Cómo confirmar que Panorama recibe notificaciones del NSX-T gerente
12247
Created On 10/05/20 09:36 AM - Last Modified 03/26/21 18:41 PM
Objective
Para administrar centralizado policy en el NSX-T entorno, puede asociar el grupo de Panorama direcciones dinámicas ( ) como una DAG dirección de origen o destino en seguridad y policy insertarlo en los firewalls. A continuación, los firewalls pueden obtener dinámicamente las direcciones de las máquinas virtuales IP incluidas en cada grupo de seguridad para aplicar el tráfico procedente o destinado a las máquinas virtuales del grupo especificado.
Las actualizaciones en el NSX-T entorno se comparten primero a través del plugin y luego se Panorama insertan en firewalls. Las actualizaciones se estructuran en forma de IP asignación y se pueden aprovechar mediante Tag DAG.
Panorama utiliza dos maneras de actualizar los DAG
- Sacando la información del NSX-T gerente.
- Después de la sincronización manual de grupos de direcciones dinámicas.
> request plugins vmware_nsx nsx_t sync nsxt-mgr <name of the service manager>
Después de que expire el intervalo de sincronización automática. De forma predeterminada, está desactivado y se puede establecer mediante
> request plugins vmware_nsx nsx_t auto-sync-interval dag <1-72h 0 disable>
A través de notificaciones del NSX-T gerente:
Environment
- Panorama con Vmware NSX-T
- PAN-OS 9.0 y superior.
Procedure
El NSX-T entorno es dinámico; Los objetos cambian continuamente. Para asegurarse de que Panorama realiza un seguimiento de todos los cambios y, de inmediato, el administrador NSX-T notifica a través de llamadas Panorama cada vez que hay un cambio en los grupos de API- seguridad. De forma predeterminada, Panorama procese esas notificaciones cada 30s. Puede cambiar este valor desde el CLI
> request plugins vmware_nsx nsx_t dau-interval interval <value> <1-65535>
Hay 3 maneras de confirmar que Panorama recibe notificaciones del NSX-T gerente
- A través del comando cli >show plugins vmware_nsx nsx_t nsxt-notifications all time-window 50
| admin@ Panorama > mostrar plugins vmware_nsx nsx_t nsxt-notifications todas las notificaciones de ventana de tiempo 50 ALL recibidas en los últimos 50 días(s) Tiempo recibido notificación de tipo de notificación ----------------------------------------------------------------------------------------------------------------------------------------- 11:03AM Oct 05 2020 group.change_notification [{'operación': UPDATE ' 'uri': '/ policy /api/v1/infra/domains/default/groups/Tenant-1-App-Group'}] ------------------------------------------------------------------------------------------------------------------------------------------- número total de notificaciones: 1 --------------------------------------------------------------------------------------------------------------------------------------- |
- De los registros del plugin
| > menos mp-log plugin_vmware_nsx_nsxt-dau.log 2020-10-05 11:03:57.408 +0200 INFO : [ DAEMON-NSXT-DAU ] Procesamiento de NSXT actualizaciones. Tipo de actualización:actualización. 2020-10-05 11:03:57.437 +0200 DEBUG : [ ] [ : ] No hay DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR NSX-V definiciones de servicio presentes 2020-10-05 11:03:57.438 +0200 DEBUG : [ ] [ : ] No notificar a los grupos presentes en la DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR configuración. 2020-10-05 11:03:57.440 +0200 DEBUG : [ ] Actualizaciones DAEMON-NSXT-DAU procesadas desde la cola de solicitudes. 2020-10-05 11:03:57.469 +0200 DEBUG : [ ] [ : ] No hay DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR NSX-V definiciones de servicio presentes 2020-10-05 11:03:57.470 +0200 DEBUG : [ ] [ : ] No notificar a los grupos presentes en la DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR configuración. 