Panoramaでファイアウォールの接続ステータスがDisconnectedと表示される

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Firewall Showing as Disconnected on the Panorama
https://live.paloaltonetworks.com/t5/Management-Articles/Device-Showing-as-Disconnected-on-the-Panor...

 

現象

パロアルトネットワークス・ファイアウォールをPanoramaで中央管理している際に、新しく追加したファイアウォールが管理画面(Panorama > Managed devices)で、Disconnectedと表示される。

 

kb1.PNG

 

den.PNG

診断

## 1つのよくある事例として、セキュリティ ポリシー上で、ファイアウォールとPanorama間で通信するTCPポート、アプリケーションが不許可設定になっている可能性があります。

もしくは

## ファイアウォール、Panorama間で通信するTCPポートが中継装置でブロックされている可能性があります。

 

解決方法

  • ほとんどのケースでは、ファイアウォールの管理インターフェイスとPanorama間でSSLトンネルが作られます。
  • ファイアウォールは、ファイアウォールとPanorama間の通信でTCPポート番号3978を宛先として使用します。
  • もしセキュリティ ポリシーでTCPポート番号3978 / アプリケーションPanoramaを明示的に許可していない場合、対象機器はPanorama上で接続 (Connected) ステータスとして表示されず、トラフィックは最終的なポリシーによって拒否されます。
  • トラフィック ログを、送信元を管理インターフェースのIPアドレスで、宛先をPanoramaのIPアドレスでフィルター設定してみてください。もし、Panoramaセッション用にサービスルート設定を使用している場合は、適切なデータープレーン・インターフェースのIPアドレスを用いてください。
  • もし、セキュリティ ポリシーでアクションが拒否表示されていた場合、既存のセキュリティ ポリシーを、前述したように適切に変更してください。該当のファイアウォールがPanoramaで接続 (Connected) ステータスになるか確認してください。

 

wrk.PNG       

セキュリティ ポリシー変更後、トラフィック ログ上で許可されています。

 

rel.PNG

 

注意事項 -- もしファイアウォールの管理インターフェースとPanoramaにパブリックIPアドレスを使用していて、かつセッションが、マネージメント プレーンで管理されている場合(もしそのパケットがファイアウォールのデータポートを経由していない場合)、管理インターフェースで TCP dump をとり、宛先TCPポート3978でフィルター設定して、宛先に到達しているか確認してみてください(中継装置によって、通信に必要なポートがブロックされているかもしれません)。 

 

著者: Tarang