IDMGR ダンプ ID 番号はフロー基本インデックス番号と相関していますか?
Symptom
兆候
ポリシーがセキュリティポリシーと NAT ポリシーの両方に対して正しいことを確認した後、ネットワークトラフィックが予期されたセキュリティポリシーを使用していないことがわかります。トラフィックは予期されるセキュリティポリシーを使用していないため、不適切なポリシーによって許可または拒否されています。
注意すべき重要なことは、[アプリケーション] タブでセキュリティポリシーを構成し、サービスを [アプリケーションの既定] に設定している場合、アプリケーションで標準以外のポートが使用されている場合は、セキュリティポリシーと一致しない可能性があります。
例
トラブルシューティングを行う SSH アプリケーションがポート22以外のポートを使用している場合、目的のセキュリティポリシーがヒットせず、アプリケーションが別のセキュリティポリシーによってブロックされる可能性があります。アプリケーション既定では、アプリケーションに起因する標準ポートの使用が強制されます。
Resolution
フロー基本インデックスに関連してセキュリティポリシーを決定する適切な方法は、[セキュリティポリシーを実行する] コマンドを実行して、インデックス0から始まるトップダウンからカウントすることです。そこから、フロー基本インデックスとセキュリティポリシールールを関連付けることができます。
管理者 @ PA-200 > 表示実行中のセキュリティ-ポリシー |一致 "\ {"
DVR_Policy {インデックス 0
"SSH ブルートフォーステスト" {インデックス 1
vpn_allow_ 192.168.55.1 {インデックス 2
"キッズ厳格なルールベース" {インデックス 3
"お客様が許可するすべての" {index 4
"送信を許可するすべての" {インデックス 5
"T-モバイルタワー" {
"インバウンドクリーンアップ" {
intrazone-デフォルト {
interzone -デフォルト {
フロー基本デバッグは、インデックス5へのトラフィックの一致を示します
= = 2016-09-11 15:48: 45.817-0700 = =
slowpath ステージで受信したパケット
パケット情報: len 89 ポート17インターフェイス 17 vsys 1
wqe インデックス229141パケット0x0x80000000b7aca0c6
パケットのデコードされたダンプ:
L2:44:39: c4:59: 8c:38-> b4: 0c:25: 4d:19:11、タイプ0x0800
IP アドレス: 10.200.10.118-> 4.2.2.2、プロトコル17
バージョン4、ihl 5、tos 0x00、len 75、
id 27506、frag_off 0x0000、ttl 128、チェックサム46062
UDP: スポーツ54308、dport 53、レン55、チェックサム49523
セッションのセットアップ: vsys 1
PBF ルックアップ (vsys 1) アプリケーションなし
セッション設定: 進入インタフェース ethernet1/2 出力インタフェース ethernet1/4 (ゾーン 3)
NAT ポリシールックアップ、一致したルールインデックス0
DoS ポリシールックアップ、ルールが一致していない、pkt を手放す
ポリシールックアップ、一致したルールインデックス5、<--- security=""></--->
割り当てられた新しいセッション40164。
パケットマッチ vsys 1 NAT ルール ' src_nat_ 10.200 ' (インデックス 1),
ソース翻訳 10.200.10.118/54308 = > 10.0.0.5/35941
作成されたセッション, インストールするエンキュー