Cómo comprobar los errores lógicos en una interfaz
Resolution
Capturas SNMP para interfaces lógicas
Según RFC 1213 MIB incluirá sólo la tabla de interfaz estándar. Las trampas son sólo para el sistema y se admiten grupos de interfaz que se incorporan en el MIB.
PAN-os 7,0 soporta interfaces lógicas.
Cuando se ejecutan versiones de pan-os hasta 6.1. x , se puede enviar Intel en el grupo de interfaz sólo para interfaces físicas, y no para interfaces lógicas. Como solución, habilitar netflow obtener esta información.
Para pan-os 5,0 y mayores
Para comprobar errores lógicos en una interfaz específica (ethernet1/3 se usa como ejemplo) escriba el comando de la CLI:
admin@Ironhide > Mostrar interfaz ethernet1/3
--------------------------------------------------------------------------------
Nombre: ethernet1/3, ID: 18
Estado del enlace:
Tiempo de ejecución enlace velocidad/duplex/estado: 1000/completo/up
Configurar enlace velocidad/duplex/estado: 1000/auto/auto
Dirección MAC:
Port MAC dirección b4:0 c: 25:f8:e5:12
Modo de operación: layer3
Untagged apoyo sub-interfaz: sí
--------------------------------------------------------------------------------
Nombre: ethernet1/3, ID: 18
Modo de operación: layer3
Por defecto de routers virtuales
Interfaz MTU 1500
Interfaz dirección IP: 192.168.9.1/24
Perfil de gestión de interfaz: allowall
ping: sí telnet: sí ssh: sí http: sí https: sí
SNMP: sí páginas de respuesta: sí servicio de ID de usuario: no
Servicio configurado:
Interfaz pertenecen a la misma subred que la interfaz de administración: sí
Zona: trust_9999, sistema virtual: vsys1
Ajustar el MSS de TCP: no
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Contadores de puerto físico leer desde MAC:
--------------------------------------------------------------------------------
emisión de RX 0
bytes RX 1775076722
multidifusión de RX 0
RX-unicast 13635670
TX-broadcast 110085
TX bytes 6992300789
TX-multicast 0
TX-unicast 11299072
--------------------------------------------------------------------------------
Estos son los contadores de interfaz desde el momento en el plano de datos comenzó en el firewall. Estos contadores pueden borrarse con sólo un reinicio de plano de datos.
--------------------------------------------------------------------------------
Contadores de interfaz de hardware de CPU:
--------------------------------------------------------------------------------
bytes recibidos 360
bytes transmiten 0
paquetes recibieron 6
paquetes transmiten 0
recibir errores 6
paquetes cayeron 0
--------------------------------------------------------------------------------
Paquetes que no el L2-L4 cheques análisis hará la recepción contadores de errores anteriores para incrementar y se caen, no se pasan al CPU. Casos más comunes incluyen el mac de destino no válida, etiqueta de vlan no válido, ip no válido, inválido puerto tcp/udp y así sucesivamente. Para el ejemplo anterior podemos ver que hay 6 recibir errores (paquete TCP demasiado corto), que se cayó y no pasa al nivel de CPU y el paquete recibido en la lectura los contadores de interfaz lógica cero como se muestra a continuación.
Contadores de interfaz lógica de la CPU:
--------------------------------------------------------------------------------
bytes recibidos 0
bytes transmiten 84
paquetes recibieron 0
paquetes de transmisión 2
recibir errores 0
paquetes cayeron 0
por estado de flujo de paquetes comprobar 0
reenvío de errores 0
no route 0
ARP no encontrado 0
vecino no encontrado 0
información de vecino pendiente 0
Mac no encontrado 0
paquetes que se envían a otra zona 0
ataques de tierra 0
ataques de ping de la muerte 0
ataques de gota 0
IP spoof ataques 0
ataques de spoof Mac 0
Fragmento ICMP 0
2 encapsulado de paquetes 0
2 paquetes de decapsulated 0
--------------------------------------------------------------------------------
Después de éxito análisis de L2-L4 de paquetes, seguridad más controles se realizan en el paquete. Paquetes cayeron debido a las reglas de seguridad, no Syn tcp comprueba y otras razones hará que los contadores de "paquete descarta" arriba se incrementa.
Uno puede comprobar la razón exacta de la caída de paquetes de contadores globales. Por ejemplo, se colocan los paquetes en este ejemplo en l2-l4 análisis motivo destacado en la debajo de contadores globales.
admin@Ironhide > Mostrar delta del contador global filtro sí
Contadores globales:
Tiempo transcurrido desde el último muestreo: 1,150 segundos
nombre valor tasa severidad categoría aspecto Descripción
--------------------------------------------------------------------------------
paquete de información 35 pkt_recv 41 pktproc paquetes recibidos
pkt_recv_zero 41 35 paquetes de información recibieron pktproc paquetes de QoS 0
pkt_sent 6 7 información paquete pktproc paquetes transmitidos
recurso de pkt_alloc 1 0 info Paquete paquetes asignados
Análisis de flujo de flow_rcv_err 1 gota 0 paquetes caído: etapa de flujo aparece error
flow_rcv_dot1q_tag_err 5 4 gota flujo analizar paquetes caídos: 802.1q etiqueta no configurado
Análisis de flujo de gota flow_no_interface 4 5 paquetes caído: interfaz no válida
flow_fwd_l3_mcast_drop 11 9 gota flujo reenviar paquetes caídos: no hay ruta de multidifusión IP
flow_parse_l4_hdr 1 gota 6 flujo analizar paquetes caídos: paquete TCP (UDP) demasiado corto
Los contadores se pueden borrar con la siguiente orden CLI:
> clara contra todo
Borrados todos los contadores
Propietario: panagent