Panorama-Dimensionierung und Design-Guide
Resolution
Panorama -Management und Protokollierungs Übersicht
Die Panorama-Lösung besteht aus zwei allgemeine Funktionen: Geräteverwaltung und Log Collection/Reporting. Eine kurze Übersicht über diese beiden Hauptfunktionen folgen:
GeräteManagement: dazu gehören Aktivitäten wie Konfigurations Management und-Einsatz, der Einsatz von Pan-OS und Content-Updates.
Log-Sammlung: dazu gehört das Sammeln von Protokollen von einer oder mehreren Firewalls, entweder zu einem einzigen Panorama oder zu einer verteilten Log-Collection-Infrastruktur. Neben der Erfassung von Protokollen von eingesetzten Firewalls, können Berichte erstellt werden basierend auf das Protokollieren von Daten, ob es lokal auf das Panorama (z.B. M-Serie oder VM Gerät) für auf eine verteilte Protokollierungsinfrastruktur befindet.
Die Panorama-Lösung sorgt für Flexibilität im Design durch verschiedene körperliche Stücke der Managementinfrastruktur diese Funktionen zuweisen. Zum Beispiel: Device Management kann von einem VM-Panorama durchgeführt werden, während die Firewalls ihre Protokolle an benachbarte dediziertes Protokoll Sammler weiterleiten:
Im obigen Beispiel werden die Gerätefunktion Management und reporting auf einer VM Panorama-Appliance durchgeführt. Es gibt drei Log-Sammler-Gruppen. Gruppe A, enthält zwei Log-Sammler und erhält Protokolle von drei eigenständige Firewalls. Gruppe B, bestehend aus einem einzigen Sammler und Protokolle aus einem Paar von Firewalls in einer aktiv/passiv-Konfiguration Hochverfügbarkeit (HA) erhält. Gruppe C enthält zwei Log-Sammler sowie und erhält Protokolle von zwei HA-Paare von Firewalls. Die Anzahl der Log-Kollektoren in einem bestimmten Ort ist eine Reihe von Faktoren abhängig. Entwurfsüberlegungen werden weiter unten behandelt. Bemerkung: jede Plattform kann einen speziellen Manager, aber nur M-Serie ist ein dediziertes Protokoll-Sammler.
Protokollsammlung
Verwaltete Geräte
Während alle aktuelle Panorama-Plattformen eine Obergrenze von 1000 Geräte für Verwaltungszwecke haben, ist es wichtig für die Panorama-Dimensionierung zu verstehen, was die Eingangsrate Protokoll von allen verwalteten Geräten werden. Starten Sie mit, nehmen Sie eine Bestandsaufnahme der gesamten Firewall-Appliances, die von Panorama verwaltet wird.
Verwenden Sie die folgende Tabelle, um eine Bestandsaufnahme Ihrer Geräte, die Protokolle gespeichert werden müssen:
| Modell | PAN-OS (Major Zweig #) | Lage | Durchschnittlichen Log Rate gemessen |
|---|---|---|---|
| Ex: 5060 | Ex: 6.1.0 | Ex: Main Rechenzentrum | Z. B. 2500 Protokolle/s |
Die Protokollierung Anforderungen
Dieser Abschnitt deckt den Informationsbedarf richtig Größe und Panorama-Protokollierungsinfrastruktur zur Unterstützung von Kundenanforderungen bereitstellen. Es gibt drei wesentliche Faktoren bei der Bestimmung der Betrag insgesamt erforderlichen Speicherplatz und so zuweisen, dass die Lagerung über Log-Sammler verteilt. Diese Faktoren sind:
- Log-Einnahme-Anforderungen: Dies ist die Gesamtzahl der Protokolle, die pro Sekunde an der Panorama-Infrastruktur gesendet werden.
- Log-Storage-Anforderungen: Dies ist der Zeitrahmen für den der Kunde braucht, meldet sich die Management-Plattform zu behalten. Es gibt verschiedene treibenden Faktoren für diese einschließlich beide auf der Grundlage und Einhaltung gesetzlicher Vorschriften Motivatoren.
- Gerätestandort: Der physische Speicherort der Firewalls kann die Entscheidung, DLC Geräte an remote-Standorten basierend auf WAN-Bandbreite usw. fahren.
