说明:从以上命令中可以看出到底是否存在非法流量,可以通过检查源地址和目的地址端口等信息 2.3.条件选择查看会话 命令:
show session all filter source[ip]destination[ip] application[app] 举例:
说明:可以检查一些风险会话 2.4.查看当前并发会话数 命令:
show session info 举例:
当前并发会话13个,而最大会话为262138,说明会话利用率并不高,最后一条红色标记为新建数值。
说明:了解设备当前并发会话情况 2.5.会话过多处理方法 命令:
1、show session all(检查所有session)
2、show session id XX(检查该session是否不法流量)
说明:如果发现会话数大于设备可支撑的性能,需要按照以上步骤检查和清除或者防御
通过第一步发现占会话总数较多的ID,通过第二步检查该ID是否存在不法app或者其他流量,通过Dos保护或者会话限制该IP数目(如果确定是攻击,可以通过安全策略屏蔽该IP地址访问)。
3.清除会话
命令: Clear session all 举例:
可通过session id 、源或目的IP、源或目的端口或清除所有会话。
说明:将会话清除。
4.抓包和过滤
在做debug/less或者抓包调试的时候,最好把PA的fastpath功能关掉,这样可以更加完整的看到交互的数据报文,关闭命令为:
Set deviceconfig setting session offload no Set session offload no
命令:
1、 创建过滤规则:
Debug dataplane packet-diag set filter match source y.y.y.y destination x.x.x.x 2、 开启过滤规则:
Debug dataplane packet-diag set filter on 3、 配置抓包对象:
Debug detaplane packet-diag set capture stage receive file x.pcap (抓取来自接口接收的报文)
Debug detaplane packet-diag set capture stage transmit file x.pcap (抓取地址转换后的报文)
Debug detaplane packet-diag set capture stage firewall file x.pcap (抓取经过防火墙的报文) 4、 全局抓包开关:
Debug detaplane packet-diag set capture on 5、 查看全局抓包配置:
Debug detaplane packet-diag show setting 6、 关闭抓包
Debug detaplane packet-diag set capture off 7、 清除所有抓包内容
Debug detaplane packet-diag clear all
8、 删除文件
Delete debug-filter file x.pcap 举例:
说明:paloalto可以通过抓包的方式来分析故障情况。
5.CPU和内存查看
5.1. 管理平台CPU和内存查看 命令:
show system resources 举例:
Paloalto下一代防火墙运维手册V1.1
