-
Paloalto
防火墙运维手册
目录
1.
2.
.
.
.
.
.
3.
4.
5.
.
.
.
6.
.
.
.
7.
下一代防火墙产品简介
..................................
错误
!
未定义书签。
查看会话
...........
...................................
错误
!
未定义书签。
查看会话汇总
.
< br>............................................
错误
!
未定义书签。
查看
session ID
.
..............................
...............................................
错误
!
未定义书签。
条件选择查看会话
.
........................................
错误
!
未定义书签。
查看当前并发会话数
.
......................................
错误
!
未定义书签。
会话过多处理方法
.
........................................
错误
!
未定义书签。
清除会话
...........
...................................
错误
!
未定义书签。
抓包和过滤
..........
..................................
错误
!
未定义书签。
CPU
和内存查看
........................................
错误
!
未定
义书签。
管理平台
CPU
和内存查看
.................................
错
误
!
未定义书签。
<
/p>
数据平台
CPU
和内存查看
.................................
错
误
!
未定义书签。
全局利用率查看
.<
/p>
........................................
..
错误
!
未定义书签。
Debug
和
Less
调试
.<
/p>
.....................................
错误
!
未定
义书签。
管理平台
Debug/Less
.................
..................................................
.
错误
!
未定义书签。
数据平台
Debug/Less
.................
..................................................
.
错误
!
未定义书签。
其他
Debug/Less ............................
............................................... <
/p>
错误
!
未定义书签。
硬件异常查看及处理
....................................
错误
!
未定
义书签。
电源状态查看
...........................................
.
错误
!
未定义书
风扇状态查看
............................................
错误
!
未定义书
设备温度查看
............................................
错误
!
未定
义书签。
日志查看
.............................................
.
错误
!
未定义书签。
告警日志查看
.........................................
...
错误
!
未定义书签。
配置日志查看
.......................................
.....
错误
!
未定义书签。
其他日志查看
.......................................
.....
错误
!
未定义书签。
双机热备异常处理
......................................
错误
!
未定
义书签。
.
签。
.
签。
.
8.
.
.
.
9.
10.
内网用户丢包排除方法
..................................
错误
!
未定
义书签。
.
.
.
.
联通测试
...........
....................................
<
/p>
错误
!
未定义书签。
会话查询
........
.......................................
错误
!
未定
义书签。
接口丢包查询
...........................................
错误
!
未定
义书签。
抓包分析
.............................................
..
错误
!
未定义书签。
11.
VPN
故障处理
.
....................................
......
错误
!
未定义书签。
12.
版本升级
...........
...................................
错误
!
未定义书签。
.
.
13.
.
.
14.
.
.
.
.
.
.
.
.
.
.
.
.
.
15.
.
.
.
.
Software
升级
..........................................
错误
!
未定义书签。
Dynamic
升级
...........................................
错误
!
未定
义书签。
恢复配置和口令
.......................................
错误
!
未定义书签。
配置恢复
...........
...................................
错误
!
未定义书签。
口令恢复
...........
...................................
错误
!
未定义书签。
其他运维命令
.........
................................
错误
!
未定义书签。
规划化配置命令
........................................
错误
!
未定义书签。
系统重启命令
..........................................
错误
!
未定义书签。
查看应用状态命令
......................................
错误
!
未定义书签。
系统空间查看命令
......................................
错误
!
未定义书签。
系统进程查看命令
......................................
错误
!
未定义书签。
系统基本信息查看命令
..................................
错误
!
未定义书签。
ARP
查看命令
< br>..........................................
错
误
!
未定义书签。<
/p>
路由查看命令
..........................................
错误
!
未定
义书签。
安全策略查看命令
......................................
错误
!
未定义书签。
NAT
策略查看命令
......................................
错
误
!
未定义
书签。
系统服务查看命令
......................................
错误
!
未定义书签。
< br>
NAT
命中查看命令
......................................
错
误
!
未定义
书签。
UserIP-Mapping
查看命令
...............................
错误
!
未定义书签。
其他故障处理
.........
................................
错误
!
未定义书签。
硬件故障
...........
......................................
错误
!
未定义书签。
< br>
软件故障
.......
..........................................
错误
!
未定
义书签。
接口状态查看
...........................................
..
错误
!
未定义书签。
软件故障
..........................................
.......
错误
!
未定义书签。
1.
下一代防火墙产品简介
Paloalto
下一代防火墙
(
NGFW
)
是应用层安全平台。解决了网
络复杂结构,具有强大的应用识别、威胁防范、用户识别控制、
优越的性能和高中低端设备选择。
AppJD
Content-ID
UserID
SP3
瀬需
■■ F
数据包处理流程图
:
2.
查看会话
可以通过查看会话是否创建以及会话详细信息来确定报文是
否正常通过防火墙,如果会话已经建立,并且一直有后续报文命
中刷新
,
基本可以排除防火墙的问题。
2.1.
