Panorama Automated Commit Recovery によるステータス「Reverted」のコミット/プッシュジョブのトラブルシューティング方法
23227
Created On 10/18/23 03:23 AM - Last Modified 12/19/23 15:01 PM
Objective
ユーザーが Panorama からファイアウォールに設定をコミット/プッシュすると、プッシュされた変更が正常に有効になった後、Panorama と管理対象ファイアウォール間の接続が切断されますが、Panorama の自動コミットリカバリ機能 (デフォルトで有効) は、Panorama とファイアウォールが、新しく正常にプッシュされた設定で相互に到達できることを確認します。 この機能に関する追加情報は、自動パノラマ接続の回復にあります。
以下は、コミット/プッシュ後にPanoramaがファイアウォールへの接続を失う原因となる可能性のある、ユーザーによる一般的な設定変更です。
- 管理インターフェイス または サービス ルート の変更
- セキュリティ ポリシー または インターフェイス管理プロファイル の変更
- ルートまたはルーティング プロトコルの変更
- Panorama とファイアウォール間の接続パスに復号化、QoS、またはその他のネットワーク機能を導入し、トラフィック/パケットの通常のフローを妨害する
- Panorama とファイアウォール間のパスに沿ったインターフェイスの MTU/MSS の変化により、接続の断片化が発生する
> show jobs all Enqueued Dequeued ID PositionInQ Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------------------ 2023/02/19 04:45:06 04:41:06 3 CommitAll FIN REVERT 04:51:11 <<<<<<<<<<<<<<<<<< 2023/02/19 04:42:17 04:43:17 2 AutoCom FIN OK 04:46:50 2023/02/19 04:41:02 04:40:02 1 AutoCom FIN OK 04:42:29
> show jobs id 3 Enqueued Dequeued ID Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------ 2020/07/13 22:28:23 21:45:29 3 CommitAll FIN REVERT 21:22:44 Details:Performing panorama connectivity check (attempt 1 of 1) Panorama connectivity check failed for 10.30.20.10. Reason: TCP channel setup failed, reverting configuration Configuration reverted successfullyシステム ログ
> show log system 2023/05/21 08:42:23 critical panoram panoram 0 JobId=6231: Panorama connectivity check failed for panorama.example.com. Reason: TCP channel setup failed, reverting configuration
Environment
- パノラマ
- パン-OS
- コミット & プッシュ
Procedure
- ファイアウォールにプッシュされる設定が、Panorama とファイアウォール間の接続を本質的に切断しないことを確認します。 特定されたら、その設定変更を変更/削除して、Panoramaとファイアウォール間の接続(TCPポート3978)が、次回ファイアウォールにプッシュされたときに、切断、中断、またはブロック/拒否されないようにします。 この接続障害の原因となった設定変更を特定するには、「 自動的に元に戻されたファイアウォール設定のトラブルシューティング」を参照してください。
- 「自動コミット・リカバリ」の 再試行回数を増やします。
[ Device > Setup ] > Management >[Panorama Settings]に移動します。 > Panorama 接続 の確認試行回数 > 数値を高い値 (5 回や 10 回の再試行など) に増やしますこの
設定は、プッシュが完了した後、ファイアウォールとパノラマの間で一時的または短時間の接続が失われることが予想されるネットワーク環境で役立ちます。 このシナリオの例としては、低帯域幅環境、ルーティング プロトコルの再コンバージェンスに時間が必要、VPN トンネルを再形成する必要がある、新しい設定でパスを再最適化する必要がある、インターフェイス設定の変更後にインターフェイスが復帰する必要がある、コミットとプッシュの完了後にインターフェイスが復旧する必要がある、などがあります。 このような場合は、 パノラマ接続の確認試行回数 や 再試行間隔 の値を増やすと、ファイアウォールが設定を元に戻す前に、これらの操作が完了するまでの時間を確保できます。
設定は、プッシュが完了した後、ファイアウォールとパノラマの間で一時的または短時間の接続が失われることが予想されるネットワーク環境で役立ちます。 このシナリオの例としては、低帯域幅環境、ルーティング プロトコルの再コンバージェンスに時間が必要、VPN トンネルを再形成する必要がある、新しい設定でパスを再最適化する必要がある、インターフェイス設定の変更後にインターフェイスが復帰する必要がある、コミットとプッシュの完了後にインターフェイスが復旧する必要がある、などがあります。 このような場合は、 パノラマ接続の確認試行回数 や 再試行間隔 の値を増やすと、ファイアウォールが設定を元に戻す前に、これらの操作が完了するまでの時間を確保できます。
- Panorama とファイアウォール間の接続が安定しており、十分な帯域幅があり、輻輳、速度低下、 断片化、または中断が発生していないことを確認します。
Additional Information
警告: 自動コミットリカバリ 設定が無効になっている場合、Panorama とファイアウォール間の接続を切断する設定変更がコミットされると、ファイアウォールへのアクセスが失われ、コンソール ケーブル経由でファイアウォールに物理的にアクセスする以外にオプションが使用できなくなります。 (つまり、ファイアウォールは分離されており、Panorama によって再び管理/到達可能になるには回復する必要があります)。 可能な限り、自動コミット回復 設定を無効にしないことをお勧めします。