Cómo confirmar que Panorama se comunican con los Cisco ACI Fabrics

Cómo confirmar que Panorama se comunican con los Cisco ACI Fabrics

12762
Created On 01/18/21 13:10 PM - Last Modified 03/26/21 18:55 PM


Objective


El artículo proporciona cómo confirmar que el Panorama se comunica con los tejidos de Cisco después de que la configuración se complete según la guía ACI admin.

Environment


  • Cualquier Panorama archivo .
  • PAN-OS 9.1 y superior.
  • Integración con ACI Cisco.

Procedure


  1. Compruebe el estado de la conexión con todos los ACI tejidos
admin@aci-pan-67> show plugins cisco status

Cluster Name          Status    Last Updated Time             Error Msg
----------------------------------------------------------------------------------------------------
apic1                 Success   2021-01-18T12:12:14.963000
 
  1. Marque los websockets encendidos Panorama y confirme que tiene al menos uno en el estado establecido con el APIC cisco fabric IP
admin@aci-pan-67> show netstat all yes numeric-hosts yes verbose yes | match 10.46.32.221  => Replace the IP matching your configuration
tcp        0      0 10.46.56.67:51955       10.46.32.221:https      ESTABLISHED
tcp       32      0 10.46.56.67:58400       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:58511       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:59814       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:38142       10.46.32.221:https      CLOSE_WAIT
tcp        0      0 10.46.56.67:51944       10.46.32.221:https      ESTABLISHED
tcp       32      0 10.46.56.67:34968       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:33555       10.46.32.221:https      CLOSE_WAIT
tcp        0      0 10.46.56.67:51992       10.46.32.221:https      ESTABLISHED
tcp       32      0 10.46.56.67:60270       10.46.32.221:https      CLOSE_WAIT
tcp        0      0 10.46.56.67:51954       10.46.32.221:https      ESTABLISHED
 
  1. Compruebe los contadores del plugin.No se almacenan valores históricos. Los contadores se pueden despejar bajo demanda. La opción Delta está disponible
 
admin@aci-pan-67> show plugins cisco counters

Name                               Value     Rate      Severity       Category       Aspect         Description
---------------------------------------------------------------------------------------------------------------
Tag_push_fail                      2         0         error          tag-proc       tag_push       Number of failed tag updates pushed to configd process
apic1_full_ret_success             111065    0         info           tag-ret        api-call       Number of successful full endpoint retrievals from apic1.
apic1_invalid_ep                   488114    0         info           tag-ret        api-call       Number of endpoints retrieved outside of EPGs with apic1.
dashboard_data_update_success      111065    0         info           tag-ret        db-access      Number of successful dashboard data update in Dashboard DB.
10.46.32.221_login_success         111081    0         info           tag-ret        api-call       Number of successful logins with APIC 10.46.32.221.
ip_tag_queue_update_success        111065    0         info           tag-ret        db-access      Number of successful IP/tag updates in Queue DB.
epg_update_success                 111075    0         info           tag-ret        api-call       Number of successful epg updates

admin@aci-pan-67> clear plugins cisco counters

Counters were successfully cleared!
 
  1. Tome una captura de paquetes panorama y confirme que hay paquete de ida y vuelta
admin@aci-pan-67> tcpdump filter "host 10.46.32.221 and port 443"   => Repace the host and use ctrl+c to stop capture

admin@aci-pan-67> view-pcap no-dns-lookup yes no-port-lookup yes mgmt-pcap mgmt.pcap
12:29:32.953737 IP 10.46.56.67.51955 > 10.46.32.221.443: Flags [.], ack 4223802298, win 173, length 0
12:29:32.954200 IP 10.46.32.221.443 > 10.46.56.67.51955: Flags [.], ack 1, win 245, length 0
12:29:52.855441 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [P.], seq 1974128972:1974129407, ack 1545978313, win 330, length 435
12:29:52.859215 IP 10.46.32.221.443 > 10.46.56.67.51954: Flags [P.], seq 1:683, ack 435, win 430, length 682
12:29:52.859247 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [.], ack 683, win 330, length 0
12:29:52.859593 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [P.], seq 435:870, ack 683, win 330, length 435
12:29:52.862859 IP 10.46.32.221.443 > 10.46.56.67.51954: Flags [P.], seq 683:1365, ack 870, win 438, length 682
12:29:52.903740 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [.], ack 1365, win 330, length 0

 

Additional Information


El plugin de Cisco ACI para le permite construir una seguridad para su tela de Cisco usando los grupos de direcciones Panorama policy ACI dinámicas (DAG). El plugin monitorea para los cambios en una tela del Policy regulador de la infraestructura de la aplicación ( ) en su entorno de Cisco y comparte esa APIC información con ACI Panorama . El plugin de Cisco ACI funciona ligeramente diferente que otros panorama plugins como , , o AZURE AWS GCP plugin. El plugin de Cisco ACI mantiene una conexión Del WebSocket con los ACI reguladores y monitorea los mensajes de notificación que vienen de ACI las actualizaciones del punto final. El plugin de Cisco ACI tirará APIC de las telas que informan un cambio de punto final dentro de 60segundos y hace la sincronización completa con todos los APICs cada 10 minutos.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCPdCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language