Verwaltete Geräte nicht in der Lage, Verbindungen zu Panorama zu etablieren, nach dem erlaubten IP-Adressen konfigurieren

Verwaltete Geräte nicht in der Lage, Verbindungen zu Panorama zu etablieren, nach dem erlaubten IP-Adressen konfigurieren

84862
Created On 09/26/18 13:48 PM - Last Modified 07/07/22 04:28 AM


Resolution


Problem

Die Managed-Firewall-Geräte zeigen nicht verbunden mit Panorama und sind nicht in der Lage, eine neue Verbindung zu Panorama.

Panorama-Gerät-disconnected.PNG

 

 

Ursache

Die Verwaltungsoberfläche auf Panorama konfiguriert wurde erlaubt IP-Adressen, die keine Geräte enthalten.  gehören die IP-Adressen von der Firewall-Schnittstelle von wo es zum Herstellen einer Panorama (überprüfen Sie die Service-Route-Config auf der Firewall) konfiguriert ist, sonst wird es nicht verbinden und Protokolle zu Panorama senden oder empfangen Konfigurationsupdates.

Sekundäre + Box +-+Mgmt+Access+list.jpg

 

Lösung

Um dieses Problem zu lösen, gehen Sie von der Panorama-WebGuizu Panorama > Setup > Management > Management-Interface-Einstellungen > erlaubte IP-Adressen, und Bitte fügen Sie die Management-IP (oder Netzwerk-Bereich) der verwalteten Geräte auf die erlaubte IP- Adressen-Liste, um die entsprechende Management-Kommunikation zwischen Firewall und Panorama zu ermöglichen.

Hinweis: Bitte stellen Sie auch sicher, dass die gleiche Einschränkung nicht auf dem zu verwalsenden Firewall-Gerät konfiguriert wurde.

 

HA Config

Wenn die PA-Geräte in HA (aktiv/passiv) und wenn Sie HA deaktivieren, ohne Aussetzung der HA-Sitzung dann die Geräte regelmäßig werden trennen Sie zu halten auf Panorama. Neustarten Firewall bekommen es wieder mit Panorama verbunden, aber das Problem wird nach ein paar Tagen erneut auftreten.

 

Lösung: bringen Sie beide Geräte in ha, werden Sie sehen, die beiden Geräte verbunden Panorama. Aussetzen der HA-Sitzung auf beiden Enden dann HA zu deaktivieren.

 

Fehlerbehebung

Um dieses Problem zu beheben, führen ein Packet Capture auf Panorama-Management-Schnittstelle Sie.

Es sollte zeigen, dass SYN-Pakete von Geräten auf Port 3978 empfangen, aber keine SYN-ACK von Panorama gesendet wird.

 

Verwenden Sie die folgenden CLI-Befehle um zu sehen:

> Tcpdump filtern "port 3978"

> Ansicht-Pcap Mgmt-Pcap mgmt.pcap

 

Siehe auch

Gibt es eine Separate Verbindung für Weiterleitung Protokolle Panorama?

Problembehandlung bei Panorama-Konnektivität

Hohe Verfügbarkeit auf m-100 nach der Konfiguration der Regel zulässigen IP-Adresse auf sekundäre Gerät funktioniert nicht mehr

 

Besitzer: Dmaynard
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clp2CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language