Panorama ベースのソフトウェア ファイアウォール ライセンス管理を使用してVM-Seriesファイアウォールをブートストラップした後、Panorama 構成プッシュが失敗する
3450
Created On 10/31/23 05:21 AM - Last Modified 01/07/25 05:31 AM
Symptom
- Bootstrap は古いコンテンツ バージョンで完了します。
- Panorama からプッシュされた構成は、 URLフィルタリングプロファイルで使用される「artificial-intelligence」 URLカテゴリなどの新しいURLカテゴリが原因で、検証エラーで失敗します。
Details:
. Validation Error:
. profiles -> url-filtering -> <url_filtering_profile_name> -> credential-enforcement -> block 'artificial-intelligence' is not a valid reference
. profiles -> url-filtering -> <url_filtering_profile_name> -> credential-enforcement -> block is invalid
. Commit failed
- ファイアウォールの configd.log ( less mp-log configd.log ) に、「有効な脅威防止ライセンスがありません」というメッセージが表示されます。
-0700 Error: _pan_mgmtop_content_upgrade_install_file(pan_ops_content.c:6100): Command /usr/local/bin/md_batch -s -p 10 -o/tmp/.xml_string.140500741478144.1119577751 content_install /usr/local/bin/paninstaller.sh -r -tcontent -f/opt/pancfg/mgmt/content-images/panupv2-all-contents-8768-8354 -d/opt/pancfg/mgmt/content-images -o/opt/pancfg/mgmt/updates/curcontent -n/opt/pancfg/mgmt/updates/newcontent return failure, sys_rc=-256, with the following message:encfilesize is 83306576
No threat content update is applied. No valid Threat prevention license.
exiting with 255
...
-0700 Error: pan_schema_verify_set_constraints(pan_schema_verify.c:327): 'artificial-intelligence' is not a valid reference near line 0
-0700 Error: _pan_schema_verify_node(pan_schema_obj.c:7726): is invalid , node: alert near line 5243
-0700 Error: pan_cfg_verify_ex(pan_cfg_commit_handler.c:2996): invalid configuration. Schema verification failed.
Environment
- PAN OS 10.2.x を実行している Panorama。
- VM-Seriesファイアウォールのブートストラップ方式は基本的な設定です。
- Panorama ベースのソフトウェア ファイアウォール ライセンス プラグインによるライセンスの展開。
- VM-FLEX ライセンス タイプ。
Cause
- Panorama ベースのソフトウェア ファイアウォール ライセンス プラグインを使用してライセンスを展開する場合、ファイアウォールライセンスはブートストラップが完了した後に展開されます。
- 脅威防御ライセンスがまだ更新されていないため (ブートストラップ プロセスが進行中)、コンテンツ バージョンは更新されません。
- この設定のため、コンテンツの新しいカテゴリが利用できない場合はプッシュが失敗します。
Resolution
- 「 ソフトウェアデバイスが Panorama に登録されたときにコンテンツを自動的にプッシュする」設定オプションを使用します。
- これは、コンテンツ バージョンを更新するために PAN OS 10.2 以降に導入されました。
- これを有効にすると、ブートストラップが完了し、ファイアウォールに有効なライセンスがあり、Panorama 構成がプッシュされる前に、コンテンツ バージョンが更新されることが保証されます。
- 最初の接続時に最新の動的コンテンツ更新をVM-SeriesおよびCNシリーズ ファイアウォールに自動的にプッシュするように Panorama をコンフィグには、次の手順に従います。
- [Panorama] > [テンプレート]を選択し、 VM-SeriesおよびCNシリーズのファイアウォール設定を含むテンプレート スタックをクリックします。
- ソフトウェアデバイスが Panorama に登録されたときにコンテンツを自動的にプッシュするをチェック (有効化) します。
- [Ok]をクリックします。
この方法では、 VM-Seriesファイアウォール用の既存のテンプレート スタックが必要です。