查看会话汇总
命令:
show sessi on
info
举例:
admi n@ PA-VM> show sessi on
info
Number
9
6
Number
sessions
active
TCP sessions:
supported: sessi ons:
UDP
Number
Number
active
sessions;
ICMP
Number
acxive
sessi
Number
active
ons: ECAST sessn ons:
%
Number
active
r
p
ct se5 5-i
CAST sessions
ons
:
: gr edl
/J
Number
active
active
_
se^si
Number of sessions created since
bootup:
on
tabl
e
ufi
1
n
zafi
on
:
Packet rate
:
Throughput
::
blew connectlori establ
1
sh rate
:
0 0 0 0 0 0^0000
r-
b p -
_
_
sk
PS
-
5
-
Sessd
timeout
on
ti
meouit
TCP
default
timeout
:
TCP session
36000 secs
TCP
session timeout
before
SVN
TCP
session timeout LDP
d
-
ACK
received
:
before
3-
way handshaking
:
after
secs
FIN
/
RST
:
13
3 3 3
secs
更
fault
timeout
:
secs
5 0 0 0 6 0
0
secs
other rp
defaulx timeout: captive Portal sessi
ICMP
defauIt timeout:
secs
on ti meout:
secs
5EC
说明:通过以上命
令可以查看到设备支持会话数的最大值,从而
是否有负载的情况发生。
< br>
2.2.
查看
session ID
命令:
show sessi on id XX
举例
:
<
br>也
1?72
c
2s
f
l
ow
:
3<
口
R
L
II~
匸
=
:
d^ti
pr
or o
:
spew T :
s-
僵耦慌
*
4
ifaire;
*0
F
L G
src
user; dtt
u^or
:
ACTIVE
unknown
unknown
flaw
:
p.-oro
source: ds
c s
1.9^
Spcrr 3
St
:
L?
B
?
了
.
5-7
t
72
[LJ-unizrLisi-
1
II
I.92
80
da* use
art
usa
ata:
『
i
ACTIVE
dporr
7891
『
:
urikridwri unknowm
tzypn;
t
FA-
CM
STdri
XliftC
6
I
1
l
?
EO
Lrt
53
di&
10
II
n
吕
ro- 1
1
v<
$$
^
total bvt E C
OILI
>&
eN
d
(
at
byt
c
count
C
nt
c.
c
2
s
J
E
J
C
>
「
z
1
ayc-r
T paclkax
CDLUTIIC
C
E
Z
S
'J
■
孚
r
1
ayec
?
pd^ket
counc
(
3>2
C
J
vsys
QUp
vsysx
r
I
1
tat
1
on
nar
pol
sflissisni
til
e
True
i cy
5
P5 3i on
TO
i
ir
b* logged ar
ernd
性
炸
16
杠
ag
pr
^>05. s
F al
SQ
ESi./|par
t
tFiftrifi
1
ati on
f
ror?
nat.
-r ull e
KA
pc air *iddre-
?
natlLWCways.l Ji
conpi^i^^l
gurcsi
+ cda-K
ti nation
i
ayer
?
pra??S?lng
UIRL
Til tec
1 ng
enab led
F
al
se
舌世务毎
r
on
vlii
舌护电旨
naTed
s
es
s
1
on tErnil
ap'E
ntcirf jea
~i vs
on
hos
e-gr
ipar t: al
session traverses
cwnrHel c
e-3 3
5 ias s i
oni FiHigi
ir*t
ierface
严口匸
m
i
Fal
sc
se
tii
J
1
on
沖
n
ru
I
*i
i^al
y
SQ
Whor
料衫电
he-r
nc-txy 3
iy 4> ■et
说明:从以上命令中可以看出到底是否存在非法流量,可以通
过
、
检查
检查源地址和目的地址端口等信息
23
条件选择查看会话
命令:
show sessi on
all filter source[ip]desti nati on [ip] applicati
on[ app]
举例
:
acUnlrWPA
ID
short sctilcrt all f 1lrar
soLr?
192.
Appllcarlon
71
application ssl
lypc
i-
lag
:
por
&rc
[±
I
[□portj/i&r
s
ACIl^E hLUU SIS
192.16a
.
丄
CO. 7_
[169?
e] LJ-tPuSt - t tl±
J.
S2. Jfr.
14112 b SS1
0
監
243.2U. 134 [443]A3-uricriKI
(?
3. MS. Z16.1M[443J)
:
L
H
—
MM
cl/^&rcx
Proto Ctrant1
die
划
IP
(
di ad i^lporc]
D]
>
说明:可以检查一些风险会话
2.4.
查看当前并发会话数
命令:
show sessi on
info
举例:
当前并发会话
13
个,而最大会话为
262138,
说明会话利用率并不
高,最后一
条红色标记为新建数值。
adminGPA-2O5O> show session
info
iNumb
史
r of
5
电孔
际珂:
Number
of
active sessions:
Number
of act live TCP sc-
ssl ons
:
昭
1
Number of
去
t
LOF
sessdons
:
ICI
^
P
Mu
(
nt>?
r of active Number
sfissions: BCA3T
of active Number of active
sessions
;
MCAST
sessi
Number of session table ut
DTE
:
predlCT
Number nf
吗
crest<
?
