Firewall zeigt als getrennt auf dem Panorama
Symptom
Symptome
Bei dem Versuch, Palo Alto Networks Firewall auf dem Panorama für das zentralisierte Management hinzuzufügen, werden neu hinzugefügte Palo Alto Networks Firewalls unter den Panorama > Managed Devices als getrennt angezeigt.
Resolution
- In den meisten Fällen wird ein SSL-Tunnel zwischen der Firewall-Management-Schnittstelle und Panorama erstellt.
- Die Firewall verwendet den Ziel -TCP-Port 3978 für die Firewall-zu -Panorama-Kommunikation.
- Wenn die Sicherheitsrichtlinie dieser Verkehr nicht über TCP-Port 3978 / Anwendung Panorama erlaubt, das Gerät wird nicht zeigen, wie auf das Panorama und diesen Verkehr verbunden wird durch eine Politik verweigert zu bekommen.
- Filtern Sie die Verkehrs-Protokolle mit die IP-Quelladresse des Management-Interface und die IP-Zieladresse des Panoramas. Wenn eine ServiceRoute für Panorama-Sitzungen verwendet wird, verwenden Sie die entsprechende Dataplane Schnittstelle IP-Adresse.
- Siehst du die Aktion verweigert durch die Sicherheitsrichtlinie ändern der vorhandenen Sicherheitsrichtlinie verantwortlich für diesen Verkehr mit die Anwendung oder den Hafen, die oben genannten, dann die Firewall angezeigt wird, verbunden auf das Panorama.
Die Verkehrs-Protokolle werden dann nach dem Ändern der Sicherheitsrichtlinie zugelassen.
Hinweis-Wenn Sie die öffentliche IP-Adresse für die Management-SchnittStelle sowohl auf der Firewall als auch auf dem Panorama verwenden, werden die Sessions von der Management-Ebene verwaltet (Falls---, wenn die Pakete nicht durch einen der Daten Ports durchlaufen)
nehmen Sie TCP-Dump auf der Management-Schnittstelle auf dem Zielport 3978 für trobleshooting, um zu überprüfen, ob die Pakete zum Palo atlo gelangen (es kann einen Fall geben, in dem die zwischen Geräte den gewünschten Port blockieren)
Danke.
Tarang Srivastava