Comment confirmer que reçoit Panorama des notifications du NSX-T gestionnaire
12251
Created On 10/05/20 09:36 AM - Last Modified 03/26/21 18:41 PM
Objective
Pour gérer centralisé dans policy NSX-T l’environnement, Panorama peut joindre le groupe d’adresse dynamique ( DAG ) comme une source ou une adresse de destination en sécurité et le pousser vers policy les pare-feu. Les pare-feu peuvent ensuite obtenir dynamiquement les adresses des machines virtuelles IP incluses dans chaque groupe de sécurité pour faire respecter le trafic provenant ou destiné aux machines virtuelles du groupe spécifié.
Les mises à jour NSX-T sur l’environnement sont Panorama d’abord partagées via le plugin, puis poussées vers les pare-feu. Les mises à jour sont structurées sous forme de IP cartographie et peuvent être Tag exploitées à l’aide de DGS.
Panorama utilise deux façons de mettre à jour les DCI
- Tirer les informations du NSX-T gestionnaire.
- Après synchronisation manuelle des groupes d’adresses dynamiques.
> request plugins vmware_nsx nsx_t sync nsxt-mgr <name of the service manager>
Après l’expiration de l’intervalle de synchronisation automatique. Par défaut, il est désactivé et peut être défini en utilisant
> request plugins vmware_nsx nsx_t auto-sync-interval dag <1-72h 0 disable>
Via les notifications du NSX-T gestionnaire:
Environment
- Panorama avec Vmware NSX-T
- PAN-OS 9,0 et plus.
Procedure
NSX-TL’environnement est dynamique; Les objets changent continuellement. Pour s’assurer Panorama que suit tous les changements et rapidement, le gestionnaire informe via les appels chaque fois NSX-T Panorama API- qu’il ya un changement dans les groupes de sécurité . Par défaut, Panorama traiter ces notifications tous les 30 ans. Vous pouvez changer cette valeur de la CLI
> request plugins vmware_nsx nsx_t dau-interval interval <value> <1-65535>
Il existe 3 façons de confirmer que Panorama reçoit des notifications du NSX-T gestionnaire
- Via la commande cli >show plugins vmware_nsx nsx_t nsxt-notifications toutes les fenêtres de temps 50
| admin@ Panorama > afficher les plugins vmware_nsx nsx_t nsxt-notifications toutes les notifications de fenêtre de temps 50 reçues au ALL cours des 50 derniers jours (s) Notification de type notification reçue dans le temps ----------------------------------------------------------------------------------------------------------------------------------------- 11h03 Oct 05 2020 group.change_notification [{'operation': UPDATE ', 'uri': '/ policy /api/v1/infra/domains/default/groups/Tenant-1-App-Group'}] ------------------------------------------------------------------------------------------------------------------------------------------- Nombre total de notifications: 1 --------------------------------------------------------------------------------------------------------------------------------------- |
- À partir de journaux plugin
| > moins mp-log plugin_vmware_nsx_nsxt-dau.log 2020-10-05 11:03:57.408 +0200 INFO : [ ] Traitement des mises à DAEMON-NSXT-DAU NSXT jour. Type de mise à jour : mise à jour. 2020-10-05 11:03:57.437 +0200 : [ ] [ : ] Aucune définition de service présente DEBUG DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR NSX-V 2020-10-05 11:03:57.438 +0200 DEBUG : [ [ : ] Aucun groupe DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR d’avis présent dans la configuration. 2020-10-05 11:03:57.440 +0200 DEBUG : [ ] Mises à jour traitées de la file DAEMON-NSXT-DAU d’attente des demandes. 2020-10-05 11:03:57.469 +0200 : [ [ : ] Aucune définition de service présente DEBUG DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR NSX-V 2020-10-05 11:03:57.470 +0200 DEBUG : [ ] : ] Aucun groupe DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR notifie présent dans la configuration. 