Comment résoudre les problèmes liés à une tâche de validation/transmission dont l'état est « Annulé » en raison de la récupération automatisée de validation de Panorama
23215
Created On 10/18/23 03:23 AM - Last Modified 12/19/23 15:01 PM
Objective
Lorsqu’un utilisateur valide/envoie une configuration de Panorama au pare-feu, ce qui rompt la connexion entre Panorama et le pare-feu géré une fois que les modifications envoyées ont pris effet, la fonctionnalité de récupération de validation automatisée de Panorama (activée par défaut) vérifie que le panorama et le pare-feu peuvent toujours se joindre l’un à l’autre avec la configuration nouvellement envoyée avec succès. Pour plus d’informations sur cette fonctionnalité, reportez-vous à la section Récupération automatique de la connexion Panorama.
Vous trouverez ci-dessous quelques modifications de configuration courantes apportées par les utilisateurs qui peuvent entraîner la perte de connectivité de Panorama aux pare-feu après un commit/push :
- Modifications de l’interface de gestion ou de l’itinéraire de service
- Modifications de la stratégie de sécurité ou du profil de gestion de l’interface
- Modifications apportées aux routes ou aux protocoles de routage
- Introduction du déchiffrement, de la qualité de service ou d’autres fonctionnalités réseau dans le chemin de connexion entre le panorama et le pare-feu qui interfèrent avec le flux normal de trafic/paquets
- Modification de la MTU/MSS des interfaces le long du chemin entre Panorama et Firewall, provoquant une fragmentation de la connexion
Tâches - Valider la tâche
>afficher toutes les tâches
> show jobs all Enqueued Dequeued ID PositionInQ Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------------------ 2023/02/19 04:45:06 04:41:06 3 CommitAll FIN REVERT 04:51:11 <<<<<<<<<<<<<<<<<< 2023/02/19 04:42:17 04:43:17 2 AutoCom FIN OK 04:46:50 2023/02/19 04:41:02 04:40:02 1 AutoCom FIN OK 04:42:29
> show jobs id 3 Enqueued Dequeued ID Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------ 2020/07/13 22:28:23 21:45:29 3 CommitAll FIN REVERT 21:22:44 Details:Performing panorama connectivity check (attempt 1 of 1) Panorama connectivity check failed for 10.30.20.10. Reason: TCP channel setup failed, reverting configuration Configuration reverted successfullyJournal du système
> show log system 2023/05/21 08:42:23 critical panoram panoram 0 JobId=6231: Panorama connectivity check failed for panorama.example.com. Reason: TCP channel setup failed, reverting configuration
Environment
- Panorama
- Pan-OS
- Commit & Push
Procedure
- Vérifiez que la configuration envoyée au pare-feu n’interrompt pas intrinsèquement la connexion entre Panorama et le pare-feu. Une fois identifié, modifiez/supprimez ce changement de configuration afin que la connexion (port TCP 3978) entre Panorama et le pare-feu ne soit plus interrompue, interrompue ou bloquée/refusée la prochaine fois qu’elle sera envoyée au pare-feu. Reportez-vous à la section Dépannage des configurations de pare-feu automatiquement annulées pour obtenir de l’aide sur l’identification de la modification de configuration qui a provoqué cet échec de connexion.
- Augmentez le nombre de tentatives de nouvelle tentative de « récupération automatisée de validation » :
Accédez à Configuration > de l’appareil > Gestion > Paramètres de panorama > Nombre de tentatives de vérification de la connectivité Panorama > Augmentez le nombre à une valeur supérieure (par exemple, 5 ou 10 tentatives)
Ce paramètre peut être utile dans les environnements réseau où une perte de connectivité temporaire/brève est attendue entre le pare-feu et Panorama une fois l’envoi effectué. Voici quelques exemples de ce scénario : les environnements à faible bande passante, les protocoles de routage ont besoin de temps pour reconverger, les tunnels VPN doivent se reformer, la réoptimisation du chemin doit se produire avec la nouvelle configuration, les interfaces doivent être réactivées après la modification de la configuration de l’interface, etc. une fois le Commit and Push terminé. Dans ce cas, l’augmentation de la valeur Nombre de tentatives de vérification de la connectivité Panorama et/ou Intervalle entre les nouvelles tentatives peut permettre à ces opérations de se terminer avant que le pare-feu ne rétablisse la configuration.
Ce paramètre peut être utile dans les environnements réseau où une perte de connectivité temporaire/brève est attendue entre le pare-feu et Panorama une fois l’envoi effectué. Voici quelques exemples de ce scénario : les environnements à faible bande passante, les protocoles de routage ont besoin de temps pour reconverger, les tunnels VPN doivent se reformer, la réoptimisation du chemin doit se produire avec la nouvelle configuration, les interfaces doivent être réactivées après la modification de la configuration de l’interface, etc. une fois le Commit and Push terminé. Dans ce cas, l’augmentation de la valeur Nombre de tentatives de vérification de la connectivité Panorama et/ou Intervalle entre les nouvelles tentatives peut permettre à ces opérations de se terminer avant que le pare-feu ne rétablisse la configuration.
- Vérifiez que la connexion entre Panorama et le pare-feu est stable, qu’elle dispose d’une bande passante suffisante et qu’elle ne présente pas de congestion, de lenteur, de fragmentation ou de perturbation de quelque nature que ce soit.
Additional Information
Avertissement : Si le paramètre de récupération de validation automatisée est désactivé et qu’une modification de configuration est validée qui interrompt la connectivité entre Panorama et le pare-feu, l’accès au pare-feu peut être perdu et aucune autre option ne sera disponible que d’accéder physiquement au pare-feu via le câble de console sur site. (c’est-à-dire que le pare-feu est isolé et doit être récupéré pour redevenir géré/accessible par Panorama). Il est conseillé de ne pas désactiver le paramètre de récupération de validation automatisée dans la mesure du possible.