Azure CNGFW 无法连接到 Azure 门户上运行状况为“不适用”或“不正常”的本地 Panorama。

Azure CNGFW 无法连接到 Azure 门户上运行状况为“不适用”或“不正常”的本地 Panorama。

8467
Created On 01/30/24 00:14 AM - Last Modified 02/02/24 05:44 AM


Symptom


- Azure 门户上的 Cloud NGFW 显示“不正常”,运行状况原因为“防火墙无法注册到 Panorama”。
- 在 Panorama 上未观察到来自 Cloud NGFW IP 的流量 - Cloud NGFW 未显示在 Panorama
中的“管理设备”下

Environment


本地全景
PAN-OS 10.2.7 及更高版本
Azure
上的云 NGFW Azure 插件版本:5.1.1

Cause


对于 Azure 门户上显示“不适用”的运行状况:- Cloud NGFW 实例仍处于启动阶段,可能尚未完全部署

对于显示“不正常”的运行状况:


CNGFW-健康状态-不正常 .png

- Azure 中的路由可能存在问题,因此返回流量无法到达全景图并导致非对称路由
 

Resolution


对于显示运行状况“不正常”
的方案 - 已验证端口 3978 是否已打开 Panorama 连接 - 确保 Cloud NGFW 的 IP 已列入白名单
- 由于存在通过 VPN 的本地 Panorama 访问,因此请确保正确设置 VPN 网关连接
,并且中心 VNet 具有指向 Panorama 专用 IP 地址的路由。
- 在 Azure 门户中的“网络和 NAT”下,在“源 NAT”下,确保选中
图像 (1. png
“使用上述公共 IP 地址”选项 - 如果在检查 pcap 后返回流量仍然存在问题,则必须参与 Azure TAC 来检查路由 - 在此方案中,客户在 Azure 中的默认路由表下缺少主机路由的 UDR(用户定义的路由
)。 客户创建了一个 UDR 主机路由,该路由指向云 NGFW DNAT IP 地址的 Azure 防火墙,解决了与 Panorama 的连接问题。 
- 防火墙显示为“正常”,并显示在“托管设备

”下 对于在 Azure 门户上显示运行状况为“不适用”的方案:
- 当云 NGFW 仍未完全部署时,会发生这种情况,并在我们检查 Dev
时显示为正在启动 - 补救措施是进行全新部署,因为云 NGFW 仍不存在
 

Additional Information


DIT-36610型
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008WrRCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language