(
i sinrp bootlip: Packet
rate
:
Thr
ouqhput
:
sessions
:
1
ization:
7 5BO7M
2J/s
21 kbps 0
c^i
New
Lurin?
ct Tun est
session tlneoiv
TC
P default
fi
meout
:
TCP
t
ImeoLrt
berore
SYN-ACt r
直亡
ved:
TCP 5?
3ion
上
fm
电
?nt before 3-way
handshaking
;
TCP
ss
i
ori tiirecut aftfir
FI
'J/
RST
:
UDP
default
1
佃旳山;
ICMP
other
丄
F
d^failt
timeout: captive Portil
session
timeout:
S
P
$$<;1
on tlnjiciiit in
disesrej
stsr
TCP
:
90 secs!
UDF
:
60
secs,
other
rp
protocol
zees
6
C
5 G Q
c G o
C
O- 13 3 3
3
secs
SMS
secs
def suit
t
i
rieoirt:
5CC3
3
:
tO
5CC5
Tr
utj
SO%
of uti lizaticn
Stis i on dcteler died doing: Accel er
ated aging
tFrcchcld: scaling fatTor;
_
Se&f1
on
吿
Etup
TCP * rtject nGn-5Yh
f
irst p&cktc:
HirdM/ir?
s?
?
sior offloading: IPv6
f
i
r
^w*1
1
inq;
Appl1
can
on
rricklirg scan parameters
:
True
TTUS
Fals?
Timeout to
determine applitatiort
trickl
i
ngi 10 sees
iRpsnurr*
1
util57At5oin
threshold tn sts
rt
srin?
S?
>% 5car 5ca1
factor over
r
equl
ar
agi ng;
召
Seis i uh behdv
iui wtitri re^uur Lt 11 ni
L
1
1
r
^dLhed
;
dr
WL
说明:了解设备当前并发会话情况
2.5.
会话过多处理方法
命令:
1
、
s
how session all
(检查所有
session
)
2
、
show session id XX
(
检查该
session
是否不法流量)
说明:如果发现会话数大于设备可支撑的性能,需要按照以上步
骤检查和清除或者防御
通过第一步发
现占会话总数较多的
ID,
通过第二步检查该
< br>ID
是否
存在不法
app
或者其他流量,通过
Dos
保护或者会话限制该
IP
数
目(如果确定是
3.
清除会话
命令:
Clear sessi
on all
举例:
可通过
session id
、源或目
的
IP
、源或目的端口或清除所有会话
admi
H
&
PA
-
V
^>
clear
+
aoplicatiar
+
destination
+
destinatiar-pcirt
4- desti nation-us er
+
dos-rule
&
电
sslon all
filter
Application
nan?
e
desilnailon
IP
addre^
Dest
i
nat
i
on port
Dest
i
nat
i
on user
Do
?
protect ion rul
e ra
rre
+
frorrn
+
hw-i
rrterface
+
mi n- kb
+
nat
nat-
rule
+
pbf-
rule
十
From zone
hardware i
nterface
mini mum KB af byte
count
if session
i
5
NAT
IP protocol value
Qos cl
ass
Qos node-i
d
value
QQ5 rul
e name
Security
rul
e name
sou
『匸。
IP
address
NAT rule
name
Pol
i
cy-Bas ed-Forwarding
「
uTe name
+ proc ocol
+
qos-class
+
qos-node-ia
+
qos-rule
irul
e
+
Saur
ce
十
+
sour
ce-port
+
source-user
+
ssl-
decrypt
+
scace
to
+
type
十
source port
source user
session
1
s
decrypted
flow
sraie
To zone
flow type
+
vsys-name
nter>
vsys-nane
Finish inpur
说明:将会话清除。
4?
抓包和过滤
在做
debug/less
或者抓包调试的时候,最好把<
/p>
PA
的
fastpath
功能关掉,这样可以更加完整的看到交互的数据报文,关闭命令
为:
Set devicec
onfig sett ing sessi on offload no
Set
sessi on offload no
命令
:
1
、创建过滤规则:
2
、
Debug dataplane packet-diag set filter
match
destination
开启过滤规则:
Debug
dataplane packet-diag set filter on
3
、配置抓包对象:
Debug detaplane packet-diag set capture
stage receive file
(抓取来
自接口接收的报文)
source
Debug
detaplane packet-diag set capture stage transmit
file
(抓取地
址转换后的报文)
Debug detaplane packet-diag set capture
stage firewall file
(抓取经
过防火墙的报文)
4
、全局抓包开关:
Debug detaplane packet-diag set capture
on
5
、查看全局抓包配置:
Debug detaplane packet-diag show
setting
6
、关闭抓包
Debug detaplane packet-diag set capture
off
7
、清除所有抓包内容
Debug detaplane packet-diag clear
all
8
、删除文件
Delete debug-filter file
举例
:
adm-i
n^A-Viy^ debug dataplare packet-diag show
setting
Packet diagno^i^
setting:
Packet
filter
Enabled;
^atch pre-par5td packet:
yes
心
LQggi ng
Enabled:
Logi-
throttle:
Sync-log-by-ti
ck<:
Features:
Counters
:
Packet capture
no
no
yes
Enabled:
Snaplen:
r,
二
J.
