GlobalProtect Firewallアクティブ/パッシブ高可用性構成でのゲートウェイ トンネル フェールオーバー
3395
Created On 02/09/21 01:27 AM - Last Modified 06/24/25 23:23 PM
Symptom
GlobalProtect firewall ゲートウェイがアクティブ/パッシブ高可用性構成で構成されている場合、 firewall 管理者は firewall デバイスを再起動または中断することでアクティブのフェイルオーバーをトリガーできるため、パッシブ firewall がアクティブとして引き継がれる可能性があります。 このシナリオでは、ゲートウェイでのトンネルの確立方法に応じて、ユーザーがトラフィックの中断を経験する可能性があります GlobalProtect 。
Environment
- PanOS 8.1.x 以上
- GlobalProtect 5.0.x 以上
- パロアルトネットワークス Firewall
Cause
- エンド ユーザが GlobalProtect IPsec ではなくトンネルを介して接続 SSL した場合、 firewall フェールオーバーがアクティブからパッシブに発生すると、 SSL クライアント上のトンネル GlobalProtect が終了し、トンネルを経由してルーティングされたすべての確立済み接続がドロップされます。
- GlobalProtect クライアントは自動的に新しいトンネルを作成し、ユーザーは接続を再び開始してリソースにアクセスする必要があります。
Resolution
- 可能な場合はトンネルのみを強制するため、[接続のみ] のポータル アプリ構成 SSL を [はい] に設定しないように SSL します。
- すべてのユーザーがポート 4501 を介して IPsec を使用してトンネルに接続できない場合は、ほとんどの場合、確認してください UDP 。
- IPsec はエンドユーザのトンネルを保持するため、フェールオーバーはよりシームレスになります。
- firewallトンネル経由で接続されたユーザーが SSL 一時的にサービスの中断に直面するため、フェールオーバーを実行する前にユーザーに通知します。