本文将详细介绍如何收集连接问题和重写相关问题的数据。

A.连接问题


B。 重


写问题
 

A.连接问题

示例方案:

无客户 VPN 门户 IP ： 1.1.1.1
客户端 ： IP 2.2.2.2
应用程序 ： IP 10.1.0.120

----------------------------------------------------------------------------------------------------------------------------------------------

1. 请记录 CLI 会话

2。 设置下面的筛选器和捕获阶段，以进行 firewall 数据包捕获

>显示时钟
>调试数据平面数据包-diag集筛选匹配源 2.2.2 目的地 1.1.1.1
>调试数据包-diag 集筛选匹配源 2.2.2.2 目的地 10.1.0.120
>调试数据包-diag 集捕获阶段接收文件 rx.pcap
>调试数据包-diag 设置捕获阶段传输文件 tx.pcap
>调试数据平面数据包-diag 集捕获阶段下降文件 dp.pcap
>调试数据包-diag 集捕获阶段 firewall 文件 fw.pcap
>调试 数据平面数据包-diag集过滤器>
调试数据平面数据包-diag集日志功能流基本
>调试数据平面数据包-diag集日志功能代理所有
>调试数据包-diag显示设置

PA-220admin@>调试数据包-diag显示

数据包诊断设置--------------------------------------------------------------------------------数据包诊断设置：

启用--------------------------------------------------------------------------------数据包过滤器
：是
匹配预解析数据包：无
索引 1：2.2.2/32[0]->1.1.1.1/32[0]， 原 0
入口接口任何， 出口接口任何， 排除非 IP
指数 2： 2.2.2/32[0]->10.1.0.120/32[0]， 原 0
入口界面任何，出口界面任何，排除非 IP
--------------------------------------------------------------------------------
记录
启用：无
日志节流：无
同步日志按滴答声：是
功能：
流：
基本代理：基本定时器详细信息
计数器：
启
用--------------------------------------------------------------------------------数据包捕获
：无
Snaplen：0
用户名：
阶段接收：文件rx.pcap
捕获：数据包 - 0 字节 - 0
最大： 包 - 0 字节 - 0
阶段： 文件 firewall fw.pcap
捕获： 包 - 0 字节 - 0
最大： 包 - 0 字节 - 0
阶段传输： 文件 tx.pcap
捕获： 包 - 0 字节 - 0
最大： 包 - 0 字节 - 0
阶段下降： 文件dp.pcap
捕获：数据包-0字节-0
最大：数据包-0字节-0--------------------------------------------------------------------------------

 

3. 启用数据飞机在 firewall

>调试数据平面数据包 diag 集捕获 > 调试数据
平面数据包 diag 集日志上 >
调试数据平面数据包 diag 显示
>显示时钟

4. 重现问题并在命令下方运行

>显示会话的所有筛选源 2.2.2
> 显示会话 id ID > [对于创建的所有会话
]>显示计数器全球滤波器 delta 是数据包过滤器是 [运行它几次]

5. 转载后，停止数据飞机在 firewall

>调试数据平面数据包 diag 集捕获 > 调试数据平面数据包 diag 集注销

> 调试数据平面数据包 diag 显示设置
> 显示时钟

6. 大约 30 秒后，运行以下命令以聚合在 firewall

>调试数据平面数据包-diag 聚合日志 [运行两次]

7. 请收集以下文件并上传到案例

- Firewall 数据包捕获：rx.pcap、tx.pcap、dp.pcap、fw.pcap-
已记录 CLI 会话
-新鲜技术支持文件（包含数据平面诊断日志）

B.重写问题：

当我们说重写问题时，这意味着大多数无客户端应用程序加载正确，但某些无客户端应用程序无法显示页面的某些元素或某些按钮/超链接无法响应。

在这种情况下，我们需要收集以下信息：
- Firewall 数据包捕获（无客户端 vpn 客户端和无客户端 vpn 服务器），FiddlerCap 捕获和浏览器控制台日志，当用户访问有问题的应用程序 THROUGH 门户。 这是非工作场景 -
当用户访问应用程序时，而不是通过门户，FiddlerCap 从用户的机器上捕获和浏览器控制台日志 DIRECTLY 。 这是工作场景

请按照以下步骤收集数据并将其上传到案例进行 TAC 审核：

示例场景：

无客户 VPN 端门户 IP ： 1.1.1.1
客户端 ： IP 5.5.5.5
应用程序 ： IP 10.1.0.120

注意：对于 macOS/iPad/iOS 设备，将流量指向 Web 代理服务器，并启用服务器上的 FidleCap 捕获
----------------------------------------------------------------------------------------------------------------------------------------------

1。 请记录 CLI 会话并记录缩放会话

以及2。 以下步骤将用于捕获用户访问 THROUGH 门户 a 有问题的应用程序的

非工作场景的数据。 请让测试用户登录无客户 VPN 端门户，以便运行以下命令以获得正确的用户名格式。 它将用于在>上捕获此特定用户的数据包 firewall

，显示全球保护门户当前用户过滤器-用户全用户
GlobalProtect 门户：GP无环境端口
Vsys-Id ： 1
用户 ： paloaltonetworks.com-johndoe
会话 -id： 1SU2vrdfdfdopGf-7gahMTX8Pul0S0
客户端 - ： IP 5.5.5.5
会话开始时间 ： 4月20日 星期一 10：32：35 2020
不活动超时 ： 1800
秒前不活动超时 ： 1789
登录寿命 ： 登录寿命前 10800
秒： 10789
饼干缓存大小 ： 0
源区域： 德国


