Firewall 经常断开连接Panorama|提交-全部卡住

Firewall 经常断开连接Panorama|提交-全部卡住

7548
Created On 01/17/23 03:12 AM - Last Modified 11/16/23 03:04 AM


Symptom


  • 当做一个推送到设备从Panorama管理firewall,Commit-All作业长期卡在0%。
admin@LAB(primary-active)> show jobs all 


Enqueued              Dequeued           ID  PositionInQ                              Type                         Status Result Completed 
------------------------------------------------------------------------------------------------------------------------------------------
2023/01/15 19:32:35   19:32:35      5185871                                      CommitAll                            ACT     OK        0 %
2023/01/15 19:18:58   19:18:58      5185724                                      CommitAll                            ACT     OK        0 %
2023/01/15 19:11:30   19:11:30      5185634                                      CommitAll                            ACT     OK        0 %
  • Firewall 经常看到断开连接Panorama(在Panorama-->被管理的设备-->总结OR系统日志)
  • 在抓包之间firewall和Panorama, 频繁TCP窗口满或者TCP零窗口从PanoramaIP.

Environment


  • PanOS 防火墙由 Panorama

Cause


  • 检查接收-Q在Panorama(或者发送-Q在Firewall) 通过运行 netstat 命令firewall有问题:
admin@LAB(primary-active)> show netstat numeric-hosts yes numeric-ports yes | match 10.129.70.112

tcp6  2479433      0 10.129.70.180:3978       10.129.70.112:49021      ESTABLISHED
  • A 高价值接收-Q方法Panorama无法像firewall正在发送。
  • Panorama 管理和日志记录都结束了吗TCP3978单通道。 这会使通道过载并导致Firewall断开连接问题。

Resolution


  • 通过配置“Log Collector Preference List”下的“Log Collector Preference List”分离管理和日志通道Panorama--> 收集器组--> 设备日志转发--> 日志转发首选项。
     

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGIYCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language