如何确认 Panorama 收到 NSX-T 经理的通知
12216
Created On 10/05/20 09:36 AM - Last Modified 03/26/21 18:41 PM
Objective
要管理 policy 环境中的集中 NSX-T 管理, Panorama 可以在安全中将动态地址组 DAG () 作为源或目标地址, policy 并将其推至防火墙。 然后,防火墙可以动态获取 IP 每个安全组中包含的虚拟机地址,以强制执行源自指定组中的虚拟机或注定的流量。
有关环境的更新 NSX-T 首先 Panorama 通过插件共享,然后推至防火墙。 更新以 IP Tag 映射的形式构建,可使用 DAG 进行杠杆利用。
Panorama 使用两种方式来更新数据
- 从经理处获取信息 NSX-T 。
- 手动同步动态地址组后。
> request plugins vmware_nsx nsx_t sync nsxt-mgr <name of the service manager>
自动同步间隔过期后。 默认情况下,它处于禁用状态,可以使用
> request plugins vmware_nsx nsx_t auto-sync-interval dag <1-72h 0 disable>
通过 NSX-T 经理的通知:
Environment
- Panorama 与虚拟软件 NSX-T
- PAN-OS 9.0及以上。
Procedure
NSX-T环境是动态的:对象在不断变化。 为确保 Panorama 跟踪所有更改并及时, NSX-T 经理 Panorama API- 每次安全组发生更改时都会通过呼叫通知。 默认情况下, Panorama 每 30 年代处理一次这些通知。 您可以从 CLI
> request plugins vmware_nsx nsx_t dau-interval interval <value> <1-65535>
有 3 种方法可以确认 Panorama 收到 NSX-T 经理的通知
- 通过 cli 命令 >显示插件vmware_nsx nsx_t nsxt 通知所有时间窗口 50
| Panoramaadmin@>显示插件vmware_nsx nsx_t nsxt通知所有时间窗口 ALL 在过去50天收到 的通知类型通知 -----------------------------------------------------------------------------------------------------------------------------------------11:03上午2020 group.change_notification[\'操作':', UPDATE "uri": policy "//api/v1/infra/域/默认/组/租户-1-应用程序组 "]------------------------------------------------------------------------------------------------------------------------------------------- 通知总数:1 --------------------------------------------------------------------------------------------------------------------------------------- |
- 从插件日志
| >少 mp 日志plugin_vmware_nsx_nsxt道.log 2020-10-05 11:03:57.408 +0200 INFO : DAEMON-NSXT-DAU [] 处理 NSXT 更新。 更新类型:更新。 2020-10-05 11:03:57.437 +0200 : [ DEBUG DAEMON-NSXT-DAU * * NSXT-MGR NSXB-T-NGFW-MGR 不存在 NSX-V 服务定义 2020-10-05 11:03:57.438 +0200 DEBUG : DAEMON-NSXT-DAU NSXT-MGR []] NSXB-T-NGFW-MGR 没有通知组在配置中。 2020-10-05 11:03:57.440 +0200:[] DEBUG DAEMON-NSXT-DAU 从请求队列处理更新。 2020-10-05 11:03:57.469 +0200 DEBUG : [ * * DAEMON-NSXT-DAU NSXT-MGR NSXB-T-NGFW-MGR 不存在 NSX-V 服务定义 2020-10-05 11:03:57.470 +0200 DEBUG : DAEMON-NSXT-DAU NSXT-MGR []] NSXB-T-NGFW-MGR 没有通知组在配置中。 2020-10-05 11:03:57.475 +0200 INFO : [ DAEMON-NSXT-DAU ] DG info list:[{'sdef-id': u'166', 'nsxt-mgr-id': u'168', 'name': ' NSX-T- Tenant-1- DG-EW ', 'id': '67'}] 2020-10-05 11:03:57.476 +0200 DEBUG : [ DAEMON-NSXT-DAU ] Updating DAU cache with tag info for dg: NSX-T- Tenant-1- DG-EW 2020-10-05 11:03:57.478 +0200 DEBUG : [ DAEMON-NSXT-DAU ] DAU cache:{' NSX-T- Tenant-1- DG-EW ': {u' FW- Zone-1_Tenant-1-App-Group': [u'10.4.3.102', u'10.1.2.11'], u' FW- Zone-1_Tenant-1-Web-Group': [u'10.4.2.102', u'10.1. 1.12', u'10.1.1.11'], u' FW- Zone-1_Tenant-1- DB- Group': [u'10.1.3.10', u'10.4.4.102']}} 2020-10-05 11:03:57.478 +0200 DEBUG : [ DAEMON-NSXT-DAU ] Updated dau cache. 