Paket-Capture-Filter, der den im Match Filter definierten Verkehr nicht erfasst

Paket-Capture-Filter, der den im Match Filter definierten Verkehr nicht erfasst

25500
Created On 09/26/18 13:51 PM - Last Modified 06/08/23 21:36 PM


Resolution


Problem

Der Paket Aufzeichnungs Filter erfasst den im Match Filter definierten Traffic nicht.

Lösung

Verwenden Sie diesen Befehl, Debug dataplane Paket-Diag Set Filter, um bestimmte IP-Adressen zu konfigurieren, um zu erfassen.

Bei der Einstellung von Match-Filtern für dataplane-Debug, wenn NAT-Regeln involviert sind, kann das Pre-Parse-Match benötigt werden.

Zum Beispiel:

> Debug-dataplane-Paket-Diag-Set-Filter Pre-Parse-Match ja


Die Option Pre-Parse Match wird für fortgeschrittene Fehlerbehebungen hinzugefügt. Nachdem ein Paket in den Eindringen-Port gelangt ist, geht es durch mehrere Bearbeitungsschritte, bevor es für Matches gegen vorkonfigurierte Filter geparsiert wird. Es ist möglich, dass ein Paket aufgrund eines Ausfalls nicht in die Filter Phase gelangt. Dies kann passieren, wenn ein Routen Lookup ausfällt.

Aktivieren Sie Pre-Parse Match, um ein positives Match für jedes Paket zu emulieren, das in das System eindringt. Dies ermöglicht es der Firewall, Pakete zu erfassen, die den Filterprozess nicht erreichen. Wenn ein Paket in der Lage ist, die Filterstufe zu erreichen, wird es entsprechend der Filter Konfiguration verarbeitet und verworfen, wenn es die Filterkriterien nicht erfüllt.

Besitzer: Rkim
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClvbCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language