Entradas populares

  • CISCO IOS 15.0
    Hace tiempo me preguntaba porque CISCO salto de la versión de IOS 12.4T, hacia la versión 15 directamente. Y estos días he encontrado la res...
  • ¿Dos fabricantes para doble barrera perimetral o solo uno?
    Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más s...
  • QoS en Paloalto for dummies
    Hola de nuevo, gracias a todos por los comentarios y/o correos. Os dejo un resumen para configurar calidad de servicio en un Paloalto.  Como...

miércoles, 22 de junio de 2011

"Cuanto más sudes ahora, menos sangrarás en el campo de batalla". Troubleshooting Paloalto

¿Se te ha puesto esta cara con algunos problermas de PAN? Tranquilo, seguro que nadie te hará una foto ;)

Problemas inesperados entre la capa de gestión(Candidate config) y la de ejecución del Paloalto(running config).
  • No se puede sincronizar la configuración entre el activo y el pasivo.
  • No se puede hacer un commit al principal. Dice que ha perdido la conexión con el servidor de gestión(Cannot connect with the management server)
  • El commit tarda mucho o el commit cada vez es mas lento.
Solución: Resetar los procesos de management server y device server. 
Background: Los demonios no se depuran y crecen muriendo por lentos. Hay diversas causas como el navegador.
NOTA: Este reset de procesos no afecta al tráfico que pasa por el equipo. Se puede hacer sin esperar a una ventana de intervención, sería como cerrar el navegador y volverlo abrir.
Ejecutar desde CLI:(Ni caso que se llame debug)
  1. debug software restart management-server
  2. debug software restart device-server
Hacer un show system resources para verificar que los procesos se han reiniciado.

BUG, de identificación de usuarios mediante pan-agent y directorio Activo.
  • Los usuarios validados en el Directorio Activo se saltan las reglas de seguretat. Son identificados dentro del dominio pero aparecen como desconocidos(unknown). Todos los usuarios pueden hacer todo lo que permitan las reglas con usuarios.
Solución: Hacer un upgrade del agente cuando sala la nova versión. 
Mitigación, desactivar la comprobación por netbios y en el servicio de PANAGENT, configurar las tres acciones para cuando se quede colgado, como reiniciar.

Aplicaciones o comunicaciones lentas:
  • PAN, no deja pasar los paquetes ICMP code 4 type 3(Fragmentation needed) que notifican que la mtu es demasiado grande. Eso implica que ciertas conexiones(VPN, WIFI y WANs) funcionen muy lentas. 
Solución: Definir una custom application con icmp code 4 pero en la regla de seguridad definir el servicio como default-application.

Permitir toda la navegación, no solo http y https.
Crear una "application filter" por tecnología: Browser-based. Son 489 aplicaciones como web-browsing(http), ssl, flash, youtube, facebook...etc

Ver la configuración formato comando y no estructura xml (Muy útil para cisqueros)
 set cli config-output-format set


Robclav

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)