2020-10-05 11:03:57.475 +0200 INFO : [ DAEMON-NSXT-DAU ] DG info list:[{'sdef-id': u'166', 'nsxt-mgr-id': u'168', 'name': ' NSX-T- Tenant-1- DG-EW ', 'id': '67'}] 2020-10-05 11:03:57.476 +0200 DEBUG : [ DAEMON-NSXT-DAU ] Updating DAU cache with tag info for dg: NSX-T- Tenant-1- DG-EW 2020-10-05 11:03:57.478 +0200 DEBUG : [ DAEMON-NSXT-DAU ] DAU cache:{' NSX-T- Tenant-1- DG-EW ': {u' FW- Zone-1_Tenant-1-App-Group': [u'10.4.3.102', u'10.1.2.11'], u' FW- Zone-1_Tenant-1-Web-Group': [u'10.4.2.102', u'10.1. 1.12', u'10.1.1.11'], u' FW- Zone-1_Tenant-1- DB- Group': [u'10.1.3.10', u'10.4.4.102']}} 2020-10-05 11:03:57.478 +0200 DEBUG : [ DAEMON-NSXT-DAU ] Updated dau cache. 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Inquilino-1- DG-EW Total de etiquetas:3 Etiquetas:[u' FW- Zona-1_Tenant-1-App-Group', u' FW- Zona-1_Tenant-1-Web-Group', u' FW- Zona-1_Tenant-1- DB- Grupo'] 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Tenant-1- DG-EW Tag : FW- Zone-1_Tenant-1-App-Group No-of-ips:2 IP:[u'10.4.3.102', u'10.1.2.11'] 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Tenant-1- DG-EW Tag : FW- Zone-1_Tenant-1-Web-Group No-of-ips:3 IPS:[u'10.4.2.102', u'10.1.1.12', u'10.1.1.11'] 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Tenant-1- DG-EW Tag : FW- Zone-1_Tenant-1- DB- Grupo No ips:2 IP:[u'10.1.3.10', u'10.4.4.102'] 2020-10-05 11:03:57.480 +0200 DEBUG : [ ] Creación de la lista de DAEMON-NSXT-DAU DAU mensajes. 2020-10-05 11:03:57.480 +0200 DEBUG : [ ] Envío de mensajes a DAEMON-NSXT-DAU DAU configd. |
- Desde el plan de gestión pcaps. Confirme si durante el tiempo de la notificación, el NSX-T administrador está abriendo una conexión con el puerto TCP Panorama 443
| > tcpdump filter "host IP of the NSXT- manager> and port 443" >> view-pcap no-dns-lookup yes no-port-lookup yes mgmt-pcap mgmt.pcap 11:03:53.677207 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ S ], seq 4191806842, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:03:53.677253 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [S.], seq 910360160, ack 4191806843, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:03:53.677481 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1, win 229, length 0 11:03:53.680734 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 1:205, ack 1, win 229, length 204 11:03:53.680761 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [.], ack 205, win 123, length 0 11:03:53.684786 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250 : Flags [.], seq 1:1461, ack 205, win 123, length 1460 11:03:53.684809 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [ P .], seq 1461:1598, ack 205, win 123, length 137 11:03:53.685026 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1461, win 251, length 0 11:03:53.685039 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1598, win 274, length 0 11:03:53.694665 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 205:280, ack 1598, win 274, length 75 11:03:53.705269 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 280:286, ack 1598, win 274, length 6 11:03:53.705340 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [.], ack 286, win 123, length 0 11:03:53.706125 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 286:355, ack 1598, win 274, length 69 11:03:53.706302 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250 : Banderas [ P .], seq 1598:1673, ack 355, ganar 123, longitud 75 11:03:53.708366 IP IP del NSX-T gerente>.50250 > IP de la Panorama >.443: Banderas [ P .], seq 355:1240, ack 1673, ganar 274, longitud 885 11:03:53.749836 IP IP del Panorama >.443 > IP del NSX-T gerente>.50250: Banderas [.], ack 1240, ganar 137, longitud 0 |