”
打
2
no
0
说
明:
paloalto
可以通过抓包的方式来分析故障情况。<
/p>
5.
CPU
和内存查看
5.1.
管理平台
CPU
和内存查看
命令:
show system resources
举例:
adtit^PA ?oso> whow system
resources
top - 0L:19:*4
up
11
cidyb
B
16:4*
?
1 useir
B
load average:
0- 00
P
602.
0,05
T
U
L5-
L
94
total
a
1
runnino^ fiJ s 1
e<^pi
ng.^^^^tappMid
.
4pu(sj
:
1.
fi^Lis,
1
.
2%sy
l-ZXrH
;
,
95.
B%1d
r
o.
3%Hia
r
o. oshi
a
□. lKsi ,
o.
cn|
3
Q zioflibia-
Rbau
#Q58
B
!
k
lonciij
?
>wap
:
TnOBOBSt^rwXT
;
PID USEfll
l_W
ys/^k used
;
l./'T
丄八
I 4 h
Du
IN
4
P7
1
3
82?
2k
■Fr?e<
JOUiZk
buffvrs
|~
^aMZ/uk
cachiKl
PR
00n0mToonoaoo00_J0un3oononoJn^n00Q6OQn
_-i
3 m Td
2
2 2
,2
2 2
r
h
JL.
*
?
1
2 fc.
i
2QM
I
5 J s 6 8
9
7 2 d-
5 b
t*
6
s
i
5 7 8
lLLlx?2-23-lr>56E
fx -I-
T-
?L
-
I
IX
HA
■
■
」
丄
10
呑
o
嘉
4Jm
Rtr:
SMR
5 !MCPl
5W
冰
TIPE+
COMMAND
SQQ
4
0.1
O
:
GD.
如
6
b
2
0
a i
0
0,0
II
.
0
0
6 0
a
CL 0
0
0,0
0
0.0
□
0.0
0
0-0
a
o, 0
0
0,0
0
o?
c
□
■0 ,
0
□
0.0
6
Q
0
□
0. 0
0
0.
0
0
6 0
□
6
0
0
0.0
0
0.0
□
0.0
0
0-0
a
o, o
0
0.0
0
o.c
□
■0,
0
0
CL
0
6 Q
0
□
O. 0
0
0. 0
Q
0.0
□
6
0
a
0.0
0
0.0
n
n
1
I I
h
8 0
6
0
UOUOOOOOOO-QOOO uo
uooooooooono uo8_QOW
RT
6
0 2& 0 0O0O0
0O0OO0 000 00 0 00 000000 000 0od00fi
<
/p>
■
?
「
」
?
「
■
0
□
0
o
□
□
D
D
一
―
741
:J
巧口
ie^
1^0
721
??3
0
□
□
g
061
Btb
fll?
■
■
■
「
,
「<
/p>
4
□
0
c
o
Jfib
1707
1708
i R.A1
?
61
TOp
pyt
hon
0!03.02
inlT
0:00,
00
kthrcodd
0!
汕
-|
口
rar
lcn
;
o
Q
:
g
on
*csofx1rqd/Q
0:01.92
migration
'1
0:00,01
ksoft
irqd/l events
「
0
0:00
?】忑
O!OD.
04
e%
a
erts
/I
khdp
甩
if
0:00.02
0
< br>:
0Q,oq
as^nc/?
qr
0:00. 00
syriLSup-er s
0:0OQO
bdi-d?
fsuit
O
:
GD.
ss
o
;
ao
.
du
kbl
ockd/o
kb 1
ockd./l
0!0C. 00
ara/o
O;C D.
00
ata/1
0
:
0C.
OCJ
ata_ALix
0
:
OD.00
khubd
a
;
ao
.
oo
kserd od
0:00.00
rptiocJ >
0
0:00.00
rpciod 4
O!
ks^apdu
aio/0
0:00.00
Q
:
alo/l
0:00.00
nf silod
0:00 a?
octton-?<
/p>
thtrr?
c
o
:
0:
scs1_eh_0
GO
?
Otl
sti i_eh_l
0!0C.
mtdblockd
0; CO.
?X]
usblhi
d
res umer
0 !4fi.
4B
ikjamrnalid
O
:
;
32.
f1ush-8sQ
0:01
?
29-
ude*vd
0:00.17
町
ouriri^ld
0:00.01
kjournald
Fl
?
*1
E.
