Pare-feu montrant déconnecté sur le panorama
Symptom
Symptômes
En essayant d'ajouter le pare-feu de réseaux de Palo Alto sur le panorama pour la gestion centralisée, nouvellement ajouté les pare-feu de réseaux de Palo Alto sont montrant comme déconnecté sous le panorama > les dispositifs gérés.
Resolution
- Dans la plupart des cas, un tunnel SSL est créé entre l’interface de gestion du pare-feu et le Panorama.
- Le pare-feu utilise le port TCP 3978 de destination pour la communication Firewall -to-panorama.
- Si la politique de sécurité, ce trafic n’a pas de port TCP 3978 / Application Panorama autorisée, l’appareil ne sera pas spectacle que branché sur le Panorama et ce trafic se faire refuser par une politique de nettoyage.
- Filtrer les journaux de trafic avec l’adresse IP source de l’interface de gestion et de l’adresse IP de destination du Panorama. Si un ServiceRoute est utilisée pour les sessions de Panorama, utilisez adresse IP de l’interface dataplane approprié.
- Si vous voyez l’action refusé par la stratégie de sécurité, modifier la politique actuelle de sécurité responsable de ce trafic avec l’application ou le port mentionné ci-dessus, puis le pare-feu s’affichera comme connecté sur le Panorama.
Les journaux de trafic pourront ensuite après avoir modifié votre stratégie de sécurité.
Remarque--dans le cas où si vous utilisez l'adresse IP publique pour l'Interface de gestion sur le pare-feu et le panorama, les sessions seront gérées par plan de gestion (dans le cas---si les paquets ne parcourent pas L'un des ports de données)
Prenez le dump de TCP sur l'interface de gestion sur le port de destination 3978 pour trobleshooting pour vérifier que les paquets atteignent le atlo de Palo (il peut y avoir un cas où les dispositifs intermédiaires bloquent le port désiré)
Merci.
Malika Srivastava