如何排除隧道吞吐量降低的故障

如何排除隧道吞吐量降低的故障

35263
Created On 08/10/22 07:51 AM - Last Modified 09/15/23 04:58 AM


Objective


排除故障并确定隧道吞吐量降低的可能原因

Environment


  • PAN-OS
  • 安全隧道
  • GRE 隧道

Procedure


  1. 识别网络上的任何变化。 一些常见的检查事项是:
    1. 网络是否有任何变化,例如路由变化、流量模式变化、DNS变化等等?
    2. 网络设备中的任何软件升级
    3. 是否有任何新的网络设备添加到路径中,这会引入问题?
  2. 识别帕洛阿尔托设备上的任何更改。 一些常见的检查事项是:
    1. 上的任何配置更改firewall,例如,任何新的网络更改,如新接口/子接口、新子网、启用的新功能?
    2. 任何新policy添加在firewall,例如,新的安全policy, 新的NAT配置、新的安全配置文件等?
    3. 中的任何升级firewall,例如,PAN-OS升级、内容版本升级等?
  3. 确定帕洛阿尔托可能的资源枯竭firewall.
    1. 如果firewall被AIOps监控,使用HOW TO IDENTIFY POSSIBLE RESOURCE DEPLETION IN THE FIREWALL WITHAIOPS
    2. 对于非 AIOps 监控的防火墙,使用以下步骤
      1. 使用HOW TO TROUBLESHOOT HIGH PACKET BUFFER OR PACKET DESCRIPTORS USAGE检查你的firewall数据平面资源使用率很高。
      2. 确定数据平面是否CPU利用率高
        1. 在下面firewall的GUI, 去DASHBOARD> 小部件 > 系统 >点击系统资源
        2. 要解决此问题,请使用HOW TO TROUBLESHOOT HIGH DATAPLANE CPU.
      3. 确定管理平面是否CPU利用率高
        1. 在下面firewall的GUI, 去DASHBOARD> 小部件 > 系统 >点击系统资源
        2. 要解决此问题,请使用TIPS&TRICKS :REDUCING MANAGEMENT PLANE LOAD
  4. 收集可在下一步中使用的数据包捕获和全局计数器,以隔离可能的网络问题。
NOTE:强烈建议在维护窗口中执行此部分!
  1. 使用GETTING STARTED:PACKET CAPTURE作为参考。

topo1.png
  1. 前两个过滤器必须是隧道端点IP地址,例如
ID 1:来源=10.10.10.1 目的地=10.20.20.1
ID 2:来源=10.20.20.1 目的地=10.10.10.1
  1. 其余过滤器必须基于流经隧道的流量,例如
ID 3:来源=172.16.13.1 目的地=192.168.14.1
ID 4:来源=192.168.14.1 目的地=172.16.13.1
  1. 在隧道两端的主机中启用 Wireshark 和/或 tcpdump。
  2. 准备数据收集
    1. 使用HOW TO COLLECT THE OUTPUT OF CLI COMMANDS PERIODICALLY USINGTERA TERM SCRIPT
    2. 使用以下命令让脚本收集:
全球柜台-显示计数器全局过滤器数据包过滤器是增量是
会议详情("显示会话所有过滤器源 <> 目标 <> " 获取会话ID然后用这个ID运行命令“显示会话 <id> " 获取会话详细信息)
i=0
 sendln 'set cli pager off'
 sendln 'show system info'
 :continue

i=i+1
 sendln 'show counter global filter packet-filter yes delta yes'
 sendln 'show session all filter source 10.10.10.1 destination 10.20.20.1'
 sendln 'show session all filter source 172.16.13.1 destination 192.168.14.1'
 sendln 'show session <id-x>'
 sendln 'show session <id-y>'

pause 5
goto continue
end
注:以上脚本示例仅供参考;源 IP 和目标 IP 可能会颠倒;这取决于哪个IP发起连接。
  1. 使用上一步收集的数据包捕获和全局计数器来排除导致低吞吐量的可能因素。
    1. 丢包
      1. 使用IPSEC PERFORMANCE IMPACTED WHEN REPLAY PROTECTION IS ENABLED
      2. 使用IPSEC TUNNEL IS UP BUT PACKET IS GETTING DROPPED WITHWRONG SPI COUNTER INCREASE
      3. 比较在两个防火墙上收集的加密数据包时是否有明显的数据包丢失?
    2. 碎片化
      1. 你看到计数器“flow_fwd_mtu_exceeded”和/或“flow_ipfrag_frag”了吗?
      2. 要解决此问题,请调整隧道MTU在两端,去网络 > 接口 > 隧道 >点击相应界面> 高级 > 其他信息 >MTU , 尝试一个比默认值 1500 更低的值,直到计数器消失。
    3. 乱序数据包
      1. 比较从步骤 4.a 捕获的 pcaps。使用明文数据包,以及步骤 4.b。


                             
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cr8SCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language