如何检查接口上的逻辑错误
Resolution
逻辑接口的 SNMP 陷阱
根据 RFC 1213 MIB 将包括只有标准接口表。陷阱是只对系统的支持纳入在 MIB 中的接口组。
PAN OS 7.0支持逻辑接口.
当运行版本的PAN OS 高达 6.1.x , 你可以只发送英特尔在接口组的物理接口, 而不是为逻辑接口. 作为一种解决方法,使 netflow 来获取此信息。
对于泛型 OS 5.0 和更旧版本
要检查的特定接口上的逻辑错误 (ethernet1/3 用作示例) 键入 CLI 命令:
admin@Ironhide > 显示接口 ethernet1/3
--------------------------------------------------------------------------------
名称: ethernet1/3,ID: 18
链路状态:
运行时链接速度,双工,状态: 1000年/全/向上
配置链接速度/双工模式/状态: 1000年,自动,自动
MAC 地址:
端口 MAC 地址 b4:0 c: 25:f8:e5:12
操作模式: layer3
无标记子接口支持: 是
--------------------------------------------------------------------------------
名称: ethernet1/3,ID: 18
操作模式: layer3
虚拟路由器默认
接口 MTU 1500
接口的 IP 地址: 192.168.9.1/24
界面管理简介: allowall
平: 是 telnet: 是 ssh: 是 http: 是 https: 是的
snmp: 是响应页: 是用户 id 服务: 无
服务配置:
属于管理接口相同的子网的接口: 是
区: trust_9999、虚拟系统: vsys1
调整 TCP MSS: 没有
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
从 MAC 物理端口计数器中读取:
--------------------------------------------------------------------------------
rx 广播 0
rx-字节 1775076722
rx 多播 0
rx-单播 13635670
德克萨斯州广播 110085
德克萨斯州-字节 6992300789
德克萨斯州多播 0
德克萨斯州-单播 11299072
--------------------------------------------------------------------------------
这些都是界面计数器从数据平面开始在防火墙的时间。这些计数器可以清除数据平面的重启动只。
--------------------------------------------------------------------------------
从 CPU 读取硬件接口计数器:
--------------------------------------------------------------------------------
接收字节数 360
字节传送 0
数据包收到 6
数据包传输 0
收到错误 6
0 的数据包丢弃
--------------------------------------------------------------------------------
失败,L2 L4 解析检查会导致接收错误计数器以上递增和被丢弃的数据包,他们不传递到 CPU。最常见的情况包括无效的目标 mac、无效 vlan 标记,无效的 ip,无效的 tcp/udp 端口等等。对于上面的例子中我们可以看到,有 6 收到错误 (TCP 数据包太短),下降并不会传递给 CPU 水平并且因此在接收到数据包的逻辑接口计数器读零,如下所示。
逻辑接口读取 CPU 的计数器:
--------------------------------------------------------------------------------
接收字节数 0
字节传送 84
数据包收到 0
数据包传输 2
收到错误 0
0 的数据包丢弃
丢弃的流动状态数据包检查 0
转发错误 0
no route 0
arp 找不到 0
找不到 0 的邻居
挂起 0 邻居信息
找不到 0 的 mac
数据包路由到不同的区域 0
土地攻击 0
平的死亡攻击 0
泪滴攻击 0
ip 欺骗攻击 0
mac 欺骗攻击 0
ICMP 片段 0
2 层封装数据包 0
2 层 decapsulated 数据包 0
--------------------------------------------------------------------------------
后成功 L2 L4 解析的数据包,对数据包进行检查的进一步安全。丢弃的数据包由于安全规则,非 Syn tcp 检查和其他原因,上面的"丢弃数据包"计数器递增。
一个可以检查数据包丢弃从全局计数器的确切原因。例如,在本例中数据包在解析中突出显示原因,l2 l4 下面的全局计数器。
admin@Ironhide > 是显示计数器的全局过滤器三角洲
全局计数器:
自上次采样以来经过的时间: 1.150 秒
名称值率严重性类别方面说明
--------------------------------------------------------------------------------
pktproc 数据包接收 pkt_recv 41 35 信息数据包
pkt_recv_zero 41 35 信息包 pktproc 数据包收到 QoS 0
pkt_sent 7 6 信息包 pktproc 数据包传输
pkt_alloc 1 0 信息包资源包分配
flow_rcv_err 1 0 滴流解析数据包: 流动阶段接收错误
flow_rcv_dot1q_tag_err 5 4 滴流解析丢弃的数据包: 802.1 q 标记未配置
flow_no_interface 5 4 滴流解析数据包: 无效的接口
flow_fwd_l3_mcast_drop 11 9 降流量转发丢弃的数据包: 没有路由的 IP 多播
flow_parse_l4_hdr 1 6 滴流解析丢弃的数据包: TCP (UDP) 数据包太短
计数器可以清除与以下 CLI 命令:
> 明确对抗所有
清除所有计数器
所有者︰ panagent