2020-10-05 11:03:57.479 +0200 DEBUG DAEMON-NSXT-DAU : DG 租户 NSX-T- -1 - DG-EW 总标签:3 标签:[u' FW- 区域-1_Tenant-1-应用程序组',u' FW- 区域-1_Tenant-1-Web-组', u' FW- 区-1_Tenant-1- DB- 组' 2020-10-05 11:03:57.479 +0200 DEBUG : DAEMON-NSXT-DAU DG 租户 NSX-T- -1-: DG-EW Tag FW- 区域-1_Tenant-1-应用程序组无ips:2 IPs:[u'10.4.3.102', u'10.1.2.11'] 2020-10-05 11:03:57.479 +0200 : 租户 DEBUG DAEMON-NSXT-DAU DG NSX-T- -1- DG-EW Tag : FW- 区域-1_Tenant-1-Web 组无 ips:3 IPs:[u'10.4.2.102', u'10.1.1.12', u'10.1.11'] 2020-10-05 11:03:57.479 +0200 DEBUG : DAEMON-NSXT-DAU DG [] 租户 NSX-T- -1- DG-EW Tag : FW- 区域-1_Tenant-1- DB- 组 无 ips:2 IPs:[u'10.1.3.10', u'10.4.4.102'] 2020-10-05 11:03:57.480 +0200 DEBUG : [ DAEMON-NSXT-DAU 创建 DAU 消息列表。 2020-10-05 11:03:57.480 +0200 DEBUG : DAEMON-NSXT-DAU [] 发送 DAU 消息给配置。 |
- 从管理计划 pcaps 。 确认在通知期间, NSX-T 经理是否 TCP Panorama 正在打开端口 443 上的连接
| > tcpdump filter "host IP of the NSXT- manager> and port 443" >> view-pcap no-dns-lookup yes no-port-lookup yes mgmt-pcap mgmt.pcap 11:03:53.677207 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ S ], seq 4191806842, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:03:53.677253 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [S.], seq 910360160, ack 4191806843, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:03:53.677481 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1, win 229, length 0 11:03:53.680734 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 1:205, ack 1, win 229, length 204 11:03:53.680761 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [.], ack 205, win 123, length 0 11:03:53.684786 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [.], seq 1:1461, ack 205, win 123, length 1460 11:03:53.684809 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [ P .], seq 1461:1598, ack 205, win 123, length 137 11:03:53.685026 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1461, win 251, length 0 11:03:53.685039 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [.], ack 1598, win 274, length 0 11:03:53.694665 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 205:280, ack 1598, win 274, length 75 11:03:53.705269 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 280:286, ack 1598, win 274, length 6 11:03:53.705340 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250: Flags [.], ack 286, win 123, length 0 11:03:53.706125 IP IP of the NSX-T manager>.50250 > IP of the Panorama >.443: Flags [ P .], seq 286:355, ack 1598, win 274, length 69 11:03:53.706302 IP IP of the Panorama >.443 > IP of the NSX-T manager>.50250:旗帜 P [.], seq 1598:1673, ack 355, 赢得 123, 长度 75 11:03:53.708366 IP IP NSX-T 经理>.50250 IP Panorama >>.443: 旗帜 [ P .], seq 355:1240, ack 1673, 赢 274, 长度 885 11:03:53.749836 IP IP Panorama 的经理>.443 IP NSX-T >>.50250: 旗帜 [.], ack 1240, 赢得 137, 长度 0 |