UDP sessions coincées après l’échec
50676
Created On 11/30/20 02:01 AM - Last Modified 10/23/24 20:17 PM
Symptom
- UDP trafic n’étant pas transmis au lien de sauvegarde après une panne sur le lien principal.
- L’interface d’évacuation de sauvegarde est ignorée.
- Il peut s’agir PBF d’une règle ou d’une autre voie.
Environment
- Tout courant PAN-OS
- Configuration dual homed.
- Surveillance des trajectoires pour les interfaces d’évacuation.
Cause
Ce firewall sont les sessions suivantes.
Les sessions sont faciles à suivre pour le TCP trafic car nous pouvons identifier un début de session et une fin de session.
Cependant, ce n’est pas possible de faire la même chose sur UDP .
Pour UDP , la session crée au premier firewall UDP paquet, puis la session restent en place que la session TTL atteint 0. La session TTL est réinitialisée à sa valeur par défaut (par défaut 30sec) tant qu’il y a UDP du trafic correspondant à cette session.
Étant donné que la session n’expire pas en raison du paquet entrant continu, la session ne peut pas être purgée UDP et le trafic est bloqué à la mauvaise interface d’évacuation.
Resolution
NOTE:
La solution simple est d’effacer les sessions UDP bloquées.
> clear session all filter protocol 17
Cependant, il n’est pas possible de le faire manuellement chaque fois qu’il y a un échec.
La méthode indiquée ci-dessous profite de la XMLAPI pour effacer les sessions.
Ainsi, les étapes ci-dessous vous permettront d’effacer automatiquement ces sessions en cas PBF d’échec. Mais une configuration similaire peut être effectuée pour la défaillance de la surveillance des trajectoires sur route statique.
Étape 1 - Créer un compte d’utilisateur pour le XML API
Pour notre cas d’utilisation, le compte utilisateur doit avoir au moins le rôle d’administrateur de périphérique.- Aller à Device>Administrators
- Cliquez sur Ajouter.
- Entrez les informations du compte utilisateur
- Une fois le compte créé, engagez le changement de configuration.
Étape 2. Générer la XML API clé.
- À l’aide de votre navigateur Web, ouvrez le URL
https://firewall/api/?type=keygen&user=username&password=password
- Gardez la clé dans le bloc-notes comme nous en avons besoin plus tard.
Étape 3. La PBF nécessité de générer un journal
- Assurez-vous que PBF la règle a la surveillance du chemin que nous allons utiliser ce journal pour déclencher l’action.
- Activer la surveillance du chemin sur la PBF règle
Étape 4. Recherchez le journal à utiliser
- Notez dans les journaux système, les journaux pour le sont PBF visibles avec le filtre « (sous-type eq pbf) »
- Pour éviter plusieurs sessions effacées en peu de temps, utilisez le filtre
(subtype eq pbf) and ( description contains ' nexthop is ')
Étape 5 . Configuration du HTTP profil.
- Aller à l’appareil > HTTP
- Cliquez sur Ajouter
- Cliquez sur Ajouter .
- Définissez les paramètres suivants pour le serveur :
Name : any name Address : localhost Protocol : HTTP Port : 80 HTTP Method : GET
- Cliquez sur Format charge utile.
- Cliquez sur Système (comme nous travaillons sur les journaux système).
- Dans la fenêtre de format charge utile, définissez les valeurs suivantes :
Name : any name In Parameters: key : the API key retrieved earlier type : op cmd : <clear><session><all><filter><protocol>17</protocol></filter></all></session></clear>
- Une fois terminé, cliquez OK deux fois.
Étape 6. Appliquez HTTP le profil sur le journal.
- Aller à l’appareil>Log Paramètres
- Cliquez sur Ajouter
- Donnez un nom à la règle.
- Cliquez sur la flèche pour élargir les options de filtre
- Cliquez sur Filter Builder.
- Dans le constructeur de filtres, vous pouvez coller le filtre « (sous-type eq pbf) et ( description contient ' nexthop est ') ».
- Cliquez OK sur .
- Cliquez sur Ajouter dans la HTTP section.
- Sélectionnez le HTTP profil que nous avons créé précédemment
- Cliquez OK sur .
- Cliquez sur commit.
Étape 7. Vérification
- Pour vérifier que certaines sessions sont fermées, vérifiez les journaux de circulation et recherchez la session terminée pour une raison inconnue.
- Corréler avec les journaux système.
Additional Information
Guide
d’administration Obtenez API votre connexion
de journal de configuration de clé