故障したかもしれない、でもまだあきらめないで
PAシリーズを起動したときに、こんな症状になることがある
・いつまで経ってもWebUIに完了アクセスできない
・LEDのALERMが点滅している
・起動時、CLIでもerrorという文字列がチラホラ見える
勿論機械なので、いずれ故障するものだ。
しかしPAシリーズはそうやすやすと壊れるものではない。
復旧方法を説明する
壊れ方には大きく二種類ある
1つはハードウェア故障だ。
例えば
・物理的にNICが反応しなくなる。
・LEDが光っていない
・メモリ動いていない
もしハードウェア故障であれば、これは物理的に交換する以外に治す方法はない。
しかしPAシリーズのネジを回して蓋を開けて治す方法は家電のプロでも困難かもしれない。
しかし、一見ハードウェア故障に見えても、実は中で動いているソフトウェアが少しおかしくなっているだけ、ということがほとんどなのだ。
たとえばNICが動いてなさそうに見える、WebUIへ管理アクセスができないといったことも、物理的に壊れている場合でも起きるし、ソフトウェアが壊れている場合でも起こりえるのだ。
ポイント
可能であれば最初にCLIでコマンドからステータスを確認することをおススメする。
show system software status コマンド
それではまずサービスのステータスを確認する。
このコマンドは、サービスが正しく動いているかを確認するコマンドだ。
まずは正常な場合を見てみよう。
全て、Runnningと表示されていれば問題ない。
正常な場合
admin@PA-220> show system software status
Slot 1, Role mp
Type Name State Info
Group all running
Group base running
Group batch running
Group chassis running
Group data_plane running
Group dsms running
Group fips running
Group gdb running
Group ha_ssh running
Group mgmt_services running
Group ntlm-grp running
Group services running
Group supervisor running
Group tasks running
Group third_party running
Process appweb running (pid: 3363)
Process authd running (pid: 3379)
Process brdagent running (pid: 2842)
Process chasd running (pid: 2844)
Process comm running (pid: 3006)
Process crypto running (pid: 3198)
Process dagger running (pid: 2820)
Process devsrvr running (pid: 3307)
Process dha running (pid: 3007)
Process dhcp running (pid: 3375)
Process dnsproxy running (pid: 3376)
Process ehmon running (pid: 2843)
Process flow_ctrl_pktlog_forwarding running (pid: 3015)
Process flow_mgmt running (pid: 3016)
Process ha-sshd running (pid: 3208)
Process ha_agent running (pid: 3372)
Process ikemgr running (pid: 3366)
Process keymgr running (pid: 3369)
Process l2ctrl running (pid: 3371)
Process l3svc running (pid: 9619)
Process logrcvr running (pid: 3367)
Process masterd running (pid: 2749)
Process mgmtsrvr running (pid: 3335)
Process monitor running (pid: 2821)
Process monitor-dp running (pid: 3018)
Process mprelay running (pid: 3005)
Process pppoe running (pid: 3377)
Process rasmgr running (pid: 3368)
Process routed running (pid: 3378)
Process satd running (pid: 3373)
Process snmpd running (pid: 3380)
Process sshd running (pid: 3229)
Process sslmgr running (pid: 3374)
Process sslvpn running (pid: 3365)
Process sslvpn_ngx running (pid: 3390)
Process sysd running (pid: 2768)
Process sysdagent running (pid: 2826)
Process tund running (pid: 3008)
Process useridd running (pid: 3311)
Process varrcvr running (pid: 3370)
Process websrvr running (pid: 3361)
ソフトウェアがおかしい場合、この結果が、running ではなくstopなどと表示される。
この場合、治せる見込みがかなり高いと断言する。
では、復旧方法をいくつか紹介する。
方法①再起動
まずは再起動だ。
方法は下記記事を参考にしてほしい。
方法②初期化
次に初期化だ。
この方法は設定情報も全て吹っ飛ぶ。
やる前には必ずコンフィグのバックアップをエクスポートしておこう。
それぞれの方法はこれを参考にしてほしい。
方法③個別サービスの再起動 debug software restart process
debug software restart process はサービス毎に再起動する方法だ。
admin@PA-220> debug software restart process
authd authentication process
cord correlation process
crypto Cryptography process
device-server Device server process
dhcp DHCP process
dnsproxy Dnsproxy process
ikemgr Internet Key Exchange manager process
keymgr Key manager process
l2ctrl l2 control process
l3-service L3 services server process
log-receiver Log Receiver server process
management-server Management server process
ntp Restart and re-synchronize NTP service
pan-comm Dataplane communication process
pppoe PPPoE process
rasmgr SSL VPN daemon
routed Routing process
satd Satellite process
snmpd snmp process
sslmgr Sslmgr process
sslvpn-web-server SSL VPN Web server process
user-id User-ID process
vardata-receiver Vardata Receiver server process
web-backend Management web server backend process
web-server Management web server process
この方法で、ピンポイントで怪しいサービスだけを再起動することができる。
分かる人は初期化の前に一度この方法も試してみることをおススメする。
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント