如何排查防火墙与 user-id Edge 服务之间的 gRPC 连接故障

如何排查防火墙与 user-id Edge 服务之间的 gRPC 连接故障

13603
Created On 08/06/24 21:29 PM - Last Modified 11/25/25 23:56 PM


Objective



如何排查防火墙与 user-ID Edge 服务之间的连接故障。

Environment


  • 帕洛阿尔托防火墙
  • PAN-OS 11.0 及更高版本。
  • ICD (Identity Client Daemon)
  • Edge User-ID 服务
  • CIE(云身份引擎)

Procedure


  1. 检查设备证书是否有效并存在于 FW 上。 
    show device-certificate status
  2. 检查防火墙的配置。 导航到 设备>设置>管理,然后在 PAN-OS 边缘服务设置下,如果要使用云 User-ID 重新分发功能,请确保选中“启用用户上下文云服务”复选框。
    1. User Context Cloud 服务
  3. 检查云 user-id 功能的服务路由配置。 导航到 Device > Setup > Services,然后在 Service Route Configuration 下查找 “iot”。云 user-id 重分发功能使用 IoT 服务路由。
    1. 云 User-ID 服务路由
       
  4. 对防火墙管理平面 (MP) 和 Edge User-ID 服务之间的连接进行故障排除:
    1. 使用 CLI 命令: 
      > show cloud-userid config-details
      该输出的示例如下所示: 
      > show cloud-userid config-details
Cloud UserID: enabled
Connection: disconnected
    2. 有关连接到 Edge User-ID 服务器的更多详细信息,请使用 CLI 命令: 
      > show cloud-userid statistics
      该输出的示例如下所示: 
      > show cloud-userid statistics
Summary of CUID gRPC client:
number of connection reset:       38700
number of connection failed:      8
number of connection established: 38702
number of connection attempts:    38711
number of connection released:    38702
number of connection selected:    38700
number of selections failed:      43891
number of bytes sent:             1122249
number of bytes received:         0
Last gRPC connection Attempt:     2024-07-31 06:50:03 -0400 EDT
Last successful gRPC connection:  2024-07-31 06:49:58 -0400 EDT
Cloud user-id URL:                identity.services-dge.paloaltonetworks.com
Source Address:                   192.168.5.3
Destination Address:              34.136.155.117:443
Device cert status: Installed
	Validity: 
		Notbefore: 2024-07-29 01:09:23 +0000 UTC 
		Notafter: 2024-10-27 01:09:22 +0000 UTC
max gRPC connections: 1, ongoing: 1, max alive time: unlimited, max bytes sent: unlimited
Cloud user-id connection: disconnected
UPLOAD:
IP User Mappings:         0
IP Port User Mappings:    0
IP Tags:                  0
User Tags:                0
IP Host(Quarantine List): 0
DOWNLOAD:
IP User Mappings:         0
IP Port User Mappings:    0
IP Tags:                  0
User Tags:                0
IP Host(Quarantine List): 0
    3. 检查 Firewall IoT 服务路由、源 IP 和 Edge 用户 ID 服务器、目标 FQDN 之间的网络连接: 
      > traceroute host identity.services-edge.paloaltonetworks.com
       
      1. 注意:如果 Management 或 Default 用作 IoT 服务路由,则此命令有效,否则将 source 添加到命令中,后跟用作服务路由的数据平面接口的 IP 地址。  
        > traceroute source <IP address of the IoT service route dataplane interface> host identity.services-edge.paloaltonetworks.com
    4. 检查 Edge 用户 ID 服务器的 netstat: 
      show netstat numeric-ports yes numeric-hosts yes | match <IP address of the Edge user-id server>
    5. 确保没有设备或防火墙规则阻止端口 443 上与 Edge user-ID 服务器的连接。
    6. 检查与此连接相关的防火墙系统日志: 
      > show log system direction equal backward subtype equal cuid-connection
    7. 作为最后的手段,如果需要重新启动防火墙和 Edge 用户 ID 服务器之间的连接,请使用 CLI 命令: 
      > debug cloud-userid reset-connection


        
      
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDq6CAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language