URL の分類を確認する方法: データプレーンと管理面の相違点
Resolution
概要
パロアルトネットワークデバイスの動的 url フィルタリング機能を利用する際には、管理面とデータ面の url 分類の違いを理解することが重要です。 どちらも、デバイスが URL フィルタリングを適切に実行できるようにする上で重要な役割を果たします。
詳細
以下のコマンドを使用して、デバイスで動的 url 設定が有効になっていることを確認します。
> 構成
# deviceconfig 設定の url を表示する
url
動的 url はい;
}
[編集]
上記のコマンドで何も表示されない場合は、次のコマンドとコミットを使用して有効にします。
# 設定 deviceconfig 設定動的 url はい
# コミット
次のコマンドを使用して、管理平面のみに関連する URL の分類をテストできます。
> url www.paloaltonetworks.com のテスト
www.paloaltonetworks.com コンピュータとインターネットのセキュリティ (ベース db)
出力は、管理面がベースデータベースを使用して www.paloaltonetworks.com を識別することができることを示しています。 これは、ディスク上の URL データベースです。
www.example.com で再度テストを実行します。管理平面は www.example.com の分類を見つけることができないため、分類のためにクラウドルックアップを実行します。この例では、BrightCloud は "ショッピング" のカテゴリを返します。
> url www.example.com のテスト
Www。example.comショッピング (クラウド db)
同じ URL の後続のルックアップは、現在パロアルトネットワークデバイス上の動的データベースに www.example.com を配置しています:
> url www.example.com のテスト
Www。例.comショッピング (動的 db)
この動的データベースエントリは、デバイスの dataplane で使用できるようになりました。 dataplane が www.example.com の HTTP 要求を含むセッションを分類できない場合は、管理平面上の動的データベースを参照します。
データプレーンがセッション内の URL 要求をどのように分類するかを確認するには、次のコマンドを使用する必要があります。
- パン OS 5.0, 6.0
>デバグ dataplane テスト url-解決-パス <URL></URL> - 汎 OS 4.1
> test url-解決パス<URL></URL>
まず、www.paloaltonetworks.com をテストすることから始めます。
>デバッグ dataplane テストの url-解決-パスwww.paloaltonetworks.com
%~DP0:
URL www.paloaltonetworks.com、カテゴリが解決されていない、要求がホストに正常に送信されました
DP1:
URL www.paloaltonetworks.com、カテゴリが解決されていない、要求がホストに正常に送信されました
データプレーン (DP0 & DP1) には、www.paloaltonetworks.com の分類はありません。 paloaltonetworks の HTTP 要求を含むセッション (ファイアウォールを通過するトラフィック) を処理していないため、データ面が管理面からの分類を要求するには、comt が必要です。 我々は、これがメッセージで行われていることがわかります "... 要求がホストに正常に送信されました".
成功したリクエストが (dp から mp への) 正常に送信され、(mp から dp へ) 受け取られたと判断できる追加の手段は、グローバルカウンタをチェックすることです。
> カウンタグローバルフィルタデルタを表示しますはい |マッチ url_db
url_db_request 2 0 情報 url pktproc url データベース requesturl_db_reply 2 0 情報 url pktproc url の返信数
成功した2つのリクエストが送信され (dp ごとに1つ)、2つの成功した応答 (各 dp に1つ) が届きました。 その後の実行> テスト url-解決パスwww.paloaltonetworks.com (pan-os 4.1) または>デバッグ dataplane テストの url-解決-パスwww.paloaltonetworks.com (pan-os 5.0, 6.0) は、両方のデータ面が正常になったことを示します分類この URL と今後の要求は、分類のための管理面に送信されませんが、代わりに DP0 と DP1 の上でローカルに処理 されます。
>デバッグ dataplane テストの url-解決-パスwww.paloaltonetworks.com
%~DP0:
URL www.paloaltonetworks.com, カテゴリコンピュータとインターネットのセキュリティ
DP1:
URL www.paloaltonetworks.com, カテゴリコンピュータとインターネットのセキュリティ
管理面がクラウド db から学習した URL をテストし、そのローカルの動的 db に格納します。
>デバッグ dataplane テストの url-解決-パス www.example.com
%~DP0:
URL www.example.com、カテゴリが解決されていない、要求がホストに正常に送信されました
DP1:
URL www.example.com、カテゴリが解決されていない、要求がホストに正常に送信されました
DP には分類がないため、管理面に要求が配置されます。
> カウンタグローバルフィルタデルタを表示しますはい |マッチ url_db
url_db_request 2 0 情報 url pktproc url データベース requesturl_db_reply 2 0 情報 url pktproc url の返信数
成功した要求と応答がグローバルカウンターに表示されます。 次のコマンドと出力は、両方の dataplanes が www.example.com の正しい分類を持っていることを示しています。
>デバッグ dataplane テストの url-解決-パス www.example.com
%~DP0:
URL www.example.com、カテゴリキッズ
DP1:
URL www.example.com、カテゴリキッズ
管理者 @ ラボ-88-PA5020 >
所有者: bvandivier