No se pueden descargar imágenes de pan-os cuando el cortafuegos está detrás de otro dispositivo de seguridad

Incidencia

Usted puede hacer clic en ' comprobar ahora ' en la página de software en el software de dispositivo >. Sin embargo, al hacer clic en ' descargar ' para descargar una nueva imagen de software, no pasa nada, o se obtiene un error sobre el tiempo de espera.

Estamos asumiendo que la topología se asemeja a esto:

Confianza/DMZ > palo alto Firewall de redes > Firewall/proxy > Internet

Causa

El problema puede estar ocurriendo porque updates.paloaltonetworks.com se están remitiendo a las redes de distribución de contenido (CDN) como A23-4-1-166.deploy.static.akamaitechnologies.com. Aunque las IPS de CDN son típicamente dinámicas también, con servidores que alojan contenido y responden basándose en la latencia más baja.

Resolución

En el otro dispositivo de seguridad que se encuentra frente al dispositivo Palo Alto Networks, se debe permitir que el tráfico del cortafuegos de Palo Alto Networks acceda a downloads.paloaltonetworks.com así como a la categoría CDN si el dispositivo (firewall/proxy ) tiene la capacidad de hacer eso.