如何对由于 Panorama 自动提交恢复而处于“已恢复”状态的提交/推送作业进行故障排除
23215
Created On 10/18/23 03:23 AM - Last Modified 12/19/23 15:01 PM
Objective
当用户将配置从 Panorama 提交/推送到防火墙时,在推送的更改成功生效后,这将断开 Panorama 与托管防火墙之间的连接,Panorama 中的自动提交恢复功能(默认启用)将进行检查,以确保 Panorama 和防火墙仍然可以在新成功推送的配置到位的情况下相互访问。 有关此功能的其他信息,请参阅自动全景连接恢复。
以下是用户所做的一些常见配置更改,这些更改可能会导致 Panorama 在提交/推送后失去与防火墙的连接:
- 管理接口 或 服务路由 更改
- 安全策略 或 接口管理配置文件 更改
- 对路由或路由协议的更改
- 在 Panorama 和防火墙之间的连接路径中引入解密、QoS 或其他网络功能,这些功能会干扰流量/数据包的正常流动
- Panorama 和防火墙之间路径上接口的 MTU/MSS 更改导致连接分段
任务 - 提交作业>显示全部作业
> show jobs all Enqueued Dequeued ID PositionInQ Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------------------ 2023/02/19 04:45:06 04:41:06 3 CommitAll FIN REVERT 04:51:11 <<<<<<<<<<<<<<<<<< 2023/02/19 04:42:17 04:43:17 2 AutoCom FIN OK 04:46:50 2023/02/19 04:41:02 04:40:02 1 AutoCom FIN OK 04:42:29
> show jobs id 3 Enqueued Dequeued ID Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------ 2020/07/13 22:28:23 21:45:29 3 CommitAll FIN REVERT 21:22:44 Details:Performing panorama connectivity check (attempt 1 of 1) Panorama connectivity check failed for 10.30.20.10. Reason: TCP channel setup failed, reverting configuration Configuration reverted successfully系统日志
> show log system 2023/05/21 08:42:23 critical panoram panoram 0 JobId=6231: Panorama connectivity check failed for panorama.example.com. Reason: TCP channel setup failed, reverting configuration
Environment
- 全景
- 泛 OS
- 提交和推送
Procedure
- 验证推送到防火墙的配置本质上不会中断 Panorama 与防火墙之间的连接。 确定后,更改/删除该配置更改,以便 Panorama 与防火墙之间的连接(TCP 端口 3978)在下次推送到防火墙时不再中断、中断或阻止/拒绝。 请参阅 对自动还原的防火墙配置进行故障排除,以获取有关确定导致此连接失败的配置更改的帮助。
- 增加“自动提交恢复” 重试次数:
导航到 “设备 > 设置 ”> 管理 > “全景设置 ”> 尝试检查全景连接的次数 > 将数字增加到更高的值(例如,重试 5 次或 10 次)
此设置在网络环境中可能很有用,在推送完成后,防火墙和 Panorama 之间预计会出现暂时/短暂的连接丢失。 此方案的示例包括:低带宽环境、路由协议需要时间重新收敛、VPN 隧道需要重新形成、路径重新优化需要与新配置一起进行、接口配置更改后需要恢复等。 在这些情况下,增加“ 尝试检查全景连接的次数”和/或“重试间隔 ”的值可以在防火墙恢复配置之前留出额外的时间来完成这些操作。
此设置在网络环境中可能很有用,在推送完成后,防火墙和 Panorama 之间预计会出现暂时/短暂的连接丢失。 此方案的示例包括:低带宽环境、路由协议需要时间重新收敛、VPN 隧道需要重新形成、路径重新优化需要与新配置一起进行、接口配置更改后需要恢复等。 在这些情况下,增加“ 尝试检查全景连接的次数”和/或“重试间隔 ”的值可以在防火墙恢复配置之前留出额外的时间来完成这些操作。
- 验证 Panorama 和防火墙之间的连接是否稳定、是否具有足够的带宽,并且没有遇到任何形式的拥塞、缓慢、 碎片或中断。
Additional Information
警告:如果禁用了 自动提交恢复 设置,并且提交了配置更改,从而中断了 Panorama 与防火墙之间的连接,则可能会丢失对防火墙的访问,并且除了通过现场控制台电缆物理访问防火墙外,没有其他选择。 (即防火墙是隔离的,必须恢复才能再次被 Panorama 管理/访问)。 建议尽可能不要禁用“自动提交恢复 ”设置。