Sesiones UDP atascadas después de la conmutación por error

Sesiones UDP atascadas después de la conmutación por error

35585
Created On 11/30/20 02:01 AM - Last Modified 01/27/22 03:39 AM


Symptom


  • El tráfico UDP que no se remite al link de backup después de un error en el link primario.
  • Se omite la interfaz de salida de copia de seguridad.
  • Esto puede ser una regla PBF u otra ruta.

Environment


  • Cualquier PAN-OS actual
  • Configuración de doble homedo.
  • Supervisión de trayecto para interfaces de salida.

Cause


El firewall sigue las sesiones.
Las sesiones son fáciles de rastrear para el tráfico TCP, ya que podemos identificar un inicio de sesión y un final de sesión.

Sin embargo, esto no es posible hacer lo mismo en UDP.
Para UDP, el firewall crea la sesión en el primer paquete UDP, después la sesión permanece para arriba mientras que el TTL de la sesión alcanza 0. El TTL de la sesión se reajusta a su valor predeterminado (por abandono 30sec) mientras haya tráfico UDP que coincida con esta sesión.

Porque la sesión no expira debido al paquete entrante continuo, la sesión no se puede purgar y el tráfico UDP se está pegando a la interfaz de egreso incorrecta.

Resolution


NOTA:
La solución simple es borrar las sesiones UDP atascadas.
> sesión clara todo el protocolo de filtro 17

Sin embargo, no es posible hacerlo manualmente cada vez que hay un error.

El método que se muestra a continuación está aprovechando la XMLAPI para borrar las sesiones.
Así que los pasos a continuación le permitirán borrar automáticamente esas sesiones cuando hay un error PBF. Pero una configuración similar se puede hacer para el error de supervisión de trayecto en la Static ruta.

Paso 1 - Crear una cuenta de usuario para la API XML

Para nuestro caso de uso, la cuenta de usuario debe tener al menos el rol de "administrador del dispositivo".
  1. Vaya a >Administradores de dispositivos
  2. Haga clic en Add.
  3. Introduzca la información de la cuenta de usuario
    crear una cuenta para el uso de la API XML
  4. Una vez creada la cuenta, confirme el cambio de configuración.

Paso 2. Genere la clave de API XML.

  1. Con su navegador web, abra la URL
    https://firewall/api/?type=keygen&user=username&password=password

    obtener la clave de API
  2. Guarde la tecla en el bloc de notas, ya que la necesitamos más adelante.
 

Paso 3. El PBF necesita generar un registro

  1. Asegúrese de que la regla PBF tiene supervisión de ruta de acceso, ya que usaremos este registro para desencadenar la acción.
  2. Habilite la supervisión de la trayectoria en la regla PBF
    Monitoreo de trayecto PBF

Paso 4. Busque el registro para usar

  1. Nota en los registros del sistema, los registros para el PBF son visibles con el filtro "(subtype eq pbf)"
los registros del sistema muestran los registros para que podamos usar esos registros para desencadenar el evento
  1. Para evitar que se borren varias sesiones en poco tiempo, utilice el filtro
(subtipo eq pbf) y ( descripción contiene ' nexthop es ')

Paso 5 . Configuración del perfil HTTP.

  1. Vaya a Device > HTTP
  2. Haga clic en agregar
    Agregar un perfil HTTP
  3. Haga clic en Agregar .
    Parámetros del servidor
  4. Establezca los siguientes parámetros para el servidor:
    Nombre : cualquier nombre
Dirección : localhost
Protocolo : HTTP
Puerto : 80
Método HTTP : GET
  5. Haga clic en Formato de carga útil.
    personalización de la carga útil
  6. Haga clic en Sistema (ya que estamos trabajando en los registros del sistema).
    Formato de carga útil
  7. En la ventana de formato de carga útil, establezca los siguientes valores:
    Nombre : cualquier nombre
En parámetros:
clave : la clave de API recuperada anteriormente
tipo : op
cmd : <clear> <session> <all> <filter> <protocol>17</protocol></filter></all></session></clear>
  8. Una vez hecho esto, haga clic en Aceptar dos veces.

Paso 6. Aplique el perfil HTTP al registro.

  1. Vaya a Configuración de > registro de dispositivos
  2. Haga clic en Agregar
    establecer la configuración del registro del sistema
  3. Asigne un nombre a la regla.
  4. Haga clic en la flecha para expandir las opciones de filtro
    Abra el constructor de filtros
  5. Haga clic en Generador de filtros.
  6. En el constructor de filtros, puede pegar el filtro "(subtype eq pbf) y ( description contains ' nexthop is ')".
    Constructor de filtros
  7. Haga clic en Aceptar.
  8. Haga clic en Agregar en la sección HTTP.
    Agregue el perfil HTTP
  9. Seleccione el perfil HTTP que creamos anteriormente
  10. Haga clic en Aceptar.
  11. Haga clic en confirmar.

Paso 7. Verificación

  1. Para comprobar que algunas sesiones se están cerrando, compruebe los registros de tráfico y busque la sesión terminada por motivo desconocido.
  2. Correlacione con los registros del sistema.
Correlacione las sesiones de los registros de tráfico con los registros del sistema
 

Additional Information


Guía de administración
Obtener la clave de API
Configurar el reenvío deregistros
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBmqCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language