如何通过 CLI 使用计数器进行疑难解答
Resolution
计数器是对 PA 防火墙上的进程、数据包流和会话的一组非常有用的指示器。它们是解决各种情况的 extermely 功能强大的工具。
丢弃的数据包疑难解答
以下是对可疑数据包丢弃方案进行疑难解答的非常有效的命令。丢弃数据包的原因可以帮助缩小问题的范围。
> 显示计数器的全局过滤器严重下降
全局计数器:
上次取样后的运行时间: 34.999 秒
名称值率严重性类别方面说明
--------------------------------------------------------------------------------
flow_rcv_err 98 0 下降流分析数据包丢弃: 流级接收错误
flow_rcv_dot1q_tag_err 1 0 丢弃流分析数据包丢弃: 802.1q 标记未配置
flow_no_interface 263 0 丢弃流分析数据包丢失: 接口无效
flow_ipv6_disabled 30622 0 丢弃流分析数据包: 在接口上禁用 IPv6
flow_policy_nat_land 6732 0 滴流会话会话设置: 源 nat IP 分配结果的土地攻击
flow_fwd_l3_mcast_drop 2756 0 丢弃流转发数据包: 没有 IP 多播路由
flow_fwd_l3_ttl_zero 4 0 丢弃的流转发数据包: IP ttl 达到零
flow_fwd_l3_noroute 5 0 丢弃的流转发数据包: 无路由
flow_fwd_l3_noarp 1 0 丢弃的流转发数据包: 无 ARP
flow_action_reset 1 0 下降流 pktproc TCP 客户端通过响应 RST 重置
flow_arp_rcv_err 162 0 下降流 arp arp 接收错误
flow_host_decap_err 412 0 下降流管理数据包丢弃: 控制平面的封装错误
flow_host_service_deny 153865 0 丢弃流管理设备控制会话被拒绝
flow_host_service_unknown 2762 0 下降流管理会话已丢弃: 控制平面的未知应用
flow_tunnel_encap_err 33 0 滴流隧道包丢弃: 隧道封装错误
appid_lookup_invalid_flow 1 0 下降 appid pktproc 数据包已丢弃: 会话状态无效
proxy_offload_check_err 1030 0 丢弃代理 pktproc 由于没有 SYN 或没有证书, 数字卸载代理安装检查失败
url_request_pkt_drop 204 0 丢弃 url pktproc 由于等待 url 类别请求而丢弃的数据包数
--------------------------------------------------------------------------------
显示的计数器总数:18
--------------------------------------------------------------------------------
上面的命令可以与增量选项一起使用, 允许查看自上次发出命令以来丢弃的数据包。
> 显示计数器的全局过滤器三角洲是严重下降
全局计数器:
上次取样后的运行时间: 55.446 秒
名称值率严重性类别方面说明
--------------------------------------------------------------------------------
flow_ipv6_disabled 3 0 丢弃流分析数据包: 在接口上禁用 IPv6
flow_fwd_l3_mcast_drop 2 0 丢弃流转发数据包: 没有 IP 多播路由
flow_host_service_deny 26 0 丢弃流管理设备控制会话被拒绝
flow_host_service_unknown 2 0 下降流管理会话已丢弃: 控制平面的未知应用
--------------------------------------------------------------------------------
显示的计数器总数: 4
--------------------------------------------------------------------------------
除了严重性下降之外, 还有其他各种严重性, 此命令可用于基于该方案。一些例子是: 错误、信息和警告。
管理服务器统计疑难解答
计数器可用于查看管理服务器统计信息 (写入到分配给每个管理服务器进程的触发器计数器的日志数)。
当怀疑需要 RMA 更换的硬件问题时, 此命令非常有用。
>> 显示计数器管理-服务器
日志操作未采取: 0
由于未记录而丢弃的日志: 0
从 AD 读取的用户信息: 2
证书信息已读: 0
从更新服务器获取的许可证信息: 0
Sighash refcount: 1
Tunnelhash refcount: 1
URLcat refcount: 1
ip2loc refcount: 1
管理接口统计信息
管理界面还有可以帮助解决连接故障的统计信息。
>> 显示计数器接口管理
接口: 管理界面
-------------------------------------------------------------------------------
逻辑接口的计数器:
-------------------------------------------------------------------------------
收到的字节505700037
传输的字节295080711
收到的数据包772181
传输的数据包874087
收到错误 0
传输错误 0
收到的数据包丢弃 0
传输的数据包丢弃 0
多址广播的数据包收到 0
-------------------------------------------------------------------------------
数据平面接口统计
"显示计数器界面" 命令还可用于显示任何端口的统计信息。
>> 显示计数器接口隧道. 51
接口: 隧道51
--------------------------------------------------------------------------------
逻辑接口读取 CPU 的计数器:
--------------------------------------------------------------------------------
收到的字节0
字节传送 0
收到的数据包0
