UDP-Sitzungen bleiben nach Failover hängen

UDP-Sitzungen bleiben nach Failover hängen

35579
Created On 11/30/20 02:01 AM - Last Modified 01/27/22 03:39 AM


Symptom


  • UDP-Datenverkehr wird nach einem Fehler auf der primären Verbindung nicht an die Sicherungsverbindung weitergeleitet.
  • Die Sicherungsausgangsschnittstelle wird ignoriert.
  • Dies kann eine PBF-Regel oder eine andere Route sein.

Environment


  • Alle aktuellen PAN-OS
  • Dual Homed-Konfiguration.
  • Pfadüberwachung für Ausgangsschnittstellen.

Cause


Die Firewall folgt Sitzungen.
Die Sitzungen sind für TCP-Datenverkehr leicht nachzuverfolgen, da wir einen Sitzungsbeginn und ein Sitzungsende identifizieren können.

Dies ist jedoch bei UDP nicht möglich.
Für UDP erstellt die Firewall eine Sitzung beim ersten UDP-Paket, dann bleibt die Sitzung oben, wenn die Sitzungttl 0 erreicht. Die Sitzungs-TTL wird auf ihren Standardwert (standardmäßig 30 Sek.) zurückgesetzt, solange UDP-Datenverkehr dieser Sitzung entspricht.

Da die Sitzung aufgrund des kontinuierlich engressiven Pakets nicht abgelaufen ist, kann die Sitzung nicht bewillt werden, und der UDP-Datenverkehr wird an der falschen ausgehenden Schnittstelle klebt.

Resolution


HINWEIS:
Die einfache Lösung besteht darin, die festgefahrenen UDP-Sitzungen zu löschen.
> klare Sitzung alle Filterprotokoll 17

Es ist jedoch nicht möglich, dies bei jedem Fehler manuell zu tun.

Die unten gezeigte Methode nutzt die XMLAPI, um die Sitzungen zu löschen.
Die folgenden Schritte ermöglichen es Ihnen, diese Sitzungen automatisch zu löschen, wenn ein PBF-Fehler auftritt. Eine ähnliche Konfiguration kann jedoch für fehlerbehaftete Pfadüberwachung auf statischer Route durchgeführt werden.

Schritt 1 - Erstellen eines Benutzerkontos für die XML-API

Für unseren Anwendungsfall muss das Benutzerkonto mindestens die Rolle "Geräteadministrator" haben.
  1. Gehen Sie zu Device>Administrators
  2. Klicken Sie auf hinzufügen.
  3. Eingeben der Benutzerkontoinformationen
    Erstellen eines Kontos für die XML-API-Verwendung
  4. Nachdem das Konto erstellt wurde, übernehmen Sie die Konfigurationsänderung.

Schritt 2. Generieren Sie den XML-API-Schlüssel.

  1. Öffnen Sie mit Ihrem Webbrowser die URL
    https://firewall/api/?type=keygen&user=username&password=password

    Abrufen des API-Schlüssels
  2. Halten Sie den Schlüssel im Notizblock, wie wir ihn später benötigen.
 

Schritt 3. Die PBF muss ein Protokoll generieren

  1. Stellen Sie sicher, dass die PBF-Regel über eine Pfadüberwachung verfügt, da wir dieses Protokoll verwenden, um die Aktion auszulösen.
  2. Aktivieren der Pfadüberwachung für die PBF-Regel
    PBF-Pfadüberwachung

Schritt 4. Suchen Sie nach dem zu verwendenden Protokoll

  1. Hinweis in den Systemprotokollen sind die Protokolle für die PBF mit dem Filter "(subtype eq pbf)" sichtbar.
In den Systemprotokollen werden die Protokolle angezeigt, sodass wir diese Protokolle verwenden können, um das Ereignis auszulösen
  1. Um zu vermeiden, dass mehrere Sitzungen in kurzer Zeit gelöscht werden, verwenden Sie den Filter
(Subtyp eq pbf) und (Beschreibung enthält ' nexthop ist ')

Schritt 5 . Konfiguration des HTTP-Profils.

  1. Wechseln zu Gerät > HTTP
  2. Klicken Sie auf hinzufügen
    Hinzufügen eines HTTP-Profils
  3. Klicken Sie auf Hinzufügen .
    Serverparameter
  4. Legen Sie die folgenden Parameter für den Server fest:
    Name : beliebiger Name
Adresse : localhost
Protokoll : HTTP
Anschluss : 80
HTTP-Methode : GET
  5. Klicken Sie auf Nutzlastformat.
    Nutzlastanpassung
  6. Klicken Sie auf System (während wir an Systemprotokollen arbeiten).
    Nutzlastformat
  7. Legen Sie im Nutzlastformatfenster die folgenden Werte fest:
    Name : beliebiger Name
In Parametern:
Schlüssel : der ZUVOR abgerufene API-Schlüssel
Typ : op
cmd : <clear> <session> <all> <filter> <protocol>17</protocol></filter></all></session></clear>
  8. Sobald Sie fertig sind, klicken Sie zweimal auf OK.

Schritt 6. Wenden Sie das HTTP-Profil auf das Protokoll an.

  1. Gehen Sie zu Device>Log-Einstellungen
  2. Klicken Sie auf Hinzufügen
    Festlegen der Systemprotokolleinstellungen
  3. Geben Sie der Regel einen Namen.
  4. Klicken Sie auf den Pfeil, um die Filteroptionen zu erweitern
    Öffnen sie den Filtergenerator
  5. Klicken Sie auf Filter Builder.
  6. Im Filter-Generator können Sie den Filter "(subtype eq pbf) und ( Beschreibung enthält ' Nexthop ist ')" einfügen.
    Filter-Generator
  7. Klicken Sie auf OK.
  8. Klicken Sie im HTTP-Bereich auf Hinzufügen.
    Hinzufügen des HTTP-Profils
  9. Wählen Sie das HTTP-Profil aus, das wir zuvor erstellt haben.
  10. Klicken Sie auf OK.
  11. Klicken Sie auf Commit.

Schritt 7. Überprüfung

  1. Um zu überprüfen, ob einige Sitzungen geschlossen werden, überprüfen Sie die Datenverkehrsprotokolle, und suchen Sie nach Sitzungsende aus unbekanntem Grund.
  2. Korrelieren Sie mit den Systemprotokollen.
Korrelieren der Datenverkehrsprotokollsitzungen mit den Systemprotokollen
 

Additional Information


Admin Guide
Abrufen Des API Keys
Configure LogForwarding
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBmqCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language