Los firewalls en la configuración Activo-Activo no sincronizan el recuento de bytes o paquetes de una sesión con el par.
7235
Created On 06/27/23 12:41 PM - Last Modified 07/07/23 02:22 AM
Symptom
El cliente tiene configurado Activo-Activo y cuando comprueba los detalles del ID de sesión en el firewall activo-principal. Ven una buena cantidad de bytes o conteo de paquetes tanto en el S2C como en el C2S.
FW01(active-primary)> show session id 1584692
Session 1584692
c2s flow:
source: 10.41.231.61 [ABC]
dst: 10.27.17.1
proto: 6
sport: 51253 dport: 3365
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
qos node: ethernet1/10, qos member N/A Qid 0
offload: Yes
s2c flow:
source: 10.27.17.1 [CDE]
dst: 10.41.231.61
proto: 6
sport: 3365 dport: 51253
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
qos node: ethernet1/9, qos member N/A Qid 0
offload: Yes
Slot : 1
DP : 0
index(local): : 1584692
start time : Tue Mar 7 08:58:49 2023
timeout : 3600 sec
time to live : 3589 sec
total byte count(c2s) : 114777 >>>>>>>>>>>>>>>>>>
total byte count(s2c) : 287531 >>>>>>>>>>>>>>>>>>>
layer7 packet count(c2s) : 293
layer7 packet count(s2c) : 604
vsys : vsys1
application : outlook-web-online
rule : Agence_ACL
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
session owner is HA A/A local device : True
session setup locally HA A/A : True
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
session terminate tunnel : False
captive portal session : False
ingress interface : ethernet1/9
egress interface : ethernet1/10
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd proc changed
end-reason : unknown
Pero cuando filtran la misma sesión en función del origen, el destino (ip y puertos), no ven estos valores poblados en el firewall activo-secundario.
FW02(active-secondary)> show session id 1332211
Session 1332211
c2s flow:
source: 10.41.231.61 [ABC]
dst: 10.27.17.1
proto: 6
sport: 51253 dport: 3365
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
s2c flow:
source: 10.27.17.1 [CDE]
dst: 10.41.231.61
proto: 6
sport: 3365 dport: 51253
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
Slot : 1
DP : 0
index(local): : 1332211
start time : Tue Mar 7 08:58:47 2023 >>>>>>>>>>>>>>>>
timeout : 3600 sec
time to live : 3569 sec
total byte count(c2s) : 0 >>>>>>>>>>>>>>>>>>>
total byte count(s2c) : 0 >>>>>>>>>>>>>>>>>>>
layer7 packet count(c2s) : 0 >>>>>>>>>>>>>>>>>>>
layer7 packet count(s2c) : 0 >>>>>>>>>>>>>>>>>>>
vsys : vsys1
application : outlook-web-online
session to be logged at end : True
session in session ager : True
session updated by HA peer : True
session owner is HA A/A local device : False
session setup locally HA A/A : False
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
session terminate tunnel : False
captive portal session : False
ingress interface : ethernet1/9
egress interface : ethernet1/10
session QoS rule : N/A (class 4)
end-reason : unknown
Environment
- Toda la versión PAN-OS
Cause
Este es un comportamiento esperado en el que no sincronizamos los bytes o el recuento de paquetes en la configuración Activo-Activo.
Estos valores se sincronizan en la configuración activo-pasivo.
Resolution
Este es el comportamiento de limitación de diseño en la configuración activo-activo.
Additional Information
Algunas veces notará que S2C y C2S solo uno tiene un valor distinto de cero en ambos firewalls. Esto podría deberse al enrutamiento asimétrico en el entorno del cliente.