数据包传输 0
收到错误 0
0 的数据包丢弃
丢弃的流动状态数据包检查 0
转发错误 0
无路线0
arp 找不到 0
邻居找不到0
挂起 0 邻居信息
找不到 0 的 mac
路由到不同区域的数据包0
土地攻击0
平的死亡攻击 0
泪珠攻击0
ip 欺骗攻击0
mac 欺骗攻击 0
ICMP 片段 0
2 层封装数据包 0
2 层 decapsulated 数据包 0
--------------------------------------------------------------------------------
2层连接疑难解答
在使用全局计数器的 arp 方面, 通过以下命令, 可以在接收到的 arp 项的不规则性的情况下处理第二层疑难解答:
>> 显示计数器全局筛选器方面 arp
全局计数器:
上次取样后的运行时间: 8.330 秒
名称值率严重性类别方面说明
--------------------------------------------------------------------------------
flow_arp_pkt_rcv 42685 0 信息流 arp arp 数据包收到
flow_arp_pkt_xmt 1875 0 信息流 arp arp 数据包传输
flow_arp_pkt_replied 6995 0 信息流 arp arp 请求回复
flow_arp_pkt_learned 17 0 信息流 arp arp 入门知识
flow_arp_rcv_gratuitous 494 0 信息流 arp 无偿的 arp 包收到
flow_arp_rcv_err 162 0 下降流 arp arp 接收错误
flow_arp_resolve_xmt 1843 0 信息流 arp arp 解析数据包传输
--------------------------------------------------------------------------------
显示的计数器总数: 7
其他有用的统计数据
各种其他计数器在故障排除时很有用, 下面是几个示例
anatrajan@PAN_WICH_52> 显示计数器全局名称
aho_alloc_lookup_failed 警告未能分配 regex 查找
aho_fpga 信息对 fpga 的总请求对阿霍
从 fpga 获取结果时 aho_fpga_invalid_wqe 错误, wqe 索引无效
由 unexecpted 类型引起的 fpga aho_fpga_ret_error 错误下降结果
aho_fpga_ret_invalid_fid 错误, 由于无效的流 id 导致 fpga 的结果丢失
aho_fpga_ret_length_error 错误, 由于 fpga 的短长度导致的结果
多缓冲区 aho_fpga_ret_multi_bufs 信息阿霍 fpga 结果
由于无效偏移而导致的 fpga 结果 aho_fpga_ret_offset_error 错误
aho_fpga_ret_wrong_size 错误的数据包大小导致的 fpga 结果丢失
aho_fpga_state_verify_failed 信息当从 fpga 获得结果时, 会话状态被更改
aho_fpga_unmatched_type 在从 fpga 获取结果时出错, 类型在会话中未匹配
aho_fpga_unmatched_wqe 在从 fpga 获得结果时发出警告, wqe 在会话中未匹配
aho_match_overflow 阿霍匹配溢出的信息数
aho_sw 信息阿霍软件的总使用情况
aho_sw_fpga_fail 警告阿霍由于发送 fpga 请求失败而导致的软件的使用
aho_sw_fpga_full 信息利用 fpga 请求阈值引起的软件阿霍
aho_sw_fpga_unavailable 警告使用 fpga 导致的软件阿霍不可用
aho_too_many_matches 信息在一个包内的签名匹配太多
aho_too_many_mid_res 信息太多签名中间结果在一个包中
appid_dfa_invalid_result 错误 appid 的无效 dfa 结果
appid_exceed_pkt_limit 警告 由于队列 packe 总数的限制导致标识失败
appid_exceed_queue_limit 警告 由于会话排队 pac 的限制导致标识失败
appid_exceed_queue_limit_post 警告 由于会话排队 pac 的限制导致标识失败
appid_fini_with_wqe_2_fpga 信息会话以 fpga 结尾 wqe
appid_flow_state_fail 信息会话状态已更改
appid_ident_by_cache 信息应用程序由缓存标识
appid_ident_by_dport 信息应用 L4 dport 识别
appid_ident_by_dport_first 信息应用程序由 L4 dport 第一个标识
appid_ident_by_heuristics 信息应用启发式识别
由 icmp 类型标识的 appid_ident_by_icmp 信息应用程序
ip 协议识别的 appid_ident_by_ip 信息应用程序
appid_ident_by_sport 信息应用 L4 运动鉴定
appid_ident_by_sport_first 信息应用由 L4 体育首先确定
appid_ident_by_supernode 信息应用程序超级节点识别
appid_lookup_invalid_flow 丢弃的数据包: 会话状态无效
appid_match_overflow 信息 dfa 匹配溢出
appid_no_policy 错误 由于没有策略, 标识失败
appid_override 信息应用程序由重写规则标识
appid_proc 信息应用程序标识处理的数据包数
appid_reset_sess_tcp_reass 错误重置叶子在 tcp 重组失败
appid_result_id_changed 信息会话的 appid 状态已更改
appid_result_no_policy 信息会话的策略在 appid 过程中发生了更改
appid_skip_terminal 信息的 dfa 结果是终端
appid_ssl_no_cert_no_reset 信息 ssl 会话, 服务器证书未知但以前未重置
appid_stop_by_ager 信息应用程序识别被会话终止
appid_stop_by_ager_nopkts 信息无法停止 appid, 因为没有数据包排队
appid_unknown_by_stop 信息由于被停止的未知应用程序的数量
所有者: anatrajan