数据平面升级后,移动用户(MU) 网关从全球池而不是区域池分配 IP 地址。
4978
Created On 07/06/22 23:00 PM - Last Modified 01/07/25 10:36 AM
Symptom
数据平面升级后,移动用户 (MU) 网关从全球池而不是区域池分配 IP 地址。
Environment
- Prisma 访问
- 支持的 PAN OS
- Prisma Access - 移动用户
Cause
这通常会在 MU 防火墙的数据平面版本升级时发生。
升级流程:
- 我们将 IP 池分配给 /24 块中的网关。
- 在执行升级时,我们会并行启动一个包含目标数据平面版本的实例。
- 升级后,我们删除旧的数据平面防火墙实例(释放 /24 IP 池范围)。
示例:以我们升级 EMEA 地区的网关为例:
升级前:
- EMEA IP 池:xxxx/23(/23 转换为两个 /24。)
- 因此它被分配到英国和荷兰例如:
- xxxx/24 – 在当前数据平面版本上分配给英国。
- xxxx/24 – 在当前数据平面版本上已分配给荷兰。
- 因此现在区域池中没有可用的 IP 可供选择。
升级期间:
- 在升级荷兰/英国网关期间,新的网关实例将在目标新数据平面版本上并行启动。
- 由于 xxxx/24 在数据平面版本上分配给英国和荷兰,因此没有可用的区域 IP 池。
- 由于没有可用的区域 IP 池且已被分配,因此网关从全球池中分配 IP 来升级这些网关。
Resolution
- 使用 /22 子网配置区域池。
- 我们建议池中的 IP 地址数量是将连接到 Prisma Access 的移动用户设备数量的 2 倍。
- 以下内容可用作解决方法,将区域池 IP 分配给网关。
- 删除全球池的条目。
- 执行提交/推送。
- 添加全球池条目。
- 再次提交/推送。