最近PaloAltoの製品を扱うことが多くなった。使ってみてもPaloAltoは確かにUIはASAよりわかりやすく個人的にはとてもお勧めできる。
ただし一部の操作はWebUIではできずコマンドのみしかできない場合があるため、最近使った便利なトラブルシューティング用のコマンドをメモする。
asymmetryのパスに対する動作の確認
ファイヤーウォールはアシンメトリーのルートでDROPするのがデフォルトの機器が多いので、このコマンドで確認しておくとアシンメトリパケットが落ちてるかわかるだろう。
show running tcp state
session with asymmetric path : drop packet
Bypass if OO queue limit is reached : no
Favor new seg data : no
Urgent data : clear
Drop if zero after clear urgent flag : yes
Check Timestamp option : yes
Allow Challenge Ack : no
Remove MPTCP option : yes
これで設定が確認できる。
もしアシンメトリーが原因じゃない場合は、以下のコマンドで確認
show counter global filter delta yes severity drop
ドロップしているパケットの確認
show counter management-server
ハードウェアのエラーの確認
show counter interface tunnel.51
インターフェース毎の確認
アシンメトリーでもDROPしないようにするには、以下のコマンド
configure
set deviceconfig setting tcp asymmetric-path bypass
IPSECなどのトンネルの設定変更時やトンネルが暫く待っても起動しない場合
test vpn ipsec-sa tunnel Tunnel
Commitした設定が誤ってしまい、昔の設定に戻したいとき
load config version
トレースルートやPingをする方法
ping host ip
普通にPingをうつとManagement Plane経由になるので、ソースを絞ると、以下の方法。
ping source ip(paloalto IF) host ip
traceroute host ip
traceroute source ip(paloalto IF) host ip
Leave a Reply