Sesiones UDP atascadas después de la conmutación por error
50676
Created On 11/30/20 02:01 AM - Last Modified 10/23/24 20:17 PM
Symptom
- El tráfico UDP que no se remite al link de backup después de un error en el link primario.
- Se omite la interfaz de salida de copia de seguridad.
- Esto puede ser una regla PBF u otra ruta.
Environment
- Cualquier PAN-OS actual
- Configuración de doble homedo.
- Supervisión de trayecto para interfaces de salida.
Cause
El firewall sigue las sesiones.
Las sesiones son fáciles de rastrear para el tráfico TCP, ya que podemos identificar un inicio de sesión y un final de sesión.
Sin embargo, esto no es posible hacer lo mismo en UDP.
Para UDP, el firewall crea la sesión en el primer paquete UDP, después la sesión permanece para arriba mientras que el TTL de la sesión alcanza 0. El TTL de la sesión se reajusta a su valor predeterminado (por abandono 30sec) mientras haya tráfico UDP que coincida con esta sesión.
Porque la sesión no expira debido al paquete entrante continuo, la sesión no se puede purgar y el tráfico UDP se está pegando a la interfaz de egreso incorrecta.
Resolution
NOTA:
La solución simple es borrar las sesiones UDP atascadas.
> sesión clara todo el protocolo de filtro 17
Sin embargo, no es posible hacerlo manualmente cada vez que hay un error.
El método que se muestra a continuación está aprovechando la XMLAPI para borrar las sesiones.
Así que los pasos a continuación le permitirán borrar automáticamente esas sesiones cuando hay un error PBF. Pero una configuración similar se puede hacer para el error de supervisión de trayecto en la Static ruta.
Paso 1 - Crear una cuenta de usuario para la API XML
Para nuestro caso de uso, la cuenta de usuario debe tener al menos el rol de "administrador del dispositivo".- Vaya a >Administradores de dispositivos
- Haga clic en Add.
- Introduzca la información de la cuenta de usuario
- Una vez creada la cuenta, confirme el cambio de configuración.
Paso 2. Genere la clave de API XML.
- Con su navegador web, abra la URL
https://firewall/api/?type=keygen&user=username&password=password
- Guarde la tecla en el bloc de notas, ya que la necesitamos más adelante.
Paso 3. El PBF necesita generar un registro
- Asegúrese de que la regla PBF tiene supervisión de ruta de acceso, ya que usaremos este registro para desencadenar la acción.
- Habilite la supervisión de la trayectoria en la regla PBF
Paso 4. Busque el registro para usar
- Nota en los registros del sistema, los registros para el PBF son visibles con el filtro "(subtype eq pbf)"
- Para evitar que se borren varias sesiones en poco tiempo, utilice el filtro
(subtipo eq pbf) y ( descripción contiene ' nexthop es ')
Paso 5 . Configuración del perfil HTTP.
- Vaya a Device > HTTP
- Haga clic en agregar
- Haga clic en Agregar .
- Establezca los siguientes parámetros para el servidor:
Nombre : cualquier nombre Dirección : localhost Protocolo : HTTP Puerto : 80 Método HTTP : GET
- Haga clic en Formato de carga útil.
- Haga clic en Sistema (ya que estamos trabajando en los registros del sistema).
- En la ventana de formato de carga útil, establezca los siguientes valores:
Nombre : cualquier nombre En parámetros: clave : la clave de API recuperada anteriormente tipo : op cmd : <clear> <session> <all> <filter> <protocol>17</protocol></filter></all></session></clear>
- Una vez hecho esto, haga clic en Aceptar dos veces.
Paso 6. Aplique el perfil HTTP al registro.
- Vaya a Configuración de > registro de dispositivos
- Haga clic en Agregar
- Asigne un nombre a la regla.
- Haga clic en la flecha para expandir las opciones de filtro
- Haga clic en Generador de filtros.
- En el constructor de filtros, puede pegar el filtro "(subtype eq pbf) y ( description contains ' nexthop is ')".
- Haga clic en Aceptar.
- Haga clic en Agregar en la sección HTTP.
- Seleccione el perfil HTTP que creamos anteriormente
- Haga clic en Aceptar.
- Haga clic en confirmar.
Paso 7. Verificación
- Para comprobar que algunas sesiones se están cerrando, compruebe los registros de tráfico y busque la sesión terminada por motivo desconocido.
- Correlacione con los registros del sistema.
Additional Information
Guía de administración
Obtener la clave de API
Configurar el reenvío deregistros