为什么流量被丢弃为"客户端和解密配置文件不匹配"

为什么流量被丢弃为"客户端和解密配置文件不匹配"

17638
Created On 10/09/20 23:27 PM - Last Modified 03/26/21 18:42 PM


Question


流量被丢弃,错误为"客户端和解密配置文件不匹配":这是什么错误,如何 I 解决它?

Environment


所有 PAN-OS 

Answer


答案:"客户端和解密配置文件不匹配"的主要原因是密码套件版本不匹配。 您可以使用"监视器 ->-加密"中包含"客户端和解密>错"的查询>日志。 日志如下所示:

Client and Decryption profile mismatched, 
supported client version bitmask is 0x08 and supported decryption profile bit mask is 0x70

当服务器提供的密码与客户端不匹配时,将发生此错误。十六进制代码标识客户端支持的确切版本和解密配置文件支持的确切版本。

确定位掩消息的值:

  • 登录 CLI 以查找位罩值。
admin@PA> debug dataplane show ssl-decrypt bitmask-version 0x70
TLSv1.1
TLSv1.2
TLSv1.3

admin@PA.VM> debug dataplane show ssl-decrypt bitmask-version 0x08
TLSv1.0

admin@PA.VM> debug dataplane show ssl-decrypt bitmask-version 0x10
TLSv1.1
问题:我们如何修复它?
答案:找到不匹配后,您可以更新客户端,以便它能够接受匹配并保护 TLS 版本。 如果客户端无法更新,您可以编辑解密配置文件。
更多信息可在 pan-os https://docs.paloaltonetworks.com//10-0/-admin/decryption/troubleshoot-and-monitor-decryption/decryption-troubleshooting-workflow-examples/troubleshoot-unsupported-cipher-suites.html 找到 pan-os
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HB8bCAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language