インターフェイス上の論理エラーの確認方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Check for Logical Errors on an Interface

https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Check-for-Logical-Errors-on-an-Interfa...

 

論理インターフェイス用のSNMPトラップについて。

 

RFC 1213ではMIBは標準のインターフェイス テーブルのみ含みます。トラップはそのシステムとMIBに組み込まれているインターフェイス グループのためのもので、それらがサポートされます。

 

 

PAN-OS 7.0 は論理インターフェイスをサポートします。

 

PAN-OS 6.1.xまでは物理インターフェイスのインターフェイスグループの情報のみ送付し、論理インターフェイスに対しては行いません。netflowを有効化しての情報取得がワークアラウンドとなります。

 

 

PAN-OS 5.0とそれ以前

 

特定のインターフェイス上での論理エラーをチェックするには(例ではethernet1/3を使用します)CLIコマンドを入力します。

admin@Ironhide> show interface ethernet1/3

--------------------------------------------------------------------------------

Name: ethernet1/3, ID: 18

Link status:

  Runtime link speed/duplex/state: 1000/full/up

  Configured link speed/duplex/state: 1000/auto/auto

MAC address:

  Port MAC address b4:0c:25:f8:e5:12

Operation mode: layer3

Untagged sub-interface support: yes

--------------------------------------------------------------------------------

Name: ethernet1/3, ID: 18

Operation mode: layer3

Virtual router default

Interface MTU 1500

Interface IP address: 192.168.9.1/24

Interface management profile: allowall

  ping: yes  telnet: yes  ssh: yes  http: yes  https: yes

  snmp: yes  response-pages: yes  userid-service: no

Service configured:

Interface belong to same subnet as management interface: Yes

Zone: trust_9999, virtual system: vsys1

Adjust TCP MSS: no

--------------------------------------------------------------------------------

 

--------------------------------------------------------------------------------

Physical port counters read from MAC:

--------------------------------------------------------------------------------

rx-broadcast                  0

rx-bytes                      1775076722

rx-multicast                  0

rx-unicast                    13635670

tx-broadcast                  110085

tx-bytes                      6992300789

tx-multicast                  0

tx-unicast                    11299072

--------------------------------------------------------------------------------

 

これらは次世代ファイアウォールのデータプレーンが起動した時からのインターフェイス カウンターです。これらのカウンターはデータプレーンの再起動のみでクリアされます。

 

--------------------------------------------------------------------------------

Hardware interface counters read from CPU:

--------------------------------------------------------------------------------

bytes received                          360

bytes transmitted                        0

packets received                        6

packets transmitted                      0

receive errors                          6

packets dropped                          0

--------------------------------------------------------------------------------

 

L2-L4解析チェックに失敗したパケットは上記のreceive errorsカウンターを増加させて破棄され、CPUに到達しません。最も一般的なケースは不正な宛先MAC、不正なVLANタグ、不正なIP、不正なTCP/UDPポートなどです。上記の例では 6 receive errors (TCP packet too short)を確認することができ、それらは破棄されCPUレベルに到達せず論理インターフェイスカウンターの表示では以下の通りゼロとなります。

 

Logical interface counters read from CPU:

--------------------------------------------------------------------------------

bytes received                          0

bytes transmitted                        84

packets received                        0

packets transmitted                      2

receive errors                          0

packets dropped                          0

packets dropped by flow state check      0

forwarding errors                        0

no route                                0

arp not found                            0

neighbor not found                      0

neighbor info pending                    0

mac not found                            0

packets routed to different zone        0

land attacks                            0

ping-of-death attacks                    0

teardrop attacks                        0

ip spoof attacks                        0

mac spoof attacks                        0

ICMP fragment                            0

layer2 encapsulated packets              0

layer2 decapsulated packets              0

--------------------------------------------------------------------------------

 

L2-L4解析に成功した後、パケットにはさらなるセキュリティチェックが行われます。セキュリティ ルールによる破棄や、Non-Syn TCPチェックやその他の理由で破棄は、上記の"packet dropped"カウンターの増加の原因となります。

 

パケット破棄の正確な理由はグローバル カウンターで行えます。例えば以下の例では、L2-L4解析にてグローバルカウンターでハイライトされた箇所の理由により、破棄されています。

 

admin@Ironhide> show counter global filter delta yes

 

Global counters:

Elapsed time since last sampling: 1.150 seconds

 

name                                  value    rate severity  category  aspect    description

--------------------------------------------------------------------------------

pkt_recv                                  41      35 info      packet    pktproc  Packets received

pkt_recv_zero                            41      35 info      packet    pktproc  Packets received from QoS 0

pkt_sent                                  7        6 info      packet    pktproc  Packets transmitted

pkt_alloc                                  1        0 info      packet    resource  Packets allocated

flow_rcv_err                              1        0 drop      flow      parse    Packets dropped: flow stage receive error

flow_rcv_dot1q_tag_err                    5        4 drop      flow      parse    Packets dropped: 802.1q tag not configured

flow_no_interface                          5        4 drop      flow      parse    Packets dropped: invalid interface

flow_fwd_l3_mcast_drop                    11        9 drop      flow      forward  Packets dropped: no route for IP multicast

flow_parse_l4_hdr                          1        6 drop      flow      parse    Packets dropped: TCP (UDP) packet too short

 

カウンターは以下のCLIコマンドでクリアできます:

> clear counter all

All counters cleared

 

著者: panagent

Ask Questions Get Answers Join the Live Community
記事ダッシュボード
バージョン履歴
改訂番号
4/4
最終更新:
‎06-13-2017 12:26 AM
更新者: