フェールオーバー後に UDP セッションが停止

フェールオーバー後に UDP セッションが停止

35591
Created On 11/30/20 02:01 AM - Last Modified 01/27/22 03:39 AM


Symptom


  • プライマリ リンクで障害が発生した後に、UDP トラフィックがバックアップ リンクに転送されない。
  • バックアップ出力インターフェイスは無視されます。
  • これは、PBF ルールまたは別のルートを指定できます。

Environment


  • 現在の PAN-OS
  • デュアルホームド構成。
  • 出力インターフェイスのパス モニタリング。

Cause


ファイアウォールはセッションを次に示しています。
セッションの開始とセッション終了を識別できるため、セッションは TCP トラフィックを追跡しやすくなります。

ただし、UDP では同じ操作はできません。
UDP の場合、ファイアウォールは最初の UDP パケットでセッションを作成し、セッション TTL が 0 に達してもセッションはアップしたままになります。 このセッションに一致する UDP トラフィックがある限り、セッション TTL はデフォルト値 (デフォルトでは 30 秒) にリセットされます。

連続した着信パケットのためにセッションが期限切れにならないので、セッションをパージできず、UDP トラフィックが間違った出力インターフェイスにスタックされています。

Resolution


注:
簡単な解決策は、UDP セッションが停止をクリアすることです。
>クリアセッションすべてのフィルタプロトコル 17

ただし、障害が発生するたびに手動で行うことはできません。

以下に示す方法は、XMLAPI を利用してセッションをクリアすることです。
したがって、PBF 障害が発生した場合、以下の手順でこれらのセッションを自動的にクリアできます。 ただし、静的ルートでのパス監視エラーに対して同様の設定を行うことができます。

ステップ 1 - XML API のユーザーアカウントを作成する

このユースケースでは、ユーザーアカウントには少なくとも「デバイス管理者」の役割が必要です。
  1. デバイス>管理者に移動します。
  2. [追加] をクリックします。
  3. ユーザー アカウント情報を入力します。
    XML API の使用に使用するアカウントを作成する
  4. アカウントが作成されたら、構成の変更をコミットします。

ステップ 2。 XML API キーを生成します。

  1. Web ブラウザを使用して、URL を開きます。
    https://firewall/api/?type=keygen&user=username&password=password

    API キーを取得する
  2. 後で必要に応じて、メモ帳にキーを保管します。
 

ステップ 3。 PBF はログを生成する必要があります

  1. このログを使用してアクションをトリガーするため、PBF ルールにパス監視があることを確認します。
  2. PBF ルールでパスモニタリングを有効にする
    PBF パスモニタリング

ステップ 4。 使用するログを探します。

  1. システムログでは、PBF のログはフィルタ "(サブタイプ eq pbf)" で表示されます。
システム ログにはログが表示されるので、これらのログを使用してイベントをトリガできます
  1. 短時間で複数のセッションがクリアされないようにするには、フィルタ
(サブタイプ eq pbf) および ( 説明には ' ネクストホップが ' を含む )

ステップ 5 . HTTP プロファイルの構成。

  1. HTTP のデバイス >に移動します。
  2. クリックして追加します。
    HTTP プロファイルを追加する
  3. [追加] をクリックします。
    サーバー パラメーター
  4. サーバーに次のパラメータを設定します。
    名前 : 任意の名前
アドレス : ローカルホスト
プロトコル : HTTP
ポート: 80
HTTP メソッド : GET
  5. [ペイロード形式]をクリックします。
    ペイロードのカスタマイズ
  6. [システム]をクリックします(システムログを操作しています)。
    ペイロード形式
  7. ペイロード形式ウィンドウで、次の値を設定します。
    名前 : 任意の名前
パラメーターで:
key : 以前に取得した API キー
タイプ : op
cmd : <clear> <session> <all> <filter> <protocol>17</protocol></filter></all></session></clear>
  8. 完了したら、[OK] を 2 回クリックします。

ステップ 6. HTTP プロファイルをログに適用します。

  1. デバイス>ログ設定に移動します。
  2. [追加]をクリックします。
    システム ログの設定
  3. ルールに名前を付けます。
  4. 矢印をクリックしてフィルタオプションを展開します。
    フィルター ビルダーを開く
  5. [フィルタ ビルダ] をクリックします。
  6. フィルタビルダでは、フィルタ "(サブタイプ eq pbf) と (説明に ' nexthop は ')" を含むフィルタを貼り付けることができます。
    フィルタビルダー
  7. [OK] をクリックします。
  8. HTTP セクションで [追加] をクリックします。
    HTTP プロファイルを追加する
  9. 先ほど作成した HTTP プロファイルを選択します。
  10. [OK] をクリックします。
  11. コミットをクリックします。

ステップ7。 検証

  1. 一部のセッションが終了していることを確認するには、トラフィックログを確認し、不明な理由でセッションが終了した場合を探します。
  2. システム ログと相関します。
トラフィック ログ セッションをシステム ログと関連付ける
 

Additional Information


管理ガイド
API キーの取得
ログ転送の設定
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBmqCAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language