PANOS 11.1 Panorama-Push-Konfiguration wird beim Offboarding der Firewall von Panorama nicht bereinigt

PANOS 11.1 Panorama-Push-Konfiguration wird beim Offboarding der Firewall von Panorama nicht bereinigt

1399
Created On 05/06/25 15:07 PM - Last Modified 11/07/25 20:56 PM


Symptom


Replikationsschritte:
1. Die Firewall wird zu Panorama1 hinzugefügt und mit diesem verbunden. Die Konfiguration wird über den Vorlagen-Stapel namens tpl-1 übertragen.
2. Panorama Konfiguration wird aus der Firewall entfernt:
2.1. „Panorama-Richtlinien und -Objekte deaktivieren“ mit aktiviertem „Panorama-Richtlinien und -Objekte vor dem Deaktivieren importieren“
2.2. „Geräte- und Netzwerkvorlage deaktivieren“ mit aktivierter Option „Geräte- und Netzwerkvorlage vor der Deaktivierung importieren“
2.3. Panorama- IP-Adresse/es
2.4. ausführen auf der Firewall
2.5. „Benannten Konfiguration Snapshot exportieren“ oder „ Gerät exportieren“ zur Überprüfung in eine lokale Datei

Überprüfen Sie die Firewall XML Konfiguration aus Schritt 2.5.:

  • PANOS 10.2.x zeigt keine Anzeichen der Vorlage 'tpl-1' in der XML-Datei
  • PANOS 11.1.x zeigt die Vorlage „tpl-1“ als Teil der Konfiguration in der XML-Datei an. Dies scheint die Firewalls nicht zu beeinträchtigen, da die Konfiguration aus der Vorlage als lokal angezeigt wird. Wenn jedoch die Firewall und ihre Konfiguration in ein anderes Panorama importiert werden, beziehen sich alle Konfigurationen auf der Registerkarte „Netzwerk und Gerät“ (aus der Vorlage , in die die Konfiguration importiert wurde) auf „tpl-1“, wodurch diese Konfigurationen Leseberechtigung sind.

Dies gilt für 11.1.x, scheint aber keine Auswirkungen auf 10.2.x zu haben

Environment


  • NGFW
  • Panorama:
    • PANOS 11.1.x – betroffen
    • PANOS 10.2.x – nicht betroffen

Cause


Vorlageninformationen werden nicht aus der von Panorama an die Firewall gesendeten Konfiguration entfernt, wenn die von Panorama gesendete Konfiguration während des Offboarding-Prozesses der Firewall vom Panorama in eine lokale Konfiguration konvertiert wird.

An diesem Punkt ist das Problem kosmetischer Natur – die Firewall ignoriert das Vorlage in der XML-Konfigurationsdatei.

Wenn die Firewall später in dasselbe oder ein anderes Panorama integriert wird, wird das Vorlage markieren von Panorama berücksichtigt und in der Konfiguration berücksichtigt.

Resolution


Upgrade des Panoramas auf die Fix-Version. Es ist noch nicht veröffentlicht

Additional Information


Eine manuelle XML-Dateibearbeitung kann durchgeführt werden, um das Vorlage markieren aus der XML- Konfigurationsfile zu entfernen, sobald die Firewall aus dem System entfernt wurde.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA1Ki000000blPMKAY&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language