从 Panorama 获知的用户到 IP 映射从防火墙中消失

• Panorama 被配置为重新分发代理，而防火墙则设置为重新分发客户端。
• 几个小时后，用户到 IP 的映射就会从防火墙上消失。
• 可以通过重新启动防火墙上的分布式进程来暂时恢复映射。
• 在防火墙上的distributord上启用调试级别日志记录时会出现以下消息。

> less mp-log distributord.log
....
-0500 [CONNMGR] handle message from conn mgr for panorama with len 17
-0500 [CONNMGR][HNDLMSG] Received message from Agent
-0500 [CMS_AGENT][RECVMSG] Found agent panorama, queueing message
-0500 [CMS_MSGS] Added msg to RECV list
-0500 [CMS_AGENT][FETCHMSG] agent UID-Panorama add a new msg(len 16) into circbuf
-0500 Assembling buff: buff_len = 16, buff_offset = 16, receive_left = 0, payload_len = 0, buff=0x556ccc0482f0, header=(nil), payload=(nil)
-0500 Assembling buff: buff_len = 16, buff_offset = 0, receive_left = 16, payload_len = 0, buff=0x556ccc047490, header=0x556ccc047490, payload=(nil)
-0500 proto header: proto_name: 0x50414e0, version=6, type=65, flag=3, vsys=1,len=0
-0500 debug: pan_distributor_agent_consume_msg(pan_distributor_agent.c:2959): [agent UID-Panorama][RX] received PAN_AGENT_FLATMSG_STATUS_REPLY
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing
-0500 [CMS_AGENT][SENDMSG] hdr(0x556ccc0482f0)hdrl(16)fltm(0x556cce139150)fltml(38)
-0500 [CMS_AGENT] After coalesce of hdr and flat_msg new len is 54
-0500 [agent UID-Panorama][TX] PAN_AGENT_FLATMSG_STATUS_GET
-0500 debug: pan_distributor_agent_proc(pan_distributor_agent.c:3212): agent 'UID-Panorama' stop processing

• Palo Alto 防火墙
• PAN-OS 10.0 版本或更高版本
• Panorama 作为用户 ID 重新分配代理
• 防火墙作为用户 ID 重新分配客户端

• 在PAN-OS 10.0及更高版本中，重新分配的代码被集成到一个名为distributedd的新进程中。
• 在useridd和distributord之间建立了中继，允许useridd将新的用户到 IP 映射转发给distributord进行重新分配。
• Panorama 上的错误配置导致useridd和distributord之间的中继无法正常运行，从而导致重新分配出现间歇性故障。

1. 登录 Panorama GUI
2. 导航至全景 > 设置 > 接口
3. 点击管理界面
4. 在网络服务下，启用用户 ID选项
5. 单击“OK”并提交更改

此配置可确保正确地将用户到 IP 的映射从 Panorama 重新分配到防火墙，从而防止映射消失。