Fehlerbehebung bei reduziertem Tunneldurchsatz

Fehlerbehebung bei reduziertem Tunneldurchsatz

35390
Created On 08/10/22 07:51 AM - Last Modified 09/15/23 04:58 AM


Objective


Fehlerbehebung und Identifizierung möglicher Gründe für den reduzierten Tunneldurchsatz

Environment


  • PAN-OS
  • IPSec-Tunnel
  • GRE Tunnel

Procedure


  1. Identifizieren Sie alle Änderungen im Netzwerk. Einige häufig zu überprüfende Dinge sind:
    1. Gibt es Änderungen im Netzwerk, z. B. Routing-Änderungen, Änderungen der Verkehrsmuster, DNS Änderungen usw.?
    2. Alle Software-Upgrades in Netzwerkgeräten
    3. Wurde dem Pfad ein neues Netzwerkgerät hinzugefügt, das das Problem verursachen kann?
  2. Identifizieren Sie alle Änderungen auf dem Palo Alto-Gerät. Einige häufig zu überprüfende Dinge sind:
    1. Gibt es Konfigurationsänderungen an der firewall, z. B. neue Netzwerkänderungen, wie z. B. neue Schnittstelle/Subschnittstelle, neue Subnetze, neue aktivierte Funktionen?
    2. Gibt es neue Änderungen, zfirewall. B. neue Sicherheitpolicy, neue policy NAT Konfiguration, neues Sicherheitsprofil usw.?
    3. Gibt es Upgrades in der , z. B. PAN-OS Upgrade, Aktualisierung der firewallInhaltsversion usw.?
  3. Identifizieren Sie mögliche Ressourcenerschöpfung im Palo Alto firewall.
    1. Wenn das von firewall AIOps überwacht wird, verwenden Sie HOW TO IDENTIFY POSSIBLE RESOURCE DEPLETION IN THE FIREWALL WITH AIOPS 
    2. Führen Sie für nicht von AIOps überwachte Firewalls die folgenden Schritte aus
      1. Verwenden Sie diese OptionHOW TO TROUBLESHOOT HIGH PACKET BUFFER OR PACKET DESCRIPTORS USAGE, um zu überprüfen, ob Sie firewall eine hohe Auslastung der Ressourcen auf Datenebene haben.
      2. Stellen Sie fest, ob die Auslastung der Datenebene CPU hoch ist
        1. firewallGehen Sie unter dem 's GUIzu > DASHBOARD Widgets > System > klicken Sie auf Systemressourcen
        2. Um dieses Problem zu beheben, verwenden Sie HOW TO TROUBLESHOOT HIGH DATAPLANE CPU.
      3. Stellen Sie fest, ob die Auslastung der Verwaltungsebene CPU hoch ist
        1. firewallGehen Sie unter dem 's GUIzu > DASHBOARD Widgets > System > klicken Sie auf Systemressourcen
        2. Um dieses Problem zu beheben, verwenden Sie TIPS & TRICKS: REDUCING MANAGEMENT PLANE LOAD
  4. Sammeln Sie Paketerfassungen und globale Indikatoren, die im nächsten Schritt verwendet werden können, um mögliche Netzwerkprobleme zu isolieren.
    NOTE: Es wird dringend empfohlen, diesen Abschnitt in einem Wartungsfenster durchzuführen!
  1. Verwenden Sie GETTING STARTED: PACKET CAPTURE als Referenz.

topo1.png
  1. Die ersten beiden Filter müssen die Adresse der Tunnelendpunkte IP sein, z.
ID 1: Quelle=10.10.10.1 Ziel=10.20.20.1 2: Quelle=10.20.20.1
ID Ziel=10.10.10.1
  1. Die verbleibenden Filter müssen auf dem Verkehr basieren, der durch den Tunnel fließt, z.
ID 3: Quelle=172.16.13.1 Ziel=192.168.14.1 4: Quelle=192.168.14.1 Ziel=172.16.13.1
ID
  1. Aktivieren Sie Wireshark und/oder tcpdump in den Hosts an beiden Enden des Tunnels.
  2. Vorbereitung der Datenerhebung
    1. Gebrauchen HOW TO COLLECT THE OUTPUT OF CLI COMMANDS PERIODICALLY USING TERA TERM SCRIPT  
    2. Verwenden Sie die folgenden Befehle, damit das Skript sammeln kann:
Globale Zähler - show counter global filter packet-filter yes delta yes
Session details ("show session all filter source <> destination <>", um die Sitzung ID abzurufen, und dann mit diesem ID Ausführungsbefehl "show session <id>", um Sitzungsdetails abzurufen)
i=0
 sendln 'set cli pager off'
 sendln 'show system info'
 :continue

i=i+1
 sendln 'show counter global filter packet-filter yes delta yes'
 sendln 'show session all filter source 10.10.10.1 destination 10.20.20.1'
 sendln 'show session all filter source 172.16.13.1 destination 192.168.14.1'
 sendln 'show session <id-x>'
 sendln 'show session <id-y>'

pause 5
goto continue
end
Hinweis: Das obige Skriptbeispiel dient nur zu Referenzzwecken. Die Quell- und Ziel-IPs können vertauscht werden. Es hängt davon ab, wer IP die Verbindung initiiert hat.
 
  1. Verwenden Sie die gesammelten Paketerfassungen und globalen Leistungsindikatoren aus dem vorherigen Schritt, um mögliche Faktoren auszuschließen, die einen geringen Durchsatz verursachen.
    1. Paket-Drop
      1. gebrauchenIPSEC PERFORMANCE IMPACTED WHEN REPLAY PROTECTION IS ENABLED
      2. gebrauchen IPSEC TUNNEL IS UP BUT PACKET IS GETTING DROPPED WITH WRONG SPI COUNTER INCREASE
      3. Fehlen beim Vergleich der verschlüsselten Pakete, die auf den beiden Firewalls gesammelt wurden, signifikante Pakete?
    2. Fragmentierung
      1. Sehen Sie die Zähler "flow_fwd_mtu_exceeded" und/oder "flow_ipfrag_frag"?
      2. Um das Problem zu beheben, passen Sie den Tunnel an beiden Enden an, gehen Sie zu Network > Interfaces > Tunnel MTU > klicken Sie auf die entsprechende Schnittstelle > Erweiterte > Weitere Informationen > MTU, versuchen Sie es mit einem niedrigeren Wert als dem Standardwert von 1500, bis die Zähler verschwinden.
    3. Pakete außer Betrieb
      1. Vergleichen Sie die pcaps, die in Schritt 4.a. mit den Klartextpaketen erfasst wurden, und Schritt 4.b.


                             
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cr8SCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language