WiFi 通話が失敗 PA-5200 したか、 PA-7000 またはシリーズ
18864
Created On 06/25/19 22:36 PM - Last Modified 03/26/21 17:42 PM
Symptom
- WiFi 通話に失敗
- パケット キャプチャは、 ESP 受信パケットがドロップされたと表示されます。
Environment
- PANOS 8.1
- PANOS 9.0
- マルチデータプレーンデバイス(5000、5200、7000シリーズプラットフォーム)
- 初期構成
- 通過する無線LAN通話 firewall
Cause
パロアルトネットワークスが IPSec パススルー トラフィックを処理する方法は、マルチデータプレーン デバイスではまったく異なります。
- IPSec セッション作成のポート番号は、 SPI トンネル確立のフェーズ 2 でリモート IPSec ピアが交換する値から取得されます IKE 。 6 つのタプル、送信元と宛先、 IPS 送信元ポートと宛先ポート、プロトコル、ゾーンに基づくセッションを関連付けます。
- パロアルトネットワークスが firewall 2 つの IPSec ピア間の中間デバイスであるパススルー IPSec トラフィックの場合、フェーズ 2 が SPI IKE 暗号化され、その内容が firewall . したがって、トラフィックが戻ってくると、ユーザーが持っている機器の観点から開始したセッションと一致することはありません。
- 以前の OS バージョンと単一のデータ プレーン機器では、これは異なる方法で動作しました。 SPIIPSec パススルー トラフィックの場合、事前に値を確認できないので、Palo Alto Networks は firewall 送信元ポートと宛先ポートの両方に対して汎用値 20033 を使用してセッションを作成します。
- マルチデータプレーン デバイスでは、アーキテクチャの違いにより、IPSec パススルー トラフィックのセッション作成に別の手法を使用します。 これらのプラットフォームでは、セッション・ポートは、 SPI このプロセスに対して以下に示すリンクの値に基づいて再び派生します。 SPI値が事前に不明であるため、 firewall 実際のトラフィックが ESP に到着するとセッションが作成されます firewall 。 一意の値を使用して単一の IPSec トンネルの各フロー (client2server、server2 クライアント) を使用すると SPI firewall 、1 つの IPSec トンネルに対して、各方向に 1 つずつ、2 つの独立した IPSec セッションが作成されます。
PROCESSING IPSEC PASS-THROUGH TRAFFIC ON THE PALO ALTO NETWORKS FIREWALL
WHAT DO THE PORT NUMBERS IN AN IPSEC-ESP SESSION REPRESENT?
CONFIGURING THE PALO ALTO NETWORKS DEVICE AS AN IPSEC PASSTHROUGH
Resolution
NOTE: セキュリティ ポリシーは、プラットフォーム ESP 上 PA-7000 と一連のプラットフォームの両方の方向でのパススルー トラフィックを許可するように構成する必要があります PA-5200 。
- policy ISP 内部 WiFi ゾーンにアクセスする SP IPSec トラフィックだけではないため、セキュリティ上の理由から既知の/ゲートウェイに基づいてセキュリティを設定します。
- firewallパロアルトネットワークが firewall VPN ピア間のトラフィックの VPN パススルーとして機能するようにするための単純な構成でも、セキュリティのために既知のエンドポイントが必要です。
Additional Information
URL と IP を見つけるためのリソース EPDG の一部を以下に示します。 詳細については、パロアルトに直接この情報を提供しないサービスプロバイダーに個別に連絡する必要があります。企業ネットワークATと T Wi-Fi 通話 LAN と VPN 構成
スプリント
での Wi-Fi 通話
はテクニカル サポート担当者に直接電話をかけ、カスタマー ケア エージェントは通常、あなたを支援できません。 ここでは 、スプリントコミュニティに関する記事は、彼らがこのケースでパロアルトのクライアントに情報を提供したので、彼らに連絡するための良いリソースです。