Jeder dieser Faktoren werden in den folgenden Abschnitten beschrieben:
Melden Sie sich Verschlucken Anforderungen
Die aggregierte logweiterleitungs Rate für verwaltete Geräte muss verstanden werden, um AVOID ein Design zu entwerfen, bei dem regelmäßig mehr Protokolle an Panorama gesendet werden, als es auf die Festplatte empfangen, verarbeiten und schreiben kann. Die folgende Tabelle skizziert die maximale Anzahl von Protokollen pro Sekunde, die jede Hardware-Plattform auf Panorama weiterleiten kann und kann bei der Gestaltung eines Soluti verwendet werden, um die maximale Anzahl von Protokollen zu berechnen, die in der Kundenumgebung an Panorama weitergeleitet werden können.
Gerät anmelden Weiterleitung
| Plattform | Unterstützte Protokolle pro Sekunde (LPS) |
|---|---|
| PA-200 | 250 |
| PA-220 | 1.200 |
| PA-500 | 625 |
| PA-820/850 | 10.000 |
| PA-3000-Serie | 10.000 |
| PA-3220 | 7.000 |
| PA-3250 | 15.000 |
| PA-3260 | 24.000 |
| PA-5050/60 | 10.000 |
| PA-5220 | 30.000 |
| PA-5250 | 55.000 |
| PA-5260 | Getestet zu werden |
| PA-7050/7080 | 70.000 |
| VM-50 | 1.250 |
VM-100/200 | 2.500 |
| VM-300/1000-HV | 8.000 |
| VM-500 | 8.000 |
| VM-700 | 10.000 |
Die Log-Einnahme-Rate auf Panorama wird von der Plattform und Modus im Einsatz (Mischbetrieb Verse Logger-Modus) beeinflusst. Die folgende Tabelle zeigt die Einnahme Raten für Panorama auf verschiedenen Plattformen und Betriebsarten. Die Zahlen in Klammern neben VM bezeichnen die Anzahl der CPUs und Gigabyte RAM, die der VM zugeordnet sind.
Panorama-Log-Einnahme
| Plattform | Gemischt | Dedizierte |
|---|---|---|
| VM (8/16) | 10.000 | 18.000 |
| M-200 | 10.000 | 28.000 |
| M-500 | 15.000 | 30.000 |
| M-600 | 25.000 | 50.000 |
Die oben genannten Zahlen sind alle Maximalwerte. In live-Einsätzen ist die eigentliche Protokoll in der Regel einen Bruchteil der unterstützten maximalen. Eigentliche Protokoll Festsetzung ist stark abhängig von der Kunde Verkehrsmix und ist nicht unbedingt an Durchsatz gebunden. Zum Beispiel wird eine ausgelagerten SMB-Sitzung zeigen hohe Durchsatz aber nur eine Datenverkehrsprotokoll zu generieren. Im Gegensatz dazu haben Sie einen kleineren Durchsatz, bestehend aus Tausenden von UDP DNS Abfragen, dass jeweils eine separate Traffic generieren zu melden. Für die Dimensionierung, kann eine grobe Korrelation zwischen Verbindungen pro Sekunde und Logs pro Sekunde gezeichnet werden.
Methoden für die Bestimmung Log
Neuer Kunde:
- Nutzen Sie Informationen aus vorhandenen Datenquellen der Kunden. Viele Kunden haben eine Drittanbieter-Logging-Lösung wie Splunk, ArcSight, Qradar. Die Anzahl der Protokolle von ihrem bestehenden Firewalllösung kann aus diesen Systemen gezogen. Wenn Sie diese Methode verwenden, erhalten Sie eine Log-Zählung aus der dritten Lösung für einen ganzen Tag und dividieren durch 86.400 (Anzahl der Sekunden an einem Tag). Tun Sie dies für mehrere Tage, um einen Durchschnitt zu erhalten. Achten Sie darauf, sowohl für Geschäftsreisende als auch für nicht-Werktage zählen in der Regel gibt es eine große Varianz in Log-Rate zwischen den beiden.
