減少したトンネル スループットのトラブルシューティング方法

減少したトンネル スループットのトラブルシューティング方法

35281
Created On 08/10/22 07:51 AM - Last Modified 09/15/23 04:58 AM


Objective


トンネル スループットの低下の考えられる原因をトラブルシューティングして特定するには

Environment


  • PAN-OS
  • IPSec トンネル
  • GRE トンネル

Procedure


  1. ネットワーク上の変更を識別します。 一般的な確認項目は次のとおりです。
    1. ルーティングの変更、トラフィック パターンの変更など、ネットワークに変更はありますか。DNS変更等は?
    2. ネットワーク デバイスのソフトウェア アップグレード
    3. 問題を引き起こす可能性のある新しいネットワーク デバイスがパスに追加されましたか?
  2. Palo Alto デバイスの変更を特定します。 一般的な確認項目は次のとおりです。
    1. での設定変更firewall、たとえば、新しいインターフェース/サブインターフェース、新しいサブネット、新しい機能の有効化など、新しいネットワークの変更はありますか?
    2. 新しいものpolicyに追加firewall、例えば、新しいセキュリティpolicy、 新しいNAT構成、新しいセキュリティ プロファイルなど?
    3. のアップグレードfirewall、例えば、PAN-OSアップグレード、コンテンツのバージョンアップなど?
  3. パロアルトで資源が枯渇する可能性を特定するfirewall.
    1. もしfirewallAIOps によって監視されている場合は、使用しますHOW TO IDENTIFY POSSIBLE RESOURCE DEPLETION IN THE FIREWALL WITHAIOPS
    2. AIOps で監視されていないファイアウォールの場合は、次の手順を使用します。
      1. 使用HOW TO TROUBLESHOOT HIGH PACKET BUFFER OR PACKET DESCRIPTORS USAGEあなたのfirewallはデータプレーン リソースの使用率が高くなっています。
      2. データ プレーンがCPU利用率が高い
        1. 下firewallのGUI、に行くDASHBOARD> ウィジェット > システム >クリックシステム リソース
        2. この問題を解決するには、HOW TO TROUBLESHOOT HIGH DATAPLANE CPU .
      3. 管理プレーンがCPU利用率が高い
        1. 下firewallのGUI、に行くDASHBOARD> ウィジェット > システム >クリックシステム リソース
        2. この問題を解決するには、TIPS &TRICKS :REDUCING MANAGEMENT PLANE LOAD
  4. 次の手順で使用できるパケット キャプチャとグローバル カウンターを収集して、考えられるネットワークの問題を切り分けます。
NOTE: このセクションは、メンテナンス ウィンドウで実行することを強くお勧めします。
  1. 使用GETTING STARTED:PACKET CAPTURE参考までに。

topo1.png
  1. 最初の 2 つのフィルターは、トンネル エンドポイントである必要があります。IP住所、例
ID 1: ソース=10.10.10.1 デスティネーション=10.20.20.1
ID 2: ソース=10.20.20.1 デスティネーション=10.10.10.1
  1. 残りのフィルターは、トンネルを通過するトラフィックに基づいている必要があります。
ID 3: ソース=172.16.13.1 デスティネーション=192.168.14.1
ID 4: ソース=192.168.14.1 デスティネーション=172.16.13.1
  1. トンネルの両端のホストで Wireshark や tcpdump を有効にします。
  2. データ収集の準備
    1. 使用HOW TO COLLECT THE OUTPUT OF CLI COMMANDS PERIODICALLY USINGTERA TERM SCRIPT
    2. 収集するスクリプトには、次のコマンドを使用します。
グローバルカウンター- show counter global filter packet-filter はい delta はい
セッションの詳細("すべてのフィルタ ソース <> 宛先 <> をセッションに表示" セッションを取得するIDそして、これを使用してIDコマンドを実行する "セッション <id> を表示" セッションの詳細を取得します)
i=0
 sendln 'set cli pager off'
 sendln 'show system info'
 :continue

i=i+1
 sendln 'show counter global filter packet-filter yes delta yes'
 sendln 'show session all filter source 10.10.10.1 destination 10.20.20.1'
 sendln 'show session all filter source 172.16.13.1 destination 192.168.14.1'
 sendln 'show session <id-x>'
 sendln 'show session <id-y>'

pause 5
goto continue
end
注: 上記のスクリプト サンプルは参考用です。ソース IP と宛先 IP が逆になる場合があります。それはどれに依存しますIP接続を開始しました。
  1. 前の手順で収集したパケット キャプチャとグローバル カウンタを使用して、スループットの低下を引き起こしている可能性のある要因を除外します。
    1. パケット ドロップ
      1. 使用IPSEC PERFORMANCE IMPACTED WHEN REPLAY PROTECTION IS ENABLED
      2. 使用IPSEC TUNNEL IS UP BUT PACKET IS GETTING DROPPED WITHWRONG SPI COUNTER INCREASE
      3. 2 つのファイアウォールで収集された暗号化されたパケットを比較すると、重要なパケットが欠落していますか?
    2. 断片化
      1. カウンター「flow_fwd_mtu_exceeded」および/または「flow_ipfrag_frag」が表示されますか?
      2. この問題を解決するには、トンネルを調整しますMTU両端で、に行くネットワーク > インターフェース > トンネル >適切なインターフェイスをクリックします> 高度な > その他の情報 >MTU 、カウンターがなくなるまで、デフォルトの 1500 よりも低い値を試してください。
    3. 順不同のパケット
      1. ステップ 4.a で取得した pcaps を比較します。クリア テキスト パケットを使用し、ステップ 4.b.


                             
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cr8SCAS&lang=ja%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language