Gewusst wie: Überprüfen auf logische Fehler an einer Schnittstelle
Resolution
SNMP-Traps für logische Schnittstellen
Nach RFC 1213 wird die MIB nur standard-Schnittstelle-Tabelle enthalten. Die fallen sind nur für das System und Schnittstelle, die in der MIB einfließen werden unterstützt.
PAN-OS 7,0 unterstützt logische Schnittstellen.
Wenn Sie Versionen von Pan-OS bis 6.1. x ausführen , können Sie Intel nur für physikalische Schnittstellen und nicht für logische Schnittstellen in die Interface-Gruppe schicken. Um das Problem zu umgehen aktivieren Sie Netflow zum Abrufen dieser Informationen.
Für Pan-OS 5,0 und älter
Für logische Fehler auf eine bestimmte Schnittstelle zu überprüfen (ethernet1/3 wird als Beispiel verwendet) geben Sie den CLI-Befehl:
Admin@Ironhide > Show interface ethernet1/3
--------------------------------------------------------------------------------
Name: ethernet1/3, ID: 18
Link-Status:
Common Language Runtime link Geschwindigkeit/Duplex/Bundesland: 1000/voll/Up
Geschwindigkeit/Duplex/Verbindungsstatus konfiguriert: 1000/Auto/Auto
MAC-Adresse:
Port-MAC-Adresse-B4:0-c: 25:f8:e5:12
Betriebsart: layer3
Untagged Sub Schnittstelle Unterstützung: Ja
--------------------------------------------------------------------------------
Name: ethernet1/3, ID: 18
Betriebsart: layer3
Virtuelle Router Standard
MTU 1500-Schnittstelle
Schnittstelle IP-Adresse: 192.168.9.1/24
Management-Profil-Schnittstelle: Allowall
Ping: Telnet ja: Ja ssh: Ja http: Ja Https: Ja
SNMP: Ja-Antwort-Seiten: Ja, Benutzer-ID-Dienst: keine
Dienst so konfiguriert:
Schnittstelle gehören zu demselben Subnetz als Management-Schnittstelle: Ja
Zone: trust_9999, virtuelles System: vsys1
Anpassen der TCP-MSS: keine
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Physischen Anschluss Zähler lesen von MAC:
--------------------------------------------------------------------------------
RX-Broadcast-0
RX-Byte 1775076722
RX-Multicast-0
RX-Unicast 13635670
TX-Sendung 110085
TX-Byte 6992300789
TX-Multicast-0
TX-Unicast 11299072
--------------------------------------------------------------------------------
Diese sind die Schnittstelle Zähler aus der Zeit der Datenebene auf die Firewall gestartet. Diese Indikatoren können mit nur einer Datenebene Neustart gelöscht werden.
--------------------------------------------------------------------------------
Hardware-Schnittstelle-Zähler aus CPU auslesen:
--------------------------------------------------------------------------------
Bytes empfangen 360
Byte übertragen 0
Pakete empfangen 6
-Pakete übertragen 0
Fehler 6
-Pakete gelöscht 0
--------------------------------------------------------------------------------
Pakete, die die L2-L4 nicht Parse Kontrollen bewirkt die Receive Fehler Zähler inkrementieren oben und fallen, werden sie nicht an CPU übergeben. Häufigsten Fällen gehören Ungültiges Ziel Mac, ungültige Vlan-Tag, ungültige Ip, ungültige Tcp/Udp-Port und So weiter. Für das obige Beispiel wir sehen können, dass es gibt 6 Fehlermeldungen (TCP-Paket zu kurz), die gelöscht und nicht an der CPU-Ebene übergeben und somit das Paket empfangen, bei der die logische Schnittstelle Zähler liest Null, wie unten dargestellt.
Logische Schnittstelle Zähler aus CPU auslesen:
--------------------------------------------------------------------------------
Bytes empfangen 0
Bytes übertragen 84
Pakete empfangen 0
-Pakete übertragen 2
Fehler 0
-Pakete gelöscht 0
Pakete, Gedroppt von Flow-Zustand überprüfen 0
Spedition-Fehler 0
no route 0
ARP nicht gefunden 0
Nachbar nicht gefunden 0
Nachbar-Info bis 0
Mac nicht gefunden 0
Pakete an andere Zone 0 weitergeleitet
Land-Angriffe 0
Ping-of-Death-Angriffe 0
Teardrop Angriffe 0
IP-Spoofing-Angriffe 0
MAC-Spoofing-Angriffe 0
ICMP-Fragment 0
Layer2 gekapselt Pakete 0
Layer2 Decapsulated Pakete 0
--------------------------------------------------------------------------------
Nach dem erfolgreichen L2-L4 Parsen des Pakets, weitere Sicherheit, die Kontrollen auf der Packung fertig sind. -Pakete gelöscht aufgrund von Sicherheitsvorschriften, Non-Syn Tcp prüft und anderen Gründen werden dazu führen, dass die oben genannten "Paket verworfen" Zähler inkrementieren.
Man kann den genauen Grund für den Paket-Tropfen aus der globalen Zähler prüfen. Beispielsweise fallen die Pakete in diesem Beispiel auf die l2-l4-Analyse aufgrund der hervorgehobenen Grund in die unter globale Zähler.
Admin@Ironhide > Zähler globale Filter Delta ja zeigen
Globale Zähler:
Verstrichene Zeit seit der letzten Probenahme: 1,150 Sekunden
Name Wert schwere Kategorie Aspekt Beschreibung
--------------------------------------------------------------------------------
Pkt_recv 41 35 Info-Paket empfangen Pktproc Pakete
Pkt_recv_zero 41 35 Info-Paket empfangen Pktproc Pakete von QoS 0
Pkt_sent 7 6 Info-Paket Pktproc übertragen Pakete
Pkt_alloc 1-0 Info-Paket-Ressource zugeordnet Pakete
Flow_rcv_err 1 0 Tropfen fließen Parse Pakete verworfen: Fluss Bühne Fehlermeldung
flow_rcv_dot1q_tag_err 5 4 Tropfen fließen analysieren Pakete gelöscht: 802.1q Tag nicht konfiguriert
Flow_no_interface 5 4 Tropfen fließen Parse Pakete verworfen: ungültige Schnittstelle
flow_fwd_l3_mcast_drop 11 9 Tropfen fließen Pakete fiel weiterleiten: keine Route für IP-Multicast
flow_parse_l4_hdr 1 6 Tropfen fließen analysieren Pakete gelöscht: TCP (UDP)-Paket zu kurz
Zähler können mit den folgenden CLI-Befehl gelöscht werden:
> klar gegen alle
Alle Zähler gelöscht
Besitzer: Panagent