在全景图上显示为断开连接的防火墙

在全景图上显示为断开连接的防火墙

203413
Created On 09/25/18 19:30 PM - Last Modified 07/31/23 13:10 PM


Symptom


症状

当试图添加帕洛阿尔托网络防火墙的全景为集中管理, 新添加的帕洛阿尔托网络防火墙显示为断开在全景 > 管理设备。

 

kb1。PNG

 

den。PNG

诊断

# # 最主要的原因之一将是一个安全策略, 拒绝防火墙所需的端口/应用程序进行全景通信.

 

# # 任何中间设备都阻止防火墙所需的端口进行全景通讯.



Resolution


  • 在大多数情况下,防火墙的管理界面和全景之间创建 SSL 隧道。
  • 防火墙使用目标 TCP 端口3978 进行防火墙到全景通信.
  • 如果携带这交通安全政策不会有 TCP 端口 3978 / 应用全景允许,该设备将不会显示为全景和这交通连接将得到否认由清理政策。
  • 过滤流量日志管理接口的源 IP 地址与目标 IP 地址的全景图。如果 ServiceRoute 用于全景会话,使用适当的 dataplane 接口的 IP 地址。
  • 如果你看到行动否认由安全策略,修改现有的安全策略负责此通信的应用程序或端口上文所述,然后防火墙将显示为连接到全景图上。

 

日子。PNG       

修改您的安全策略后,然后将允许交通日志。

 

关系PNG

 

注意--如果您在防火墙和全景图上使用了管理界面的公用 Ip 地址, 则会话将由管理平面管理 (如果数据包没有通过任何数据端口遍历的话---)

将 TCP 转储放在目标端口3978上的管理接口上, 以便 trobleshooting 检查数据包是否达到了帕洛阿尔托 atlo (可能是中间设备阻塞所需端口的情况) 

 

谢谢。

 

Tarang 斯里瓦斯塔瓦

 

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZnCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language