So bestätigen Sie, dass Panorama Benachrichtigungen vom Manager empfangen werden NSX-T
12247
Created On 10/05/20 09:36 AM - Last Modified 03/26/21 18:41 PM
Objective
Um zentralisiert policy in der Umgebung zu verwalten, können Sie NSX-T die dynamische Panorama Adressgruppe ( ) als Quell- oder Zieladresse in Sicherheit anfügen DAG und an die policy Firewalls übertragen. Die Firewalls können dann dynamisch die Adressen der virtuellen Maschinen abrufen, die IP in jeder Sicherheitsgruppe enthalten sind, um Datenverkehr zu erzwingen, der von den virtuellen Maschinen in der angegebenen Gruppe stammt oder für diese bestimmt ist.
Updates in der NSX-T Umgebung werden zuerst über das Plugin geteilt und dann an Panorama Firewalls übertragen. Die Updates sind in Form von Mapping strukturiert IP Tag und können mit DAGs genutzt werden.
Panorama verwendet zwei Möglichkeiten zum Aktualisieren von DAGs
- Abrufen der Informationen vom NSX-T Manager.
- Nach der manuellen Synchronisierung dynamischer Adressgruppen.
> request plugins vmware_nsx nsx_t sync nsxt-mgr <name of the service manager>
Nach Ablauf des auto-sync-intervall. Standardmäßig ist es deaktiviert und kann mit
> request plugins vmware_nsx nsx_t auto-sync-interval dag <1-72h 0 disable>
Über Benachrichtigungen des NSX-T Managers:
Environment
- Panorama mit Vmware NSX-T
- PAN-OS 9.0 und höher.
Procedure
Die NSX-T Umgebung ist dynamisch; Objekte verändern sich ständig. Um sicherzustellen, dass Panorama alle Änderungen nachverfolgt werden, benachrichtigt der Manager über Anrufe jedes NSX-T Panorama API- Mal, wenn es eine Änderung in den Sicherheitsgruppen gibt. Verarbeiten Sie diese Benachrichtigungen standardmäßig Panorama alle 30 Jahre. Sie können diesen Wert aus dem CLI
> request plugins vmware_nsx nsx_t dau-interval interval <value> <1-65535>
Es gibt 3 Möglichkeiten, um zu bestätigen, dass Panorama Benachrichtigungen vom Manager empfangen werden NSX-T
- Über den cli-Befehl >die Plugins vmware_nsx nsx_t nsxt-benachrichtigungen alle Zeitfenster 50
| admin@ Panorama > Plugins vmware_nsx nsx_t nsxt-Benachrichtigungen alle Time-Window 50 ALL Benachrichtigungen, die in den letzten 50 Tagen empfangen wurden, time Received Notification Type Notification ----------------------------------------------------------------------------------------------------------------------------------------- 11:03AM Oct 05 2020 group.change_notification ['operation': UPDATE ', 'uri': '/ policy /api/v1/infra/domains/default/groups/Tenant-1-App-Group ---------------------------------------------------------------------------------------------------------------------------------------''-------------------------------------------------------------------------------------------------------------------------------------------] |
- Aus Plugin-Protokollen
| > weniger mp-log plugin_vmware_nsx_nsxt-dau.log 2020-10-05 11:03:57.408 +0200 INFO : [ ] DAEMON-NSXT-DAU NSXT Verarbeitungsupdates. Update-Typ:update. 2020-10-05 11:03:57.437 +0200 DEBUG : [ ] [ : ] Keine DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR NSX-V Servicedefinitionen vorhanden 2020-10-05 11:03:57.438 +0200 DEBUG : [ ] [ ] ] Keine DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR Benachrichtigungsgruppen in der Konfiguration vorhanden. 2020-10-05 11:03:57.440 +0200 DEBUG : [ DAEMON-NSXT-DAU ] Aktualisierte aus der Anforderungswarteschlange verarbeitet. 2020-10-05 11:03:57.469 +0200 DEBUG : [ ] [ : ] Keine DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR NSX-V Servicedefinitionen vorhanden 2020-10-05 11:03:57.470 +0200 DEBUG : [ ] [ ] ] Keine DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR Benachrichtigungsgruppen in der Konfiguration vorhanden. 