DotW: GlobalProtect 不通过交通

本周的讨论重点放在用户的 "dusk2dusk" 问题上, 3 层没有在随机时间通过不信任/internet 接口。具体地说, 他正在使用 GlobalProtect 大规模 VPN (LSVPN) 连接55个当前远程站点。在远程站点上的泛 OS 6.1.2 和 6.0. 5h3 在数据中心的集线器上。他观察到在集线器上的路由信息库 (肋) 上没有安装远程站点的路由的间歇性问题, 因此隧道在双方都被声明为活动的, 但在远程和集线器之间没有通信。此外, 在卫星远程站点上, 他看到3层的 dataplane 完全锁定。除非在远程站点上重新启动 dataplane 或整个防火墙, 否则不会发生通信的路由。

用户 "dusk2dusk" 在不同的 PA-200's 上发生了多次, 并尝试以下方法来纠正此问题:

• 已执行固件升级到泛 OS 6.1。3
• 已检查路由器并已确定帕洛阿尔托网络防火墙的 ARP 条目是否存在
• 清除 ARP 表
• 填充与 MAC/IP, 它的响应正确
• 已重新启动路由器 (没有帮助防火墙通过层 3)

经过进一步的研究, 确定这是一个 bug, 并在泛 OS 6.1.4 中解决了这个问题。

以下是该问题的官方描述:

修正了 VM 系列防火墙上的间歇性问题, 其中 GlobalProtect 客户端停止连接并显示连接失败错误, 可能是由于 encap/建议醒酒需上下文泄漏造成的。使用此修复程序, encap/建议醒酒需上下文泄漏不再被观察到。

有关泛 os 6.1.4 中其他修补程序的其他文档, 可以在以下链接中找到: PA-200 平台软件更新的 PAN OS 6.1.4

要阅读整个讨论, 请参阅以下链接: 3 层停止传递-所有泛型操作系统版本 (包括 6.1.3 )

如果您对此讨论有任何其他问题, 请在下面留下评论。谢谢你的时间。

安德烈. 西蒙