1 o
说明:通过以上命令可以查询到数据平台的
使用情况。如发现
resources
follow
这个命令去检查到底是哪项应用有超负载行为:
-1
可以
检查哪个
CPU
频率高,默认为合并
-M
可以检查内存使用率是否过高
<
/p>
检查异常应用是否必要使用,否则请关闭,如果不清楚需要开
ca
se
分析问题。
b?
i -U
!fr?
'
:
^-Tt
t lapswj
%1
H
?
S
1?
M
i-i?
E. x-aivU n|
?
J
2
?2 2
■
B
AII
J
*
cpu
使用情况和内存
show system
CPU
过高的情况,可以通过
jkT_f±
c^
什
EjBft
;
kt <1
In.
(tE.-S^kf
i
;
l-3W
F
ET
,
BE
■■
I
!■■'■
破叩
t-av^nw
Z7EUKO9
小
韶
2TJ-5BJ
M4K4
33J0T
*Mkecs
r^cei uni
er*if1iM1l!M
=
?
XkK3
ill 1
口
匚
W5-J1TI5
I
AIII
3
D
rraw
Wfflir^
■艰
I*
川柯
:
tssi-jn jet
d-iM?
r4 toy
wT?
cy check
■
IKE
B
1
1
wop AFr*r
IBHlFiUtflS 4
?
H
4
C-> EFI
J
JH B
i
J
FI
ifrDflptik
科
*
IT
c-MkKs
舸
i
;
1
冲
f
呻
W
-i
=
ik qfipvd. Lnvik ?
d -.-H
OTI
严日
EF
■届
*LkKJ
^ArkKf
diSWlH!
M
UihE
=
M=kK3
S?
-
cr
d
口
卜
申
luBd
pr-atEsasr
莎
ii
u
ihi^
i1*i
三
也
[
r?
[ luii
.^uikfa fi
-jas
3etup
M^
F
TCC w*t I*
*ll?
Jrt1v^ rKvl?
”
P [
II
-L
F
-
■
?
-
■?■卜
nr
■^■■■Rli
-r
FJF
rh
is
画
kopixJi
川”
WTV
S
a
-
Dflpeti
:
护押
R
出
沖
*?
4kMb
4fil
11 uppvd.
■
-
■?
1
■小
□■
?>■:
dr
叩
a-Rip*fl
:
--
1-i
^clin uc'
财
IP
trzdt
比工
g
rwie *or
IF
一
?聊
艸山
E
一
一
心
**
;
kKS
nilETciAC
强
n.
riMftlh
附档
一
_
e-Kk-K-fi
亠
r
:
p.
耳更血时
e
r?
?
i6
E
I
t _
Mff
I:
H
II
MO
.1 1CP, ^CF pore: 0
I
'
罚卓“膏?
EF3^
-arkrti
=ckm
*WkKf
■■■■Kk
-K?
=KkKi
Pvhui-dri to fllFfW-M
Jka-
v ?K*d ? TU
1
TL.F
f
ljaj< fT>*FTW?
+
Ji r
HM
WkMt WKkKLS
*WT
1
1
4 3f*
JKV
4^^
?
-
-------------
~
—
- h
10^p
:
h nl
*
Mid
血
wHidX
WMP
**or
=*?
kK?
Wib
l
'i gftfjp**
打
1
吹
=<
drspp*U
:
?
bvad
____
3> rrjB^r?
—
章曲
LI
r>
fp UMME T
___
r
=_
X■:
T
_
___________________
―
,
itlvr
-^frifpvrTarl^
i
■
可亘旦可
ll JMpVLl.
LHii^tn
fmc
EMf1tfC1W41144
LKIW
rinn
iruir
>1
1 ?
rror
应
iJonjriiinBl
I
tf
THJG-flfir
]4h
r<
8
-
Eig
『
ig **r
'1 on_ho_ 3
nt
■*+
KV
1
4n-
3
4Jff ■? 3B
仙
1-?
._^ Bkfc_Brt
]?
?*
,|X
J
T
1C> ■
?
if*d
!fl
■尸
C
111*
Iiil3i!?
-!U
IX2MC5IE
2D
:
却
?
Ii
i?
:
l?
5P_f?
t_l 2_rsX->JsX
?
'IftaiJMLTMWB
ilfrji
l?
i
=
fw^^ntu aBEMdid
!
事
7?
何」』品
硏誑
W_P#rW-iJ_l>?n l-3n_pirSH
■?■
jpws:
J
?■?_(>?■ ?L_ti3j5k1 n laWJPTWB,
ip*T ■M
1
ind
1?
?
_p?
-24L-i^WU
:
?h?
d_1
CjP*?
rf ]fc
r
^t
附
忙
?
l
尸■和
MU
I
1
313S
]BK
盹
竄
黨
於
诗
卞
於<
/p>
瞬
灯
亠
d1J^
i1l
J
M
□
乳
一
□
亠
1
^1- - 11^ W-Idrtdd^
—
1 -u
ihat-
?a
!
