Comment faire pour résoudre les problèmes de débit de tunnel réduit

Comment faire pour résoudre les problèmes de débit de tunnel réduit

35309
Created On 08/10/22 07:51 AM - Last Modified 09/15/23 04:58 AM


Objective


Pour dépanner et identifier les raisons possibles de la réduction du débit du tunnel

Environment


  • PAN-OS
  • Tunnel IPSec
  • GRE Tunnel

Procedure


  1. Identifiez tout changement sur le réseau. Voici quelques points courants à vérifier :
    1. Y a-t-il des changements dans le réseau, par exemple, des changements d’itinéraire, des changements de modèles de trafic, des changements, DNS etc.?
    2. Toute mise à niveau logicielle dans les périphériques réseau
    3. Y a-t-il eu un nouveau périphérique réseau ajouté au chemin d’accès qui peut introduire le problème?
  2. Identifiez toute modification sur l’appareil Palo Alto. Voici quelques points courants à vérifier :
    1. Tout changement de configuration sur le firewall, par exemple, de nouveaux changements de réseau, comme une nouvelle interface / sous-interface, de nouveaux sous-réseaux, de nouvelles fonctionnalités activées?
    2. Y a-t-il un nouveau ajout sur le firewall, par exemple, une nouvelle sécurité , une nouvelle NAT configuration, un nouveau policy profil de sécuritépolicy, etc.?
    3. Y a-t-il des mises à niveau dans le , par exemple, une mise à niveau, une mise à niveau de version de firewallcontenu, PAN-OS etc. ?
  3. Identifier l’épuisement possible des ressources dans le Palo Alto firewall.
    1. Si le est surveillé par AIOps firewall , utilisez HOW TO IDENTIFY POSSIBLE RESOURCE DEPLETION IN THE FIREWALL WITH AIOPS 
    2. Pour les pare-feu non surveillés par AIOps, procédez comme suit :
      1. Permet HOW TO TROUBLESHOOT HIGH PACKET BUFFER OR PACKET DESCRIPTORS USAGE de vérifier si votre firewall utilisation des ressources du plan de données est élevée.
      2. Déterminer si l’utilisation du plan CPU de données est élevée
        1. firewallSous , accédez à > GUIDASHBOARD Widgets > système > cliquez sur Ressources système
        2. Pour résoudre ce problème, utilisez HOW TO TROUBLESHOOT HIGH DATAPLANE CPU.
      3. Déterminer si l’utilisation du plan CPU de gestion est élevée
        1. firewallSous , accédez à > GUIDASHBOARD Widgets > système > cliquez sur Ressources système
        2. Pour résoudre ce problème, utilisez TIPS & TRICKS: REDUCING MANAGEMENT PLANE LOAD
  4. Collectez les captures de paquets et les compteurs globaux qui peuvent être utilisés à l’étape suivante pour isoler les éventuels problèmes de réseau.
    NOTE: Il est fortement recommandé de faire cette section dans une fenêtre de maintenance!
  1. Utilisez GETTING STARTED: PACKET CAPTURE comme référence.

topo1.png
  1. Les deux premiers filtres devront être l’adresse des points de terminaison du IP tunnel, par exemple :
ID 1: Source = 10.10.10.1 Destination = 10.20.20.1 2: Source = 10.20.20.1 Destination = 10.10.10.1
ID
  1. Les filtres restants devront être basés sur le trafic circulant dans le tunnel, par exemple :
ID 3: Source = 172.16.13.1 Destination = 192.168.14.1 4: Source = 192.168.14.1 Destination = 172.16.13.1
ID
  1. Activez Wireshark et/ou tcpdump dans les hôtes aux deux extrémités du tunnel.
  2. Préparation à la collecte des données
    1. Utiliser HOW TO COLLECT THE OUTPUT OF CLI COMMANDS PERIODICALLY USING TERA TERM SCRIPT  
    2. Utilisez les commandes suivantes pour collecter le script :
Compteurs globaux - afficher le filtre global du compteur filtre de paquets oui delta oui
Détails de la session (« afficher la source <> la destination <>de la session de la session » pour obtenir la session, puis utiliser cette commande d’exécution ID « show session <id> » pour obtenir les détails de la session)ID
i=0
 sendln 'set cli pager off'
 sendln 'show system info'
 :continue

i=i+1
 sendln 'show counter global filter packet-filter yes delta yes'
 sendln 'show session all filter source 10.10.10.1 destination 10.20.20.1'
 sendln 'show session all filter source 172.16.13.1 destination 192.168.14.1'
 sendln 'show session <id-x>'
 sendln 'show session <id-y>'

pause 5
goto continue
end
Remarque : L’exemple de script ci-dessus est fourni à titre de référence uniquement ; les adresses IP source et de destination peuvent être inversées; Cela dépend de celui qui IP a initié la connexion.
 
  1. Utilisez les captures de paquets collectées et les compteurs globaux de l’étape précédente pour éliminer les facteurs possibles à l’origine d’un faible débit.
    1. Dépôt de paquets
      1. utiliserIPSEC PERFORMANCE IMPACTED WHEN REPLAY PROTECTION IS ENABLED
      2. utiliser IPSEC TUNNEL IS UP BUT PACKET IS GETTING DROPPED WITH WRONG SPI COUNTER INCREASE
      3. Y a-t-il des paquets importants manquants lors de la comparaison des paquets chiffrés collectés sur les deux pare-feu ?
    2. Fragmentation
      1. Voyez-vous les compteurs « flow_fwd_mtu_exceeded » et/ou « flow_ipfrag_frag » ?
      2. Pour résoudre le problème, ajustez le tunnel MTU aux deux extrémités, accédez à Interfaces > réseau > Tunnel > cliquez sur l’interface appropriée > Avancé > Autres informations > MTU, essayez une valeur inférieure à partir de la valeur par défaut de 1500 jusqu’à ce que les compteurs disparaissent.
    3. Paquets en rupture d’ordre
      1. Comparez les pcaps capturés à l’étape 4.a. à l’aide des paquets de texte clair et à l’étape 4.b.


                             
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cr8SCAS&lang=fr%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language