Panoramaマネージャから通知を受け取ることを確認する方法 NSX-T
12267
Created On 10/05/20 09:36 AM - Last Modified 03/26/21 18:41 PM
Objective
policy環境内で集中管理するには NSX-T 、 Panorama 動的アドレス グループ ( DAG ) をセキュリティの送信元アドレスまたは宛先アドレスとしてアタッチ policy し、ファイアウォールにプッシュします。 ファイアウォールは、 IP 各セキュリティ グループに含まれる仮想マシンのアドレスを動的に取得し、指定されたグループ内の仮想マシンから発信されたトラフィックまたは指定された仮想マシン宛てのトラフィックを強制します。
環境の更新 NSX-T は、まず Panorama プラグインを介して共有され、次にファイアウォールにプッシュされます。 更新はマッピングの形式で構成 IP Tag され、DAG を使用して利用できます。
Panorama DAG を更新する 2 つの方法を使用します。
- マネージャーから情報を引き出す NSX-T 。
- 動的アドレスグループの手動同期後。
> request plugins vmware_nsx nsx_t sync nsxt-mgr <name of the service manager>
自動同期間隔の有効期限が切れた後。 デフォルトでは無効になっており、
> request plugins vmware_nsx nsx_t auto-sync-interval dag <1-72h 0 disable>
マネージャーからの通知を介して NSX-T :
Environment
- Panorama ヴイエムウェアを使用する NSX-T
- PAN-OS 9.0以上。
Procedure
NSX-T環境は動的です。オブジェクトは絶えず変化しています。 Panoramaすべての変更を追跡し、速やかに管理するために、 NSX-T Panorama API- マネージャはセキュリティ グループに変更が加えられたたびに、呼び出しを通じて通知します。 デフォルトでは、 Panorama これらの通知を 30 年代ごとに処理します。 この値は、 CLI
> request plugins vmware_nsx nsx_t dau-interval interval <value> <1-65535>
Panoramaマネージャから通知を受け取ることを確認するには3つの方法があります NSX-T
- cliコマンドを介して >はnsxt-通知をすべての時間枠50にvmware_nsx nsx_tするプラグインを表示します
| admin@>は Panorama 、過去50日間に受信した通知タイプ通知-----------------------------------------------------------------------------------------------------------------------------------------の最後の50日に受信した すべての時間枠50通知vmware_nsx nsx_tプラグインを表示 group.change_notification 11:03AM ALL 10月05 2020 group.change_notification[{'操作 UPDATE ':','uri': policy /api/v1/infra/ドメイン/デフォルト/グループ/テナント1-App-Group'-------------------------------------------------------------------------------------------------------------------------------------------}] 通知 の総数 ---------------------------------------------------------------------------------------------------------------------------------------: |
- プラグインログから
| >少ない mp-log plugin_vmware_nsx_nsxt dau.log 2020-10-05 11:03:57.408 +0200 INFO : [ ] DAEMON-NSXT-DAU NSXT 更新の処理。 更新の種類:更新します。 2020-10-05 11:03:57.437 +0200 : [ ] [ ] サービス DEBUG DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR NSX-V 定義は存在しません 2020-10-05 11:03:57.438 +0200 : [ ] [ DEBUG ] ] DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR 設定に通知グループは存在しません。 2020-10-05 11:03:57.440 +0200 DEBUG : DAEMON-NSXT-DAU [ ] 要求キューからの更新を処理しました。 2020-10-05 11:03:57.469 +0200 : [ ] [ ] サービス DEBUG DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR NSX-V 定義は存在しません 2020-10-05 11:03:57.470 +0200 : [ ] [ DEBUG ] ] DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR 設定に通知グループは存在しません。 2020-10-05 11:03:57.475 +0200 INFO : DAEMON-NSXT-DAU [ ] DG 情報リスト:[{'sdef-id': u'166','nsxt-mgr-id': u'168','name': ' NSX-T- テナント-1- DG-EW ' 'id': '67'}) 2020-10-05 11:03:57.476 +0200 DEBUG : [ ] DAEMON-NSXT-DAU DAU tag dg の情報でキャッシュを更新する: NSX-T- テナント-1- DG-EW 2020-10-0 5 11:03:57.478 +0200 DEBUG : [ ] DAEMON-NSXT-DAU DAU キャッシュ:{' NSX-T- テナント-1 - DG-EW ': {u' FW- ゾーン1_Tenant-1-App-Group': [u'10.4.3.102', u'10.1.2.11'、u' FW- ゾーン1_Tenant-1-Webグループ':[u'10.4.2.102'、 u'10.1. 