Panorama에서 학습한 사용자-IP 매핑이 방화벽 에서 사라짐

Panorama에서 학습한 사용자-IP 매핑이 방화벽 에서 사라짐

2740
Created On 07/19/24 06:29 AM - Last Modified 01/03/25 10:12 AM


Symptom


  • 파노라마는 재배포 에이전트로 구성되고 방화벽 재배포 클라이언트로 셋업하다 .
  • 몇 시간 후, 사용자-IP 매핑이 방화벽 에서 사라집니다.
  • 방화벽 에서 distributord 프로세스를 다시 시작하면 매핑이 일시적으로 복원될 수 있습니다.
  • 방화벽 의 배포판 에서 디버그 수준 로깅을 활성화하면 다음 메시지가 나타납니다.
> less mp-log distributord.log
....
-0500 [CONNMGR] handle message from conn mgr for panorama with len 17
-0500 [CONNMGR][HNDLMSG] Received message from Agent
-0500 [CMS_AGENT][RECVMSG] Found agent panorama, queueing message
-0500 [CMS_MSGS] Added msg to RECV list
-0500 [CMS_AGENT][FETCHMSG] agent UID-Panorama add a new msg(len 16) into circbuf
-0500 Assembling buff: buff_len = 16, buff_offset = 16, receive_left = 0, payload_len = 0, buff=0x556ccc0482f0, header=(nil), payload=(nil)
-0500 Assembling buff: buff_len = 16, buff_offset = 0, receive_left = 16, payload_len = 0, buff=0x556ccc047490, header=0x556ccc047490, payload=(nil)
-0500 proto header: proto_name: 0x50414e0, version=6, type=65, flag=3, vsys=1,len=0
-0500 debug: pan_distributor_agent_consume_msg(pan_distributor_agent.c:2959): [agent UID-Panorama][RX] received PAN_AGENT_FLATMSG_STATUS_REPLY
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing
-0500 [CMS_AGENT][SENDMSG] hdr(0x556ccc0482f0)hdrl(16)fltm(0x556cce139150)fltml(38)
-0500 [CMS_AGENT] After coalesce of hdr and flat_msg new len is 54
-0500 [agent UID-Panorama][TX] PAN_AGENT_FLATMSG_STATUS_GET
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing


Environment

Cause


  • PAN-OS 10.0 버전 이상에서는 재배포용 코드가 distributiond라는 새로운 프로세스에 통합되었습니다.
  • useridddistributord 사이에 릴레이가 설정되어 useridd가 새로운 사용자-IP 매핑을 distributord 로 포워드 재배포할 수 있게 되었습니다.
  • Panorama의 잘못된 구성 인해 useridddistributord 간의 릴레이가 제대로 작동하지 않아 재분배에서 간헐적인 오류가 발생했습니다.

Resolution


  1. Panorama GUI에 로그인하세요
  2. 파노라마 > 설정 > 인터페이스 로 이동합니다.
  3. 관리 인터페이스를 클릭하세요
  4. 네트워크 서비스 에서 사용자 ID 옵션을 활성화합니다.
  5. OK 클릭하고 변경 사항을 commit .

이러한 구성 사용하면 Panorama에서 방화벽으로 사용자-IP 매핑이 적절하게 재분배되어 매핑이 사라지는 것을 방지할 수 있습니다.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Tp0mCAC&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language