Intermittierende VPN und Langsamkeit mit mehrfacher ISP-Konfiguration
Resolution
Problem
Eine Reihe von Website-to-Site IPSec VPN zwischen Palo Alto Networks Firewall (HQ) und entfernten Websites erleben Langsamkeit, Low-Durchsatz und FTP-Transfer-Probleme. Das Symptom begann zu erscheinen, nachdem eine Palo Alto Networks Firewall mehrere VPN-Geräte am HQ-Standort ersetzt hatte.
Ursache
Die Probleme können auf das asymmetrische Routing für die VPN-Tunnel zurückzuführen sein, die durch die mehrfachen ISPs verursacht werden. Wenn die Standardroute nur auf einen ISP konfiguriert wurde, würden die anderen Links unterausgelastet, während die Hauptleitung über ausgelastet wurde. Das Problem wäre vor dem Einsatz der Palo Alto Networks Firewall nicht vorhanden, wenn jeder VPN-Tunnel auf einem anderen VPN-Gerät in HQ beendet würde.
Lösung
Konfigurieren Sie die VPN-Tunnel auf der Palo Alto Networks Firewall, um den VPN-Verkehr auf die Schnittstelle oder ISP zu leiten, die den VPN-Verkehr empfängt. Dadurch wird das asymmetrische Routing vermieden und die Bandbreitenauslastung der mehrfachen ISP-Links ausgeglichen.
Um die Lösung weiter zu veranschaulichen, lesen Sie das Beispiel unten. Die Schnittstellen E1/1, E1/2 und E1/3 sind alle ISP-Facing-Schnittstellen, alle unter demselben virtuellen Router. Daher kann mit diesem Setup nur ein ISP als Standardroute konfiguriert werden.
Zwei VPN-Tunnel sind die Beschaffung von E1/1 und E/12.
Die statische Routing-Konfiguration unten zeigt E1/3 wurde als die Haupt Standard-Route, E1/1 als Sekundär und E1/2 als dritte gewählt.
Um sicherzustellen, dass der VPN-Tunnel Verkehr nicht die Haupt Standard-Route nach E1/3 verlässt, wurde eine statische Host-Route zu den Peer-VPN-Tunneln konfiguriert.
Gehen Sie zum Netzwerk > virtueller Router > default (oder VR der Wahl) > mehr Runtime stats
Damit ist ein symmetrisches Routing für die VPN-Tunnel und eine korrekte Lastenverteilung der ISP-Bandbreite gewährleistet.
Besitzer: Jlunario