Das von Panorama gelernte User-to-IP-Mapping verschwindet aus der Firewall

• Panorama ist als Redistribution Agent konfiguriert, während die Firewall als Redistribution Client einrichten ist.
• Nach einigen Stunden verschwinden die Benutzer-zu-IP-Zuordnungen aus der Firewall.
• Die Zuordnungen können vorübergehend wiederhergestellt werden, indem der Distributord -Prozess auf der Firewall neu gestartet wird.
• Die folgenden Meldungen werden angezeigt, wenn die Protokollierung auf Debugebene auf dem Distributor der Firewall aktiviert wird.

> less mp-log distributord.log
....
-0500 [CONNMGR] handle message from conn mgr for panorama with len 17
-0500 [CONNMGR][HNDLMSG] Received message from Agent
-0500 [CMS_AGENT][RECVMSG] Found agent panorama, queueing message
-0500 [CMS_MSGS] Added msg to RECV list
-0500 [CMS_AGENT][FETCHMSG] agent UID-Panorama add a new msg(len 16) into circbuf
-0500 Assembling buff: buff_len = 16, buff_offset = 16, receive_left = 0, payload_len = 0, buff=0x556ccc0482f0, header=(nil), payload=(nil)
-0500 Assembling buff: buff_len = 16, buff_offset = 0, receive_left = 16, payload_len = 0, buff=0x556ccc047490, header=0x556ccc047490, payload=(nil)
-0500 proto header: proto_name: 0x50414e0, version=6, type=65, flag=3, vsys=1,len=0
-0500 debug: pan_distributor_agent_consume_msg(pan_distributor_agent.c:2959): [agent UID-Panorama][RX] received PAN_AGENT_FLATMSG_STATUS_REPLY
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing
-0500 [CMS_AGENT][SENDMSG] hdr(0x556ccc0482f0)hdrl(16)fltm(0x556cce139150)fltml(38)
-0500 [CMS_AGENT] After coalesce of hdr and flat_msg new len is 54
-0500 [agent UID-Panorama][TX] PAN_AGENT_FLATMSG_STATUS_GET
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing

• Palo Alto-Firewalls
• PAN-OS 10.0 Version oder höher
• Panorama als User-ID-Redistribution-Agent
• Firewall als Client zur Neuverteilung von Benutzer-IDs

• Ab der Version PAN-OS 10.0 wurde der Code zur Weiterverteilung in einen neuen Prozess namens „distributord“ integriert.
• Zwischen useridd und distributord wurde ein Relay eingerichtet, das es useridd ermöglicht, neue Benutzer-zu-IP-Zuordnungen zur Neuverteilung an distributord weiter .
• Eine falsche Konfiguration auf Panorama verhinderte die ordnungsgemäße Funktion des Relays zwischen Benutzer-IDD und Distributord , was zu zeitweiligen Fehlern bei der Neuverteilung führte.

1. Melden Sie sich bei der Panorama-GUI an
2. Navigieren Sie zu Panorama > Setup > Schnittstellen
3. Klicken Sie auf die Verwaltungsoberfläche
4. Aktivieren Sie unter „Netzwerkdienste “ die Option „Benutzer-ID“
5. Klicken Sie auf „OK“ und ausführen die Änderungen.

Diese Konfiguration gewährleistet eine ordnungsgemäße Neuverteilung der Benutzer-zu-IP-Zuordnungen von Panorama zu Firewalls und verhindert, dass die Zuordnungen verschwinden.