Mobiles Benutzer -Gateway (MU) weist nach dem Datenebene -Upgrade IP-Adressen aus dem weltweiten Pool statt aus dem regionalen Pool zu.

Mobiles Benutzer -Gateway (MU) weist nach dem Datenebene -Upgrade IP-Adressen aus dem weltweiten Pool statt aus dem regionalen Pool zu.

5057
Created On 07/06/22 23:00 PM - Last Modified 01/07/25 10:32 AM


Symptom


Mobile User (MU)-Gateway weist nach dem Datenebene -Upgrade IP-Adressen aus dem weltweiten Pool statt aus dem regionalen Pool zu.

Environment


  • Prisma-Zugang
  • Unterstützte PAN-OS
  • Prisma Access – Mobile Benutzer

Cause


Dies geschieht normalerweise, wenn die Datenebene Version der MU-Firewalls aktualisiert wird.

Upgrade-Prozess:

  • Wir weisen die IP-Pools den Gateways in /24-Blöcken zu.
  • Wenn wir ein Upgrade durchführen, starten wir parallel eine Instanz, die die Ziel Datenebene Version enthält.
  • Nach dem Upgrade löschen wir die alte Datenebene Firewall Instanz (die einen /24-IP-Poolbereich freigibt).

Beispiel: Nehmen wir ein Beispiel, bei dem wir Gateways in der EMEA-Region aktualisieren:

Vor dem Upgrade:

  • EMEA-IP-Pool: xxxx/23 (/23 entspricht zwei /24.)
  • So wird es beispielsweise dem Vereinigten Königreich und den Niederlanden zugewiesen:
    • xxxx/24 – gemäß aktueller Datenebene Version dem Vereinigten Königreich zugewiesen.
    • xxxx/24 – in der aktuellen Datenebene Version den Niederlanden zugewiesen.
  • Daher steht derzeit keine verfügbare IP aus dem regionalen Pool zur Auswahl.

Während des Upgrades:

  • Während eines Upgrades auf das Niederlande/UK-Gateway werden neue Gateway-Instanzen parallel auf der neuen Datenebene Version hochgefahren.
  • Da xxxx/24 in den Datenebene Versionen Großbritannien und den Niederlanden zugewiesen ist, sind keine freien regionalen IP-Pools verfügbar.
  • Da keine regionalen IP-Pools verfügbar sind und diese bereits zugewiesen wurden, weist das Gateway IPs aus dem weltweiten Pool zu, um diese Gateways zu aktualisieren.

Resolution


  1. Konfigurieren Sie den regionalen Pool mit dem Subnetz /22.
    1. Wir empfehlen, dass die Anzahl der IP-Adressen im Pool doppelt so hoch ist wie die Anzahl der mobilen Benutzer , die eine Verbindung zu Prisma Access herstellen.
  2. Folgendes kann als Workaround verwendet werden, um dem Gateway regionale Pool-IPs zuzuweisen.
    1. Entfernen Sie den Eintrag für den weltweiten Pool.
    2. Führen Sie ein ausführen/Push aus.
    3. Fügen Sie den weltweiten Pooleintrag hinzu.
    4. Führen Sie den ausführen/Push erneut durch.

Additional Information


IP-Adresspools in einer mobilen Benutzer-GlobalProtect-Bereitstellung
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wksFCAQ&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language