- Verwenden Sie Daten vom Auswertegerät. Diese Informationen bieten einen sehr guten Ausgangspunkt für die Dimensionierung Zwecke und mit Eingabe vom Kunden, Daten für andere Websites im gleichen Design extrapoliert werden können. Diese Methode hat den Vorteil der Gewinnung von durchschnittlich über mehrere Tage. Ein Skript (mit Anleitung) gerne bei der Berechnung dieser Informationen finden Sie auf dieses Dokument beigefügt ist. Um zu verwenden, laden Sie die Datei mit dem Namen "ts_lps. zip" herunter. Entpacken Sie die Zipdatei und verweisen Sie die README.txt für Instruktionen zu.
- Wenn keine Informationen verfügbar sind, verwenden Sie die Gerät Log Forwarding Tabelle oben als Bezugspunkt. Dadurch werden die ungenaueste Methode für einen bestimmten Kunden.
Bestehende Kunden:
Für bestehende Kunden können wir Daten aus ihren vorhandenen Firewalls und Log Sammler nutzen:
- Um die Protokoll Rate einer einzelnen Firewall zu überprüfen, laden Sie die angehängte Datei mit dem Namen "Device. zip" herunter, entpacken Sie die ZIP-Datei und verweisen Sie auf die Readme. txt-Datei für Anweisungen. Dieses Paket wird eine einzelne Firewall über einen bestimmten Zeitraum hinweg (Sie können wählen, wie viele Proben) Abfragen und eine durchschnittliche Anzahl von Logs pro Sekunde für diesen Zeitraum zu geben. Mindestens sollte dieses Skript 24 Stunden hintereinander an einem Werktag ausgeführt werden. Das Skript für eine ganze Woche zu laufen, wird helfen, die zyklische Ebbe und Flut des Netzwerks zu erfassen. Wenn der Kunde einen Log Collector nicht kennt, wird dieser Prozess gegen jede Firewall in der Umgebung ausgeführt werden müssen.
- Wenn der Kunde einen Log-Sammler (oder Log-Sammler) hat, laden Sie die beigefügte Datei mit dem Namen "lc_lps. zip" herunter, entpacken Sie die ZIP-Datei und verweisen Sie auf die Readme. txt-Datei für Anweisungen dieses Paket wird die Log-Sammler-MIB Abfragen, um eine Probe des eingehenden Protokolls Rate über einen bestimmten Zeitraum.
Log-Storage-Anforderungen
Faktoren, die die Log-Storage-Anforderungen
Es gibt mehrere Faktoren, dass Laufwerk Log Speicheranforderungen. Die meisten dieser Anforderungen sind regulatorische in der Natur. Kunden müssen für Sarbanes-Oxely HIPAA und PCI-Compliance-Anforderungen.
Es gibt andere Regierungs- und Industrie-Standards, die berücksichtigt werden müssen. Darüber hinaus haben einige Unternehmen interne Anforderungen. Zum Beispiel: eine bestimmte Anzahl von Tagen im Wert von Protokollen auf der ursprünglichen Managementplattform beibehalten werden. Stellen Sie sicher, dass all diese Anforderungen mit dem Kunden adressiert werden, wenn eine Protokoll-Storage-Lösung entwerfen.
Der Fokus liegt auf der minumum-Anzahl von Tagen, die gespeichert werden müssen. Wenn eine Maximale Anzahl von Tagen erforderlich ist (aufgrund von Regulierung oder Richtlinien), können Sie die maximale Anzahl von Tagen festlegen, um Protokolle in der Quoten Konfiguration zu behalten.
Berechnung der erforderlichen Speicherplatz
Die Berechnung des benötigten Speicherplatzes auf der Grundlage der Anforderungen eines bestimmten Kunden ist ein ziemlich geradliniger Prozess, kann aber arbeitsintensiv sein, wenn man höhere präzisionsgrade erreicht. Bei Pan-OS 8,0 beträgt die aggregierte Größe aller Log-Typen 500 Bytes. Diese Zahl macht die Protokolle selbst sowie die zugehörigen Indizes. Die Bedrohung-Datenbank ist die Datenquelle für Bedrohung Protokolle sowie URL, Wildfire Einreichungen und Filtern von Daten protokolliert.
Beachten Sie, dass wir möglicherweise nicht die Logging-Lösung für die langfristige Archivierung. Empfehlen Sie in diesen Fällen Syslog forwarding für Archivierungszwecke.
