インタ フェースの論理エラーをチェックする方法
Resolution
論理インタ フェースの SNMP トラップ
に従って RFC 1213 MIB 標準インタ フェースのテーブルのみが含まれます。トラップは、システムのみ、MIB に組み込まれているインタ フェース グループがサポートされます。
PAN-OS 7.0は、論理インターフェイスをサポートします。
OS のバージョンを 6.1. x まで実行する場合は、論理インタフェースではなく、物理インタフェースのインタフェースグループでインテルを送信することができます。 この問題を回避するには、この情報を取得する netflow を有効にします。
PAN-OS 5.0 およびそれ以上 の場合
特定のインターフェイスで論理エラーをチェックする (ethernet1/3 は例として使用) CLI コマンドを入力します。
admin@Ironhide > 表示インターフェイス ethernet1/3
--------------------------------------------------------------------------------
名前: ethernet1/3、ID: 18
リンクの状態:
ランタイム リンク速度/二重/状態: 1000/フル/上
リンク速度/二重/状態を構成: 1000/オート/オート
MAC アドレス:
ポート MAC アドレス b4:0 c: 25:f8:e5:12
操作モード: レイヤー 3
サブインタ フェース サポートをタグなし: はい
--------------------------------------------------------------------------------
名前: ethernet1/3、ID: 18
操作モード: レイヤー 3
仮想ルータのデフォルト
インターフェイスの MTU 1500
インターフェイスの IP アドレス: 192.168.9.1/24
管理プロファイルをインターフェイス: すべて許可が次
ping: はい、telnet: はい ssh: はい http: はい、https: はい
snmp: はい応答ページ: はい、ユーザー id サービス: なし
サービスの構成。
インターフェイスは、管理インターフェイスと同じサブネットに属している: はい
ゾーン: trust_9999、仮想システム: vsys1
TCP の MSS を調整する: いいえ
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
MAC から物理ポート カウンターを読み取る。
--------------------------------------------------------------------------------
rx 放送 0
rx バイト 1775076722
rx マルチキャスト 0
rx ユニキャスト 13635670
テキサス州放送 110085
テキサス バイト 6992300789
テキサス州マルチキャスト 0
テキサス州ユニキャスト 11299072
--------------------------------------------------------------------------------
これらは、データ プレーンのファイアウォールの開始時からインターフェイスのカウンターです。これらのカウンターは、データ プレーンの再起動だけでクリアできます。
--------------------------------------------------------------------------------
ハードウェア インターフェイスのカウンターは、CPU から読み取る。
--------------------------------------------------------------------------------
360 の受信バイト数
バイト送信 0
パケット受信 6
パケット送信 0
エラー 6
パケット 0
--------------------------------------------------------------------------------
パケット解析チェック、受信エラー カウンターをインクリメントするために上記の原因となります、破棄された L2 L4 に失敗した、彼らは CPU には渡されません。最も一般的な例には、無効な宛先 mac、無効な vlan タグ無効な ip、tcp/udp ポートが無効ですなどが含まれます。私たちはあることを見ることができる上記の例 6 受信エラー (TCP パケットが短すぎます)、削除され、CPU レベルに渡されません、したがってパケット受信、下図のように論理インターフェイスのカウンターがゼロを読んでいます。
論理インターフェイスのカウンターは、CPU から読み取る。
--------------------------------------------------------------------------------
0 の受信バイト数
転送バイト 84
パケット受信 0
パケット送信 2
エラー 0
パケット 0
フロー状態によってドロップされたパケット数確認 0
転送エラー 0
no route 0
arp 0 が見つかりません
隣人 0 が見つかりません
保留中の 0 近隣情報
mac 0 が見つかりません
別のゾーン 0 にルーティング パケット
土地攻撃 0
死の ping 攻撃 0
ティア ドロップ攻撃 0
ip スプーフィング攻撃 0
mac 偽装攻撃 0
ICMP フラグメント 0
カプセル化されたレイヤー 2 パケット 0
レイヤー 2 カプセル化解除されるパケット 0
--------------------------------------------------------------------------------
後、パケット、パケットのチェックが行われるさらにセキュリティの L2 L4 解析に成功しました。パケットはセキュリティ ルールのため非 Syn tcp 確認し、他の理由は、上記の「パケットがドロップされた」カウンターをインクリメントする原因となります。
1 つは、グローバル カウンターからのパケットのドロップの正確な理由を確認できます。L2-l4 で強調表示されている理由のための解析でこの例ではパケットを破棄するなど、グローバル カウンターの下。
admin@Ironhide > 表示カウンター グローバル フィルター デルタ、はい
グローバルのカウンター:
最後のサンプリングからの経過時間: 1.150 秒
名前値率重大度カテゴリの側面の説明
--------------------------------------------------------------------------------
pkt_recv 41 35 情報パケット pktproc パケットを受信
pkt_recv_zero 41 35 情報パケット QoS 0 から pktproc パケットの受信
pkt_sent 7 6 情報パケット pktproc パケットを送信
pkt_alloc 1 0 情報パケット リソース パケットの割り当てください。
flow_rcv_err 1 0 ドロップ フロー解析パケット: 流期エラーが表示されます。
flow_rcv_dot1q_tag_err 5 4 ドロップ フロー解析パケットをドロップ: 802.1 q タグの構成されていません
flow_no_interface 5 4 ドロップ フロー解析パケット: 無効なインタ フェース
flow_fwd_l3_mcast_drop 11 9 ドロップ フロー転送パケットをドロップ: IP マルチキャスト用のルートがありません
flow_parse_l4_hdr 1 6 ドロップ フロー解析パケットをドロップ: TCP (UDP) パケットが短すぎます
カウンターは、次の CLI コマンドをクリアできます。
> クリアすべてのカウンター
オフにするとすべてのカウンター
所有者: panagent