Firewall desconectarse con frecuencia de Panorama | Comprometer-Todo atascado
8270
Created On 01/17/23 03:12 AM - Last Modified 11/16/23 03:04 AM
Symptom
- Al hacer un push a los dispositivos de Panorama a administrado, el trabajo Commit-All está atascado firewallen 0% durante mucho tiempo.
admin@LAB(primary-active)> show jobs all
Enqueued Dequeued ID PositionInQ Type Status Result Completed
------------------------------------------------------------------------------------------------------------------------------------------
2023/01/15 19:32:35 19:32:35 5185871 CommitAll ACT OK 0 %
2023/01/15 19:18:58 19:18:58 5185724 CommitAll ACT OK 0 %
2023/01/15 19:11:30 19:11:30 5185634 CommitAll ACT OK 0 %
- Firewall se ve con frecuencia desconectándose de (en -->PanoramaDispositivos administrados-->Resumen OR registros del Panorama sistema)
- En la captura de paquetes entre firewall y Panorama, frecuente TCP Ventana llena o TCP ZeroWindow vista desde Panorama IP.
Environment
- Firewalls PanOS administrados por Panorama
Cause
- Compruebe el recvQ- on (o send-Q on FirewallPanorama ) ejecutando el comando netstat para el firewall en cuestión:
admin@LAB(primary-active)> show netstat numeric-hosts yes numeric-ports yes | match 10.129.70.112
tcp6 2479433 0 10.129.70.180:3978 10.129.70.112:49021 ESTABLISHED
- A alto valor en Recv-Q significa Panorama que no es capaz de ingerir los registros tan rápido como el firewall está enviando.
- Panorama Hace administración y registro tanto sobre TCP 3978 con un solo canal. Esto puede sobrecargar el canal y causar Firewall problemas de desconexión.
Resolution
- Separe el canal de administración y registro configurando "Lista de preferencias del recopilador de registros" en --> PanoramaGrupos recopiladores-->Reenvío de registros del dispositivo-->Preferencias de reenvío de registros.
Additional Information
- Más información sobre la lista de preferencias del recopilador de registros