Panorama から学習したユーザーと IP のマッピングがファイアウォールから消える

Panorama から学習したユーザーと IP のマッピングがファイアウォールから消える

2740
Created On 07/19/24 06:29 AM - Last Modified 01/03/25 10:10 AM


Symptom


  • Panorama は再配布エージェントとして構成され、ファイアウォールは再配布クライアントとしてセットアップする。
  • 数時間後、ユーザーと IP のマッピングはファイアウォールから消えます。
  • ファイアウォール上のdistributordプロセスを再起動すると、マッピングを一時的に復元できます。
  • ファイアウォール上のディストリビュータでデバッグ レベルのログ記録を有効にすると、次のメッセージが表示されます。
> less mp-log distributord.log
....
-0500 [CONNMGR] handle message from conn mgr for panorama with len 17
-0500 [CONNMGR][HNDLMSG] Received message from Agent
-0500 [CMS_AGENT][RECVMSG] Found agent panorama, queueing message
-0500 [CMS_MSGS] Added msg to RECV list
-0500 [CMS_AGENT][FETCHMSG] agent UID-Panorama add a new msg(len 16) into circbuf
-0500 Assembling buff: buff_len = 16, buff_offset = 16, receive_left = 0, payload_len = 0, buff=0x556ccc0482f0, header=(nil), payload=(nil)
-0500 Assembling buff: buff_len = 16, buff_offset = 0, receive_left = 16, payload_len = 0, buff=0x556ccc047490, header=0x556ccc047490, payload=(nil)
-0500 proto header: proto_name: 0x50414e0, version=6, type=65, flag=3, vsys=1,len=0
-0500 debug: pan_distributor_agent_consume_msg(pan_distributor_agent.c:2959): [agent UID-Panorama][RX] received PAN_AGENT_FLATMSG_STATUS_REPLY
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing
-0500 [CMS_AGENT][SENDMSG] hdr(0x556ccc0482f0)hdrl(16)fltm(0x556cce139150)fltml(38)
-0500 [CMS_AGENT] After coalesce of hdr and flat_msg new len is 54
-0500 [agent UID-Panorama][TX] PAN_AGENT_FLATMSG_STATUS_GET
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing


Environment


  • パロアルトファイアウォール
  • PAN-OS 10.0 バージョン以上
  • ユーザーID再配布エージェントとしてのPanorama
  • ユーザー ID 再配布クライアントとしてのファイアウォール

Cause


  • PAN-OS 10.0 バージョン以降では、再配布のコードはdistributord と呼ばれる新しいプロセスに統合されました。
  • useridddistributord の間にリレーが確立され、 useridd は新しいユーザーと IP のマッピングをdistributordに転送再配布できるようになりました。
  • Panorama の設定が誤っていたため、 useridddistributord間のリレーが正常に機能せず、再配布が断続的に失敗していました。

Resolution


  1. Panorama GUIにログインする
  2. Panorama > セットアップ > インターフェースに移動します
  3. 管理インターフェースをクリックします
  4. ネットワークサービスで、ユーザーIDオプションを有効にします
  5. [Ok]をクリックして変更をコミットする

この設定、 Panorama からファイアウォールへのユーザーと IP のマッピングが適切に再配布され、マッピングが消失することが防止されます。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Tp0mCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language