複数の ISP 構成による断続的な VPN と遅さ

問題

パロアルトネットワークファイアウォール (HQ) とリモートサイト間のサイト間の IPSec VPN の数が遅い、低スループットと FTP 転送の問題が発生している。この現象は、パロアルトネットワークファイアウォールが HQ サイトで複数の VPN デバイスを交換した後に表示されるようになりました。

原因

問題は、複数の isp によって引き起こされる VPN トンネルの非対称ルーティングが原因である可能性があります。既定のルートが1つの ISP のみに構成されている場合、メインラインが過大になる間、他のリンクは十分に活用されません。各 vpn トンネルが HQ で別の vpn デバイスで終了した場合、この問題は、パロアルトネットワークファイアウォールの展開前に存在することはありません。

解決方法

vpn トラフィックを受信しているインターフェイスまたは ISP に vpn トラフィックをルーティングするように、パロアルトネットワークファイアウォールの vpn トンネルを構成します。これにより、非対称ルーティングが回避され、複数の ISP リンクでの帯域幅使用率のバランスが向上します。

このソリューションをさらに詳しく説明するには、次の例を参照してください。インターフェイス e1/1、e1/2、e1/3 はすべて同じ仮想ルーターの下にあるすべての ISP 向けインターフェイスです。したがって、このセットアップでは、既定のルートとして構成できる ISP は1つだけです。

2つの VPN トンネルは、E1/1 および E/12 からのソーシングです。

以下の静的ルーティング構成は、e1/3 がメインのデフォルトルート、e1/1 をセカンダリとして、e1/2 を3番目として選択したことを示しています。

vpn トンネルトラフィックがメインの既定のルートを E1/3 に終了しないようにするには、ピア vpn トンネルへの静的ホストルートが構成されていたことを確認します。

ネットワークに移動 > 仮想ルータ > デフォルト (または選択の VR) > その他の実行時の統計

これにより、VPN トンネルの対称ルーティングと ISP 帯域幅の適切な負荷分散が保証されます。

所有者: jlunario