GlobalProtect 网关隧道故障转移, Firewall 具有主动-被动高可用性配置
3381
Created On 02/09/21 01:27 AM - Last Modified 06/24/25 23:23 PM
Symptom
当 GlobalProtect 网关配置在 firewall 具有主动-被动高可用性配置的网关时, firewall 管理员可以通过 firewall 重新启动或暂停设备触发主动故障转移,因此被动 firewall 可以作为主动接管。 在这种情况下,用户可能会遇到交通中断,这取决于 GlobalProtect 隧道是如何在网关上建立的。
Environment
- PanOS 8.1.x 或以上
- GlobalProtect 5.0.x 或以上
- 帕洛阿尔托网络 Firewall
Cause
- 如果最终用户通过 GlobalProtect 使用 SSL 隧道而不是IPSec连接,当 firewall 故障转移发生从主动到被动时, SSL GlobalProtect 客户端上的隧道将被终止,导致通过隧道路由的所有已建立连接都掉落。
- GlobalProtect 客户端将自动创建一个新的隧道,用户必须重新启动连接才能再次访问资源。
Resolution
- 如果可能,避免将"仅连接"的门户应用配置 SSL 设置为"是",因为这将 SSL 仅执行隧道。
- 尝试确保大多数(如果不是所有用户)能够通过端口 4501 使用 IPsec 连接隧道 UDP
- IPsec 将保留最终用户的隧道,以便故障转移更加无缝。
- 在执行 firewall 故障转移之前通知用户,因为通过隧道连接的用户 SSL 将暂时面临服务中断。