Comment confirmer que communiquer Panorama avec Cisco ACI Fabrics

Comment confirmer que communiquer Panorama avec Cisco ACI Fabrics

12085
Created On 01/18/21 13:10 PM - Last Modified 03/26/21 18:55 PM


Objective


L’article fournit comment confirmer que le Panorama communique avec Cisco ACI Fabrics après la configuration est terminée selon le guide admin.

Environment


  • Tout Panorama .
  • PAN-OS 9,1 et plus.
  • Intégration avec Cisco ACI .

Procedure


  1. Vérifiez l’état de la connexion avec tous ACI les tissus
admin@aci-pan-67> show plugins cisco status

Cluster Name          Status    Last Updated Time             Error Msg
----------------------------------------------------------------------------------------------------
apic1                 Success   2021-01-18T12:12:14.963000
 
  1. Vérifiez Websockets sur Panorama et confirmer qu’il a au moins un dans l’état établi avec le tissu APIC Cisco IP
admin@aci-pan-67> show netstat all yes numeric-hosts yes verbose yes | match 10.46.32.221  => Replace the IP matching your configuration
tcp        0      0 10.46.56.67:51955       10.46.32.221:https      ESTABLISHED
tcp       32      0 10.46.56.67:58400       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:58511       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:59814       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:38142       10.46.32.221:https      CLOSE_WAIT
tcp        0      0 10.46.56.67:51944       10.46.32.221:https      ESTABLISHED
tcp       32      0 10.46.56.67:34968       10.46.32.221:https      CLOSE_WAIT
tcp       32      0 10.46.56.67:33555       10.46.32.221:https      CLOSE_WAIT
tcp        0      0 10.46.56.67:51992       10.46.32.221:https      ESTABLISHED
tcp       32      0 10.46.56.67:60270       10.46.32.221:https      CLOSE_WAIT
tcp        0      0 10.46.56.67:51954       10.46.32.221:https      ESTABLISHED
 
  1. Vérifiez les comptoirs plugin.Aucune valeur historique n’est stockée. Les compteurs peuvent être effacés sur demande. L’option Delta est disponible
 
admin@aci-pan-67> show plugins cisco counters

Name                               Value     Rate      Severity       Category       Aspect         Description
---------------------------------------------------------------------------------------------------------------
Tag_push_fail                      2         0         error          tag-proc       tag_push       Number of failed tag updates pushed to configd process
apic1_full_ret_success             111065    0         info           tag-ret        api-call       Number of successful full endpoint retrievals from apic1.
apic1_invalid_ep                   488114    0         info           tag-ret        api-call       Number of endpoints retrieved outside of EPGs with apic1.
dashboard_data_update_success      111065    0         info           tag-ret        db-access      Number of successful dashboard data update in Dashboard DB.
10.46.32.221_login_success         111081    0         info           tag-ret        api-call       Number of successful logins with APIC 10.46.32.221.
ip_tag_queue_update_success        111065    0         info           tag-ret        db-access      Number of successful IP/tag updates in Queue DB.
epg_update_success                 111075    0         info           tag-ret        api-call       Number of successful epg updates

admin@aci-pan-67> clear plugins cisco counters

Counters were successfully cleared!
 
  1. Prenez une capture de paquets et panorama confirmez qu’il y a des paquets dans les deux sens
admin@aci-pan-67> tcpdump filter "host 10.46.32.221 and port 443"   => Repace the host and use ctrl+c to stop capture

admin@aci-pan-67> view-pcap no-dns-lookup yes no-port-lookup yes mgmt-pcap mgmt.pcap
12:29:32.953737 IP 10.46.56.67.51955 > 10.46.32.221.443: Flags [.], ack 4223802298, win 173, length 0
12:29:32.954200 IP 10.46.32.221.443 > 10.46.56.67.51955: Flags [.], ack 1, win 245, length 0
12:29:52.855441 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [P.], seq 1974128972:1974129407, ack 1545978313, win 330, length 435
12:29:52.859215 IP 10.46.32.221.443 > 10.46.56.67.51954: Flags [P.], seq 1:683, ack 435, win 430, length 682
12:29:52.859247 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [.], ack 683, win 330, length 0
12:29:52.859593 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [P.], seq 435:870, ack 683, win 330, length 435
12:29:52.862859 IP 10.46.32.221.443 > 10.46.56.67.51954: Flags [P.], seq 683:1365, ack 870, win 438, length 682
12:29:52.903740 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [.], ack 1365, win 330, length 0

 

Additional Information


Le plugin Cisco ACI vous permet de créer une sécurité pour votre tissu Panorama policy Cisco à ACI l’aide de groupes d’adresses dynamiques (DAGs). Le plugin surveille les changements dans un contrôleur Policy d’infrastructure d’application ( APIC ) tissu dans votre environnement Cisco et ACI partage ces informations avec Panorama . Le plugin Cisco ACI fonctionne légèrement différemment que d’autres panorama plugins comme , ou AZURE AWS GCP plugin. Le plugin Cisco ACI maintient une connexion WebSocket avec les ACI contrôleurs et surveille les messages de notification provenant d’environ mises ACI à jour de point de terminaison. Le plugin Cisco ACI tirera les APIC tissus signalant un changement de point de terminaison en 60 secondes et se synchronise pleinement avec tous les APICs toutes les 10 minutes.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCPdCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language