Printer Friendly Page
※この記事は以下の記事の日本語訳です。
Firewall Showing as Disconnected on the Panorama
https://live.paloaltonetworks.com/t5/Management-Articles/Device-Showing-as-Disconnected-on-the-Panor...
現象
パロアルトネットワークス・ファイアウォールをPanoramaで中央管理している際に、新しく追加したファイアウォールが管理画面(Panorama > Managed devices)で、Disconnectedと表示される。
解決方法
- ほとんどのケースでは、ファイアウォールの管理インターフェイスとPanorama間でSSLトンネルが作られます。
- ファイアウォールは、ファイアウォールとPanorama間の通信でTCPポート番号3978を宛先として使用します。
- もしセキュリティ ポリシーでTCPポート番号3978 / アプリケーションPanoramaを明示的に許可していない場合、対象機器はPanorama上で接続 (Connected) ステータスとして表示されず、トラフィックは最終的なポリシーによって拒否されます。
- トラフィック ログを、送信元を管理インターフェースのIPアドレスで、宛先をPanoramaのIPアドレスでフィルター設定してみてください。もし、Panoramaセッション用にサービスルート設定を使用している場合は、適切なデータープレーン・インターフェースのIPアドレスを用いてください。
- もし、セキュリティ ポリシーでアクションが拒否表示されていた場合、既存のセキュリティ ポリシーを、前述したように適切に変更してください。該当のファイアウォールがPanoramaで接続 (Connected) ステータスになるか確認してください。
セキュリティ ポリシー変更後、トラフィック ログ上で許可されています。
注意事項 -- もしファイアウォールの管理インターフェースとPanoramaにパブリックIPアドレスを使用していて、かつセッションが、マネージメント プレーンで管理されている場合(もしそのパケットがファイアウォールのデータポートを経由していない場合)、管理インターフェースで TCP dump をとり、宛先TCPポート3978でフィルター設定して、宛先に到達しているか確認してみてください(中継装置によって、通信に必要なポートがブロックされているかもしれません)。
著者: Tarang
Copyright 2007 - 2020 - Palo Alto Networks