2020-10-05 11:03:57.475 +0200 INFO : [ DAEMON-NSXT-DAU ] DG info list:[{'sdef-id': u'166', 'nsxt-mgr-id': u'168', 'name': ' NSX-T- Tenant-1- DG-EW ', 'id': '67'}] 2020-10-05 11:03:57.476 +0200 DEBUG : [ DAEMON-NSXT-DAU ] Updating DAU cache with tag info for dg: NSX-T- Tenant-1- DG-EW 2020-10-05 11:03:57.478 +0200 DEBUG : [ DAEMON-NSXT-DAU ] DAU cache:{' NSX-T- Tenant-1- DG-EW ': {u' FW- Zone-1_Tenant-1-App-Group': [u'10.4.3.102', u'10.1.2.11'], u' FW- Zone-1_Tenant-1-Web-Group': [u'10.4.2.102', u'10.1. 1.12', u'10.1.1.11'], u' FW- Zone-1_Tenant-1- DB- Group': [u'10.1.3.10', u'10.4.4.102']}} 2020-10-05 11:03:57.478 +0200 DEBUG : [ DAEMON-NSXT-DAU ] Updated dau cache. 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Locataire-1- DG-EW Total-tags:3 Tags:[u' FW- Zone-1_Tenant-1-App-Group', u' FW- Zone-1_Tenant-1-Web-Group', u' FW- Zone-1_Tenant-1- DB- Group'] 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Locataire-1- DG-EW Tag : FW- Zone-1_Tenant-1-App-Group No-of-ips:2 IP:[u'10.4.3.102', u'10.1.2.11'] 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Locataire-1- DG-EW Tag : FW- Zone-1_Tenant-1-Web-Group No-of-ips:3 IP:[u'10.4.2.102', u'10.1.1.12', u'10.1.1.11'] 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- Locataire-1- DG-EW Tag : FW- Zone-1_Tenant-1- DB- Groupe No -of-ips:2 IPs:[u'10.1.3.10', u'10.4.4.102'] 2020-10-05 11:03:57.480 +0200 DEBUG : [ ] Liste de messages DAEMON-NSXT-DAU DAU créés. 2020-10-05 11:03:57.480 +0200 DEBUG : [ ] Envoi DAEMON-NSXT-DAU DAU d’un message à configd. |
- Du plan de gestion pcaps. Confirmer si, au moment de la notification, NSX-T le gestionnaire ouvre une connexion avec le port TCP Panorama 443
| > tcpdump filter "host IP of the NSXT- manager> and port 443" >> view-pcap no-dns-lookup yes no-port-lookup yes mgmt-pcap mgmt.pcap 11:03:53.677207 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ S ], seq 4191806842, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:03:53.677253 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [S.], seq 910360160, ack 4191806843, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:03:53.677481 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1, win 229, length 0 11:03:53.680734 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 1:205, ack 1, win 229, length 204 11:03:53.680761 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [.], ack 205, win 123, length 0 11:03:53.684786 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250 : Flags [.], seq 1:1461, ack 205, win 123, length 1460 11:03:53.684809 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [ P .], seq 1461:1598, ack 205, win 123, length 137 11:03:53.685026 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1461, win 251, length 0 11:03:53.685039 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1598, win 274, length 0 11:03:53.694665 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 205:280, ack 1598, win 274, length 75 11:03:53.705269 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 280:286, ack 1598, win 274, length 6 11:03:53.705340 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [.], ack 286, win 123, length 0 11:03:53.706125 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 286:355, ack 1598, win 274, length 69 11:03:53.706302 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250 : Flags [ P .], seq 1598:1673, ack 355, win 123, longueur 75 11:03:53.708366 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 355:1240, ack 1673, win 274, longueur 885 11:03:53.749836 IP IP du Panorama >.443 > IP du NSX-T gestionnaire>.50250: Flags [.], ack 1240, win 137, longueur 0 |