Warum werden unvollständige Sitzungen für TCP Port 3978 für Panorama die Verbindung beobachtet?
30334
Created On 04/29/19 23:55 PM - Last Modified 03/26/21 17:40 PM
Question
Warum werden unvollständige Sitzungen für TCP Port 3978 beobachtet, der für die Verbindung verwendet Panorama wird, wenn bereits eine aktive Sitzung vorhanden Panorama ist?
Firewall stellt eine Verbindung Panorama über eine Dataplane-Schnittstelle her. Zusätzlich zu einer aktiven Panorama Sitzung werden alle 60 Sekunden unvollständige Sitzungen in Datenverkehrsprotokollen von verschiedenen Quellports aufgezeichnet, wie unten gezeigt.
Die Sitzungsausgabe von CLI : (Sitzung ID 3 ist die aktive Panorama Sitzung. Sitzung ID 4490 ist die unentschlossene oder unvollständige Sitzung für Panorama Port 3978).
admin@Lab> show session all filter source 10.10.10.12 destination-port 3978 -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 3 panorama ACTIVE FLOW 10.10.10.12[43958]/L3-Trust/6 (10.10.10.12[43958]) vsys1 10.10.10.224[3978]/L3-Trust (10.10.10.224[3978]) 4490 undecided ACTIVE FLOW 10.10.10.12[54089]/L3-Trust/6 (10.10.10.12[54089]) vsys1 10.10.10.224[3978]/L3-Trust (10.10.10.224[3978])
Answer
Das ist ein erwartetes Verhalten.
Grund für die "Unvollständige" TCP Sitzung über Port TCP 3978
Der Protokollsammlungsdienst-Agent auf der firewall öffnet eine separate Verbindung zu allen TCP Protokollsammlern in der Logcollector-Präferenzliste, um Fehler des Protokollsammlers schnell zu erkennen. Der firewall tut dies, indem er einen TCP 3-Wege-Handshake an den Protokollsammler über TCP Port 3978 einleitet.Die TCP vom Protokollsammler geöffnete Verbindung firewall wird alle 60 Sekunden abgerissen. Es wird kein tatsächliches Datenpaket über diese Verbindung nach dem TCP 3-Wege-Handshake gesendet. Daher der Grund für die "unvollständigen" Sitzungen, die in Verkehrsprotokollen oder "unentschlossenen" Sitzungen beobachtet CLI wurden, die harmlos sind.
Das Ziel ist, dass die firewall eine genaue Ansicht der Protokollsammler haben, die in der Log-Collector-Präferenzliste verfügbar sind, damit der umschalten kann, falls die Kommunikation mit dem aktuell verbundenen firewall Protokollsammler aus irgendeinem Grund fehlschlägt.
Additional Information
Hintergrundinformationen
Wenn Panorama als Protokollsammler konfiguriert ist und Teil einer Protokollsammlergruppe ist, in der verwaltete Firewalls zur Protokollsammlergruppe hinzugefügt werden, wird eine Logcollector-Präferenzliste an die verwaltete verschoben, firewall damit die Liste der firewall Protokollsammler, an die sie Protokolle weiterleiten kann, priorisiert werden kann.
Beispielsweise verfügt ein Verwalteter über firewall die folgende Logcollector-Einstellungsliste, wobei 10.10.10.224 der Protokollsammler ist, Panorama an den sich die firewall Weiterleitungsprotokolle anschließt.
admin@Lab> show log-collector preference-list Forward to all: No Log collector Preference List Serial Number: 009201002984 IP Address: 10.10.10.224 IPV6 Address: unknown
Es können mehr als ein Protokollsammler in der Einstellungsliste vorhanden sein.