Tup Tf* T
e
IHf
f
i
—
-T SI JT F
_T'
F J
!ErBli^^:H:E
屮
于
f frTF Lft
f
J2
3!
S5
^fl-
ri.d-fldd-
s Sa
a
3
m
i>
i]
?
n
j 3
m 114
J
W
rm
■
.+ F F
需
存坏尸扌
卞
F
52
数据平台
CPU
和内存查看
命令:
show
running resource-m on itor
举例:
admin^PA-2O5O> show runm
ng
resaurce-r>onltor
Resource monliorlng sampling data (per
second^
:
rPll
7
aad gainpl
i
ng hy graup :
f
1
ow_l ookup
f
low_fastparh
fl
uw_ilu
岬
*
iLtl
rl
ow_f orwar di ng rlnw
fngmr
fl
ow_ctr 1 hac_re5u
T
L
r 1
uw_i ip dfa^recult module
i
nternal aho_result
zl
p_resuIt pkr1og_forwardi
ng pH
f
lowhost
说明:
通过以上命令可以查询到管
理平台的
1%
咖
0%
0
需
0%
ost
1
耳
0%
叹
0%
0?
0%
叹
1%
CPU
lo^d
凶
core 0
dun ng 1
ast
1
0
1
2 0 00
3 0 0
0
0 1
0
1
cpu
使用率,查看该
CPU
哪个应用占用的程序比较大,根据情况关闭相关应用,例如
flow_lookup
是检查会话是否存在进
程,
flow_forwarding
是
transmit
地
址转换进程,如果不确定的情况下开
case
解决问题。
53
全局利用率查看
命令:
show coun ter
global
举例:
&IWm-
CMal wjunttrj
§
1164
)
二
I
Ell>p3?
-[i
tine- since 1&5T
:
s-wpl 1n^:
!J7
.
M'S seconds
ndM
口
ka_recv
pklatent
r
I
c_pkT_r
o
:
?
value rate
节电
fbTiy
?i
(
wry asp-ecc
Q
in
fa
:;-lrllltE_
t
E- M
n-
n
CSeSCFlpTlijfl
PAtk-tJ. r-Ecei t^ed
^■acktirt trintmUiiicI
z-ackei
packet flS
tlm
riw-
hosiJ
)
ki-HK
1
^c-nf
I
- - p
■
z
-;:
」?
ii-
Ifll dMA-nters hi
< br>:
^
1
F1
<&_err
iinfo
1
flfO!
WQ
drop
wfa
i
rf-Z
Fiickacsi
r?
c.4l >-&d fro* cofTEirol pl
in?
v-iCMCIi
“
]
航
*
0 tQ
(Qfiti Ql pil
ir>
P-acliets- topped; dec-H^svl-ation
b
「
b fron ■ pla^e
d4
「?佃
F6BJE
Vm
T1
ric
富戸
rd
E writing
-dlag
说明:可以根据数据平台和管理平台综合情况,去查看具体哪个
应用利用率超标,综合判断引起故障的要点。
6.
Debug
和
Less
调试
在
PA
的
debug
是为了获取等多的排障详细信息,这个命令相
当于<
/p>
show
的命令,主要是查看管理平台和数据平台额外信息从
而判断问题的根
本原因。
Less
为管理和数据平台
log
日志的查看,对比起
GUI
使用
CLI
的
less
能看到更多的详
细数据交互信息,从而判断问题的根本原
因。
6.1.
管理平台
Debug/Less
命令:
less mp-log
/tail follow yes mp-log
举例
:
adrrl
H
@
PA
-
VM
> less mp-1
og
igcm
-
< br>-----------------------------
x
)
tnec.
1
og
J
evsr
v.
1og
ia
-mani
^.2
tcymgr.
1og
n*star
d_r
an
ag
?
r
-apps
log
np-
mnn-i
t
or.
Ing. ?
if canntr
■西
3ar_nqmt_firstboot.1
og jamo.
T
asmgr. 1
og
inrrpa.
log
:
>/sd.
1
ug
一
_J
_
上
r
▲ ?
~l
却
p<
/p>
底乩
10
马
---------------------
brdaqerK-log dhcpd. log ehmon.
log 1
ogrcvr
,
log
-inf
r*.
log
mp-ncnirnr
log.?
pan
comm
0.
log
pan_taslc_l. log panlogs-parrl
on.
1
ng
reboot
.
log ssl
-ngr
.log
m
疗
dagEiri
og
crasd.
1
匹
drspr
ox/t.
log
1og
mfi-
mnnicrr
,
1
n
弓
pan_dha. log
pan_ur
1_downl
c
r^porT_gen.
