Korreliert die IDMGR-Dump-ID-Nummer mit der Flow-Basic-Index Nummer?
Symptom
Resolution
Der richtige Weg, um die Sicherheitspolitik in Bezug auf den Flow-Basis Index zu bestimmen, wäre, einen Show-Running-sicherheitspolitischen Befehl auszuführen und von oben nach unten zu zählen, beginnend mit Index 0. Von dort aus können Sie den Flow-Basic-Index mit der sicherheitspolitischen Regel korrelieren.
admin @ PA-200 > Lauf-Sicherheits-Politik anzeigen | Match "\ {"
DVR_Policy {Index 0
"SSH Brute Force Test" {Index 1
vpn_allow_ 192.168.55.1 {Index 2
"Kinder strenge Regel Basis" {Index 3
"Kunde erlauben alle" {Inde x 4
"Outbound erlauben alle" { Index 5
"T-Mobile Tower" {
"Inbound Clean up" {
intrazone-Standard {
Interzone-Default {
Flow Basic Debug zeigt Traffic Match zu Index 5
= = 2016-09-11 15:48:45.817-0700 = =
Paket auf der slowpath-Bühne erhalten
Paket info: len 89 Port 17 Interface 17 Vsys 1
wqe Index 229141 Packet 0x0x80000000b7aca0c6
Decodierte Packet Dump:
L2:44:39: C4:59:8c: 38-> B4:0C: 25:4D: 19:11, Typ 0x0800
IP: 10.200.10.118-> 4.2.2.2, Protokoll 17
Version 4, IHL 5, TOS 0x00, len 75,
ID 27506, frag_off 0x0000, TTL 128, Prüfsumme 46062
UDP: Sport 54308, dport 53, len 55, Prüfsumme 49523
Session Setup: Vsys 1
PBF Lookup (Vsys 1) mit Anwendung None
Session-Setup: Eindringen-Schnittstelle Ethernet1/2 Egress-Schnittstelle Ethernet1/4 (Zone 3)
NAT Policy Lookup, abgestimmtes Regel Index 0
DoS Policy Lookup, keine Regel abgestimmt, Let PKT go
Policy Lookup, abgestimmtes Regel Index 5,<--- security=""></--->
Neue Session 40164 zugewiesen.
Paket passend Vsys 1 NAT-Regel ' SRC_NAT_ 10.200. x. x ' (Index 1),
Source Translation 10.200.10.118/54308 = > 10.0.0.5/35941
Erstellte Sitzung, Enqueue zu installieren