为什么连接 TCP 端口 3978 的不完整会话被观察 Panorama 到?
30282
Created On 04/29/19 23:55 PM - Last Modified 03/26/21 17:40 PM
Question
为什么在 TCP 已经有活动会话时,端口 3978 的未完整会 Panorama 话用于连接 Panorama ?
Firewall 连接到 Panorama 使用数据飞机接口。 除活动 Panorama 会话外,每 60 秒记录一次来自不同源端口的流量日志中未完成的会话,如下所示。
会话输出来自 CLI :(会话 ID 3 是活动 Panorama 会话。 会话 ID 4490 是端口 3978 的未决定或不完整的会话 Panorama 。
admin@Lab> show session all filter source 10.10.10.12 destination-port 3978 -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 3 panorama ACTIVE FLOW 10.10.10.12[43958]/L3-Trust/6 (10.10.10.12[43958]) vsys1 10.10.10.224[3978]/L3-Trust (10.10.10.224[3978]) 4490 undecided ACTIVE FLOW 10.10.10.12[54089]/L3-Trust/6 (10.10.10.12[54089]) vsys1 10.10.10.224[3978]/L3-Trust (10.10.10.224[3978])
Answer
这是一个预期的行为。
TCP TCP 端口 3978 上的"不完整"会话的原因
日志收集服务代理 firewall 打开与 TCP 日志收集器首选项列表中的所有日志收集器的单独连接,以便快速检测任何日志收集器故障。 通过 firewall 在 TCP 端口 3978 上与日志收集器进行 3 向握手来达到此 TCP 点。日 TCP firewall 志收集器打开的连接每 60 秒拆下一次。 在三方握手后,没有通过此连接发送实际数据包 TCP 。 因此,在交通日志中观察到的"不完整"会话或在其中观察到的"未决定"会话的原因是 CLI 无害的。
目标是 firewall 准确查看日志收集器首选项列表中可用的日志收集器,以便在与 firewall 当前连接的日志收集器的通信因某种原因失败时切换。
Additional Information
背景信息
如果 Panorama 被配置为日志收集器,并且是日志收集器组的一部分,其中管理的防火墙被添加到日志收集器组,则将有一个日志收集器首选项列表被推推到托管 firewall ,以便 firewall 优先级的日志收集器列表,它可以转发日志。
例如,管理器 firewall 具有以下日志收集器首选项列表,其中 10.10.10.224 是 Panorama 转发日志的日志收集器 firewall 。
admin@Lab> show log-collector preference-list Forward to all: No Log collector Preference List Serial Number: 009201002984 IP Address: 10.10.10.224 IPV6 Address: unknown
首选项列表中可以有多个日志收集器。