使用基于 Panorama 的软件防火墙许可证管理引导VM-Series防火墙后,Panorama 配置推送失败

使用基于 Panorama 的软件防火墙许可证管理引导VM-Series防火墙后,Panorama 配置推送失败

3452
Created On 10/31/23 05:21 AM - Last Modified 01/07/25 05:32 AM


Symptom


  • Bootstrap 已使用旧的内容版本完成。
  • 由于较新的URL类别(例如, URL 过滤配置文件中使用的“人工智能” URL类别),从 Panorama 推送的配置因验证错误而失败。
Details:
. Validation Error:
. profiles -> url-filtering -> <url_filtering_profile_name> -> credential-enforcement -> block 'artificial-intelligence' is not a valid reference
. profiles -> url-filtering -> <url_filtering_profile_name> -> credential-enforcement -> block is invalid
. Commit failed
  • 在防火墙的 configd.log( less mp-log configd.log )上,显示“没有有效的威胁防护许可证”消息。
-0700 Error: _pan_mgmtop_content_upgrade_install_file(pan_ops_content.c:6100): Command /usr/local/bin/md_batch -s -p 10 -o/tmp/.xml_string.140500741478144.1119577751 content_install /usr/local/bin/paninstaller.sh -r -tcontent -f/opt/pancfg/mgmt/content-images/panupv2-all-contents-8768-8354 -d/opt/pancfg/mgmt/content-images -o/opt/pancfg/mgmt/updates/curcontent -n/opt/pancfg/mgmt/updates/newcontent return failure, sys_rc=-256, with the following message:encfilesize is 83306576
No threat content update is applied. No valid Threat prevention license.
exiting with 255
...
-0700 Error:  pan_schema_verify_set_constraints(pan_schema_verify.c:327): 'artificial-intelligence' is not a valid reference near line 0
-0700 Error:  _pan_schema_verify_node(pan_schema_obj.c:7726): is invalid , node: alert near line 5243
-0700 Error:  pan_cfg_verify_ex(pan_cfg_commit_handler.c:2996): invalid configuration. Schema verification failed.


Environment


  • Panorama 运行 PAN OS 10.2.x。
  • VM-Series防火墙引导方法是基本配置。
  • 通过基于 Panorama 的软件防火墙许可证插件进行许可证部署。
  • VM-FLEX 许可类型。

Cause


  • 使用基于 Panorama 的软件防火墙许可证插件部署许可证时,防火墙许可证在引导完成后部署。
  • 由于威胁预防许可证尚未更新(引导过程正在进行中),因此内容版本未更新。
  • 由于此配置,当内容中较新的类别不可用时,推送会失败。

Resolution


  1. 使用设置“ 当软件设备注册到 Panorama 时自动推送内容”选项。
  2. 自 PAN OS 10.2 以来已引入此功能以更新内容版本。
  3. 启用此功能可确保在引导完成之后、防火墙具有有效许可证以及在 Panorama 配置推送之前更新内容版本。
  4. 要将 Panorama配置为在首次连接时自动将最新的动态内容更新推送到VM-Series和CN系列防火墙,请按照以下步骤操作:
    1. 选择Panorama > 模板,然后单击包含VM-Series和CN系列防火墙配置的模板堆栈。
    2. 勾选(启用)当软件设备注册到 Panorama 时自动推送内容
    3. 单击“OK”

此方法需要VM-Series防火墙的现有模板堆栈。

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xh5SCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language