Eine Edge-Firewallregel wird ungültig, wenn die Gruppierung von Objekten, Diensten oder Dienstgruppen, die in der Regel verwendet werden, gelöscht wird. Ungültige Firewallregeln können nicht veröffentlicht werden.

Beachten Sie, dass Sie eine Edge-Firewallregel erstellt haben, die ein IP-Set-Objekt im Ziel der Regel verwendet, wie in der folgenden Abbildung dargestellt.


Abbildung zeigt eine Edge-Firewallregel, die ein IP Set-Objekt in der Zielspalte der Regel verwendet.

Wenn Sie die folgende Vorgehensweise befolgen, löschen Sie das Objekt „FW-IPset“ auf dem Edge und kehren dann zur Firewall-Tabelle zurück, um zu festzustellen, dass NSX Edge die ungültige Regel erkennt. Sie markieren die Regel als gültig und veröffentlichen die Regel erneut.

Prozedur

  1. Erzwingen Sie das Löschen des IP-Set-Objekts auf dem Edge.
    1. Melden Sie sich beim vSphere Web Client an.
    2. Klicken Sie auf Netzwerk und Sicherheit > NSX Edges
    3. Doppelklicken Sie auf das Edge und navigieren Sie zu Verwalten > Gruppieren von Objekten.
    4. Klicken Sie auf die Registerkarte IP Sets und wählen Sie dann das Objekt FW-IPSet aus.
    5. Klicken Sie auf das Symbol Löschen (Symbol „Löschen“ in HTML5 oder Symbol „Löschen“ in der Flex-Benutzeroberfläche.) und aktivieren Sie dann das Kontrollkästchen Mit „Löschen erzwingen“ fortfahren .
  2. Klicken Sie auf die Registerkarte Firewall, um zur Edge-Firewall-Tabelle zurückzukehren.
  3. Beachten Sie, dass in NSX die folgende Fehlermeldung oberhalb der Firewall-Tabelle angezeigt wird.

    Fehlermeldung zeigt die Position des ungültigen Objekts in der Firewallregel an.
    NSX Edge erkennt, dass das Ziel der Firewallregel an Position 4 ungültig ist. Aus diesem Grund wird die Regel ungültig. Das leere Objekt in der Zielspalte der Regel ist in einem roten Feld eingeschlossen, wie in der folgenden Abbildung dargestellt.

    Abbildung zeigt ein leeres Objekt in der Firewallregel, eingeschlossen in einem roten Feld.
  4. (Erforderlich) Entfernen Sie das leere Objekt.
    NSX-Version Schritte
    6.4.6 und höher Fahren Sie mit dem Mauszeiger über das leere Objekt sys-gen-empty-ipset-edge-fw, klicken Sie auf das Symbol mit drei Punkten und wählen Sie dann Entfernen aus.
    6.4.5 und früher Fahren Sie mit dem Mauszeiger über das leere Objekt sys-gen-empty-ipset-edge-fw und klicken Sie auf das Symbol Löschen.
  5. (Optional) Bearbeiten Sie das Regelziel, um die Regelkonfiguration gültig zu machen.
    NSX-Version Schritte
    6.4.6 und höher
    1. Fahren Sie mit der Maus über die Spalte Ziel der Regel, klicken Sie auf das Symbol mit drei Punkten und wählen Sie Regelziel bearbeiten aus.
    2. Fügen Sie nach Bedarf Objekte oder IP-Adressen hinzu.
    6.4.5 und früher
    1. Zeigen Sie auf die Spalte Ziel der Regel, und klicken Sie auf das Symbol Bearbeiten.
    2. Fügen Sie nach Bedarf Objekte oder IP-Adressen hinzu.
  6. (nur 6.4.6 und höher) Klicken Sie auf den Link Regel als gültig markieren in der Fehlermeldung.
    NSX Edge zeigt die folgende Warnmeldung an: 
    This action will mark rule as valid.
Please ensure that all elements in the rule are valid objects before performing this action.
Do you want to continue?
    • Um zu bestätigen, dass die Regel als gültig markiert werden kann, klicken Sie auf Ja. Die Fehlermeldung wird entfernt.
    • Um die Warnmeldung zu schließen und zur Firewall-Tabelle zurückzukehren, damit Sie das Regelziel überprüfen und bearbeiten können, klicken Sie auf Nein.
    Hinweis: In NSX 6.4.5 und früher zeigt die Fehlermeldung oberhalb der Firewall-Tabelle den Link Regel als gültig markieren nicht an. Nachdem Sie das leere Objekt entfernt und optional das Regelziel bearbeitet haben, entfernt NSX Edge die Fehlermeldung, wenn erkannt wird, dass die Regelkonfiguration gültig ist.
  7. Klicken Sie auf Änderungen veröffentlichen, damit die Regeländerungen wirksam werden.