注意： 以下是使用用户名过滤器进行无客户端 VPN 捕获之前要记住的几个指点：

• 命令输出中指出的用户名：在命令输出中显示全球保护-门户当前用户筛选器-用户全用户名和用户名：显示所有类型的用户 IP-用户映射 GP-CLIENTLESSVPN应匹配，因为用户名过滤器对案例敏感。
• A 不匹配不会生成任何无客户 VPN 捕获

>显示用户 ip 用户映射所有类型的 GP-CLIENTLESSVPN

IP Vsys 从用户空闲时间 （s） 最大超时
（s） --------------------------------------------- ------------------- ------- -------------------------------- -------------- -------------
5.5.5 vsys1 GP-CLIENTLESSVPN paloaltonetworks.com\ johndoe <    10797    10797   
总计： 1 用户
 

• 不应有与目的地地址关联的用户名 IP ;如下所示，该用户名应为未知。 否则， VPN 由于目的地用户名，将无法生成无客户端捕获

> show session id 3136988
Session         3136988
        c2s flow:
                source:      5.5.5.5 [Clientless_VPN]
                dst:         10.1.0.120
                proto:       6
                sport:       15715           dport:      443
                state:       INIT            type:       FLOW
                src user:    paloaltonetworks.com\johndoe
                dst user:    unknown                 <<<<<<<<<<
        s2c flow:
                source:      10.1.0.120 [Inside]
                dst:         10.1.2.214
                proto:       6
                sport:       443             dport:      15715
                state:       INIT            type:       FLOW
                src user:    unknown                  <<<<<<<<<<
                dst user:    paloaltonetworks.com\johndoe

• 也不应该 IP 设置过滤器。 它应该纯粹基于用户名过滤器来捕获无客户 VPN 端捕获

b. 设置下面的筛选器和数据 firewall 包捕获的捕获阶段

注意：由于筛选器将由用户名设置， IP 在这种情况下，地址过滤器将不需要

>显示时钟
>显示系统设置ssl解密内存
>显示系统设置ssl解密dns-缓存
>显示系统设置sl解密gp-cookie-缓存
>显示系统设置ssl-解密重写统计
>调试数据包-diag集捕获用户name {使用登录到无客户 VPN 端门户的用户名
}>调试数据包-diag集捕获阶段无客户端-vpn-客户端文件客户端
。pcap>调试数据平面数据包-diag集捕获阶段无客户端-vpn-服务器文件服务器.pcap>调
试数据平面数据包-diag集过滤器
>调试数据平面数据包-diag显示设置

PA-220admin@>调试数据平面数据包-diag 显示数据包诊断

设置--------------------------------------------------------------------------------数据包诊断设置：

启用--------------------------------------------------------------------------------数据包筛选器

：是匹配预解析数据包：无
--------------------------------------------------------------------------------
已启用的日志

：无按
刻度同步日志：是
功能：
计数器：

启用--------------------------------------------------------------------------------包捕获
：无
Snaplen：0
用户名 ：paloaltonetworks.com-约翰多
阶段无客户端-vpn客户端：文件客户端.pcap
捕获：数据包-0字节-0
最大：数据包-0字节-0
阶段无客户端-vpn-服务器：文件服务器.pcap
捕获：数据包-0字节-0
最大：数据包-0字节-0--------------------------------------------------------------------------------

c. 请测试用户注销无客户 VPN 端门户

d。启用 firewall

>调试数据板数据集捕获
的捕获>调试数据板数据板数据板-diag 显示设置
>显示时钟

注意：请注意， firewall 数据包捕获将包含浏览器与和 firewall firewall 应用程序 e 之间的清晰文本（未加密）通信

。 打开浏览器上的开发人员工具并打开控制台选项卡以查看任何 javascript 错误


f。 请让测试用户登录到无客户端 VPN 门户，然后根据文章FiddlerCap 启用 FiddlerCap进行捕获 

g. 导航到显示问题的应用程序，然后，在 firewall ">CLI

显示会话的所有筛选源 <Client- IP
>>显示会话 id ID > [用于创建的所有会话]
>显示计数器全球过滤器增量是数据包过滤器是的[运行这几次]


h。 一旦问题被复制， 停止数据包捕获 firewall

在>调试数据平面数据平面分组设置捕获
关闭>调试数据飞机数据板分组显示设置
>显示时钟
>显示系统设置 ssl 解密内存
> <3> <6>显示系统设置 ssl 解密 dns - 缓存
>显示系统设置 ssl - 解密 gp - cookie - 缓存
>显示系统设置 ssl 解密重写统计

3. 当用户访问应用程序时，请收集 FiddlerCap 捕获和浏览器控制台日志以处理工作场景 DIRECTLY ，而不是根据文章 FiddlerCap通过门户 

注意：请注意，FiddlerCap 可以收集明文流量，在捕获期间交换的所有其他用户凭据（用户名/密码）都将在收集的数据中可见。 这些数据包捕获包含浏览器和浏览器之间以及应用程序之间的清晰文本（未加密）通信 firewall firewall 。 如果需要登录到有问题的应用程序，建议使用测试凭据

4. 停止缩放录制并收集以下文件并上传到案例