Comment faire pour vérifier les erreurs logiques sur une Interface
Resolution
Interruptions SNMP pour interfaces logiques
Selon RFC 1213 la MIB comprendra uniquement les table interface standard. Les pièges ne sont que pour le système et les groupes d’interface qui sont incorporées dans la MIB sont pris en charge.
Pan-OS 7,0 prend en charge les interfaces logiques.
Lors de l'exécution de versions de Pan-OS jusqu'à 6.1. x , vous pouvez envoyer Intel sur le groupe d'interface pour les interfaces physiques uniquement, et non pour les interfaces logiques. En guise de solution, activez netflow obtenir ces informations.
Pour Pan-OS 5,0 et plus
Pour vérifier les erreurs logiques sur une interface spécifique (ethernet1/3 est utilisée à titre d’exemple) tapez la commande CLI :
admin@Ironhide > show interface ethernet1/3
--------------------------------------------------------------------------------
Nom : ethernet1/3, ID : 18
État de la liaison :
Duree lien vitesse/duplex/État : 1000/complet/vers le haut
Vitesse/duplex/état de la liaison de configuré : 1000/auto/auto
Adresse MAC :
Port MAC adresse b4:0 c : 25:f8:e5:12
Mode de fonctionnement : Layer 3
Untagged soutien sous-interface : Oui
--------------------------------------------------------------------------------
Nom : ethernet1/3, ID : 18
Mode de fonctionnement : Layer 3
Valeur par défaut du routeur virtuel
Interface MTU 1500
Adresse IP de l’interface : 192.168.9.1/24
Profil de gestion de l’interface : AutoriserTout
ping : Oui telnet : Oui ssh : Oui http : Oui https : Oui
SNMP : Oui réponse-pages : Oui userid-service : aucune
Le service est configuré :
Interface appartiennent au même sous-réseau que l’interface de gestion : Oui
Zone : trust_9999, système virtuel : vsys1
Ajuster un segment TCP MSS : aucun
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Compteurs de port physique lire de MAC :
--------------------------------------------------------------------------------
RX-diffusion 0
RX-octets 1775076722
RX-multicast 0
RX-monodiffusion 13635670
TX-diffusion 110085
TX-octets 6992300789
TX-multicast 0
TX-monodiffusion 11299072
--------------------------------------------------------------------------------
Ce sont les compteurs interface partir du moment où le plan données démarré sur le pare-feu. Ces compteurs peuvent être éliminés avec un redémarrage de données-avion seulement.
--------------------------------------------------------------------------------
Compteurs d’interface matériel lire de CPU :
--------------------------------------------------------------------------------
octets reçus 360
octets transmis 0
paquets reçus 6
les paquets transmis 0
Recevez des erreurs 6
paquets supprimés 0
--------------------------------------------------------------------------------
Paquets qui échouent la L2-L4 analyse contrôles entraînera la réception ci-dessus pour incrémenter les compteurs erreurs et sont supprimés, ils ne sont pas passés à CPU. Plupart des cas courants incluent mac de destination non valide, invalide vlan tag, invalid ip, port tcp/udp non valide et ainsi de suite. Pour l’exemple ci-dessus, nous pouvons voir qu’il y a 6 recevez des erreurs (paquet TCP trop court), qui sont tombés et pas passés au niveau CPU et donc le paquet reçu à le les compteurs interface logique est la lecture de zéro comme indiqué ci-dessous.
Compteurs de l’interface logique lire de CPU :
--------------------------------------------------------------------------------
octets reçus 0
octets transmis 84
paquets reçus 0
les paquets transmis 2
Recevez des erreurs 0
paquets supprimés 0
abandonné par l’état de flux de paquets vérifier 0
Erreurs de transmission 0
no route 0
ARP introuvable 0
voisin introuvable 0
info de voisin dans l’attente de 0
Mac ne pas trouvé 0
paquets routés vers différentes zones 0
attaques de terre 0
attaques de ping de la mort 0
attaques de goutte 0
attaques d’usurpation IP 0
attaques de parodie Mac 0
Fragment de l’ICMP 0
Layer2 encapsulé paquets 0
Layer2 décapsulés paquets 0
--------------------------------------------------------------------------------
Après analyse L2-L4 réussie du paquet, sécurité supplémentaire des contrôles sont effectués sur le paquet. Paquets supprimés en raison de règles de sécurité, Non-Syn tcp vérifie et autres raisons causera les compteurs « paquet abandonné » ci-dessus incrémenter.
On peut vérifier la raison exacte de la chute de paquets des compteurs globaux. Par exemple, les paquets dans cet exemple sont rejetés à la l2-l4 l’analyse en raison de la raison en surbrillance dans le dessous de compteurs globaux.
admin@Ironhide > montrer delta filtre global compteur Oui
Compteurs globaux :
Temps écoulé depuis le dernier prélèvement : 1,150 secondes
nom valeur taux gravité catégorie aspect description
--------------------------------------------------------------------------------
pkt_recv 41 35 paquet info pktproc paquets reçus
pkt_recv_zero 41 35 paquet info pktproc paquets reçus de QoS 0
pkt_sent 7 6 info packet pktproc paquets transmis
pkt_alloc 1 0 info paquet ressource paquets affectée
analyse de flux flow_rcv_err 1 goutte 0 paquets supprimés : stade de débit erreur
flow_rcv_dot1q_tag_err 5 goutte 4 flux parse les paquets a chuté : 802. 1 q tag non configuré
analyse de flux goutte flow_no_interface 5 4 paquets supprimés : interface non valide
flow_fwd_l3_mcast_drop goutte 11 9 flux transmettre des paquets a chuté : aucun chemin de routage de multidiffusion IP
flow_parse_l4_hdr 1 goutte 6 flux parse les paquets a chuté : paquet de TCP (UDP) trop courte
Les compteurs peuvent être éliminés avec la commande CLI suivante :
> clairement contrer tous
Tous les compteurs effacés
propriétaire : panagent