IPインターフェイスを使用して GRE 、9.0 以上からのパススルー トラフィックを変換することはできますか PAN-OS ?

• インターフェイス IP を使用 NAT policy して GRE PAN-OS 、9.0 以降のパススルー トラフィックを変換できますか。

• PAN-OS バージョン 9.0 以上
• Firewall は、トラフィックのパススルー デバイスとしてのみ機能しています GRE
• NAT firewallインターフェイス アドレスを使用して IP 設定

• PAN-OS9.0 以降は firewall GRE トンネリングをサポートします。したがって、 firewall 終了ポイントの1つとして機能することができます GRE 。
• パススルー GRE トラフィックをインターフェイス アドレスに変換すると IP 、 firewall 受信パケットはドロップされます GRE 。
• この問題は、 firewall パケットが自己のパケットであると見なし、パススルー トラフィックの設定がない場合 GRE にパケットをドロップするため firewall です。
• この問題は PAN-OS 、トンネリングをサポートしているので、バージョン 9.0 以上でのみ発生 GRE します。
• トラフィックのグローバル カウンタを収集すると、以下のエラーが増加します。 グローバルカウンターの収集方法を説明するグローバルカウンターを参照することができます。

admin@Lab80-156-PA-VM> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 2.629 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
flow_gre_tunnel_decap_not_found            1        0 drop      flow      tunnel    GRE Tunnel IPs don't match configuration
appid_ident_by_ip                          1        0 info      appid     pktproc   Application identified by ip protocol

• デバイスが 9.0 より低 PAN-OS いバージョンの場合、このセットアップは機能します。
• パススルー GRE トラフィックをインターフェイス以外の何らかの方法に変換 IP IP して、問題を解決できます。