【Paloalto】動的アドレスグループを設定してみた

Paloalto Paloalto

アドレスグループは、IPアドレスやFQDNを含むアドレスオブジェクトを1つのオブジェクトとして利用するようにできる機能です。

アドレスグループには以下の2つの設定方法があります。

  • 静的(スタティック):アドレスオブジェクトを手動で選択して設定する方法
  • 動的(ダイナミック):アドレスオブジェクトをグルーピングする方法

今回は動的(ダイナミック)の設定について試してみました。

PAN-OSは 10.2.3 を利用しています。

広告

動的アドレスグループを設定する

動的アドレスグループはアドレスオブジェクトに付与されたタグをもとに自動的にグルーピングします。

なので最初にアドレスオブジェクトにタグを設定することが必要です。

事前準備:アドレスオブジェクトにタグをつける

上述の通り、動的なアドレスグループを設定するためにはアドレスオブジェクトにタグを設定する必要があります。

・アドレスオブジェクトの「タグ」欄にタグを追加します。
 今回は「tag1」というタグを設定しています。

アドレスオブジェクトの「タグ」欄にタグを追加

今回はアドレスオブジェクトを2つ用意します。

アドレスオブジェクトを2つ用意

アドレスグループを設定する

1.「OBJECTS」タブから「アドレスグループ」を選択して、下部の「追加」をクリックします。

「OBJECTS」タブから「アドレスグループ」を選択して、下部の「追加」をクリック

2.設定画面が出てくるので「名前」を記載し、「タイプ」を [ダイナミック] として「条件の追加」をクリックします。

設定画面が出てくるので「名前」を記載し、「タイプ」を [ダイナミック] として「条件の追加」をクリック

3.タグの選択画面が出てくるので該当タグの横にある「+」をクリックします。
  クリック後、右の設定画面にタグが追加されます。

タグの選択画面が出てくるので該当タグの横にある「+」をクリック

3.最後に「OK」をクリックします。

最後に「OK」をクリック

これで動的アドレスグループの設定は完了です。

[注意点] コミット完了までメンバーは反映されない

動的アドレスグループのメンバーはコミットが完了するまで反映されません

動的アドレスグループ作成後に、コミット前に「詳細」をクリックしてメンバーを確認してみます。

コミット前に「詳細」をクリックしてメンバーを確認

すると、以下の通りメンバーは存在しない状態となっています。
画面のリロードでも反映はされません。

コミット前ではメンバーが存在しない状態

コミットしてから再度確認をしてみると、メンバーが反映されています。

コミットしてから再度確認をしてみると、メンバーが反映されている

メンバーが追加されたかどうかはコミット後にしか確認ができないのでその部分は少し注意が必要かなと思いました。

動的アドレスグループを CLI で設定する方法

CLI で動的に設定する方法もまとめておきます。

登録するタグが引数として必要になります。
web コンソールで設定するときと異なり、タグは事前に存在しなくても設定が可能です。

set address-group <アドレスグループオブジェクト名> dynamic filter <タグ名>

・記載例

set address-group address-group-2 dynamic filter tag2

[参考] タグ自身の編集も可能

タグも個別のリソースとして新規作成・編集することが可能です。

「OBJECTS」タブから「タグ」を選択して、下部の「追加」をクリックします。

「OBJECTS」タブから「タグ」を選択して、下部の「追加」をクリック

・「名前」「カラー」「コメント」を入力して作成可能です。
 必須入力項目は「名前」(タグ名)のみです。

「名前」「カラー」「コメント」を入力して作成可能
タイトルとURLをコピーしました