IP 用户映射未从非中心vsys重新分配到中心vsys
4154
Created On 06/02/23 19:53 PM - Last Modified 01/07/25 05:21 AM
Symptom
- 由于缺少 ip-中心vsys上的用户映射,用户的流量不起作用
- 用户的映射存在于非中心vsys上,但未重新分发到中心vsys
- 用户 ID 重新分配从中心vsys到非中心vsys进行
Environment
- Palo Alto 防火墙
- PAN-OS 10.2 或更高版本
- 多 vsys 环境
- 用户 ID 重新分配
Cause
- 只有中心vsys可以将 ip-user 映射重新分发到防火墙上的其他vsys 。
- 非集线器vsys不能直接重新分配到集线器vsys。
Resolution
- 设置非集线器vsys作为 Panorama 的客户端。
- 现在, hub vsys将从 Panorama 了解 ip-user 映射。
- 因此,映射重新分配路径将是非集线器vsys > Panorama > 集线器vsys。