Panorama 推送到托管防火墙失败,出现验证错误:'<application name>' 已在使用中
28454
Created On 09/14/22 18:18 PM - Last Modified 05/09/23 05:54 AM
Symptom
- 这Panorama推送将失败,并出现特定 <application name> 的以下验证错误:
Operation Commit All
Status Completed
Result Failed
Details
Validation Error:
vsys -> vsys1 -> application-status -> '<application name >'-uploading' is already in use
vsys -> vsys1 -> application-status is invalid
Commit failed
- 以下特定 <应用程序名称> 的错误将显示在 configd.log 中(少 mp-log configd.log )
Error: pan_schema_verify_set_constraints(pan_schema_verify.c:374): '<application name >' is already in use near line <line number >
Environment
- Panorama 和PAN-OS10.1
- 管理Firewall和PAN-OS10.1
Resolution
- 使用以下命令检查应用程序状态
> request get-application-status application <application name>
- 结果将显示共享和 vsys 级别的应用程序启用/禁用状态(设备组在panorama)
Panorama:
M-200> request get-application-status application powtoon-uploading
Application : powtoon-uploading
Device-Group Status Location
------------------------------------------------------
shared enabled shared
vsys1 disabled shared
Firewall :
PA-7080> request get-application-status application powtoon-uploading
Application : powtoon-uploading
Vsys Status Location
------------------------------------------------------
shared disabled shared
vsys1 disabled vsys1
- 成功取决于申请状态panorama和管理firewall, push 会有 16 种可能的组合:
| 申请状态 | Panorama: 共享启用 | Panorama: 共享禁用 | Panorama: 共享禁用 | Panorama 共享启用 |
Firewall: 共享启用 | 成功的 | 成功的 | 成功的 | 成功的 |
Firewall: 共享禁用 | 成功的 | 成功的 | 成功的 | 成功的 |
Firewall: 共享禁用 | 成功的 | 成功的 | 失败的 | 失败的 |
Firewall: 共享启用 | 失败的 | 成功的 | 成功的 | 成功的 |
- 您可以更改目标 vsys 中的应用程序状态GUI下访问对象 > 应用程序(同在panorama设备组)
- 启用或禁用共享设备组上的应用程序必须使用CLI下面列出的命令。
> request set-application-status-recursive application *application name* status *enabled/disabled*