Die Gleichung um die Speicheranforderungen für bestimmte Protokolltyp zu bestimmen ist:
Beispiel: Kunde möchte 30 Tage im Wert von Verkehr Protokolle mit einer Log-Rate von 1500 Logs pro Sekunde halten zu können:
Das Ergebnis der obigen Berechnung ist nur für detaillierte Protokolle verantwortlich. Mit Standard-Quoten-Einstellungen reservieren 60% des verfügbaren Speichers für detaillierte Protokolle. Das bedeutet, dass die berechnete Zahl 60% der gesamten Speicherung ausmacht, die gekauft werden muss. Um die erforderliche Gesamt Lagerung zu berechnen, abweichen Sie diese Zahl um. 60:
Standard-Log-Quoten für Panorama 8,0 und später sind wie folgt:
| Protokolltyp | % Speicher |
| Detaillierte Firewall-Logs | 60 |
| Zusammenfassung-Firewall-Logs | 30 |
| Infrastruktur und Überwachungsprotokolle | 5 |
| Palo Alto Networks Plattform Protokolle | .1 |
| 3rd Party externe Protokolle | .1 |
Das beigefügte Arbeitsblatt wird berücksichtigt das Standardkontingent auf Panorama und einen Gesamtbetrag von Speicher erforderlich.
Berechnung der erforderlichen Speicherplatz für Logging-Service
Es gibt drei verschiedene Fälle für die Größenanpassung von Log-Sammlung mit der Protokollierungsdienst. Für eine gründliche Größen Führung, siehe die Größen Speicherung für den Logging-Service.
- Protokollsammlung für Palo Alto Networks Next Generation Firewalls
- Protokollsammlung GlobalProtect Cloud-Service Mobile Benutzer
- Protokollsammlung für GlobalProtect Cloud Service Remote Office
Protokollsammlung für Palo Alto Next Generation Firewalls
Das Protokoll Methodik für Firewalls, die Anmeldung der Protokollierungsdienst Dimensionierung ist das gleiche bei der Dimensionierung für auf Prämisse Log Sammler. Der einzige Unterschied ist die Größe des Protokolls auf der Festplatte. Im Logging-Service können sowohl Bedrohungs-als auch Verkehrsprotokolle mit einer Größe von 1500 Bytes berechnet werden.
Protokollsammlung GlobalProtect Cloud-Service Mobile Benutzer
Pro Benutzer Protokoll hängt Generation stark von dem Typ des Benutzers sowie die Arbeitsauslastungen, die in dieser Umgebung ausgeführt wird. 1 TB Speicher auf der Protokollierungsdienst wird im Durchschnitt 30 Tage Vorhaltezeit für 5000 Benutzer bereitstellen. Ein Vorteil des Protokollierdienstes ist, dass Speichererweiterung viel einfacher als in einem traditionellen auf Prämisse verteilte Sammlung Umwelt zu tun. Dies bedeutet, dass Ihre Umgebung wesentlich belebter als der Durchschnitt, es einfach eine Frage ist hinzufügen, welcher Speicher für Ihre Aufbewahrung Anforderungen notwendig ist.
Protokollsammlung für GlobalProtect Cloud Service Remote Office
GlobalProtect Cloud Service (GPCS) für remote-Standorte wird je nach Bandbreite verkauft. Während Log Rate weitgehend von Verbindung Rate und Verkehr Mischung in Probe Unternehmen getrieben, Umgebungen anmelden, tritt Generation mit einer Rate von ungefähr 1,5 Logs pro Sekunde pro Megabit Durchsatz. Das Arbeitsblatt zur angeschlossenen Dimensionierung nutzt diese Rate und berücksichtigt Konto gebucht/aus Stunden um einen geschätzten durchschnittlichen Log vorzusehen.
