DotW: GlobalProtect トラフィックを渡していない

今週の議論は、ユーザーの dusk2dusk に焦点を当て、ランダムな時間で untrust/インターネットインターフェイスを通過していない層3に問題がある。具体的には、彼は55現在のリモートサイトを接続する GlobalProtect 大規模な VPN (LSVPN) を使用しています。リモート・サイト上の汎 OS 4.2.2 およびデータセンターのハブでの 6.0.5 h3。彼は、リモートサイトへのルートは、ハブ上のルーティング情報ベース (リブ) にインストールされていない断続的な問題を観察した結果、トンネルは両側でアクティブと宣言されていますが、リモートとハブの間にトラフィックが通過することはありません。また、衛星リモートサイト上で彼は、レイヤ3に dataplane フルロックアップを見ている。トラフィックのルーティングは、リモートサイトの dataplane またはファイアウォール全体を再起動するまで発生しません。

ユーザー ' dusk2dusk ' これは別の PA-200's に数回発生し、問題を解決するために、次の試みがあった:

• パン OS 6.1.3 へのファームウェアのアップグレードを実行
• 検討されたルータとパロアルトのネットワークファイアウォールのための ARP エントリが存在することを決定
• ARP テーブルをクリア
• MAC/IP で Repopulated、それが正しく応答
• ルータを再起動 (ファイアウォールのパス層3を助けていない)

さらに研究した後、これはバグであると判断された問題は、PAN-OS の6.1.4 で修正されています。

以下は、問題の公式の説明です:

GlobalProtect クライアントが接続を停止し、方法/decap のコンテキストリークが原因で接続に失敗したエラーが表示される VM シリーズファイアウォールの断続的な問題を修正しました。この修正により、方法/decap コンテキストリークはもはや観察されません。

pan-os 6.1.4 のその他の修正に関するその他のドキュメントについては、次のリンクを参照してください。200 プラットフォームソフトウェアアップデート用の pan-os 6.1.4

ディスカッション全体を読むには、次のリンクを参照してください。レイヤ3の通過を停止-すべてのパン-OS のバージョンを含む 6.1.3

この議論に関する追加の質問がある場合は、以下のコメントを残してください。あなたの時間をありがとうございました。

アンドレア・サイモン