PA-VM无法使用软件防火墙许可证插件连接回全景

PA-VM无法使用软件防火墙许可证插件连接回全景

7092
Created On 01/26/24 20:05 PM - Last Modified 02/02/24 05:44 AM


Symptom


  • PA-VM无法使用软件防火墙许可证插件连接回全景

  • 在引导防火墙上,我们可以看到序列号,但在 > 毫秒中.log我们看到以下错误-

2024-01-26 06:06:43:20.341 -0800 错误:pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:903):cms 代理:cs_load_certs_ex失败
2024-01-26 06:43:20.341 -0800 CMSA:客户端将使用默认上下文 2024-01-26 06:43:20.342 -0800 警告:pan_cmsa_tcp_channel_setup(src_panos/cms_agent.c:1008):客户端不会使用 SNI
2024-01-26 06:43:20.489 -0800 全景代理:SSL 通道已建立。 sock=29 ssl=0x561d4084c000
2024-01-26 06:43:20.489 -0800 设备信息设置为全景

2024-01-26 06:43:27.730 -0800 更新客户端设备信息,n_entries=1 op=1
2024-01-26 06:43:27.730 -0800 客户端 ID 1000409 device_registered 的设备
信息已更新 2024-01-26 06:44:09.118 -0800 错误:pan_comm_get_tcp_conn_gen(comm_utils.c:702):COMM:无法连接。 远程 ip=10.18.85.6 端口=3978 err=连接超时 (110) sock=28

Environment


  • PA-VM 使用sw_fw_lic工作流引导

  • 带有软件防火墙许可证插件的全景图

Cause


  • 如果我们使用sw_fw_lic工作流,则在 10.1.x 或更低版本中,不能在 /license 或 AV 下拥有授权码,也不能在 /content 下拥有内容。拥有这些文件将导致连接返回全景图失败

 

Resolution


  •  创建包含 AV 和内容的自定义映像

https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/set-up-the-vm-series-firewall-on-azure/create-a-custom-vm-series-image-for-azure

  • 将 10.2.x 用于具有在连接时自动推送动态更新功能的 pan-os 和 panorama

https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-new-features/panorama-features/automatic-content-push-for-vm-series-and-cn-series-firewalls

  • 此外,如果有任何插件正在使用中。它们应升级到最新版本
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008WoNCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language