VPN intermittent et lenteur avec configuration de FAI multiple

Demande client

Un certain nombre de VPN de site à site IPSec entre le pare-feu de Palo Alto Networks (HQ) et les sites distants connaissent des problèmes de lenteur, de faible débit et de transfert FTP. Le symptôme a commencé à apparaître après un pare-feu de Palo Alto Networks remplacé plusieurs périphériques VPN sur le site HQ.

Cause

Les problèmes peuvent être dus à un routage asymétrique pour les tunnels VPN causés par les FSI multiples. Si l'itinéraire par défaut a été configuré pour un seul FAI, les autres liens seraient sous-utilisés alors que la ligne principale est devenue surutilisée. Le problème ne serait pas présent avant le déploiement du pare-feu de Palo Alto Networks si chaque tunnel VPN était terminé sur un autre périphérique VPN à l'AC.

Résolution

Configurez les tunnels VPN sur le pare-feu de Palo Alto Networks pour acheminer le trafic VPN vers l'interface ou le FAI qui reçoit le trafic VPN. Cela permettra d'éviter le routage asymétrique et d'équilibrer l'utilisation de la bande passante sur les liens de plusieurs FAI.

Pour illustrer davantage la solution, consultez l'exemple ci-dessous. Les interfaces E1/1, E1/2 et E1/3 sont toutes des interfaces de FAI, toutes sous le même routeur virtuel. Par conséquent, avec cette configuration, un seul FAI peut être configuré comme Itinéraire par défaut.

Deux tunnels VPN sont sourcing de E1/1 et E/12.

La configuration de routage statique ci-dessous montre que E1/3 a été choisi comme principal itinéraire par défaut, E1/1 comme secondaire et E1/2 comme troisième.

Pour vous assurer que le trafic tunnel VPN ne quittera pas l'itinéraire principal par défaut vers E1/3, un itinéraire hôte statique vers les tunnels VPN homologues a été configuré.

Aller au réseau > Virtual Router > par défaut (ou VR de choix) > plus stats d'exécution

Cela garantit un routage symétrique pour les tunnels VPN et un partage de charge approprié de la bande passante ISP.

propriétaire : jlunario