PAN-OS Administration Lab · Tuần 03/12
📘 Tuần 3 – CLI Basics và Thao tác Console PAN-OS
Trần Văn Hòa
2026
~15 phút đọc
Palo Alto · PAN-OS · PnetLab
📘 Tuần 3 – CLI Basics và Thao tác Console PAN-OS
🗺️ Sơ đồ – Cách truy cập và chế độ CLI
flowchart TD
Admin["👨💻 Quản trị viên"]
Admin -->|"https://192.168.1.1"| GUI["🌐 Web GUI
Dễ dùng, trực quan
Phải Commit để lưu"]
Admin -->|"SSH / Console PnetLab"| CLI["⌨️ CLI PAN-OS"]
CLI --> OM["📟 Operational Mode
admin@PA-LAB-01>
─────────────────
Xem trạng thái
Chạy lệnh kiểm tra
không thay đổi config"]
CLI --> CM["📝 Configuration Mode
admin@PA-LAB-01#
─────────────────
Thay đổi cấu hình
Phải gõ 'configure'
Để thoát gõ 'exit'"]
CM -->|"Commit"| Running["✅ Running Config
(Đang chạy thực tế)"]
CM -->|"Chưa Commit"| Candidate["📋 Candidate Config
(Bản nháp, chưa áp dụng)"]
📚 Lý thuyết cơ bản
🔰 Hai chế độ CLI quan trọng
1. Operational Mode (>):
Dùng để XEM thông tin, kiểm tra trạng thái. Không thay đổi được cấu hình.
admin@PA-LAB-01> ← Dấu > = Operational Mode2. Configuration Mode (#):
Dùng để THAY ĐỔI cấu hình. Phải gõ configure để vào.
admin@PA-LAB-01# ← Dấu # = Configuration Mode🔰 Cấu trúc lệnh PAN-OS
Operational Mode:
show [object] → Xem cấu hình đang chạy
debug [object] → Debug, troubleshoot
request [action] → Thực hiện hành động (reboot, commit...)
test [object] → Test cấu hình
Configuration Mode:
set [path] [value] → Tạo/thay đổi cấu hình
delete [path] → Xóa cấu hình
get [path] → Xem giá trị trong Candidate config
show [path] → Xem cấu hình dạng XML
commit → Áp dụng Candidate → Running
exit → Thoát ra Operational Mode🔰 So sánh CLI Palo Alto vs FortiGate
| Palo Alto CLI | FortiGate CLI | |
|---|---|---|
| Vào config mode | configure | Tự động ở config mode |
| Lưu thay đổi | commit (BẮT BUỘC) | Tự động lưu |
| Xem config | show (XML format) | show |
| Kiểm tra live | show (operational) | get |
| Undo thay đổi | revert (trước commit) | Phải sửa thủ công |
🛠️ Thực hành – Lệnh CLI thường dùng
Operational Mode – Xem thông tin hệ thống
text# Xem thông tin tổng quan
admin@PA-LAB-01> show system info
# Xem trạng thái interface
admin@PA-LAB-01> show interface all
# Xem routing table
admin@PA-LAB-01> show routing route
# Xem session đang hoạt động
admin@PA-LAB-01> show session all
# Kiểm tra kết nối
admin@PA-LAB-01> ping host 8.8.8.8
admin@PA-LAB-01> ping source 10.10.10.1 host 8.8.8.8
# Traceroute
admin@PA-LAB-01> traceroute host 8.8.8.8
# Xem log traffic
admin@PA-LAB-01> show log traffic
Configuration Mode – Thay đổi cấu hình
text# Vào Configuration Mode
admin@PA-LAB-01> configure
# Xem toàn bộ cấu hình
admin@PA-LAB-01# show
# Thay đổi hostname
admin@PA-LAB-01# set deviceconfig system hostname PA-LAB-01
# Xem thay đổi chưa commit
admin@PA-LAB-01# show | compare
# Hủy thay đổi (trước khi commit)
admin@PA-LAB-01# revert
# Lưu và áp dụng
admin@PA-LAB-01# commit
# Thoát về Operational Mode
admin@PA-LAB-01# exit
Debug và Troubleshoot
text# Debug traffic flow (tương tự diagnose debug flow của FortiGate)
admin@PA-LAB-01> debug dataplane packet-diag set filter match source 10.10.10.100
admin@PA-LAB-01> debug dataplane packet-diag set filter match destination 8.8.8.8
admin@PA-LAB-01> debug dataplane packet-diag set log feature flow basic
admin@PA-LAB-01> debug dataplane packet-diag start
# ... xem log ...
admin@PA-LAB-01> debug dataplane packet-diag stop
admin@PA-LAB-01> debug dataplane packet-diag clear
⌨️ Phím tắt CLI hữu ích
| Phím | Chức năng | |
|---|---|---|
↑ / ↓ | Lệnh trước/sau | |
Tab | Tự động hoàn thành | |
? | Xem gợi ý lệnh | |
Ctrl + C | Hủy lệnh | |
| ` | match [text]` | Lọc output (như grep) |
| ` | count` | Đếm số dòng output |
Ví dụ lọc output:
text# Chỉ hiện interface đang UP
admin@PA-LAB-01> show interface all | match up
# Đếm số session đang active
admin@PA-LAB-01> show session all | count
🔒 Bảo mật cần nhớ
- ✅ Dùng SSH (mã hóa), không dùng Telnet.
- ✅ Giới hạn IP được phép SSH vào Management interface.
- ✅ Dùng SSH key thay mật khẩu nếu có thể.
📖 Case thực tế
GUI Palo Alto bị lỗi không truy cập được (service bị crash). Kỹ thuật viên SSH vào CLI: ``text admin@PA-LAB-01> debug software restart process management-server `` → Service management-server khởi động lại → GUI hoạt động trở lại trong 30 giây. 👉 CLI là "cứu cánh" khi GUI không dùng được!
📅 Tuần 3/12 – PAN-OS Administration Lab trên PnetLab