Cómo solucionar problemas de error de conexiones gRPC entre el firewall y el servicio perimetral de identificador de usuario

Cómo solucionar problemas de error de conexiones gRPC entre el firewall y el servicio perimetral de identificador de usuario

13479
Created On 08/06/24 21:29 PM - Last Modified 11/25/25 23:56 PM


Objective



Cómo solucionar problemas de error de conexión entre el firewall y el servicio perimetral de ID de usuario.

Environment


  • Palo Alto Firewalls
  • PAN-OS 11.0 y superior.
  • ICD (demonio de cliente de identidad)
  • Servicio de ID de usuario perimetral
  • CIE (Motor de Identidad en la Nube)

Procedure


  1. Compruebe que un certificado de dispositivo es válido y está presente en el estado del certificado de dispositivo FW.show 
    show device-certificate status
  2. Compruebe la configuración del cortafuegos. Vaya a Configuración > administración de > de dispositivos y, en Configuración del servicio perimetral de PAN-OS, asegúrese de que la casilla de verificación "Habilitar servicio en la nube de contexto de usuario" esté marcada si desea utilizar la función de redistribución de ID de usuario en la nube.
    1. Servicio en la nube de contexto de usuario
  3. Compruebe la configuración de la ruta de servicio de la función de ID de usuario en la nube. Vaya a Configuración de > de dispositivos > servicios y, en Configuración de ruta de servicio , busque "iot".La característica de redistribución de ID de usuario en la nube usa la ruta del servicio IoT.
    1. Ruta de servicio de ID de usuario en la nube
       
  4. Solucione problemas de conexión entre el plano de administración (MP) del firewall y el servicio de ID de usuario perimetral:
    1. Utilice el comando de la CLI: 
      > show cloud-userid config-details
      A continuación se muestra un ejemplo de ese resultado: 
      > show cloud-userid config-details
Cloud UserID: enabled
Connection: disconnected
    2. Para obtener más información sobre la conexión al servidor de ID de usuario perimetral, utilice el comando de la CLI: 
      > show cloud-userid statistics
      A continuación se muestra un ejemplo de ese resultado: 
      > show cloud-userid statistics
Summary of CUID gRPC client:
number of connection reset:       38700
number of connection failed:      8
number of connection established: 38702
number of connection attempts:    38711
number of connection released:    38702
number of connection selected:    38700
number of selections failed:      43891
number of bytes sent:             1122249
number of bytes received:         0
Last gRPC connection Attempt:     2024-07-31 06:50:03 -0400 EDT
Last successful gRPC connection:  2024-07-31 06:49:58 -0400 EDT
Cloud user-id URL:                identity.services-dge.paloaltonetworks.com
Source Address:                   192.168.5.3
Destination Address:              34.136.155.117:443
Device cert status: Installed
	Validity: 
		Notbefore: 2024-07-29 01:09:23 +0000 UTC 
		Notafter: 2024-10-27 01:09:22 +0000 UTC
max gRPC connections: 1, ongoing: 1, max alive time: unlimited, max bytes sent: unlimited
Cloud user-id connection: disconnected
UPLOAD:
IP User Mappings:         0
IP Port User Mappings:    0
IP Tags:                  0
User Tags:                0
IP Host(Quarantine List): 0
DOWNLOAD:
IP User Mappings:         0
IP Port User Mappings:    0
IP Tags:                  0
User Tags:                0
IP Host(Quarantine List): 0
    3. Compruebe la conexión de red entre la ruta del servicio IoT del firewall, la IP de origen y el FQDN de destino del servidor de ID de usuario perimetral:  
      > traceroute host identity.services-edge.paloaltonetworks.com
       
      1. Nota: Este comando es válido en caso de que se utilice Management o Default como ruta de servicio de IoT, de lo contrario, agregue source al comando seguido de la dirección IP de la interfaz del plano de datos utilizada como ruta de servicio.  
        > traceroute source <IP address of the IoT service route dataplane interface> host identity.services-edge.paloaltonetworks.com
    4. Verifique el netstat al servidor de ID de usuario perimetral: 
      show netstat numeric-ports yes numeric-hosts yes | match <IP address of the Edge user-id server>
    5. Asegúrese de que ningún dispositivo o regla de firewall esté bloqueando la conexión con el servidor de ID de usuario perimetral en el puerto 443.
    6. Compruebe los registros del sistema del firewall relacionados con esta conexión: 
      > show log system direction equal backward subtype equal cuid-connection
    7. Como último recurso, y si necesita reiniciar la conexión entre FW y el servidor de ID de usuario perimetral, utilice el comando CLI: 
      > debug cloud-userid reset-connection


        
      
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDq6CAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language