通過Palo Alto和Secure Access NTG從RAVPNaaS排除PR連通性故障
目錄
問題
使用者已成功使用Cisco Secure Client建立雲VPN連線,但在連線後無法訪問內部專用資源。在後端檢查期間,VPN隧道似乎已在安全訪問端連線,但連線的使用者仍無法訪問內部網路服務。儘管已成功建立VPN身份驗證和隧道,但此連線問題仍會影響使用者對內部資產的訪問。
環境
思科安全使用者端
安全存取上的網路通道群組
Palo Alto作為邊緣防火牆
內部專用網路資源配置
安全存取遠端VPN
解析
通過Palo Alto防火牆側的合作故障排除會話和隧道重置過程解決了連線問題。
已執行的故障排除步驟
步驟 1:初始連線驗證
驗證當前連線狀態並確認安全訪問端隧道在後端檢查中顯示為已連線。
步驟 2:通道重設識別
使用雲原生頭端(CNHE)上的資料包,確保流量是否離開並到達Palo Alto。
步驟 3:Palo Alto通道重設
Palo Alto端未發現任何流量。
步驟 4:VPN重新連線
建議執行通道重置。重置隧道後,使用者使用安全客戶端重新連線到VPN,通過重置基礎設施建立新的隧道連線。
步驟 5:連線驗證
重新連線後,我們確認內部資源訪問已恢復,使用者能夠通過VPN連線成功訪問內部網路服務。
原因
根本原因與Palo Alto防火牆端上的隧道狀態不一致有關,這些不一致導致VPN身份驗證成功時內部流量無法正確路由。通道重設程式清除了這些狀態的不一致性,並為內部資源存取還原了正確的連線路徑。
相關內容
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
08-May-2026
|
初始版本 |
意見