Panoramaでファイアウォールの接続ステータスがDisconnectedと表示される

※この記事は以下の記事の日本語訳です。
Firewall Showing as Disconnected on the Panorama
https://live.paloaltonetworks.com/t5/Management-Articles/Device-Showing-as-Disconnected-on-the-Panor...

解決方法

• ほとんどのケースでは、ファイアウォールの管理インターフェイスとPanorama間でSSLトンネルが作られます。
• ファイアウォールは、ファイアウォールとPanorama間の通信でTCPポート番号3978を宛先として使用します。
• もしセキュリティ ポリシーでTCPポート番号3978 / アプリケーションPanoramaを明示的に許可していない場合、対象機器はPanorama上で接続 (Connected) ステータスとして表示されず、トラフィックは最終的なポリシーによって拒否されます。
• トラフィック ログを、送信元を管理インターフェースのIPアドレスで、宛先をPanoramaのIPアドレスでフィルター設定してみてください。もし、Panoramaセッション用にサービスルート設定を使用している場合は、適切なデータープレーン・インターフェースのIPアドレスを用いてください。
• もし、セキュリティ ポリシーでアクションが拒否表示されていた場合、既存のセキュリティ ポリシーを、前述したように適切に変更してください。該当のファイアウォールがPanoramaで接続 (Connected) ステータスになるか確認してください。

セキュリティ ポリシー変更後、トラフィック ログ上で許可されています。

注意事項 -- もしファイアウォールの管理インターフェースとPanoramaにパブリックIPアドレスを使用していて、かつセッションが、マネージメント プレーンで管理されている場合（もしそのパケットがファイアウォールのデータポートを経由していない場合）、管理インターフェースで TCP dump をとり、宛先TCPポート3978でフィルター設定して、宛先に到達しているか確認してみてください（中継装置によって、通信に必要なポートがブロックされているかもしれません）。 

著者: Tarang