インターフェイス上の論理エラーの確認方法

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Check for Logical Errors on an Interface

https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Check-for-Logical-Errors-on-an-Interfa...

 

論理インターフェイス用のSNMPトラップについて。

 

RFC 1213ではMIBは標準のインターフェイス テーブルのみ含みます。トラップはそのシステムとMIBに組み込まれているインターフェイス グループのためのもので、それらがサポートされます。

 

 

PAN-OS 7.0 は論理インターフェイスをサポートします。

 

PAN-OS 6.1.xまでは物理インターフェイスのインターフェイスグループの情報のみ送付し、論理インターフェイスに対しては行いません。netflowを有効化しての情報取得がワークアラウンドとなります。

 

 

PAN-OS 5.0とそれ以前

 

特定のインターフェイス上での論理エラーをチェックするには(例ではethernet1/3を使用します)CLIコマンドを入力します。

admin@Ironhide> show interface ethernet1/3

--------------------------------------------------------------------------------

Name: ethernet1/3, ID: 18

Link status:

  Runtime link speed/duplex/state: 1000/full/up

  Configured link speed/duplex/state: 1000/auto/auto

MAC address:

  Port MAC address b4:0c:25:f8:e5:12

Operation mode: layer3

Untagged sub-interface support: yes

--------------------------------------------------------------------------------

Name: ethernet1/3, ID: 18

Operation mode: layer3

Virtual router default

Interface MTU 1500

Interface IP address: 192.168.9.1/24

Interface management profile: allowall

  ping: yes  telnet: yes  ssh: yes  http: yes  https: yes

  snmp: yes  response-pages: yes  userid-service: no

Service configured:

Interface belong to same subnet as management interface: Yes

Zone: trust_9999, virtual system: vsys1

Adjust TCP MSS: no

--------------------------------------------------------------------------------

 

--------------------------------------------------------------------------------

Physical port counters read from MAC:

--------------------------------------------------------------------------------

rx-broadcast                  0

rx-bytes                      1775076722

rx-multicast                  0

rx-unicast                    13635670

tx-broadcast                  110085

tx-bytes                      6992300789

tx-multicast                  0

tx-unicast                    11299072

--------------------------------------------------------------------------------

 

これらは次世代ファイアウォールのデータプレーンが起動した時からのインターフェイス カウンターです。これらのカウンターはデータプレーンの再起動のみでクリアされます。

 

--------------------------------------------------------------------------------

Hardware interface counters read from CPU:

--------------------------------------------------------------------------------

bytes received                          360

bytes transmitted                        0

packets received                        6

packets transmitted                      0

receive errors                          6

packets dropped                          0

--------------------------------------------------------------------------------

 

L2-L4解析チェックに失敗したパケットは上記のreceive errorsカウンターを増加させて破棄され、CPUに到達しません。最も一般的なケースは不正な宛先MAC、不正なVLANタグ、不正なIP、不正なTCP/UDPポートなどです。上記の例では 6 receive errors (TCP packet too short)を確認することができ、それらは破棄されCPUレベルに到達せず論理インターフェイスカウンターの表示では以下の通りゼロとなります。

 

Logical interface counters read from CPU:

--------------------------------------------------------------------------------

bytes received                          0

bytes transmitted                        84

packets received                        0

packets transmitted                      2

receive errors                          0

packets dropped                          0

packets dropped by flow state check      0

forwarding errors                        0

no route                                0

arp not found                            0

neighbor not found                      0

neighbor info pending                    0

mac not found                            0

packets routed to different zone        0

land attacks                            0

ping-of-death attacks                    0

teardrop attacks                        0

ip spoof attacks                        0

mac spoof attacks                        0

ICMP fragment                            0

layer2 encapsulated packets              0

layer2 decapsulated packets              0

--------------------------------------------------------------------------------

 

L2-L4解析に成功した後、パケットにはさらなるセキュリティチェックが行われます。セキュリティ ルールによる破棄や、Non-Syn TCPチェックやその他の理由で破棄は、上記の"packet dropped"カウンターの増加の原因となります。

 

パケット破棄の正確な理由はグローバル カウンターで行えます。例えば以下の例では、L2-L4解析にてグローバルカウンターでハイライトされた箇所の理由により、破棄されています。

 

admin@Ironhide> show counter global filter delta yes

 

Global counters:

Elapsed time since last sampling: 1.150 seconds

 

name                                  value    rate severity  category  aspect    description

--------------------------------------------------------------------------------

pkt_recv                                  41      35 info      packet    pktproc  Packets received

pkt_recv_zero                            41      35 info      packet    pktproc  Packets received from QoS 0

pkt_sent                                  7        6 info      packet    pktproc  Packets transmitted

pkt_alloc                                  1        0 info      packet    resource  Packets allocated

flow_rcv_err                              1        0 drop      flow      parse    Packets dropped: flow stage receive error

flow_rcv_dot1q_tag_err                    5        4 drop      flow      parse    Packets dropped: 802.1q tag not configured

flow_no_interface                          5        4 drop      flow      parse    Packets dropped: invalid interface

flow_fwd_l3_mcast_drop                    11        9 drop      flow      forward  Packets dropped: no route for IP multicast

flow_parse_l4_hdr                          1        6 drop      flow      parse    Packets dropped: TCP (UDP) packet too short

 

カウンターは以下のCLIコマンドでクリアできます:

> clear counter all

All counters cleared

 

著者: panagent