帕洛阿尔托网络防火墙有几个守护进程, 它在 dataplane 上以侦听或活动模式运行, 并为网络连接的主机或用户提供不同的服务。要验证某些进程是否正常运行, 收集数据包捕获是确保接收和响应请求的一种万无一失的方法。
而不是设置 "数据包诊断" 完整的数据包捕获, 可能捕获太多的数据, 并且需要通过大量的包过滤来获取有趣的信息, 守护程序可以设置为在其自己的进程. 这将允许管理员简单地查看单个守护进程正在处理哪些数据包。
以下命令处理特定的守护程序并启用其数据包捕获功能:
用于验证 URL 筛选的云查找的设备服务器
>> 调试设备-服务器 pcap 上的
DHCP 守护进程
> 上调试 dhcpd pcap
GlobalProtect、卫星或站点到站点 VPN 的 IKE 管理器, 阶段1协商
>> 调试 ike pcap 上的
链路层发现协议, 2 层控制守护进程
>> 调试 l2ctrld lldp pcap 上的
被俘虏的门户
>> 调试 l3svc pcap 上的
PPPoE 守护进程
>> 调试 pppoed pcap 上的
路由引擎可以根据协议收集数据包捕获, 或者所有
>> 调试路由 pcap
>> 所有的 bgp >-
ospf
ospfv3
>
pcap 命令附带了几个选项:
>> 删除收集的 pcap 文件
关闭禁用数据包捕获
>> 显示显示收集的数据包捕获文件列表
>> 视图显示当前活动的数据包捕获, 如果守护进程设置为 "on", 则为/c2>
或者, 可以通过视图 pcap 命令列出和查看所有可用的调试数据包捕获:
admin@myNGFW > 查看-pcap 调试-pcap
dhcp-vr-0. pcap. 管 ds-url-满足要求-0. pcap ds-url-满足要求-vr-0. pcap. ikemgr. 的 dhcp-vr-0. pcap
pcap > 查看-admin@myNGFW 调试-pcap dhcp-vr-0. pcap
10:54:26.446461 IP 0.0.0.0.bootpc >255.255.255.255.bootps: BOOTP/DHCP, 请求从 00:0c: 29:5a: 9 e: 1 b (不知道), 长度: 300
10:54:27.452142 IP 192.168.0. 241.6700-127.130.1. kti-icad-srvr: UDP, 长度 240
还可以通过 SCP 或 TFTP 导出数据包捕获, 以便可以通过 wireshark 查看它们。
>> scp 导出调试-pcap从 dhcp-vr-0. pcap 到 admin@10.0 0.1:/pcaps/
比如了解数据包捕获以排除守护程序故障?大拇指在下面?
谢谢你 !