Pourquoi les sessions incomplètes sont-elles TCP observées pour le port 3978 pour Panorama la connexion?
30310
Created On 04/29/19 23:55 PM - Last Modified 03/26/21 17:41 PM
Question
Pourquoi les sessions incomplètes observées pour TCP le port 3978 sont-elles utilisées Panorama pour la connexion alors qu’il y a déjà une Panorama session active?
Firewall se connecte à Panorama l’utilisation d’une interface dataplane. En plus d’une session active, il y a des sessions incomplètes enregistrées dans les journaux de trafic Panorama de différents ports sources toutes les ~60 secondes comme indiqué ci-dessous.
La sortie de session CLI de : (Session ID 3 est la session Panorama active. La ID session 4490 est la session indécise ou incomplète au Panorama port 3978).
admin@Lab> show session all filter source 10.10.10.12 destination-port 3978 -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 3 panorama ACTIVE FLOW 10.10.10.12[43958]/L3-Trust/6 (10.10.10.12[43958]) vsys1 10.10.10.224[3978]/L3-Trust (10.10.10.224[3978]) 4490 undecided ACTIVE FLOW 10.10.10.12[54089]/L3-Trust/6 (10.10.10.12[54089]) vsys1 10.10.10.224[3978]/L3-Trust (10.10.10.224[3978])
Answer
C'est un comportement attendu.
Raison de la session « Incomplète » TCP sur le port TCP 3978 L’agent
de service de collecte de journaux sur le ouvre une connexion distincte à tous les firewall TCP collecteurs de journaux dans la liste de préférences des collecteurs de journaux afin de détecter rapidement toute défaillance de collecteur de journaux. Le firewall fait en lançant une poignée de main TCP à trois sens au collecteur de rondins sur TCP le port 3978.La TCP connexion ouverte par le firewall collecteur de journaux est démolie toutes les 60 secondes. Il n’y a pas de paquet de données réel envoyé sur cette connexion TCP après la poignée de main à trois. D’où la raison des sessions « incomplètes » observées dans les registres de trafic ou les sessions « indécises » observées CLI qui sont inoffensives.
L’objectif est firewall d’avoir une vue précise des collecteurs de journaux qui sont disponibles dans la liste de préférences du collecteur de journaux afin que firewall le bascule si la communication au collecteur de journaux actuellement connecté échoue pour une raison quelconque.
Additional Information
Informations de base
Si Panorama est configuré comme un collecteur de journaux et fait partie d’un groupe de collecteur de journaux où les pare-feu gérés sont ajoutés au groupe collecteur de journaux, alors il y aura une liste de préférence collector journal poussé à la gestion afin de firewall donner la priorité à la liste des firewall collecteurs de journaux à laquelle il peut transmettre des journaux.
Par exemple, un géré a la liste de préférences de collecte de journaux firewall suivante où 10.10.10.224 est le collecteur de journaux Panorama auquel les journaux firewall avant.
admin@Lab> show log-collector preference-list Forward to all: No Log collector Preference List Serial Number: 009201002984 IP Address: 10.10.10.224 IPV6 Address: unknown
Il peut y avoir plus d’un collecteur de journaux sur la liste de préférences.