¿Por qué se observan las sesiones incompletas para TCP el puerto 3978 para Panorama la conexión?
30334
Created On 04/29/19 23:55 PM - Last Modified 03/26/21 17:40 PM
Question
¿Por qué se observan las sesiones incompletas para TCP el puerto 3978 utilizado para Panorama la conexión cuando ya hay una sesión Panorama activa?
Firewall se conecta al Panorama uso de una interfaz de plano de datos. Además de una Panorama sesión activa, hay sesiones incompletas registradas en los registros de tráfico de diversos puertos de origen cada ~60 segundos como se muestra abajo.
La salida de sesión de CLI : (La sesión ID 3 es la Panorama sesión activa. La sesión ID 4490 es la sesión indeciso o incompleta al Panorama puerto 3978).
admin@Lab> show session all filter source 10.10.10.12 destination-port 3978 -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 3 panorama ACTIVE FLOW 10.10.10.12[43958]/L3-Trust/6 (10.10.10.12[43958]) vsys1 10.10.10.224[3978]/L3-Trust (10.10.10.224[3978]) 4490 undecided ACTIVE FLOW 10.10.10.12[54089]/L3-Trust/6 (10.10.10.12[54089]) vsys1 10.10.10.224[3978]/L3-Trust (10.10.10.224[3978])
Answer
Este es un comportamiento esperado.
Motivo de la sesión "incompleta" sobre el TCP puerto TCP 3978
El agente del servicio de la colección de registros en el firewall abre una conexión separada a todos los TCP recopiladores de registro en la lista de preferencias del recopilador de registros para detectar rápidamente cualquier error del recopilador de registros. Esto firewall lo hace iniciando un TCP apretón de manos de 3 vías al colector de registros sobre el TCP puerto 3978.La TCP conexión abierta por el firewall colector de registros se derriba cada 60 segundos. No hay ningún paquete de datos real enviado sobre esta conexión después del TCP apretón de manos de 3 vías. Por lo tanto, la razón de las sesiones "incompletas" observadas en los registros de tráfico o las sesiones "indecisos" observadas en CLI que son inofensivas.
El objetivo es que el firewall tener una vista precisa de los recopiladores de registros que están disponibles en la lista de preferencias del recopilador de registros para que el switch over en caso de que la comunicación al recopilador de registros conectado actualmente firewall falle por alguna razón.
Additional Information
Información de antecedentes
Si Panorama se configura como un recopilador de registros y forma parte de un grupo de recopiladores de registros donde se agregan firewalls administrados al grupo de recopiladores de registros, habrá una lista de preferencias del recopilador de registros insertada en el administrado para que el cliente dé prioridad a la lista de firewall firewall recopiladores de registros a los que puede reenviar registros.
Por ejemplo, un administrado firewall tiene la siguiente lista de preferencias del recopilador de registros donde 10.10.10.224 es el Panorama recopilador de registros al que se registran los firewall registros de reenvío.
admin@Lab> show log-collector preference-list Forward to all: No Log collector Preference List Serial Number: 009201002984 IP Address: 10.10.10.224 IPV6 Address: unknown
Puede haber más de un recopilador de registros en la lista de preferencias.