アクティブ/アクティブ設定のファイアウォールは、セッションのバイト数やパケット数をピアと同期しません。
7235
Created On 06/27/23 12:41 PM - Last Modified 07/07/23 02:22 AM
Symptom
お客様がアクティブ-アクティブを設定しており、アクティブ-プライマリ ファイアウォールでセッション ID の詳細を確認するとき。 S2C と C2S の両方でかなりの量のバイトまたはパケット数が表示されます。
FW01(active-primary)> show session id 1584692
Session 1584692
c2s flow:
source: 10.41.231.61 [ABC]
dst: 10.27.17.1
proto: 6
sport: 51253 dport: 3365
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
qos node: ethernet1/10, qos member N/A Qid 0
offload: Yes
s2c flow:
source: 10.27.17.1 [CDE]
dst: 10.41.231.61
proto: 6
sport: 3365 dport: 51253
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
qos node: ethernet1/9, qos member N/A Qid 0
offload: Yes
Slot : 1
DP : 0
index(local): : 1584692
start time : Tue Mar 7 08:58:49 2023
timeout : 3600 sec
time to live : 3589 sec
total byte count(c2s) : 114777 >>>>>>>>>>>>>>>>>>
total byte count(s2c) : 287531 >>>>>>>>>>>>>>>>>>>
layer7 packet count(c2s) : 293
layer7 packet count(s2c) : 604
vsys : vsys1
application : outlook-web-online
rule : Agence_ACL
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
session owner is HA A/A local device : True
session setup locally HA A/A : True
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
session terminate tunnel : False
captive portal session : False
ingress interface : ethernet1/9
egress interface : ethernet1/10
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd proc changed
end-reason : unknown
ただし、送信元、宛先 (IP およびポート) に基づいて同じセッションをフィルタリングすると、アクティブ セカンダリ ファイアウォールに設定されたこれらの値は表示されません。
FW02(active-secondary)> show session id 1332211
Session 1332211
c2s flow:
source: 10.41.231.61 [ABC]
dst: 10.27.17.1
proto: 6
sport: 51253 dport: 3365
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
s2c flow:
source: 10.27.17.1 [CDE]
dst: 10.41.231.61
proto: 6
sport: 3365 dport: 51253
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
Slot : 1
DP : 0
index(local): : 1332211
start time : Tue Mar 7 08:58:47 2023 >>>>>>>>>>>>>>>>
timeout : 3600 sec
time to live : 3569 sec
total byte count(c2s) : 0 >>>>>>>>>>>>>>>>>>>
total byte count(s2c) : 0 >>>>>>>>>>>>>>>>>>>
layer7 packet count(c2s) : 0 >>>>>>>>>>>>>>>>>>>
layer7 packet count(s2c) : 0 >>>>>>>>>>>>>>>>>>>
vsys : vsys1
application : outlook-web-online
session to be logged at end : True
session in session ager : True
session updated by HA peer : True
session owner is HA A/A local device : False
session setup locally HA A/A : False
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
session terminate tunnel : False
captive portal session : False
ingress interface : ethernet1/9
egress interface : ethernet1/10
session QoS rule : N/A (class 4)
end-reason : unknown
Environment
- すべてのPAN-OSバージョン
Cause
これは、アクティブ/アクティブ設定でバイト数やパケット数を同期しない場合の予期される動作です。
これらの値は、アクティブ/パッシブ設定で同期されます。
Resolution
これは、アクティブ/アクティブ設定における設計上の制限動作です。
Additional Information
場合によっては、両方のファイアウォールで S2C と C2S の一方だけがゼロ以外の値を持っていることに気づくことがあります。 これらは、お客様の環境における非対称ルーティングが原因である可能性があります。