Fehlerbehebung bei Commit-/Push-Aufträgen im Status "Zurückgesetzt" aufgrund der automatischen Commit-Wiederherstellung von Panorama
23215
Created On 10/18/23 03:23 AM - Last Modified 12/19/23 15:01 PM
Objective
Wenn ein Benutzer eine Konfiguration von Panorama an die Firewall überträgt, wodurch die Verbindung zwischen Panorama und der verwalteten Firewall unterbrochen wird, nachdem die übertragenen Änderungen erfolgreich wirksam wurden, prüft die Funktion "Automatische Commit-Wiederherstellung" in Panorama (standardmäßig aktiviert), um sicherzustellen, dass Panorama und Firewall sich weiterhin gegenseitig erreichen können, wenn die neu erfolgreich gepushte Konfiguration vorhanden ist. Weitere Informationen zu dieser Funktion finden Sie unter Automatische Wiederherstellung der Panoramaverbindung.
Im Folgenden finden Sie einige häufig von Benutzern vorgenommene Konfigurationsänderungen, die dazu führen können, dass Panorama nach einem Commit/Push die Verbindung zu Firewalls verliert:
- Änderungen an der Verwaltungsschnittstelle oder der Dienstroute
- Änderungen an Sicherheitsrichtlinien oder Schnittstellenverwaltungsprofilen
- Änderungen an Routen oder Routing-Protokollen
- Einführung von Entschlüsselung, QoS oder anderen Netzwerkfunktionen im Verbindungspfad zwischen Panorama und Firewall, die den normalen Fluss von Datenverkehr/Paketen stören
- Änderung der MTU/MSS von Schnittstellen entlang des Pfads zwischen Panorama und Firewall, was zu einer Fragmentierung der Verbindung führt
Aufgaben - Commit Job
>show jobs all
> show jobs all Enqueued Dequeued ID PositionInQ Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------------------ 2023/02/19 04:45:06 04:41:06 3 CommitAll FIN REVERT 04:51:11 <<<<<<<<<<<<<<<<<< 2023/02/19 04:42:17 04:43:17 2 AutoCom FIN OK 04:46:50 2023/02/19 04:41:02 04:40:02 1 AutoCom FIN OK 04:42:29
> show jobs id 3 Enqueued Dequeued ID Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------ 2020/07/13 22:28:23 21:45:29 3 CommitAll FIN REVERT 21:22:44 Details:Performing panorama connectivity check (attempt 1 of 1) Panorama connectivity check failed for 10.30.20.10. Reason: TCP channel setup failed, reverting configuration Configuration reverted successfullySystemprotokoll
> show log system 2023/05/21 08:42:23 critical panoram panoram 0 JobId=6231: Panorama connectivity check failed for panorama.example.com. Reason: TCP channel setup failed, reverting configuration
Environment
- Panorama
- Pan-OS
- Commit & Push
Procedure
- Stellen Sie sicher, dass die Konfiguration, die an die Firewall übertragen wird, die Verbindung zwischen Panorama und der Firewall nicht automatisch unterbricht. Sobald Sie diese Konfigurationsänderung identifiziert haben, ändern/löschen Sie sie, damit die Verbindung (TCP-Port 3978) zwischen Panorama und der Firewall nicht mehr unterbrochen, unterbrochen oder blockiert/verweigert wird, wenn sie das nächste Mal an die Firewall übertragen wird. Unter Fehlerbehebung bei automatisch zurückgesetzten Firewall-Konfigurationen finden Sie Hilfe bei der Identifizierung der Konfigurationsänderung, die zu diesem Verbindungsfehler geführt hat.
- Erhöhen Sie die Anzahl der Wiederholungsversuche für die automatische Commit-Wiederherstellung:
Navigieren Sie zu Device > Setup > Management > Panorama Settings > Anzahl der Versuche, die Panorama-Konnektivität zu überprüfen > Erhöhen Sie die Zahl auf einen höheren Wert (z. B. 5 oder 10 Wiederholungen)
Diese Einstellung kann in Netzwerkumgebungen nützlich sein, in denen ein vorübergehender/kurzzeitiger Verbindungsverlust zwischen Firewall und Panorama erwartet wird, nachdem der Push abgeschlossen wurde. Beispiele für dieses Szenario sind: Umgebungen mit geringer Bandbreite, Routing-Protokolle benötigen Zeit, um wieder zusammenzulaufen, VPN-Tunnel müssen neu gebildet werden, Pfad-Neuoptimierung muss mit der neuen Konfiguration erfolgen, Schnittstellen müssen nach einer Änderung der Schnittstellenkonfiguration wieder hochgefahren werden usw. nachdem der Commit und Push abgeschlossen ist. In diesen Fällen kann das Erhöhen des Werts von Anzahl der Versuche zur Überprüfung der Panoramakonnektivität und/oder Intervall zwischen Wiederholungen zusätzliche Zeit für den Abschluss dieser Vorgänge bieten, bevor die Firewall die Konfiguration zurücksetzt.
Diese Einstellung kann in Netzwerkumgebungen nützlich sein, in denen ein vorübergehender/kurzzeitiger Verbindungsverlust zwischen Firewall und Panorama erwartet wird, nachdem der Push abgeschlossen wurde. Beispiele für dieses Szenario sind: Umgebungen mit geringer Bandbreite, Routing-Protokolle benötigen Zeit, um wieder zusammenzulaufen, VPN-Tunnel müssen neu gebildet werden, Pfad-Neuoptimierung muss mit der neuen Konfiguration erfolgen, Schnittstellen müssen nach einer Änderung der Schnittstellenkonfiguration wieder hochgefahren werden usw. nachdem der Commit und Push abgeschlossen ist. In diesen Fällen kann das Erhöhen des Werts von Anzahl der Versuche zur Überprüfung der Panoramakonnektivität und/oder Intervall zwischen Wiederholungen zusätzliche Zeit für den Abschluss dieser Vorgänge bieten, bevor die Firewall die Konfiguration zurücksetzt.
- Stellen Sie sicher, dass die Verbindung zwischen Panorama und der Firewall stabil ist, über ausreichende Bandbreite verfügt und keine Überlastung, Langsamkeit, Fragmentierung oder Unterbrechung jeglicher Art aufweist.
Additional Information
Warnung: Wenn die Einstellung " Automatische Commit-Wiederherstellung " deaktiviert ist und eine Konfigurationsänderung vorgenommen wird, die die Verbindung zwischen Panorama und der Firewall unterbricht, kann der Zugriff auf die Firewall verloren gehen und es steht keine andere Option zur Verfügung, als physisch über das Konsolenkabel vor Ort auf die Firewall zuzugreifen. (d.h. die Firewall ist isoliert und muss wiederhergestellt werden, um von Panorama wieder verwaltet/erreichbar zu werden). Es wird empfohlen, die Einstellung "Automatische Commit-Wiederherstellung " nach Möglichkeit nicht zu deaktivieren.