SD-WAN Fehlerbehebung bei Link Down

SD-WAN Fehlerbehebung bei Link Down

14562
Created On 01/20/23 02:49 AM - Last Modified 09/15/23 05:10 AM


Objective


Wir haben eine Benachrichtigung erhalten, dass eine oder mehrere SDWANder Tunnelschnittstellen von ausgefallen sind, und wir werden versuchen, einige mögliche Szenarien zu untersuchen, um das Problem zu isolieren und zu beheben.

Environment


  • PAN-OS 10.0 und höher
  • SD-WAN

Procedure


  1. Identifizieren Sie mögliche Ressourcenerschöpfung im Palo Alto firewall.
    1. Wenn die firewall von AIOps überwacht wird, verwenden Sie How to identify high CPU, Packet Buffer und Packet Descriptor in the firewall with AIOps
    2. Führen Sie für nicht von AIOps überwachte Firewalls die folgenden Schritte aus
      1. Verwenden Sie How To Troubleshoot High Packet Buffer Or Packet Descriptors Usage , um zu überprüfen, ob Ihre firewall Datenebenenressourcenauslastung hoch ist.
      2. Stellen Sie fest, ob die Auslastung der Datenebene CPU hoch ist
        1. firewallGehen Sie unter dem 's GUIzu > DASHBOARD Widgets > System > klicken Sie auf Systemressourcen
        2. Um dieses Problem zu beheben, verwenden Sie How to Troubleshoot High DataPlane CPU
      3. Stellen Sie fest, ob die Auslastung der Verwaltungsebene CPU hoch ist
        1. firewallGehen Sie unter dem 's GUIzu > DASHBOARD Widgets > System > klicken Sie auf Systemressourcen
        2. Um dieses Problem zu beheben, verwenden Sie TIPS & TRICKS: Reduzieren der Last auf Verwaltungsebene
NOTE: A Ein hoher Paketdeskriptor- und/oder Paketpufferwert von 60% und mehr ist wahrscheinlich ein mögliches Zeichen für Denial of Service (DoS).
  1. Mögliche Bandbreitenerschöpfung identifizieren
    1. Führen Sie für nicht von AIOps überwachte Firewalls die folgenden Schritte aus
      1. Sammeln Sie die Schnittstellen-ID des betreffenden Tunnels, indem Sie ausführen > SDWAN-Verbindung anzeigen
SDWANKB1-1.png
  1. Wir müssen die Zeit kennen, zu der unser SDWAN Tunnel mit dem Befehl > grep mp-log sdwand.log Muster "if_idx X" X heruntergefahren ist, der Wert basiert auf der Schnittstellen-ID von oben.
sdwankb2-2.png
 
  1. In Ihrem Tool zur Überwachung der Netzwerkbandbreite (z. B. PRTG, WhatUp, Nagios usw.), korrelieren Sie die erhaltene Zeit und sehen Sie, ob die Bitrate der Schnittstelle in Bezug auf das Problem einen flachen / abgeflachten Trend in der Grafik hatte. Wenn ja, bestätigt dies, dass wir mehr Bandbreite benötigen, um die aktuelle Anforderung zu unterstützen und an den Dienstanbieter zu eskalieren, wenn diese SLA nicht erfüllt wird.
  2. Verwenden desselben Befehls unter Schritt 2.a.i: Sind andere Tunnelschnittstellen, die derselben physischen Schnittstelle zugeordnet sind, das gleiche Problem aufgetreten?
  1. Identifizieren möglicher IPSEC Konfigurationskonflikte
    1. In den meisten Topologien sitzen die Sitze hinter dem hub firewall, während die Panorama Erreichbarkeit zwischen den Zweigfirewalls und Panorama durch den SD-WAN/IPSEC Tunnel geht.
      A Das Problem tritt auf, wenn wir /IPSEC-related config an und Branch-Firewalls gleichzeitig übertragenSDWANhub, was eine Tunnelneuverhandlung auslösen kann. Wenn der Commit in der hub zuerst im Vergleich zur Verzweigung erfolgt, wartet die Verzweigung, bis die Verzweigung die hub IKE/IPSEC Aushandlung initiiert hat. Nachdem der Commit in der Verzweigung abgeschlossen ist, der Tunnel jedoch nicht vorhanden ist, verliert der Zweig firewall seine Verbindung zum Panorama und macht die Änderungen aufgrund von Automatische Commit-Wiederherstellung aktivieren rückgängig. Jetzt haben wir zwei Geräte, die einen anderen SDWAN/IPSEC Parameter haben.
      1. Wechseln Sie zu > Panorama Zusammenfassung der verwalteten Geräte > , um zu überprüfen, ob nicht synchronisiert firewallist.
      2. Verwenden Sie How to troubleshoot IPSec VPN Tunnel Down , suchen Sie nach Konfigurationsdiskrepanzen IPSEC in der Verzweigung, und versuchen Sie, die Zweigkonfiguration firewall vorübergehend so zu bearbeiten, dass sie mit der Konfiguration von hubübereinstimmt.
      3. Sobald der Tunnel eingerichtet ist, schieben Sie die Panorama Konfiguration an den Zweig firewall , um ihre Konfigurationen zu synchronisieren.
  2. Identifizieren Sie mögliche Probleme aufgrund der Konfiguration, die die ICMP Funktion des Tunnelmonitors verhindert.
    1. Zonenschutz mit strenger IP Prüfung auf einer Tunnelschnittstelle
      1. Ausführen > Anzeigen des globalen Zählerfilters Delta Ja | Übereinstimmungsabfall

SDWAN-Strick1-1.png
  1. Bestimmen Sie die Zone, die auf die Tunnelschnittstelle angewendet wird, gehen Sie vom Zweig zu > NETWORK Schnittstellen > Tunnel, in den meisten Fällen diese Zone zu-hub
  2. von der Panorama, gehen Sie zu > Vorlage > [klicken Sie auf die entsprechende NETWORK Vorlage] > Netzwerkprofile> Zonenschutz > [Klicken Sie auf die entsprechende Zone gemäß Schritt 4.a.ii] > Paketbasierter Angriffsschutz > Drop > deaktivieren Strick Address Check > IP Commit IP deaktivieren 
  3. Unter der Annahme, dass die Topologie auf Schritt 3.a basiert und wir keine Erreichbarkeit zwischen Panorama und der Verzweigung haben, müssen wir Schritt 4.a.iii direkt in der Verzweigung ausführen, von der Verzweigung GUIaus gehen Sie zu > NETWORK Netzwerkprofile> Zonenschutz > [klicken Sie auf die entsprechende Zone gemäß Schritt 4.a.ii] > Schutz vor paketbasierten Angriffen > Drop > deaktivieren Strick Address Check > IP Commit IP 
 

Additional Information


  1. Wie interpretieren wir tl_0102_007951000299644_0104
tl = Tunnel 0102 = Ethernet1/2 des lokalen firewall, das eines der Enden des Tunnels ist
007951000299644 = Seriennummer des entfernten Peers
0104 = Ethernet1/4
der Fernbedienung firewall mit der obigen Seriennummer
 
SDWANKB3-1.png
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGOvCAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language