我们可以使用接口 IP 来翻译 GRE PAN-OS 9.0 或以上的直通流量吗？

• 我们可以 IP 在 NAT policy GRE 9.0以后使用接口来翻译直通流量 PAN-OS 吗？

• PAN-OS 版本9.0或以上
• Firewall 仅作为交通的直通设备 GRE
• NAT 在 firewall 使用界面地址时配置 IP

• 从 PAN-OS 9.0 开始 firewall 支持 GRE 隧道。因此， firewall 可以作为终止点之一工作 GRE 。
• 如果我们将直通 GRE 流量转换为接口 IP 地址，则 firewall 接收 GRE 数据包将丢弃。
• 问题之所以被看到，是因为 firewall 认为数据包是为自己准备的，当数据包上没有配置时， GRE firewall 就会丢弃数据包，因为它是一个直通流量。
• 此问题仅在版本 PAN-OS 9.0 或以上中看到，因为它支持 GRE 隧道。
• 如果我们收集流量的全局计数器，我们将看到下面的错误被递增。 您可以参考全局计数器，其中说明如何收集全局计数器。

admin@Lab80-156-PA-VM> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 2.629 seconds

name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------
flow_gre_tunnel_decap_not_found            1        0 drop      flow      tunnel    GRE Tunnel IPs don't match configuration
appid_ident_by_ip                          1        0 info      appid     pktproc   Application identified by ip protocol

• 如果设备位于 9.0 PAN-OS 版本以下，此设置将起作用。
• 您可以将直通 GRE 流量转换为 IP 界面以外的其他流量 IP 以解决问题。