Firewall mostrando como desconectado en el panorama
Symptom
Síntomas de
Al intentar añadir el cortafuegos de Palo Alto Networks en el panorama para la administración centralizada, los cortafuegos de Palo Alto Networks agregados se muestran como desconectados en los dispositivos administrados de panorama >.
Resolution
- En la mayoría de los casos, se crea un túnel SSL entre el interfaz de administración de firewall y Panorama.
- El cortafuegos utiliza el puerto TCP de destino 3978 para la comunicación entre Firewall y panorama.
- Si la política de seguridad que este tráfico no tiene puerto TCP 3978 / Panorama de uso permitido, el dispositivo no será obtener negará ver como conectado en el Panorama y este tráfico por una política de limpieza.
- Filtrar los registros de tráfico con la dirección IP de la interfaz de administración de origen y la dirección IP de destino del Panorama. Si un ServiceRoute se utiliza para sesiones de Panorama, usar dirección IP de la interfaz de dataplane apropiado.
- Si ves la acción denegada por la política de seguridad, modificar la política de seguridad existente responsable de este tráfico con la aplicación o el puerto mencionado, a continuación, el firewall se mostrará como conexión en el Panorama.
Los registros de tráfico entonces se permitirá después de modificar su política de seguridad.
Nota--en caso de que esté utilizando la dirección IP pública para la interfaz de administración tanto en el Firewall como en el panorama, las sesiones serán administradas por el plano de administración (en caso---si los paquetes no atraviesan ninguno de los puertos de datos)
Tome TCP Dump en la interfaz de administración en el puerto de destino 3978 para Trobleshooting para comprobar que los paquetes están llegando al palo atlo (puede haber un caso donde los dispositivos intermedios están bloqueando el puerto deseado)
Gracias.
Tarang Srivastava