从全景到防火墙的选择性配置推送已由另一位管理员删除/恢复配置
8624
Created On 05/29/24 21:27 PM - Last Modified 01/07/25 10:26 AM
Symptom
Panorama 的选择性 DG 推送删除或恢复了另一个管理员推送的另一个配置。
Environment
- Panorama 管理防火墙
- 支持的 PAN OS
- 模板 (TPL) 和设备组 (DG)
- 选择性推送
Cause
- 通过一个例子来解释细节。
- Panorama 有设备组 TEST1-DG、TEST2-DG 和 TEST3-DG。
- 配置由 admin1 更新并推送至 TEST1-DG 和 TEST2-DG。此处修改了这些设备组的最后一个同步版本。
- 由于 TEST3-DG 没有发生变化,因此它保留了旧的最后同步版本。
- TEST3-DG 的最后一个同步版本被视为基础版本。
- 当另一个管理员(例如 admin2)进行更改并将更改推送到所有三个 DG 时,基本配置从 TEST3-DG 设置,并且新更改将应用于所有三个设备组。
- 在这种情况下,对 TEST1-DG 和 TEST2-DG 所做的更改将被新的推送覆盖。
Resolution
- 该问题已在 PAN-OS 版本 10.2.11、11.1.5、11.2.3 及更高版本中得到解决。
- 由于该缺陷是在内部发现的,因此该问题未记录在发行说明中。
- 升级到上述版本将解决该问题。
解决方法:
- 在进行选择性推送之前,确认所有 DG/TPL 均已同步,或者
- 首先执行完整推送,使 DG 和模板同步。
- 然后然后继续进行选择性推动。