LogDB Speicherkontingente
Speicherkontingente wurden vereinfacht, PAN-OS-Version 8.0 ab. Detail und zusammenfassende Protokolle haben ihre eigenen Kontingent, unabhängig von der Art (Verkehr/Gefährdung):
| Protokolltyp | Quote (%) |
| Detaillierte Firewall-Logs | 60 |
| Zusammenfassung-Firewall-Logs | 30 |
| Infrastruktur und Überwachungsprotokolle | 5 |
| Palo Alto Networks Plattform Protokolle | .1 |
| 3rd Party externe Protokolle | .1 |
| Insgesamt | 95,2 |
Gerätestandort
Der letzte Entwurf Rücksicht auf Protokollierungsinfrastruktur ist Standort der Firewalls im Vergleich zu den Panorama-Plattform, die, der Sie anmelden. Wenn das Gerät vom Panorama mit einem langsamen Netzwerk-Segment (z.B. getrennt ist T1/E1), es empfiehlt sich ein gewidmet Log Collector (DLC) vor Ort mit der Firewall zu platzieren. Dies ermöglicht die Log-Weiterleitung auf die höhere Geschwindigkeit LAN-Segment beschränkt werden, wobei Panorama Log Collector bei Bedarf Abfragen. Als Referenz in den folgenden Tabellen zeigt Bandbreitennutzung für Log-Weiterleitung zu verschiedenen Log-Preisen. Dabei werden beide Protokolle Panorama und die Anerkennung von Panorama an der Firewall gesendet. Beachten Sie, dass für die 7000 Serie und 5200 Serie, Protokolle während der Übertragung komprimiert werden.
Melden Sie sich Weiterleitung Bandbreite
| Log-Rate (LPS) | Verwendete Bandbreite |
|---|---|
| 1300 | 8 Mbit/s |
8000 | 56 Mbit/s |
| 10000 | 64 Mbit/s |
| 16000 | 52,8 140,8 Mbit/s (96,8) |
Melden Sie sich Weiterleitung Bandbreite - 7000 und 5200 Serie
| Log-Rate (LPS) | Verwendete Bandbreite |
|---|---|
| 1300 | .6 Mbit/s |
8000 | 4 Mbit/s |
| 10000 | 4.5 Mbit/s |
| 16000 | 5 - 10 Mbit/s |
Geräteverwaltung
Es gibt mehrere Faktoren zu berücksichtigen bei der Auswahl einer Plattform für eine Panorama-Bereitstellung. Anfängliche Faktoren gehören:
- Anzahl der gleichzeitigen Administratoren muss unterstützt werden?
- Muss der Kunde VMWare Virtualisierungs-Infrastruktur das Sicherheits-Team Zugriff hat?
- Verlangt der Kunde zwei Netzteile?
- Wie groß ist die geschätzte Konfiguration?
- Wird das Gerätehandle Sammlung sowie anmelden?
Panorama Virtual Appliance
Diese Plattform arbeitet als eine virtuelle m-100 und teilt die gleiche Log Einnahme Rate. Hinzufügen von zusätzlichen Ressourcen ermöglicht die virtuelle Panorama-Appliance maßstabsgetreu sowohl seine Einnahme sowie Management-Funktionen. Die Mindestanforderungen für eine Panorama virtual Appliance laufen 8.0 ist 8 vCPUs und 16GB vRAM.
Wenn Virtual Appliance wählen?
- Der Kunde hat große VMWare-Infrastruktur, die die Sicherheit Zugang zu
- Kunde ist mit engagierten Log Sammler und sind nicht im gemischten Modus
Wenn nicht, Virtual Appliance zu wählen?
- Server-Team und Sicherheits-Team sind getrennt und will nicht teilen
- Kunde hat keine virtuelle Infrastruktur
M-100 Hardware-Plattform
Diese Plattform hat dedizierte Hardware und bis zu 15 gleichzeitige Administratoren umgehen kann. Wenn im gemischten Modus ist in der Lage, die Einnahme von 10.000-15.000 Logs pro Sekunde.
Wann m wählen?
- Der Kunde braucht eine eigene Plattform, aber ist sehr preissensibel
- Kunden nutzt dediziertes Protokoll Sammler und sind nicht im gemischten Modus aber keinen VM-Infrastruktur
Wenn nicht, m-100 zu wählen?
- Wenn doppelte Netzteile erforderlich sind
- Mischbetrieb mit mehr als 10 k Log/s oder mehr als 8TB für Log Speicherung erforderlich
- Hat mehr als 15 gleichzeitige Administratoren
M-500 Hardware-Plattform
Diese Plattform hat die höchste Log Einnahme, auch im gemischten Modus. Die höhere Ressourcenverfügbarkeit werden größere Konfigurationen und mehrere gleichzeitige Administratoren (15-30) behandeln. Bietet zwei Netzteile und hat einen starkes Wachstum-Fahrplan.