1
oc
sslvpn*
Teg
user
i
dtln lac
log
说明:查看管理平台日志信息可以通过辅助命令去实现
:
tail follow yes mp-log
使用
tail
可以实时发现流量情况,例如该命
令为查看管理平台的认证情况。
JI
1
fsllni yas up-la
斗
ajjihd!. laq
62
数据平台
Debug/Less
命令:
debug datapla
ne
举例
:
adrr-i
n?PA-VN> debug
a
fl aw-
coniro
-
!
a
f pga
>
i
nier nal
a
memory
a
mpniror
>
nat
>
packeT-dnag
>
pool
>-pow
>
process
>
reset
A
Show
>
cask-
heartbeat
>
tasks
>
rep
>
test
dataplane
Enable/Disable flow control
Debug
匚
ontenr
f
pga
Debug
daTap-|^n?
-internal srate
Exami
ne
dataplane
memory
D&btig
daT^p-|mQnl
tor d^rsil
nat
^acket-rel
axed diagnosis
Debug buffer
pool
5
Debug
packet schedulIng engi ne
Debug
datapl^ne process
Reset data pl an^
5^^*!
ngs
Show data pl afie
running
data
量,例如内存的
详细使用情况等。
6.3.
其他
Debug/Less
命令:
debug ike global on debug
(
查看
VPN
ike
信息
)
less mp-
log
(
查看
VPN
ike
日志信息
)
举例
:
^HL^ILIL^L
*uTf*irTtic5TiftC| lebeal
&d?
in adfrfn ?
uet?
c4?
d
■pan aurbil
pro
: : - <
br> <
br>31!3 <
br>JU <
br>5~
fl <
br>eque&i frgni
-rAsi: auThrAsulrtpain
aurth
a
c:ll-EiCj :
piifi_aLiThd jr&c^s-s aLrEhrosLilr' admn aucrrfli-
lE a urn ad
RACUAET
F*cMv*d
t
廿
讷
lock
tharM.
fl_^_|srofT _-ifflnir
Errors
pawaui^id (pan_ainH-
d_l-3i:aTdb_!-T
i
i
ls.c
:
y94) * f^TlAd!
TO
unleck Ltsflr
rad._dmHy_^adirirLX-prBH
1
a
_
.a
dvtHi
1
* U9?
r
P
Mini H
!
aueWK^ICIKldL
f
1
r?
!
1?
2.
J.
.
pan .
qar
rp'STflw crd^oLT put ^pan rfg irt-i'l
s
.
r
!
4 J75'J - a
LatLnH
「
<; :
L-rr ^lacal ii-in =-±
3 -n -r
cf
ap?
firxT
,
E>ar>_3LiThd_ciar*f
&a(pNi_nur
祝
I.
e:M}
: t<
LnADlitf-
rjl:t
par.
qeF
rp-STflin end
C
L
T
put CP an in
1
1
s
.
c
!
4 ~7S] ■ a tacLTrir^i:
L
-
ST
■local
-bln s-±
3
-
.■■
-
F
cf
5. ap#~arian21 -mda p3^i_SLrrhd_: or
ce_r?
ci( pan-j irtM.
c
:
J
1
J
:
AUThd
w
rc-qy-cc
par
_auT*
■
andld
□rcu
p.r
-
M
par
=
autbd.
<■
!
$$2JD 1
dr _:ar
r&lfi ada-raTr
far
us-fir-
RTim
Debug
dataplane
task
heart
bear al 1
pan_rasks
Examlne dataplane
tep stare
verify
system
setti ngs
wi
th test cases
说明:使用
debug
dataplane
可以查看数据平台流
I
I Rftra- jn/T
U -
ncpii
adm1ngLp^-2O50>
less
10^34x33
2013 06
30
■p
-loQ 1
k
e*gr,
1
INTOJ
s
iuim
hurting pjnik?
H
n
:
D
U
2 91C
WsMiB
1D^
IWFOl
s
B^iri*
t
:
345;?
4iin
2O13-Q&-30 2dl3-a&-30
Q
:
?
QP
外
35LE<
/p>
哄:前
2011-06-30
34i33
10
:
IIhFOJ: nailn_?
:
J-5S:Ballis
_____________
O
: readlr-g corrf 1g
/
1
k&mgr
.
carf
= ______
=
”
_____
……
_____
*
_____
2011-06-30
1
Ilf J *
+*
卄十卜
*
十号十十十
十
卡
十十
十十十十十$$?!■十■<■十
十十
ar 1
十十十卜
*$$
予
~
十十
2043-06-30
M!13
10
:
DE
BX] :
i
k
e.c
arf
■
c:
A
2691
i
ke^
1
ST
e-ncyf)
T
check! *>g eopfi gur
&n
INFO
!
十十十十
;
naln.
c
:
i4;35
HO
;
IKE
DAEMON START
m
Suh
J
Un 30 10^4:35
2043
40O
wln^
v
INFO
]:
10^4 35
[IRFO]:
_
n. c^462z
Tai
nQ inq
TO
+
+
I
I
I
尸
I
$$
I
I
i I
F
2O13-05-JO
1D
:
3^
1G!
]-I
wAlifirig
T
S gar last cafliiltred
ewifIgurailafl
10
!37
I
Ch
34
:
戸
harnlinq: clog call
hack
(pan
30
10:34:3?
