UDP sessions coincées après l’échec

UDP sessions coincées après l’échec

35597
Created On 11/30/20 02:01 AM - Last Modified 01/27/22 03:39 AM


Symptom


  • UDP trafic n’étant pas transmis au lien de sauvegarde après une panne sur le lien principal.
  • L’interface d’évacuation de sauvegarde est ignorée.
  • Il peut s’agir PBF d’une règle ou d’une autre voie.

Environment


  • Tout courant PAN-OS
  • Configuration dual homed.
  • Surveillance des trajectoires pour les interfaces d’évacuation.

Cause


Ce firewall sont les sessions suivantes.
Les sessions sont faciles à suivre pour le TCP trafic car nous pouvons identifier un début de session et une fin de session.

Cependant, ce n’est pas possible de faire la même chose sur UDP .
Pour UDP , la session crée au premier firewall UDP paquet, puis la session restent en place que la session TTL atteint 0. La session TTL est réinitialisée à sa valeur par défaut (par défaut 30sec) tant qu’il y a UDP du trafic correspondant à cette session.

Étant donné que la session n’expire pas en raison du paquet entrant continu, la session ne peut pas être purgée UDP et le trafic est bloqué à la mauvaise interface d’évacuation.

Resolution


NOTE:
La solution simple est d’effacer les sessions UDP bloquées.
> clear session all filter protocol 17

Cependant, il n’est pas possible de le faire manuellement chaque fois qu’il y a un échec.

La méthode indiquée ci-dessous profite de la XMLAPI pour effacer les sessions.
Ainsi, les étapes ci-dessous vous permettront d’effacer automatiquement ces sessions en cas PBF d’échec. Mais une configuration similaire peut être effectuée pour la défaillance de la surveillance des trajectoires sur route statique.

Étape 1 - Créer un compte d’utilisateur pour le XML API

Pour notre cas d’utilisation, le compte utilisateur doit avoir au moins le rôle d’administrateur de périphérique.
  1. Aller à Device>Administrators
  2. Cliquez sur Ajouter.
  3. Entrez les informations du compte utilisateur
    créer un compte pour XML API l’utilisation
  4. Une fois le compte créé, engagez le changement de configuration.

Étape 2. Générer la XML API clé.

  1. À l’aide de votre navigateur Web, ouvrez le URL
    https://firewall/api/?type=keygen&user=username&password=password

    obtenir la API clé
  2. Gardez la clé dans le bloc-notes comme nous en avons besoin plus tard.
 

Étape 3. La PBF nécessité de générer un journal

  1. Assurez-vous que PBF la règle a la surveillance du chemin que nous allons utiliser ce journal pour déclencher l’action.
  2. Activer la surveillance du chemin sur la PBF règle
    PBF surveillance des chemins

Étape 4. Recherchez le journal à utiliser

  1. Notez dans les journaux système, les journaux pour le sont PBF visibles avec le filtre « (sous-type eq pbf) »
les journaux système affichent les journaux afin que nous puissions utiliser ces journaux pour déclencher l’événement
  1. Pour éviter plusieurs sessions effacées en peu de temps, utilisez le filtre
(subtype eq pbf) and ( description contains ' nexthop is ')

Étape 5 . Configuration du HTTP profil.

  1. Aller à l’appareil > HTTP
  2. Cliquez sur Ajouter
    Ajouter un HTTP profil
  3. Cliquez sur Ajouter .
    Paramètres du serveur
  4. Définissez les paramètres suivants pour le serveur :
    Name : any name
Address : localhost
Protocol : HTTP
Port : 80
HTTP Method : GET
  5. Cliquez sur Format charge utile.
    personnalisation de la charge utile
  6. Cliquez sur Système (comme nous travaillons sur les journaux système).
    Format de charge utile
  7. Dans la fenêtre de format charge utile, définissez les valeurs suivantes :
    Name : any name
In Parameters:
key : the API key retrieved earlier
type : op
cmd : <clear><session><all><filter><protocol>17</protocol></filter></all></session></clear>
  8. Une fois terminé, cliquez OK deux fois.

Étape 6. Appliquez HTTP le profil sur le journal.

  1. Aller à l’appareil>Log Paramètres
  2. Cliquez sur Ajouter
    définir les paramètres du journal système
  3. Donnez un nom à la règle.
  4. Cliquez sur la flèche pour élargir les options de filtre
    Ouvrez le constructeur de filtres
  5. Cliquez sur Filter Builder.
  6. Dans le constructeur de filtres, vous pouvez coller le filtre « (sous-type eq pbf) et ( description contient ' nexthop est ') ».
    Constructeur de filtres
  7. Cliquez OK sur .
  8. Cliquez sur Ajouter dans la HTTP section.
    Ajouter le HTTP profil
  9. Sélectionnez le HTTP profil que nous avons créé précédemment
  10. Cliquez OK sur .
  11. Cliquez sur commit.

Étape 7. Vérification

  1. Pour vérifier que certaines sessions sont fermées, vérifiez les journaux de circulation et recherchez la session terminée pour une raison inconnue.
  2. Corréler avec les journaux système.
Corréler les sessions de journaux de trafic avec les journaux système
 

Additional Information


Guide
d’administration Obtenez API votre connexion
de journal de configuration de clé
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBmqCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language