Wann M-500 wählen?
- Der Kunde braucht eine eigene Plattform und hat eine große und wachsende Bereitstellung
- Kunde ist dual-Modus mit mehr als 10 k Log/s verwendet.
- Kunden wollen in Zukunft Beweis ihrer Investitionen
- Kunde braucht eine dedizierte Appliance, hat aber mehr als 15 gleichzeitige Administratoren
- Erfordert zwei Netzteile
Wenn nicht, M-500 zu wählen?
- Wenn der Kunde VM ersten Umgebung hat und nicht mehr als 48 TB Log-Speicher braucht
- Der Kunde ist sehr preissensibel
High Availability
In diesem Abschnitt werden Entwurfsüberlegungen befassen, bei der Planung für eine hohe Verfügbarkeit-Bereitstellung. Panorama-Hochverfügbarkeit ist aktiv/passiv nur und beide Geräte voll lizenziert werden müssen. Bei der Bereitstellung der Panorama-Lösung gibt es zwei Aspekte, die hohe Verfügbarkeit. Diese Aspekte sind Device Management und Protokollierung. Die beiden Aspekte sind eng miteinander verbunden, aber jedes hat spezifische Anforderungen für Design und Konfiguration.
Device Management ha: die Fähigkeit, Gerätemanagement-Fähigkeiten beim Verlust eines Panorama-Geräts zu behalten (entweder eine M-Serie oder ein virtuelles Gerät).
Protokollierung von ha oder Log-Redundanz: die Fähigkeit, Firewall-Protokolle beim Verlust eines Panorama-Geräts zu speichern (nur M-Serie).
Geräteverwaltung HA
Wenn Sie die Panorama-Lösung in einem Design hohe Verfügbarkeit bereitstellen, entscheiden sich viele Kunden HA Altersgenossen in separaten physischen Standorten platzieren. Aus gestalterischer Sicht sind zwei Faktoren zu berücksichtigen, wenn Sie ein paar Panorama-Geräte in einer Konfiguration mit hoher Verfügbarkeit bereitstellen. Diese Bedenken sind Netzwerklatenz und Durchsatz.
Netzwerklatenz
Die Latenz des dazwischen liegenden Netzwerksegmente betrifft die Steuern des Datenverkehrs zwischen den HA-Mitgliedern. HA können verwandte Timer auf den Bedarf der Kunden-Bereitstellung angepasst werden. Die maximal empfohlene Wert 1000 ms.
- Preemption Hold Time: Wenn die präventiv Option aktiviert ist, ist die Vorkaufs Zeit die Zeit, die das passive Gerät warten wird, bevor es die aktive Rolle übernimmt. In diesem Fall sowohl Geräte sind, und der Timer gilt für das Gerät mit der "Primären" Priorität.
- Promotion-Hold-Zeit: der Promotion-Hold-Timer gibt das Intervall an, das das sekundäre Gerät warten wird, bevor es die aktive rote übernimmt. In diesem Fall ein Ausfall des primären Gerät stattgefunden hat und dieser Timer für das sekundäre Gerät.
- Hello Interval: dieser Timer definiert die Anzahl der Millisekunden zwischen hello-Paketen und dem Peer-Gerät. Hallo werden Pakete verwendet, um sicherzustellen, dass die Peer-Gerät in Betrieb ist.
- Heartbeat-Intervall: dieser Timer definiert die Anzahl der Millisekunden zwischen ICMP-Nachrichten, die an den Peer gesendet werden. Herzschlag-Pakete werden verwendet, um sicherzustellen, dass die Peer-Gerät erreichbar ist.
Beziehung zwischen Netzwerklatenz und Taktintervall
Da der Herzschlag festzustellen, Erreichbarkeit des HA Peers verwendet wird, sollte das Taktintervall höher als die Latenz des Zusammenhangs zwischen den HA-Mitgliedern festgelegt werden.
