Der Datenverkehr vom GlobalProtect Agent entspricht nicht der korrekten Regel, die mit dem HIP Profil konfiguriert wurde.

Der Datenverkehr vom GlobalProtect Agent entspricht nicht der korrekten Regel, die mit dem HIP Profil konfiguriert wurde.

4893
Created On 07/29/22 01:57 AM - Last Modified 01/07/25 14:29 PM


Symptom


  • Der Datenverkehr vom GlobalProtect-Agent entspricht nicht der erwarteten Regel, die mit dem HIP Profil konfiguriert wurde.
  • Das HIP-Übereinstimmungsprotokoll zeigt, dass der Datenverkehr für den empfangenen HIP-Bericht korrekt mit dem erwarteten HIP Profil übereinstimmte.
  • " show Benutzer ip-user-mapping " zeigt das nicht übereinstimmende HIP Profil an
> show user ip-user-mapping ip x.x.x.x

IP address:    x.x.x.x (vsys1)
User:          user1
From:          GP
Idle Timeout:  10638s
Max. TTL:      10638s
HIP Timestamp: 46677158s
HIP Query:     Disabled
HIP profiles that user belong to (used in policy)
HIP profile(s): HIP-Profile1                       <<<<<<<<<<<<< !!!!
Group(s):      user1(1)

Environment


  • GlobalProtect
  • Prisma-Zugang
  • PAN-OS
  • HIP-Profil

Cause


Softwareproblem.

Resolution


  1. Das Problem wurde unter PAN-197115 in PAN-OS 10.1.10, 10.2.4 und höher behoben.
  2. Ein Upgrade auf die korrigierten Versionen behebt das Problem.
  3. Um das Problem zu Workaround, reduzieren Sie die Anzahl der HIP Profile in der Richtlinie auf weniger als 32.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqsPCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language