■at
1
rd mg: e
1
og all
back
(pan.
eloq.
c:4i)
:
E
!
O
<]
being pr
F
gagent.c;S31j
;
Can
'
t
fetch
ianL_cfgiagent
■coofrig si
nee data plane
10
10:34:37
Error
;
pan_cfgagbent
—<
/p>
get
—
1
astc
—
.
.
1^: 34
:57
l<5t
cooiiri t^s3 tonflyuir^ion
iVAilutili
10
sync
mocify -=sw. mqpnr* runtime.
30
iGr
J4
37
Error
r
pan^cf gaqerT^'fl
lues
ysd^boqlean sync
(pan^cf^agent.
c
:
124); cfgagerr
rfiol^ter
faned
Tn try l/y
sTeapliig
for <
10
se
rends
曰
irix
;
MTLC
T
寮护如
产彳
壮尹声
cLIxxrkdc
严?
泗<
/p>
-
苛沪耳电
c
;1
冲
)
;
cfgagert registeir
f
ai
led
i
n
try
2/5
?
sleep!
ng
for
5
10
notify
<5*uimi)niT*rnr^inie-
10:34 42
seconds
P
??
Errvi
:.
pan_t.f
gidgehi_w^
i
dlbwu
I?
dn_iyn<.
tp
f
y
电
c.
:
124
)
:
cfgagent
re^istar
f
ai
1
sd in try
10:34
:47
3
;
5
?
sTtepin^ for
5
seconds^
. >■
Error : pan_cf
gage
rT]t_w
1
i:
e_sys
eCbno
1 ean_syrc (pani_
匚卡勺
卫
11
上
.
匸
:
丄
iyhL
mocify ^tie
?
10:34:17
24)
!
cfgagtra regBter failed
In
try
4/5.
sleeping
for 5
se
conds.
?
.
3U
JO
1DI14
:
52
Error
:
pdn_cfg^agtenc.w
1
ce_s
>>s
d_boio
1
e
jn_syr>c(Nrucf
nc.
c
:
124)
;
sync
moclfy
1
10
10:14
5?
Error
:. pan_cf
gag ErLt_ejiah
1
E
t
p
gage
nt <
/p>
-
匚
;
y^fi
J
: f
ai
1
ed to reyi steT
c
orrf i
g agent
w
hirn-in-g:
1
1 cg<
/p>
a
c
1
1
1
和
^ync
■qdlfy
处憚
.
m^w
?
F
i
th
10:14
:
bickCp
1
og
.
c:
-i
1
): Elo^ bswg
proxi
?
d
Ju
managemen
10134 z
5 7
1U
1&:34
:
57
aanirrerA 2Q30> uil For low
yesup nog
lull
—
」一
一
1 i'
士
log
Jul
15
□6
:
39
:
36
i kengrr : pan^ ke_d aenon phase
1
f
h
ith st az
us 1 i ktmgir :
Jul
15
DSHD: 30
panilke_dpl^iUE
_
.
2
tar
_
ted
1
Dul
os
:
40
:
ID pan IKE
cfn
ptiui-2
triqqered.
Jul
15
pan
XKE
cf g
iphas
e
—
2 tri ggered
when
not
r ec ess ar
y
s
ski
pped.
i kemgir j
&B;d0;30
—
-------------------
-
—
~
—
-
汎
—
」
ipanllke_daer?
cri pfese 2
flnl shed
OB KOS
J0
2013-^57-27
?■
■
n
-?
_,
_
2
tlNFQl
;
panike
cfebMgJ?
v?
l_cbi 4 .^,5
Jul
2
1
f
Borureques
i_pu
i
Caaeman./pari
1
k
e_s-y
5d_1
f
.c
:
8
S
5)
:
1$$
e-rlire
CQ
pipe
:
d?bug_le. e1
J
肚
-
小亍
*
』
.
■一
______________
一
一
_
_
Jul 27
12
; S0:S7
i
f
?
on_r
w,uM.t^ger {
da#m
n/
pardk-e^sy
s
d_i
f
.
cs
71
)
r 16 reAd
f
ro?
pipHt.
?
nsg
type 1
Jul
27 12^50:57
pMi_Bsg
process
〔曲电叱门
1f,
c
:
969ji:
『
p1
阻:
d^bug
level
^Oll-0i7-27
i2*Sflz5r
[INPOJ
: panl
IcejysiLiiipl
-
e
tloorpanilke
;
_detxjg_T&v#l_c
faO !
pafrik?
L_deoug_l?
vel_ch 5
=>
说明:查看
交互过程,可以通过
的方式实时
查看数据报文的交互。
命令
:
(查看日志情
况)
VPNike
tail follow
yes
debug log-receiver statistics
less mp-log
(查看日志缓存情况)
举例:
-
-
-
-
-
-
-
-
-
上一篇:天体运行程序代码
下一篇:英文版春节和圣诞节简介和比较