HA Timer Presets
Während Kunden ihre HA Timer speziell entsprechend ihrer Umgebung eingestellt werden können, hat Panorama auch zwei Sätze von vorkonfigurierten Zeitgeber, die der Kunde nutzen kann. Diese Presets decken einen Großteil der Kundenbereitstellungen
Empfohlen:
| Timer | Einstellung |
|---|---|
| Vorkaufsrecht Haltezeit | 1 |
| Hallo Intervall | 8000 |
| Heartbeat-Intervall | 2000 |
| Monitor Fail Hold-Up Time | 0 |
| Weitere Master-Hold-Up Time | 7000 |
Aggressiv:
| Timer | Einstellung |
|---|---|
| Vorkaufsrecht Haltezeit | 500 |
| Hallo Intervall | 8000 |
| Heartbeat-Intervall | 1000 |
| Monitor Fail Hold-Up Time | 0 |
| Weitere Master-Hold-Up Time | 5000 |
Konfiguration-Sync
HA Sync Prozess
Der HA-Sync-Prozess tritt auf Panorama, wenn eine Änderung an der Konfiguration auf eines der Mitglieder in der HA-paar erfolgt. Wenn eine Änderung an der aktiven-Primary vorgenommen und begangen wird, sendet Sie eine Nachricht an die Active-sekundäre, dass die Konfiguration synchronisiert werden muss. Die aktive sekundäre wird eine Bestätigung zurück gesendet, dass er bereit ist. Die aktiv-primäre senden dann die Konfiguration auf den aktiv-sekundären. Die aktiv-sekundäre fusionieren die Konfiguration per Active-Grund- und Enqueue einen Job, um die Änderungen zu übernehmen. Diesen Vorgang muss innerhalb von drei Minuten von der HA-Sync Nachricht aus dem aktiv-Primary-Panorama. Das Hauptanliegen ist die Größe der gesendeten Konfiguration und der effektive Durchsatz die Netzwerk-Segmente, die die HA-Mitgliedern zu trennen.
Log-Verfügbarkeit
Das andere Stück Panorama Hochverfügbarkeitslösung bietet Verfügbarkeit der Protokolle bei einem Hardwareausfall. Es gibt zwei Methoden um dies zu erreichen als eine Log-Sammler-Infrastruktur (dedizierten oder im gemischten Modus) verwenden.
Log-Redundanz
PAN-OS 7.0 und später enthalten eine ausdrückliche Option, jedes Protokoll in 2 Log-Kollektoren in der Log-Sammler-Gruppe zu schreiben. Durch diese Option aktivieren, sendet ein Gerät es ist Log an seine primäre Log Collector, der dann das Protokoll zu einem anderen Sammler in der gleichen Gruppe repliziert:
Log-Vervielfältigung sorgt dafür, dass zwei Kopien von jedem gegebenen Log in der Log-Sammler-Gruppe vorhanden sind. Dies ist eine gute Option für Kunden, die müssen Log-Verfügbarkeit zu gewährleisten. Dinge zu beachten:
1. Die Replikation erfolgt nur im Rahmen einer Log-Sammler-Gruppe.
2. Der insgesamt verfügbare Speicherplatz wird halbiert (weil jedes Protokoll zweimal geschrieben ist).
3. Insgesamt wird Log Einnahme um bis zu 50 % gesenkt werden.
Log-Pufferung
Firewalls benötigen von der Panorama-Plattform eine Bestätigung, an die Sie Protokolle weiterleiten. Dies bedeutet, dass die primäre Log Collector die Firewall nicht mehr verfügbar ist, wird die Protokolle gepuffert und gesendet, wenn der Kollektor wieder online geschaltet wird. Es gibt zwei Methoden, um Puffer Protokolle. Die erste Methode ist separates Protokoll-Sammler-Gruppen für jeden Log Collector konfigurieren:
In diesem Fall wenn Log Collector 1 untergeht, speichert Firewall A & Firewall B jeweils ihre Protokolle auf ihre eigenen lokalen Log-Partition bis Kollektor wieder erzogen wird. Die lokale Log-Partition für aktuelle Firewall-Modelle ist:
| Modell | Größe der Log-Partition (GB) |
|---|---|
| PA-200 | 2.4 |
| PA-220 | 32 |
| PA-800-Serie | 172 |
| PA-3000-Serie | 90 |
| PA-3200-Serie | 125 |
| PA-5000-Serie | 88 |
| PA-5200-Serie | 1800 |
Die zweite Methode ist, mehrere Log-Sammler in einer Gruppe zu platzieren. In diesem Szenario kann die Firewall mit einer Prioritätenliste konfiguriert werden, so dass, wenn der primäre Log-Sammler untergeht, der zweite Sammler auf der Liste die Protokolle puffert, bis alle Sammler in der Gruppe wissen, dass der primäre Kollektor unten ist, zu welcher Zeit , werden neue Protokolle dem Down-Sammler nicht mehr zugeordnet.