2020-10-05 11:03:57.475 +0200 INFO : [ DAEMON-NSXT-DAU ] DG Infoliste:['sdef-id': u'166', 'nsxt-mgr-id': u'168', 'name': ' NSX-T- Tenant-1- DG-EW ', 'id': '67']] 2020-10-05 11:03:57.476 +0200 DEBUG : [ ] Aktualisieren des Cache mit DAEMON-NSXT-DAU DAU tag Infos für dg: NSX-T- Tenant-1- DG-EW 2020-10-05 11:03:57.478 +0200 DEBUG : [ ] DAEMON-NSXT-DAU DAU cache:'' NSX-T- Tenant-1- DG-EW ': FW- ': 'Zone-1_Tenant-1-App-Group': [u'10.4.3.102', u'10.1.2.11'], u' FW- Zone-1_Tenant-1-Web-Group': [u'10.4.2.102', u'10.1. 1.12', u'10.1.1.11'], u' FW- Zone-1_Tenant-1- DB- Gruppe': [u'10.1.3.10', u'10.4.4.102']. 2020-10-05 11:03:57.478 +0200 DEBUG : [ ] DAEMON-NSXT-DAU Aktualisierter Cache. 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Tenant-1- DG-EW Total-tags:3 Tags:[u' FW- Zone-1_Tenant-1-App-Group', u' FW- Zone-1_Tenant-1-Web-Group', u' FW- Zone-1_Tenant-1- DB- Group'] 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Tenant-1- DG-EW Tag : FW- Zone-1_Tenant-1-App-Group No-of-ips:2 IPs:[u'10.4.3.102', u'10.1.2.11'] 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- DG-EW Tag Tenant-1- : FW- Zone-1_Tenant-1-Web-Group No-of-ips:3 IPs:[u'10.4.2.102', u'10.1.1.12', u'10.1.1.11'] 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Mieter-1- DG-EW Tag : FW- Zone-1_Tenant-1- DB- Gruppe Nr.-of-ips:2 IPs:[u'10.1.3.10', u'10.4.4.102'] 2020-10-05 11:03:57.480 +0200 DEBUG : [ ] DAEMON-NSXT-DAU Erstellte DAU Nachrichtenliste. 2020-10-05 11:03:57.480 +0200 DEBUG : [ ] Senden einer Nachricht an DAEMON-NSXT-DAU DAU configd. |
- Aus dem Managementplan pcaps. Bestätigen Sie, wenn der Manager während der Benachrichtigung NSX-T eine Verbindung mit an Port TCP Panorama 443 öffnet.
| > tcpdump filter "host IP of the NSXT- manager> and port 443" >> view-pcap no-dns-lookup yes no-port-lookup yes mgmt-pcap mgmt.pcap 11:03:53.677207 IP IP des NSX-T managers>.50250 > IP des Panorama >.443: Flags [ S ], seq 4191806842, gewinn 29200, Optionen [mss 1460,nop,nop,sackOK,nop,wscale 7], Länge 0 11:03:53.677253 IP IP der Panorama >.443 > IP des NSX-T Managers>.50250: Flags [S.], seq 910360160, ack 4191806843, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], länge 0 11:03:53.677481 IP IP des NSX-T Managers>.50250 > IP der Panorama >.443: Flags [.], ack 1, win 229, length 0 11:03:53.680734 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 1:205, ack 1, win 229, length 204 11:03:53 680761 IP IP der Panorama >.443 > IP des NSX-T Managers>.50250: Flags [.], ack 205, win 123, length 0 11:03:53.684786 IP IP der Panorama >.443 > IP des NSX-T Managers>.50250 : Flags [.], seq 1:1461, ack 205, win 123, length 1460 11:03:53.684809 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [ P .], seq 1461:1598, ack 205, win 123, length 137 11:03:53.685026 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1461, win 251, length 0 11:03:53.685039 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1598, win 274, length 0 11:03:53.694665 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 205:280, ack 1598, win 274, length 75 11:03:53.705269 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 280:286, ack 1598, win 274, length 6 11:03:53.705340 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [.], ack 286, win 123, length 0 11:03:53.706125 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 286:355, ack 1598, win 274, length 69 11:03:53.706302 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250 : Flags [ P .], seq 1598:1673, ack 355, win 123, length 75 11:03:53.708366 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 355:1240, ack 1673, win 274, length 885 11:03:53.749836 IP IP der Panorama >.443 > IP des NSX-T Managers>.50250: Flags [.], ack 1240, win 137, length 0 |