间歇 VPN 和多 ISP 配置的缓慢性

问题

帕洛阿尔托网络防火墙 (HQ) 和远程站点之间的许多站点到站点 IPSec VPN 正在经历缓慢、低吞吐量和 FTP 传输问题。在帕洛阿尔托网络防火墙替换了总部站点上的几个 VPN 设备后, 症状开始出现。

原因

问题可能是由于多个 isp 造成的 VPN 隧道的不对称路由。如果默认路由仅配置为一个 ISP, 则在主线变为负载过重时, 其他链接将无法充分利用。如果在总部的不同 vpn 设备上终止了每个 vpn 隧道, 则在部署帕洛阿尔托网络防火墙之前, 问题不会出现。

解决办法

在帕洛阿尔托网络防火墙上配置 vpn 隧道, 将 vpn 通信路由到接收 vpn 通信的接口或 ISP。这将避免不对称路由并平衡多个 ISP 链接上的带宽利用率。

要进一步说明解决方案, 请参见下面的示例。接口 E1/1、E1/2 和 E1/3 都是 ISP 面向的接口, 全部都在同一虚拟路由器下。因此, 只有一个 ISP 可以配置为默认路由。

两个 VPN 隧道是从 E1/1 和 E/12 采购的。

下面的静态路由配置显示 E1/3 被选择为主要的默认路由, E1/1 作为第二个和 E1/2 作为第三个。

为确保 VPN 隧道通信量不会退出主默认路由到 E1/3, 已配置了到对等 VPN 隧道的静态主机路由。

转到网络 > 虚拟路由器 >> 默认值 (或选择 VR) >> 更多运行时统计信息

这确保了 VPN 隧道的对称路由和 ISP 带宽的适当负载共享。

所有者： jlunario