Cómo solucionar problemas de trabajo de confirmación/inserción en el estado "Revertido" debido a la recuperación automatizada de confirmaciones de Panorama
23215
Created On 10/18/23 03:23 AM - Last Modified 12/19/23 15:02 PM
Objective
Cuando un usuario confirma/inserta una configuración de Panorama en el cortafuegos que interrumpirá la conexión entre Panorama y el cortafuegos gestionado después de que los cambios introducidos surtan efecto correctamente, la función de recuperación automatizada de confirmaciones de Panorama (habilitada de forma predeterminada) comprobará que el panorama y el cortafuegos puedan seguir comunicándose entre sí con la nueva configuración introducida correctamente. Puede encontrar información adicional sobre esta función en Recuperación automática de la conexión panorámica.
A continuación se muestran algunos cambios de configuración comunes realizados por los usuarios que pueden hacer que Panorama pierda la conectividad con los firewalls después de una confirmación/inserción:
- Cambios en la interfaz de administración o en la ruta de servicio
- Cambios en la política de seguridad o en el perfil de administración de interfaces
- Cambios en las rutas o protocolos de enrutamiento
- Introducción de desencriptado, QoS u otras características de red en la ruta de conexión entre el Panorama y el firewall que interfieren con el flujo normal de tráfico/paquetes.
- Cambio en MTU/MSS de interfaces a lo largo de la ruta entre Panorama y Firewall que provoca fragmentación en la conexión
Tasks - Commit Job
>show jobs all
> show jobs all Enqueued Dequeued ID PositionInQ Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------------------ 2023/02/19 04:45:06 04:41:06 3 CommitAll FIN REVERT 04:51:11 <<<<<<<<<<<<<<<<<< 2023/02/19 04:42:17 04:43:17 2 AutoCom FIN OK 04:46:50 2023/02/19 04:41:02 04:40:02 1 AutoCom FIN OK 04:42:29
> show jobs id 3 Enqueued Dequeued ID Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------ 2020/07/13 22:28:23 21:45:29 3 CommitAll FIN REVERT 21:22:44 Details:Performing panorama connectivity check (attempt 1 of 1) Panorama connectivity check failed for 10.30.20.10. Reason: TCP channel setup failed, reverting configuration Configuration reverted successfullyRegistro del sistema
> show log system 2023/05/21 08:42:23 critical panoram panoram 0 JobId=6231: Panorama connectivity check failed for panorama.example.com. Reason: TCP channel setup failed, reverting configuration
Environment
- Panorama
- PAN-os
- Comprometerse y empujar
Procedure
- Compruebe que la configuración que se inserta en el cortafuegos no interrumpe de forma inherente la conexión entre Panorama y el cortafuegos. Una vez identificado, cambie o elimine ese cambio de configuración para que la conexión (puerto TCP 3978) entre Panorama y el firewall ya no se interrumpa, interrumpa o bloquee/deniegue la próxima vez que se envíe al firewall. Consulte Solución de problemas de configuraciones de firewall revertidas automáticamente para obtener ayuda para identificar qué cambio de configuración se realizó que causó que se produjera esta falla de conexión.
- Aumente los reintentos de "Recuperación automatizada de confirmaciones":
Vaya a Configuración de > de dispositivos > Administración > Configuración de Panorama > Número de intentos para comprobar la conectividad de Panorama > Aumente el número a un valor más alto (por ejemplo, 5 o 10 reintentos)
Esta configuración puede ser útil en entornos de red en los que se espera una pérdida de conectividad temporal/breve entre el firewall y el panorama después de realizar la inserción. Ejemplos de este escenario incluyen: entornos de bajo ancho de banda, los protocolos de enrutamiento necesitan tiempo para volver a converger, los túneles VPN deben volver a formarse, la reoptimización de la ruta debe ocurrir con la nueva configuración, las interfaces deben volver a funcionar después del cambio de configuración de la interfaz, etc. después de que se complete la confirmación y el envío. En estos casos, aumentar el valor de Número de intentos para comprobar la conectividad panorámica y/o Intervalo entre reintentos puede permitir tiempo adicional para que se completen esas operaciones antes de que el firewall revierta la configuración.
Esta configuración puede ser útil en entornos de red en los que se espera una pérdida de conectividad temporal/breve entre el firewall y el panorama después de realizar la inserción. Ejemplos de este escenario incluyen: entornos de bajo ancho de banda, los protocolos de enrutamiento necesitan tiempo para volver a converger, los túneles VPN deben volver a formarse, la reoptimización de la ruta debe ocurrir con la nueva configuración, las interfaces deben volver a funcionar después del cambio de configuración de la interfaz, etc. después de que se complete la confirmación y el envío. En estos casos, aumentar el valor de Número de intentos para comprobar la conectividad panorámica y/o Intervalo entre reintentos puede permitir tiempo adicional para que se completen esas operaciones antes de que el firewall revierta la configuración.
- Verifique que la conexión entre Panorama y el firewall sea estable, tenga suficiente ancho de banda y no experimente congestión, lentitud, fragmentación o interrupción de ningún tipo.
Additional Information
Advertencia: Si la configuración de recuperación de confirmación automatizada está deshabilitada y se confirma un cambio de configuración que interrumpe la conectividad entre Panorama y el firewall, es posible que se pierda el acceso al firewall y no haya otra opción disponible que acceder físicamente al firewall a través del cable de consola en el sitio. (es decir, el cortafuegos está aislado y debe recuperarse para que Panorama vuelva a gestionarlo/acceder a él). Se recomienda no deshabilitar la configuración de recuperación automatizada de confirmación siempre que sea posible.