主动/被动 HA 群集故障转移后出现 GlobalProtect 断开连接/重新连接问题

主动/被动 HA 群集故障转移后出现 GlobalProtect 断开连接/重新连接问题

18866
Created On 04/05/24 03:42 AM - Last Modified 06/24/25 23:28 PM


Symptom


每当存在主动/被动 HA 群集故障转移时,GlobalProtect 客户端就会断开连接。

根据下面的知识库文章,使用 IPSec 时,从 GlobalProtect VPN 的角度来看,故障转移应该是无缝的,因为对等方能够保留 VPN 会话。

在主动-被动高可用性配置中使用防火墙的 GlobalProtect 网关隧道故障转移
故障转移事件期间,IPSec GlobalProtect VPN 会发生什么情况?

Environment


PANOS-10.2.7、PA-3220、GP-6.2.0

Cause


配置 globalprotect 门户代理设置时,我们可以将大多数计时器设置保留为默认值,以获得最佳结果。

但是,在某些情况下,用户可能会在不知道影响的情况下编辑这些设置。 其中一项设置是:“
自动恢复 VPN 连接超时”

网络> GlobalProtect >门户 >“PortalName”>代理>“AgentConfig”>应用程序>应用程序配置>“自动恢复 VPN 连接超时”

retry-tunnel.png

CLI:
gp-app-config config retry-tunnel 值 0

将此项设置为“0”表示 GlobalProtect 不会尝试在隧道断开连接后自动恢复隧道。
 

Resolution


要在 HA 故障转移后实现无缝 GlobalProtect 连接,请确保将“自动恢复 VPN 连接超时”值设置为默认值(30 分钟)。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OboCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language