GlobalProtect Conmutación por error del túnel de puerta de enlace con Firewall en la configuración de alta disponibilidad activa-pasiva
3381
Created On 02/09/21 01:27 AM - Last Modified 06/24/25 23:23 PM
Symptom
Cuando GlobalProtect gateway se configura en una configuración de alta disponibilidad firewall activa-pasiva, un firewall administrador puede desencadenar una conmutación por error de activo mediante el reinicio o la suspensión del firewall dispositivo, por lo que el pasivo puede tomar el firewall control como activo. En este escenario, los usuarios pueden experimentar la interrupción del tráfico dependiendo de cómo se establece el GlobalProtect túnel en el gateway.
Environment
- PanOS 8.1.x o superior
- GlobalProtect 5.0.x o superior
- Redes palo alto Firewall
Cause
- Si el usuario final conectado vía GlobalProtect el uso del túnel en vez del SSL IPSec, cuando la firewall Conmutación por falla ocurre del activo al pasivo, el SSL túnel en el cliente será GlobalProtect terminado, haciendo que todas las conexiones establecidas ruteadas sobre el túnel caigan.
- GlobalProtect El cliente creará automáticamente un nuevo túnel y el usuario tendrá que reiniciar las conexiones para volver a acceder a los recursos.
Resolution
- Evite establecer la configuración de la aplicación portal para "Conectar con SSL solo" establecida en sí si es posible, ya que esto aplicará SSL solo el túnel.
- Trate de asegurarse de que la mayoría, si no todos los usuarios son capaces de conectar el túnel usando el IPSec sobre el UDP puerto 4501
- El IPSec conservará el túnel para el usuario final así que la Conmutación por falla es más transparente.
- Informe a los usuarios antes de realizar la conmutación por error, ya que firewall los usuarios conectados a través del túnel SSL se enfrentarán a la interrupción del servicio momentáneamente.