Impossible d’établir des connexions avec Panorama après la configuration d’adresses IP autorisées des périphériques gérés

Impossible d’établir des connexions avec Panorama après la configuration d’adresses IP autorisées des périphériques gérés

84874
Created On 09/26/18 13:48 PM - Last Modified 07/07/22 04:28 AM


Resolution


Demande client

Les périphériques de pare-feu géré ne montrent pas reliés au Panorama et ne sont pas en mesure d’établir une nouvelle connexion à Panorama.

Panorama-périphérique-disconnected.PNG

 

 

Cause

L’Interface de gestion sur le Panorama a été configuré pour des adresses IP autorisées, qui ne comprend pas les dispositifs.  inclure les adresses IP de l’interface du pare-feu d’où il est configuré pour se connecter à Panorama (vérifier la config de voie de service sur le pare-feu), sinon il ne sera pas en mesure de se connecter et envoyer les logs vers Panorama ou recevoir des mises à jour de configuration.

Secondaire + boîte +-+Mgmt+Access+list.jpg

 

Résolution

Pour résoudre ce problème, à partir du panorama WebGUI, accédez à panorama > Setup > Management > gestion des paramètres de l'interface de gestion > autorisé adresses IP, et s'il vous plaît ajouter l'IP de gestion (ou la plage réseau) des périphériques gérés à l'IP autorisée Liste d'adresses pour activer les communications de gestion appropriées entre le pare-feu et le panorama.

Remarque: Assurez-vous également que la même restriction n'a pas été configurée sur le dispositif de pare-feu à gérer.

 

HA config

Si les dispositifs de PA ne HA (actif/passif) et si vous désactivez HA sans suspendre la session HA puis les dispositifs seront régulièrement garder en déconnectant du panorama. Redémarrage pare-feu l’obtiendrez reconnecté au panorama, mais le problème se reproduise après quelques jours.

 

Solution: apportez les deux appareils en ha, vous verrez les deux périphériques connectés panorama. Suspendre la session HA sur les deux extrémités puis désactivez HA.

 

Résolution des problèmes

Pour résoudre ce problème plus loin, vous pouvez effectuer une Capture de paquet sur l’Interface de gestion de Panorama.

Il devrait montrer les paquets SYN provenant de périphériques sur port 3978, mais aucun SYN-ACK n’est envoyé du Panorama.

 

Utilisez les commandes suivantes de la CLI de voir ceci :

> tcpdump filtrer « port 3978 »

> mgmt.pcap mgmt-pcap vue-pcap

 

Voir aussi

Y a-t-il une connexion séparée pour transmettre les journaux vers Panorama ?

Résolution des problèmes de connectivité Panorama

Haute disponibilité sur M-100 ne fonctionne plus après avoir configuré la règle d’adresses IP autorisées sur périphérique secondaire

 

propriétaire : dmaynard
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clp2CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language