Cómo solucionar problemas de rendimiento reducido del túnel

Cómo solucionar problemas de rendimiento reducido del túnel

35352
Created On 08/10/22 07:51 AM - Last Modified 09/15/23 04:58 AM


Objective


Para solucionar problemas e identificar posibles motivos de rendimiento de túnel reducido

Environment


  • PAN-OS
  • Túnel IPSec
  • GRE Túnel

Procedure


  1. Identificar cualquier cambio en la Red. Algunas cosas comunes para verificar son:
    1. ¿Hay algún cambio en la red, por ejemplo, cambios de enrutamiento, cambios en los patrones de tráfico, cambios, DNS etc.?
    2. Cualquier actualización de software en dispositivos de red
    3. ¿Se agregó algún dispositivo de red nuevo a la ruta que pueda introducir el problema?
  2. Identifique cualquier cambio en el dispositivo de Palo Alto. Algunas cosas comunes para verificar son:
    1. ¿Algún cambio de configuración en el firewall, por ejemplo, cualquier nuevo cambio de red, como nueva interfaz/subinterfaz, nuevas subredes, nuevas características habilitadas?
    2. ¿Alguna novedad policy añadida en el firewall, por ejemplo, nueva seguridad, nueva NAT configuración, nuevo perfil de seguridadpolicy, etc.?
    3. ¿Alguna actualización en el , por ejemplo, actualización, actualización de versión de firewallcontenido, PAN-OS etc.?
  3. Identificar el posible agotamiento de recursos en Palo Alto firewall.
    1. Si el firewall es supervisado por AIOps, utilice HOW TO IDENTIFY POSSIBLE RESOURCE DEPLETION IN THE FIREWALL WITH AIOPS 
    2. Para firewalls supervisados que no son AIOps, siga estos pasos
      1. Utilícelo HOW TO TROUBLESHOOT HIGH PACKET BUFFER OR PACKET DESCRIPTORS USAGE para comprobar si tiene firewall un alto uso de recursos de plano de datos.
      2. Determinar si la utilización del plano CPU de datos es alta
        1. En el firewall, GUIvaya a > DASHBOARD Widgets > Sistema > haga clic en Recursos del sistema
        2. Para resolver este problema, utilice HOW TO TROUBLESHOOT HIGH DATAPLANE CPU.
      3. Determinar si la utilización del plano CPU de administración es alta
        1. En el firewall, GUIvaya a > DASHBOARD Widgets > Sistema > haga clic en Recursos del sistema
        2. Para resolver este problema, utilice TIPS & TRICKS: REDUCING MANAGEMENT PLANE LOAD
  4. Recopile capturas de paquetes y contadores globales que se pueden usar en el siguiente paso para aislar posibles problemas de red.
    NOTE: ¡Es muy recomendable hacer esta sección en una ventana de mantenimiento!
  1. Uso GETTING STARTED: PACKET CAPTURE como referencia.

topo1.png
  1. Los dos primeros filtros tendrán que ser la dirección de los puntos IP finales del túnel, por ejemplo:
ID 1: Fuente=10.10.10.1 Destino=10.20.20.1 2: Fuente=10.20.20.1 Destino=10.10.10.1
ID
  1. Los filtros restantes tendrán que basarse en el tráfico que fluye a través del túnel, por ejemplo:
ID 3: Fuente=172.16.13.1 Destino=192.168.14.1 4: Fuente=192.168.14.1 Destino=172.16.13.1
ID
  1. Habilite Wireshark y/o tcpdump en los hosts en ambos extremos del túnel.
  2. Preparación para la recopilación de datos
    1. Uso HOW TO COLLECT THE OUTPUT OF CLI COMMANDS PERIODICALLY USING TERA TERM SCRIPT  
    2. Utilice los siguientes comandos para que el script recopile:
Contadores globales: mostrar contador filtro global filtro de paquetes yes delta sí
Detalles de la sesión ("mostrar la sesión todo el origen del filtro <> <> de destino" para obtener la sesión y, a continuación, usar este ID comando de ejecución "show session <id>" para obtener los detalles de la sesión)ID
i=0
 sendln 'set cli pager off'
 sendln 'show system info'
 :continue

i=i+1
 sendln 'show counter global filter packet-filter yes delta yes'
 sendln 'show session all filter source 10.10.10.1 destination 10.20.20.1'
 sendln 'show session all filter source 172.16.13.1 destination 192.168.14.1'
 sendln 'show session <id-x>'
 sendln 'show session <id-y>'

pause 5
goto continue
end
Nota: El ejemplo de script anterior es solo para fines de referencia; las direcciones IP de origen y destino pueden invertirse; Depende de quién IP inició la conexión.
 
  1. Utilice las capturas de paquetes recopiladas y los contadores globales del paso anterior para descartar posibles factores que causan un bajo rendimiento.
    1. Entrega de paquetes
      1. usoIPSEC PERFORMANCE IMPACTED WHEN REPLAY PROTECTION IS ENABLED
      2. uso IPSEC TUNNEL IS UP BUT PACKET IS GETTING DROPPED WITH WRONG SPI COUNTER INCREASE
      3. ¿Faltan paquetes significativos al comparar los paquetes cifrados recopilados en los dos firewalls?
    2. Fragmentación
      1. ¿Ves los contadores "flow_fwd_mtu_exceeded" y/o "flow_ipfrag_frag"?
      2. Para resolver el problema, ajuste el túnel MTU en ambos extremos, vaya a Interfaces de red > > Túnel > haga clic en la interfaz adecuada > > de información avanzada > otra información MTU, intente un valor inferior al valor predeterminado de 1500 hasta que desaparezcan los contadores.
    3. Paquetes fuera de servicio
      1. Compare los pcaps capturados del paso 4.a. utilizando los paquetes de texto no cifrado, y el paso 4.b.


                             
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cr8SCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language