Commit mit Fehler "überschreitet die maximale Anzahl von App/Service 128"
5503
Created On 12/03/20 08:34 AM - Last Modified 07/22/23 03:41 AM
Symptom
In bestimmten Situationen können wir sehen, commit scheitert mit dem Fehler unten:
Fehler: Regel [exceed-max-number-app-test] überschreitet die maximale Anzahl von app/service 128
Fehler: Fehler beim Analysieren der Sicherheit policy
(Modul: Gerät)
Von diesem Commit-Fehler können wir verstehen, dass wir die maximale Anzahl der zulässigen Anwendung und/oder Dienste für Regel mit dem Namen 'exceed-max-number-app-test' überschritten haben.
Environment
jegliche PAN-OS firewall
Cause
Die maximale Anzahl von ONLY App/Diensten wird erzwungen, wenn für einen Objektdienst in der Regel die Sitzungstimeout-Überschreibung aktiviert ist.
Beispiel für Dienstobjekt mit aktivierter Sitzungszeitüberschreitung und geändertem Standardzeitgeber: Wenn die
Außerkraftsetzung für einen Dienst aktiviert ist, wird app/service mit der folgenden Formel gezählt:
Summe (Anzahl src_port * Anzahl der dst_port) in der policy * Anzahl der Apps in der policy
Notiz: Wenn die Anwendung auf eine festgelegt ist, wird sie als 1 App gezählt.
Resolution
1. Deaktivieren Sie die Sitzungstimeout-Überschreibung, falls für Ihre Umgebung zutreffend. Der Dienst ohne Außerkraftsetzung unterliegt nicht dieser Einschränkung.
2. Erlauben Sie dem Datenverkehr in mehreren Sicherheitsregeln, das Limit von 128 App/Service pro Regel zu überwinden.