symptom
Échec de validation dû à l'annulation combinée avec « any » dans la source/destination.
. Error: negate cannot be yes for 'any' in source/destination . Error: Failed to parse security policy . (Module: device) . Commit failed
Environment
- Firewall
- Firewall Gérée par Panorama
Cause
La sécurité Policy est configurée avec negate défini sur « yes » qui n’est pas autorisé lorsque « any » est configuré dans la source / destination. Cette erreur de configuration peut apparaître dans n'importe laquelle des stratégies avec la condition 'negate' et 'any'.
- Règles de sécurité
- stratégies de déchiffrement
- NAT
- QOS policy
Resolution
- Trouvez toutes les stratégies de sécurité avec « tout » dans Source et Destination et voyez si l'option « annuler » est activée .
- Une fois que vous avez trouvé la règle avec negate et 'any', supprimez l'option negate qui, dans la plupart des cas, est activée par erreur.
- Une autre façon de trouver la règle à l’origine du problème consiste à faire « Prévisualiser les modifications » pour trouver la règle avec negate-source yes et source any comme mentionné dans l’image ci-dessous.
- S’il s’agit d’une configuration poussée à partir de , faites une option de comparaison avant d’envoyer la configuration et recherchez la règle en fonction de panoramala différence avec la configuration existante et la nouvelle configuration.
- Cliquez sur Push to Devices > Modifier la sélection > cliquez sur Preview Changes pour le firewall vers lequel nous essayons de pousser.