PaloAlto基本运维操作

数据包处理过程

  • 初始化数据包–>源Zone和地址匹配–>PBF查询(策略路由)–>目的Zone匹配–>NAT策略评估
  • 安全策略预匹配–>检查允许端口–>会话建立
  • 应用程序–>检查加密流量–>解密策略–>应用overrid匹配–>NAT策略评估
  • 安全策略匹配–>检查安全端口–>检查安全建模
  • 弹出数据包–>重新加密–>NAT策略应用–>数据包转发

会话处理

  1. 查看会话汇总
    show session info
    session-info
  2. 查看会话详情, 根据seesion id进一步查询会话的详细信息
    show session id xxxx
  3. 根据源目IP地址, application类型进行查询会话信息
    show session all filter source [ip] destination [ip] application [app]
  4. 会话过多处理方法

    • show session all 检查所有session
    • show session id xxx 检查session中是否存在非法流量
      如果发现会话数大于设备可支撑的性能, 先发现会话数总数较多的ID, 然后查看该ID是否存在非法流量. 通过Dos保护或者会话限制ID的会话数限制该IP数目
  5. 清除会话, 可以根据后面的条件清除指定的会话, 或者清除所有
    clear session all (filter source…)

  6. 抓包和过滤
    在debug/less或者抓包的时候, 最好把PA的fastpath功能关闭. 这样可以看到更完整的报文.
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    # 关闭fastpath命令
    set deviceconfig setting session offload no
    set session offload no
    # 创建过滤规则
    debug dataplane packet-diag set filter match source x.x.x.x destination x.x.x.x
    # 开启过滤规则
    debug dataplane packet-diag set filter on
    # 配置抓包对象
    # 抓取来自接口的流量
    debug dataplane packet-diag set capture stage receive file x.pcap
    # 抓取地址转换后的流量
    debug dataplane packet-diag set capture stage transmit file x.pcap
    # 抓取经过防火墙的流量
    debug dataplane packet-diag set capture stage filewall file x.pcap
    # 全局抓包开关
    debug dataplane packet-diag set capture on
    # 全局抓包配置
    debug dataplane packet-diag show setting
    # 关闭抓包
    debug dataplane packet-diag set capture off
    # 清除所有抓包内容
    debug dataplane packet-diag clear all
    # 删除文件
    delete debug-filter file x.pcap

CPU和内存

  • 管理平台CPU和内存
    show system resources
    c-cpu
    如果发现CPU过高可以使用show system resources follow(-l 检查哪个CPU高; -M 检查内存使用率是否高) 检查是哪个应用有问题
  • 数据平台CPU和内存
    show running rescource-monitor
    d-cpu
    flow_lookup 检查会话是否存在进程
    flow_forwarding 是transmit地址转换进程
  • 全局利用率
    show counter global
    t-cpu

Debug和Less

Debug 主要是查看平台信息进而判断故障问题, 类似show命令
Less 管理和查看平台log日志, 在命令行下能看到更消息的log日志信息

  • 管理平台Debug和Less
    less mp-log
    less-mp-log
    tail follow yes mp-log authd.log 可以实时发现流量信息
    tail
  • 数据平台Debug和Less
    debug dataplane 查看数据平台流量
    debug
  • 其他
    debug ike global on debug
    查看VPN ike信息
    less mp-log ikemgr.log
    查看vpn ike 日志信息
    ike-1
    ike-2

debug log-receiver statistics 查看日志情况
less mp-log logrcvr.log 查看日志缓存情况
log-1
log-2

硬件异常查看

电源状态查看

show system environmentals power
show-power

风扇

show system environmentals fans
show-fans

温度

show system environmentals thermal
show-temp

日志查看

  • show log alarm
    log-alarm
  • show log config
    log-config
    log-config-1

双机热备异常处理

  • show high-availability state
    查询防火墙HA状态
  • show high-availablity all
    查询完整HA信息
  • show high-availability state-sync
    查询HA同步信息
  • request high-availability state suspend
    手动切换主备, 运行该命令的防火墙会从active/passive 状态切换为暂停状态
  • request high-availability state functional
    手动恢复防火墙HA
    HA
    因为PA采用管理层面和数据层面分离的方式, 所以HA要分开维护. HA的状态主要有以下几种:
  1. Initial—初始化状态, 防火墙发现对等体并进行HA协商之前的状态. 阈值为60s, 超过60s没有发现对等体自动进入active状态
  2. Active—活跃状态, 防火墙此时能处理所有流量
  3. Passove—被动状态, 备份主状态防火墙的所有业务流量
  4. Suspend—暂停状态, 管理员手动暂停
  5. Non-functional—错误状态, 当防火墙故障时出现

接口丢包

show counter global | match drop
pac-drop

VPN故障

  1. show vpn flow
    查看防火墙加解密状态
  2. show vpn gateway
    查看vpn配置
  3. show vpn ike-sa
    查看一阶段ike-sa
  4. show vpn ipsec-sa
    查看二阶段ipsec-sa
  5. show vpn tunnel
    查看tunnel配置
  6. less mp-log ikemgr.log
    查看ike日志信息
    vpn
  • Wrong IP: vpn两端使用了错误的公网ip建立vpn
  • no matching p1 or p2:vpn两端加解密算法, hash等不匹配
  • PFS group mismatch:vpn两端使用不同DH算法
  • Mismatched proxy id: vpn两端policy id不一致(通常发生在policy based)
  • Mismatched Peer id:vpn两端peer id不一致