In der unten gezeigten Architektur Firewall A & Firewall B sind ihre Protokolle auf Log Collector 1 in erster Linie mit Log Collector 2 als Backup senden konfiguriert. Wenn Log Collector 1 nicht erreichbar wird, werden die Geräte ihre Protokolle an Log Collector 2 senden. Collector 2 wird Puffer Protokolle, die auf Collector 1 gespeichert werden sollen, bis es Sammler 1 aus der Rotation ziehen kann.
Überlegungen für das Design der Log-sammlergruppe
Es gibt drei Hauptgründe für die Konfiguration von Block Sammlern in einer Gruppe:
- Für eine bestimmte Firewall (oder eine Reihe von Firewalls) ist eine größere Protokoll Speicherung erforderlich, als Sie von einem einzelnen Log-Kollektor (zur skalier-Speicherung) bereitgestellt werden kann.
- Für eine bestimmte Firewall ist eine größere Einnahme Kapazität erforderlich, als Sie von einem einzelnen Log-Sammler (zur skalier-Einnahme) bereitgestellt werden kann.
- Anforderung für die Entlassung von Log.
Bei der Betrachtung der Verwendung von Log-Sammler Gruppen gibt es einige Überlegungen, die in der Entwurfsphase behandelt werden müssen:
- Ausbreitung der Einnahme über die verfügbaren Kollektoren: Es können mehrere Geräte-Weiterleitungs Listen erstellt werden. Dadurch kann die Einnahme von mehreren Sammlern in der sammlergruppe abgewickelt werden. Zum Beispiel wird die Präferenz Liste 1 die Hälfte der Firewalls und Listen Sammler 1 als Primär-und Sammler 2 als sekundäre haben. Die Präferenz Liste 2 wird den Rest der Firewalls und Listen Sammler 2 als Primär-und Sammler 1 als sekundär haben.
- Latenz Fragen: die Netzwerk Latenz zwischen Sammlern in einer Log-Collector-Gruppe ist ein wichtiger Faktor für die Leistung. Eine allgemeine gestaltungsleitlinie ist es, alle Sammler, die Mitglieder derselben Gruppe sind, dicht beieinander zu halten. Die folgende Tabelle gibt eine Vorstellung davon, was Sie bei verschiedenen latancy-Messungen mit aktiviertem und deaktiviertem Redundanz erwarten können. In diesem Fall ist ' log Delay ' das unerwünschte Ergebnis hoher Latenz-Protokolle erscheinen erst lange nach dem Versenden an Panorama im UI.
| Inter LC Latency (MS) | Log Rate | Redundanz | Log Delay |
| 50 | 10K | Nein | Nein |
| 100 | 5K | Nein | Nein |
| 100 | 10K | Nein | Ja |
| 50 | 5K | Ja | Nein |
| 50 | 10K | Ja | Ja |
| 100 | 5K | Ja | Nein |
| 150 | 3K | Ja | Nein |
| 150 | 5K | Ja | Ja |
Mit Hilfe der Dimensionierung-Arbeitsblatt
Die Informationen, die Sie benötigen, beinhalten die gewünschte Aufbewahrungsfrist und den durchschnittlichen logsatz.
Aufbewahrungsfrist: Anzahl der Tage, an denen die Protokolle aufbewahrt werden müssen.
Durchschnittliche Log-Rate: die gemessene oder geschätzte Aggregat-Log-Rate.
Redundanz erforderlich: Überprüfen Sie dieses Kästchen, wenn die Protokoll Redundanz erforderlich ist.
Speicherung für detaillierte Protokolle: die Speichermenge (in Gigabyte), die für die Einhaltung der Aufbewahrungsfrist für detaillierte Protokolle erforderlich ist.
Gesamtspeicher erforderlich: der Speicher (in Gigabyte) zu kaufen. Dies berücksichtigt alle Logs-Typen in den defualt-Quoteneinstellungen.
Beispiel-Use-Cases