데이터플레인 업그레이드 후 모바일 사용자 (MU) 게이트웨이가 지역 풀 대신 전 세계 풀에서 IP 주소를 할당합니다.
4986
Created On 07/06/22 23:00 PM - Last Modified 01/07/25 10:38 AM
Symptom
데이터플레인 업그레이드 후 모바일 사용자(MU) 게이트웨이가 지역 풀 대신 전 세계 풀에서 IP 주소를 할당합니다.
Environment
- 프리즈마 액세스
- 지원되는 PAN-OS
- Prisma Access - 모바일 사용자
Cause
이는 일반적으로 MU 방화벽의 데이터플레인 버전을 업그레이드할 때 발생합니다.
업그레이드 프로세스:
- IP 풀을 /24 블록의 게이트웨이에 할당합니다.
- 업그레이드를 수행할 때 대상 데이터플레인 버전을 포함하는 인스턴스를 병렬로 시작합니다.
- 업그레이드 후에는 이전 데이터플레인 방화벽 인스턴스를 삭제합니다(이 경우 /24 IP 풀 범위가 해제됩니다).
예: EMEA 지역에서 게이트웨이를 업그레이드하는 예를 들어보겠습니다.
업그레이드 전:
- EMEA IP 풀: xxxx/23 (/23은 /24 두 개로 변환됩니다.)
- 예를 들어 영국과 네덜란드에 할당됩니다.
- xxxx/24 - 현재 데이터플레인 버전에서는 영국에 할당됨.
- xxxx/24 - 현재 데이터플레인 버전에서는 네덜란드에 할당됨.
- 따라서 이제는 지역 풀에서 선택할 수 있는 IP가 없습니다.
업그레이드 중:
- 네덜란드/영국 게이트웨이를 업그레이드하는 동안, 새로운 게이트웨이 인스턴스가 대상 새 데이터플레인 버전에서 병렬로 시작됩니다.
- 데이터플레인 버전에서는 xxxx/24가 영국과 네덜란드에 할당되어 있으므로 무료 지역 IP 풀을 사용할 수 없습니다.
- 사용 가능한 지역 IP 풀이 없고 이미 할당되었기 때문에 게이트웨이는 전세계 풀에서 IP를 할당하여 이러한 게이트웨이를 업그레이드합니다.
Resolution
- /22 서브넷으로 지역 풀을 구성합니다.
- Prisma Access에 연결할 모바일 사용자 기기 수의 2배가 되도록 풀에 있는 IP 주소의 수를 설정하는 것이 좋습니다.
- 지역 풀 IP를 게이트웨이에 할당하기 위한 회피 방법 으로 다음을 사용할 수 있습니다.
- 전세계 풀 항목을 제거합니다.
- commit/푸시를 실행합니다.
- 전세계 풀 항목을 추가합니다.
- 다시 commit/push 하세요.