キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 

Panoramaでファイアウォールの接続ステータスがDisconnectedと表示される

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
Printer Friendly Page
kkondo
‎04-05-2018 04:48 AM

※この記事は以下の記事の日本語訳です。
Firewall Showing as Disconnected on the Panorama
https://live.paloaltonetworks.com/t5/Management-Articles/Device-Showing-as-Disconnected-on-the-Panor...

 

現象

パロアルトネットワークス・ファイアウォールをPanoramaで中央管理している際に、新しく追加したファイアウォールが管理画面(Panorama > Managed devices)で、Disconnectedと表示される。

 

kb1.PNG

 

den.PNG

診断

## 1つのよくある事例として、セキュリティ ポリシー上で、ファイアウォールとPanorama間で通信するTCPポート、アプリケーションが不許可設定になっている可能性があります。

もしくは

## ファイアウォール、Panorama間で通信するTCPポートが中継装置でブロックされている可能性があります。

 

解決方法

  • ほとんどのケースでは、ファイアウォールの管理インターフェイスとPanorama間でSSLトンネルが作られます。
  • ファイアウォールは、ファイアウォールとPanorama間の通信でTCPポート番号3978を宛先として使用します。
  • もしセキュリティ ポリシーでTCPポート番号3978 / アプリケーションPanoramaを明示的に許可していない場合、対象機器はPanorama上で接続 (Connected) ステータスとして表示されず、トラフィックは最終的なポリシーによって拒否されます。
  • トラフィック ログを、送信元を管理インターフェースのIPアドレスで、宛先をPanoramaのIPアドレスでフィルター設定してみてください。もし、Panoramaセッション用にサービスルート設定を使用している場合は、適切なデータープレーン・インターフェースのIPアドレスを用いてください。
  • もし、セキュリティ ポリシーでアクションが拒否表示されていた場合、既存のセキュリティ ポリシーを、前述したように適切に変更してください。該当のファイアウォールがPanoramaで接続 (Connected) ステータスになるか確認してください。

 

wrk.PNG       

セキュリティ ポリシー変更後、トラフィック ログ上で許可されています。

 

rel.PNG

 

注意事項 -- もしファイアウォールの管理インターフェースとPanoramaにパブリックIPアドレスを使用していて、かつセッションが、マネージメント プレーンで管理されている場合(もしそのパケットがファイアウォールのデータポートを経由していない場合)、管理インターフェースで TCP dump をとり、宛先TCPポート3978でフィルター設定して、宛先に到達しているか確認してみてください(中継装置によって、通信に必要なポートがブロックされているかもしれません)。 

 

著者: Tarang

0 件の賞賛
この記事を評価:
4,377件の閲覧回数
バージョン履歴
改訂番号
3/3
最終更新:
‎04-05-2018 04:43 AM
更新者:
 
記事履歴を表示
寄稿者:
Latest Blogs
Latest Posts
Privacy Policy Terms of Use
Copyright 2007 - 2020 - Palo Alto Networks