Cómo solucionar SD-WAN problemas de enlace caído

Cómo solucionar SD-WAN problemas de enlace caído

14558
Created On 01/20/23 02:49 AM - Last Modified 09/15/23 05:10 AM


Objective


Recibimos una notificación de que una o más de las interfaces de túnel de SDWANestán inactivas e intentaremos explorar algunos escenarios posibles para aislar y resolver el problema.

Environment


  • PAN-OS 10.0 y superior
  • SD-WAN

Procedure


  1. Identificar el posible agotamiento de recursos en Palo Alto firewall.
    1. Si AIOps supervisa el , utilice Cómo identificar altoCPU, búfer de paquetes y Descriptor de paquetes en el firewall firewall con AIOps
    2. Para firewalls supervisados que no son AIOps, siga estos pasos
      1. Utilice Cómo solucionar problemas de uso de búfer de paquetes alto o descriptores de paquetes para comprobar si tiene firewall un uso elevado de recursos de plano de datos.
      2. Determinar si la utilización del plano CPU de datos es alta
        1. En el firewall, GUIvaya a > DASHBOARD Widgets > Sistema > haga clic en Recursos del sistema
        2. Para resolver este problema, utilice Cómo solucionar problemas de High DataPlane CPU
      3. Determinar si la utilización del plano CPU de administración es alta
        1. En el firewall, GUIvaya a > DASHBOARD Widgets > Sistema > haga clic en Recursos del sistema
        2. Para resolver este problema, utilice TIPS & TRICKS: Reducción de la carga del plano de administración
NOTE: A alto valor de descriptor de paquetes y/o búfer de paquetes del 60% o superior es probablemente un posible signo de denegación de servicio (DoS).
  1. Identificar el posible agotamiento del ancho de banda
    1. Para firewalls supervisados que no son AIOps, siga estos pasos
      1. Recopile el ID de interfaz del túnel en cuestión ejecutando > mostrar conexión SDWAN todos
sdwankb1-1.png
  1. Necesitaremos saber la hora en que nuestro SDWAN túnel bajó usando el comando > grep mp-log sdwand.log patrón "if_idx X", X el valor se basa en el id-id de la interfaz de arriba.
sdwankb2-2.png
 
  1. En la herramienta de supervisión del ancho de banda de red (por ejemplo, PRTG, WhatUp, Nagios, etc.), correlacione el tiempo obtenido y vea si la velocidad de bits de la interfaz relacionada con el problema tenía una tendencia plana / nivelada en el gráfico. En caso afirmativo, esto confirma que necesitamos más ancho de banda para admitir el requisito actual y escalar al proveedor de servicios si SLA no se cumple.
  2. Usando el mismo comando en el paso 2.a.i, ¿Otras interfaces de túnel asignadas a la misma interfaz física experimentan el mismo problema?
  1. Identificar posibles IPSEC discrepancias de configuración
    1. En la mayoría de las topologías, los asientos detrás del firewallhub , mientras que la accesibilidad entre los Panorama firewalls de la rama y Panorama pasa por el SD-WANtúnel /IPSEC.
      A El problema surge cuando empujamos SDWAN/IPSEC-related config a hub y firewalls de bifurcación simultáneamente, lo que puede desencadenar una renegociación de túnel. Si el commit en el sucede primero versus la rama, el hub hub esperará a que la rama inicie la IKEIPSEC / negociación. Una vez completada la confirmación en la bifurcación, pero el túnel no existe, la rama firewall pierde su conectividad con el Panorama y revertirá los cambios debido a Habilitar recuperación de confirmación automatizada . Ahora tenemos dos dispositivos que tienen un parámetro /IPSEC diferenteSDWAN.
      1. vaya a Panorama > Dispositivos administrados > Resumen, para verificar cualquier falta de sincronización firewall.
      2. use Cómo solucionar problemas de Túnel IPSec VPN , busque cualquier IPSEC discrepancia de configuración en la rama e intente editar temporalmente la configuración de la rama firewall para que coincida con la hubconfiguración de .
      3. Una vez que el túnel esté activo, empuje la configuración a la Panorama rama firewall para sincronizar sus configuraciones.
  2. Identifique un posible problema debido a la configuración que impide que el ICMP monitor del túnel funcione.
    1. Protección de zona con comprobación estricta IP aplicada en una interfaz de túnel
      1. ejecutar > mostrar contador delta del filtro global sí | caída de coincidencia

sdwan-strick1-1.png
  1. determinar la zona aplicada a la interfaz del túnel, desde la rama vaya a > NETWORK Interfaces > Túnel, en la mayoría de los casos esta zona a-hub
  2. desde , Panoramavaya a NETWORK > plantilla > [haga clic en la plantilla adecuada] > Perfiles de red> > de protección de zonas [haga clic en la zona apropiada según el paso 4.a.ii] Protección contra ataques basada en paquetes > > IP Suelta > desmarca Dirección de Strick IP Comprobar > confirmar  
  3. suponiendo que la topología se basa en el Paso 3.a, y no tenemos accesibilidad entre Panorama y la rama, necesitaremos ejecutar el Paso 4.a.iii directamente en la rama, desde la bifurcaciónGUI, vaya a NETWORK > Perfiles de red> Protección de zonas > [haga clic en la zona apropiada según el paso 4.a.ii] > Protección contra ataques basada en paquetes > Suelta > desmarca la dirección de Strick Comprobar > IP confirmar IP 
 

Additional Information


  1. ¿Cómo interpretamos tl_0102_007951000299644_0104
TL = Túnel 0102 = Ethernet1/2 del local firewall, que es uno de los extremos del túnel
007951000299644 = número de serie del interlocutor remoto
0104 = Ethernet1
/4 del mando a distancia firewall con el número de serie anterior
 
sdwankb3-1.png
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGOvCAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language