DotW: GlobalProtect no pasa el tráfico

DotW: GlobalProtect no pasa el tráfico

11550
Created On 09/25/18 19:22 PM - Last Modified 06/12/23 16:04 PM


Resolution


DOTW. png

 

La discusión de esta semana se centra en el usuario ' dusk2dusk ' que tiene problemas con la capa 3 que no pasa a través de la desconfianza/interfaz de Internet en momentos aleatorios. Específicamente, él está utilizando GlobalProtect VPN de gran escala (LSVPN) para conectar 55 sitios remotos actuales. En pan-os 6.1.2 en sitios remotos y 6.0.5 H3 en hubs en el Datacenter. Observó problemas intermitentes en los que las rutas a sitios remotos no se instalan en la base de información de enrutamiento (RIB) del concentrador, por lo que el túnel se declara activo en ambos lados, pero no hay tráfico que pase entre el control remoto y el Hub. También, en los sitios remotos por satélite está viendo un planeo completo en la capa 3. El enrutamiento de tráfico no está ocurriendo hasta que reinicie el plan de la misma o todo el firewall en sitios remotos.

 

El usuario ' dusk2dusk ' ha tenido esto ocurrido varias veces en diferentes PA-200's e intentó lo siguiente para remediar el problema:

  • Realiza una actualización de firmware para PAN-OS 6.1.3
  • Examinado router y determinó la entrada ARP para el Firewall de red palo alto está presente
  • Borrar tabla ARP
  • Repopulated con MAC/IP y responde correctamente
  • Reinicie el router (no ayudó al firewall pasar la capa 3)

 

Después de más investigación, se determinó que se trataba de un error y el problema se ha corregido en pan-os 6.1.4.

A continuación se presenta la descripción oficial del tema:

Se ha corregido un problema intermitente en los cortafuegos de la serie VM donde los clientes de GlobalProtect dejaron de conectarse y mostraron un error de conexión, posiblemente debido a una fuga de contexto encap/DECAP. Con esta solución, la fuga de contexto encap/DECAP ya no se observa.

 

Puede encontrar documentación adicional sobre otras correcciones en pan-os 6.1.4 en el siguiente enlace: pan-os 6.1.4 para la actualización de software de plataforma PA-200

Para leer toda la discusión, consulte el siguiente enlace: la capa 3 deja de pasar-todas las versiones de pan- os incl. 6.1.3

 

Si tiene alguna pregunta adicional con respecto a esta discusión por favor deje un comentario abajo. Gracias por su tiempo.

 

Andrea Simon
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClX3CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language