So bestätigen Sie die Panorama Kommunikation mit Cisco ACI Fabrics

So bestätigen Sie die Panorama Kommunikation mit Cisco ACI Fabrics

12772
Created On 01/18/21 13:10 PM - Last Modified 03/26/21 18:55 PM


Objective


Der Artikel enthält eine Bestätigung, dass die Panorama Kommunikation mit Cisco ACI Fabrics nach Abschluss der Konfiguration gemäß dem Admin-Handbuchabgeschlossen ist.

Environment


  • Jede Panorama .
  • PAN-OS 9.1 und höher.
  • Integration mit Cisco ACI .

Procedure


  1. Überprüfen Sie den Status der Verbindung mit allen ACI Fabrics
admin@aci-pan-67> show plugins cisco status

Cluster Name          Status    Last Updated Time             Error Msg
----------------------------------------------------------------------------------------------------
apic1                 Success   2021-01-18T12:12:14.963000
 
  1. Überprüfen Sie Websockets ein Panorama und bestätigen Sie, dass mindestens eine mit der Cisco-Fabric im Status "Etabliert" ist. APIC IP
admin@aci-pan-67> show netstat all yes numeric-hosts yes verbose yes | match 10.46.32.221  => Replace the IP matching your configuration
tcp        0      0 10.46.56.67:51955       10.46.32.221:https      ESTABLISHED
tcp       32      0 10.46.56.67:58400       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:58511       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:59814       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:38142       10.46.32.221:https      CLOSE_WAIT
tcp        0      0 10.46.56.67:51944       10.46.32.221:https      ESTABLISHED
tcp       32      0 10.46.56.67:34968       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:33555       10.46.32.221:https      CLOSE_WAIT
tcp        0      0 10.46.56.67:51992       10.46.32.221:https      ESTABLISHED
tcp       32      0 10.46.56.67:60270       10.46.32.221:https      CLOSE_WAIT
tcp        0      0 10.46.56.67:51954       10.46.32.221:https      ESTABLISHED
 
  1. Überprüfen Sie die Plugin-Zähler.Es werden keine historischen Werte gespeichert. Zähler können bei Bedarf gelöscht werden. Delta-Option ist verfügbar
 
admin@aci-pan-67> show plugins cisco counters

Name                               Value     Rate      Severity       Category       Aspect         Description
---------------------------------------------------------------------------------------------------------------
Tag_push_fail                      2         0         error          tag-proc       tag_push       Number of failed tag updates pushed to configd process
apic1_full_ret_success             111065    0         info           tag-ret        api-call       Number of successful full endpoint retrievals from apic1.
apic1_invalid_ep                   488114    0         info           tag-ret        api-call       Number of endpoints retrieved outside of EPGs with apic1.
dashboard_data_update_success      111065    0         info           tag-ret        db-access      Number of successful dashboard data update in Dashboard DB.
10.46.32.221_login_success         111081    0         info           tag-ret        api-call       Number of successful logins with APIC 10.46.32.221.
ip_tag_queue_update_success        111065    0         info           tag-ret        db-access      Number of successful IP/tag updates in Queue DB.
epg_update_success                 111075    0         info           tag-ret        api-call       Number of successful epg updates

admin@aci-pan-67> clear plugins cisco counters

Counters were successfully cleared!
 
  1. Nehmen Sie eine Paketerfassung auf panorama und bestätigen Sie, dass das Paket hin und her ist
admin@aci-pan-67> tcpdump filter "host 10.46.32.221 and port 443"   => Repace the host and use ctrl+c to stop capture

admin@aci-pan-67> view-pcap no-dns-lookup yes no-port-lookup yes mgmt-pcap mgmt.pcap
12:29:32.953737 IP 10.46.56.67.51955 > 10.46.32.221.443: Flags [.], ack 4223802298, win 173, length 0
12:29:32.954200 IP 10.46.32.221.443 > 10.46.56.67.51955: Flags [.], ack 1, win 245, length 0
12:29:52.855441 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [P.], seq 1974128972:1974129407, ack 1545978313, win 330, length 435
12:29:52.859215 IP 10.46.32.221.443 > 10.46.56.67.51954: Flags [P.], seq 1:683, ack 435, win 430, length 682
12:29:52.859247 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [.], ack 683, win 330, length 0
12:29:52.859593 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [P.], seq 435:870, ack 683, win 330, length 435
12:29:52.862859 IP 10.46.32.221.443 > 10.46.56.67.51954: Flags [P.], seq 683:1365, ack 870, win 438, length 682
12:29:52.903740 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [.], ack 1365, win 330, length 0

 

Additional Information


Mit ACI dem Cisco-Plugin Panorama für können Sie mithilfe von Dynamic Address Groups (DAGs) eine Sicherheit policy für Ihre ACI Cisco-Fabric erstellen. Das Plugin überwacht Änderungen in einer Application Policy Infrastructure Controller ( ) Fabric in Ihrer APIC ACI Cisco-Umgebung und gibt diese Informationen mit Panorama . Das Cisco ACI Plugin funktioniert etwas anders als andere panorama Plugins wie , oder AZURE AWS GCP Plugin. Das ACI Cisco-Plugin unterhält eine WebSocket-Verbindung mit ACI Controllern und überwacht Benachrichtigungen, die ACI von Endpunktaktualisierungen kommen. Das Cisco-Plugin ruft Fabrics ab, die ACI APIC innerhalb von 60 Sekunden eine Endpunktänderung melden, und führt alle 10 Minuten die vollständige Synchronisierung mit allen APICs durch.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCPdCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language