La configuración enviada al panorama de PANOS 11.1 no se desinfectó al retirar el cortafuegos de Panorama
Symptom
Pasos de replicación:
1. Se agrega un cortafuegos a panorama1 y se conecta a él. La configuración se envía mediante una pila de plantillas llamada tpl-1.
2. La configuración de panorama se elimina del cortafuegos:
2.1. "Deshabilitar la política y los objetos de Panorama" con la opción "Importar la política y los objetos de Panorama antes de deshabilitar" marcada.
2.2. "Desactivar plantilla de dispositivo y red" con la opción "Importar plantilla de dispositivo y red antes de desactivar" marcada.
2.3. Dirección IP panorámica/es
2.4. compilar en el cortafuegos
2.5. "exportar instantánea de configuración con nombre" o "exportar estado del dispositivo " a un archivo local para su inspección
Verifique la configuración XML del cortafuegos desde el paso 2.5.:
- PANOS 10.2.x no muestra ninguna señal de la plantilla 'tpl-1' en el archivo xml
- PANOS 11.1.x muestra la plantilla "tpl-1" como parte de la configuración en el archivo XML. Esto no parece afectar a los firewalls, ya que muestra la configuración de la plantilla como local. Sin embargo, al importar el cortafuegos y su configuración a otro Panorama, todas las configuraciones en la pestaña Red y Dispositivo (provenientes de la plantilla a la que se importó la configuración del dispositivo) se refieren a "tpl-1", lo que las convierte en configuraciones de solo lectura.
Esto se aplica a 11.1.x, pero no parece afectar a 10.2.x.
Environment
- NGFW
- Panorama:
- PANOS 11.1.x - afectado
- PANOS 10.2.x - no afectado
Cause
La información de la plantilla no se elimina de la configuración enviada desde Panorama al cortafuegos cuando se convierte la configuración enviada desde Panorama a local durante el proceso de salida del firewall de Panorama.
En este punto, el problema es cosmético: el cortafuegos ignora la etiqueta de plantilla en el archivo de configuración XML.
Más tarde, cuando el cortafuegos se incorpora al mismo panorama o a otro, Panorama respeta la etiqueta de plantilla y la refleja en la configuración.
Resolution
Actualización de Panorama a la versión corregida. Aún no se ha publicado.
Additional Information
Se puede realizar la edición manual del archivo XML para eliminar la etiqueta de plantilla del archivo de configuración XML, una vez que se haya desactivado el cortafuegos .