接続用の TCP ポート 3978 で不完全なセッションが観測される理由 Panorama
30314
Created On 04/29/19 23:55 PM - Last Modified 03/26/21 17:40 PM
Question
TCP既にアクティブなセッションがある場合、ポート 3978 で未完了のセッションが使用されるの Panorama はなぜ Panorama ですか。
FirewallPanoramaは、データプレーン インタフェースを使用して接続します。 アクティブなセッションに加えて Panorama 、次に示すように、異なる送信元ポートからのトラフィック ログに記録された不完全なセッションが 60 秒ごとに記録されます。
セッション出力 : CLI (セッション ID 3 はアクティブ Panorama セッションです。 セッション ID 4490 は、ポート 3978 への未決定または不完全なセッション Panorama です。
admin@Lab> show session all filter source 10.10.10.12 destination-port 3978 -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 3 panorama ACTIVE FLOW 10.10.10.12[43958]/L3-Trust/6 (10.10.10.12[43958]) vsys1 10.10.10.224[3978]/L3-Trust (10.10.10.224[3978]) 4490 undecided ACTIVE FLOW 10.10.10.12[54089]/L3-Trust/6 (10.10.10.12[54089]) vsys1 10.10.10.224[3978]/L3-Trust (10.10.10.224[3978])
Answer
これは予期される動作です。
TCP TCP ポート 3978 上の「不完全」セッションの理由
ログ収集サービスエージェントは、 firewall TCP ログコレクターのエラーを迅速に検出するために、ログコレクター設定リスト内のすべてのログコレクターに対して別の接続を開きます。 firewallこれは、 TCP ポート 3978 を介してログ コレクタに 3 ウェイ ハンドシェイクを行うことで行 TCP われます。TCPログ コレクタによって開かれた接続 firewall は、60 秒ごとに切断されます。 3 ウェイ ハンドシェイク後にこの接続を介して送信される実際のデータ パケットはありません TCP 。 したがって、トラフィックログで観察される「不完全な」セッション、または「未決定」セッション CLI が認められた理由は無害です。
目標は、 firewall 現在接続されているログ コレクタへの firewall 通信が何らかの理由で失敗した場合に切り替えるために、ログ コレクタの優先リストで使用可能なログ コレクタを正確に表示することです。
Additional Information
背景情報
Panoramaログ コレクターとして構成され、管理されたファイアウォールがログ コレクター グループに追加されるログ コレクター グループの一部である場合、ログ コレクターの基本設定リストが管理にプッシュされ、 firewall ログを firewall 転送できるログ コレクターの一覧に優先順位が付きます。
たとえば、管理対象の firewall ログ コレクターの基本設定リストは、10.10.10.224 が Panorama 転送ログの先のログ コレクター firewall です。
admin@Lab> show log-collector preference-list Forward to all: No Log collector Preference List Serial Number: 009201002984 IP Address: 10.10.10.224 IPV6 Address: unknown
優先リストには、複数のログ コレクターが存在する場合があります。