フェールオーバー後に UDP セッションが停止
50676
Created On 11/30/20 02:01 AM - Last Modified 10/23/24 20:17 PM
Symptom
- プライマリ リンクで障害が発生した後に、UDP トラフィックがバックアップ リンクに転送されない。
- バックアップ出力インターフェイスは無視されます。
- これは、PBF ルールまたは別のルートを指定できます。
Environment
- 現在の PAN-OS
- デュアルホームド構成。
- 出力インターフェイスのパス モニタリング。
Cause
ファイアウォールはセッションを次に示しています。
セッションの開始とセッション終了を識別できるため、セッションは TCP トラフィックを追跡しやすくなります。
ただし、UDP では同じ操作はできません。
UDP の場合、ファイアウォールは最初の UDP パケットでセッションを作成し、セッション TTL が 0 に達してもセッションはアップしたままになります。 このセッションに一致する UDP トラフィックがある限り、セッション TTL はデフォルト値 (デフォルトでは 30 秒) にリセットされます。
連続した着信パケットのためにセッションが期限切れにならないので、セッションをパージできず、UDP トラフィックが間違った出力インターフェイスにスタックされています。
Resolution
注:
簡単な解決策は、UDP セッションが停止をクリアすることです。
>クリアセッションすべてのフィルタプロトコル 17
ただし、障害が発生するたびに手動で行うことはできません。
以下に示す方法は、XMLAPI を利用してセッションをクリアすることです。
したがって、PBF 障害が発生した場合、以下の手順でこれらのセッションを自動的にクリアできます。 ただし、静的ルートでのパス監視エラーに対して同様の設定を行うことができます。
ステップ 1 - XML API のユーザーアカウントを作成する
このユースケースでは、ユーザーアカウントには少なくとも「デバイス管理者」の役割が必要です。- デバイス>管理者に移動します。
- [追加] をクリックします。
- ユーザー アカウント情報を入力します。
- アカウントが作成されたら、構成の変更をコミットします。
ステップ 2。 XML API キーを生成します。
- Web ブラウザを使用して、URL を開きます。
https://firewall/api/?type=keygen&user=username&password=password
- 後で必要に応じて、メモ帳にキーを保管します。
ステップ 3。 PBF はログを生成する必要があります
- このログを使用してアクションをトリガーするため、PBF ルールにパス監視があることを確認します。
- PBF ルールでパスモニタリングを有効にする
ステップ 4。 使用するログを探します。
- システムログでは、PBF のログはフィルタ "(サブタイプ eq pbf)" で表示されます。
- 短時間で複数のセッションがクリアされないようにするには、フィルタ
(サブタイプ eq pbf) および ( 説明には ' ネクストホップが ' を含む )
ステップ 5 . HTTP プロファイルの構成。
- HTTP のデバイス >に移動します。
- クリックして追加します。
- [追加] をクリックします。
- サーバーに次のパラメータを設定します。
名前 : 任意の名前 アドレス : ローカルホスト プロトコル : HTTP ポート: 80 HTTP メソッド : GET
- [ペイロード形式]をクリックします。
- [システム]をクリックします(システムログを操作しています)。
- ペイロード形式ウィンドウで、次の値を設定します。
名前 : 任意の名前 パラメーターで: key : 以前に取得した API キー タイプ : op cmd : <clear> <session> <all> <filter> <protocol>17</protocol></filter></all></session></clear>
- 完了したら、[OK] を 2 回クリックします。
ステップ 6. HTTP プロファイルをログに適用します。
- デバイス>ログ設定に移動します。
- [追加]をクリックします。
- ルールに名前を付けます。
- 矢印をクリックしてフィルタオプションを展開します。
- [フィルタ ビルダ] をクリックします。
- フィルタビルダでは、フィルタ "(サブタイプ eq pbf) と (説明に ' nexthop は ')" を含むフィルタを貼り付けることができます。
- [OK] をクリックします。
- HTTP セクションで [追加] をクリックします。
- 先ほど作成した HTTP プロファイルを選択します。
- [OK] をクリックします。
- コミットをクリックします。
ステップ7。 検証
- 一部のセッションが終了していることを確認するには、トラフィックログを確認し、不明な理由でセッションが終了した場合を探します。
- システム ログと相関します。
Additional Information
管理ガイド
API キーの取得
ログ転送の設定