PaloAltoで使えるトラブルシューティングコマンド

Pocket

最近PaloAltoの製品を扱うことが多くなった。使ってみてもPaloAltoは確かにUIはASAよりわかりやすく個人的にはとてもお勧めできる。

ただし一部の操作はWebUIではできずコマンドのみしかできない場合があるため、最近使った便利なトラブルシューティング用のコマンドをメモする。

asymmetryのパスに対する動作の確認

ファイヤーウォールはアシンメトリーのルートでDROPするのがデフォルトの機器が多いので、このコマンドで確認しておくとアシンメトリパケットが落ちてるかわかるだろう。

show running tcp state

session with asymmetric path : drop packet
Bypass if OO queue limit is reached : no
Favor new seg data : no
Urgent data : clear
Drop if zero after clear urgent flag : yes
Check Timestamp option : yes
Allow Challenge Ack : no
Remove MPTCP option : yes

これで設定が確認できる。

もしアシンメトリーが原因じゃない場合は、以下のコマンドで確認

show counter global filter delta yes severity drop

ドロップしているパケットの確認

show counter management-server

ハードウェアのエラーの確認

show counter interface tunnel.51

インターフェース毎の確認

アシンメトリーでもDROPしないようにするには、以下のコマンド

configure

set deviceconfig setting tcp asymmetric-path bypass

IPSECなどのトンネルの設定変更時やトンネルが暫く待っても起動しない場合

test vpn ipsec-sa tunnel Tunnel

Commitした設定が誤ってしまい、昔の設定に戻したいとき

load config version

トレースルートやPingをする方法

ping host ip

普通にPingをうつとManagement Plane経由になるので、ソースを絞ると、以下の方法。

ping source ip(paloalto IF) host ip

traceroute host ip

traceroute source ip(paloalto IF) host ip

コメントを残す