DotW: GlobalProtect トラフィックを渡していない
11560
Created On 09/25/18 19:22 PM - Last Modified 06/12/23 16:04 PM
Resolution
今週の議論は、ユーザーの dusk2dusk に焦点を当て、ランダムな時間で untrust/インターネットインターフェイスを通過していない層3に問題がある。具体的には、彼は55現在のリモートサイトを接続する GlobalProtect 大規模な VPN (LSVPN) を使用しています。リモート・サイト上の汎 OS 4.2.2 およびデータセンターのハブでの 6.0.5 h3。彼は、リモートサイトへのルートは、ハブ上のルーティング情報ベース (リブ) にインストールされていない断続的な問題を観察した結果、トンネルは両側でアクティブと宣言されていますが、リモートとハブの間にトラフィックが通過することはありません。また、衛星リモートサイト上で彼は、レイヤ3に dataplane フルロックアップを見ている。トラフィックのルーティングは、リモートサイトの dataplane またはファイアウォール全体を再起動するまで発生しません。
ユーザー ' dusk2dusk ' これは別の PA-200's に数回発生し、問題を解決するために、次の試みがあった:
- パン OS 6.1.3 へのファームウェアのアップグレードを実行
- 検討されたルータとパロアルトのネットワークファイアウォールのための ARP エントリが存在することを決定
- ARP テーブルをクリア
- MAC/IP で Repopulated、それが正しく応答
- ルータを再起動 (ファイアウォールのパス層3を助けていない)
さらに研究した後、これはバグであると判断された問題は、PAN-OS の6.1.4 で修正されています。
以下は、問題の公式の説明です:
GlobalProtect クライアントが接続を停止し、方法/decap のコンテキストリークが原因で接続に失敗したエラーが表示される VM シリーズファイアウォールの断続的な問題を修正しました。この修正により、方法/decap コンテキストリークはもはや観察されません。
pan-os 6.1.4 のその他の修正に関するその他のドキュメントについては、次のリンクを参照してください。200 プラットフォームソフトウェアアップデート用の pan-os 6.1.4
ディスカッション全体を読むには、次のリンクを参照してください。レイヤ3の通過を停止-すべてのパン-OS のバージョンを含む 6.1.3
この議論に関する追加の質問がある場合は、以下のコメントを残してください。あなたの時間をありがとうございました。
アンドレア・サイモン