1.12', u'10.1.1.11', u' FW- zone-1_Tenant-1- DB- グループ': [u'10.1.3.10', u'10.4.4.102'}} 2020-10-05 11:03:57.478 +020 DEBUG DAEMON-NSXT-DAU d00 ] 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- テナント-1- DG-EW 合計タグ:3 タグ:[u' FW- ゾーン 1_Tenant-1-App-Group', FW- u'zone-1_Tenant-1-Web-Group', u' FW- zone-1_Tenant-1- DB- Group'】 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- テナント-1- DG-EW Tag : FW- ゾーン-1_Tenant-1-App-Group No-ips:2 IP:[u'10.4.3.102,, u'10.1.2.11'' 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- テナント-1- DG-EW Tag : FW- ゾーン-1_Tenant-1-Web-グループ No-ips:3 IP:[u'10.4.2.102', u'10.1.1.1.12', u'10.1.1.11'" 2020-10-05 11:03:57.479 +0200 DEBUG : [ ] : DAEMON-NSXT-DAU DG NSX-T- テナント-1- DG-EW Tag : FW- ゾーン1_Tenant-1- DB- グループNo-of -ips:2 IP:2 IP:[u'10.1.3.10'、u'10.4.4.102'] 2020-10-05 11:03:57.480 +0200 DEBUG : [ ] DAEMON-NSXT-DAU DAU メッセージリストを作成しました。 2020-10-05 11:03:57.480 +0200 DEBUG : [ DAEMON-NSXT-DAU ] DAU configdにメッセージを送信します。 |
- 管理計画のpcapsから。 通知の時間中に、 NSX-T マネージャが TCP ポート 443 で接続を開いているかどうかを確認 Panorama します。
| > tcpdump フィルター 「 IP マネージャーのホスト NSXT- >ポート 443" >> >> ビュー pcap no-dns-lookup は yes mgmt-pcap mgmt.pcap 11:03:53.677207IP IP NSX-T マネージャーの >.50250 > IP Panorama >.443: [ [ S ] seq 4191806842, 勝利 29200, オプション [mss 1460,nop,nop,sackOK,nop,wscale 7],> 長さ 0 11:03:53.677253 マネージャー IP IP Panorama の>.443>: IP [ NSX-T ack 4191806843, 勝利 14600, オプション [mss 1460,nop,nop,sackOK,nop,wscale 7],> マネージャーの長さ 0S 11:03:53.677481 IP IP NSX-T IP Panorama >.443 の>: [.., ack 1, 勝利 229, 長さ 0 11:03:53.680734 IP IP NSX-T マネージャーの>.50250 > IP Panorama >.443: フラグ [ P .], seq 1:205, ack 1, 勝利 229, 長さ 204 11:03:5 IP IP Panorama マネージャーの>.443>の3.680761>.50250: IP NSX-T フラグ[.]、ack 205、勝利123、長さ0 11:03:53.684786マネージャー IP IP Panorama の>.443> IP の NSX-T >.50250: Flags [.], seq 1:1461, ack 205, win 123, length 1460 11:03:53.684809 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [ P .], seq 1461:1598, ack 205, win 123, length 137 11:03:53.685026 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1461, win 251, length 0 11:03:53.685039 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1598, win 274, length 0 11:03:53.694665 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 205:280, ack 1598, win 274, length 75 11:03:53.705269 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 280:286, ack 1598, win 274, length 6 11:03:53.705340 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [.], ack 286, win 123, length 0 11:03:53.706125 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 286:355, ack 1598, win 274, length 69 11:03:53.706302 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: フラグ [ P .] , seq 1598:1673, ack 355, 勝利 123, 長さ 75 11:03:53.708366 IP IP NSX-T マネージャーの> >.50250 IP Panorama >.443: flags P [.] seq 355:1240, ack 1673, 勝利 274, 長さ 885 11:03:53.749836 IP IP Panorama 監督の>.443 IP NSX-T >>.50250: フラグ [.], ack 1240, 勝利 137, 長さ 0 |