Cómo solucionar SD-WAN problemas de enlace caído
14558
Created On 01/20/23 02:49 AM - Last Modified 09/15/23 05:10 AM
Objective
Recibimos una notificación de que una o más de las interfaces de túnel de SDWANestán inactivas e intentaremos explorar algunos escenarios posibles para aislar y resolver el problema.
Environment
- PAN-OS 10.0 y superior
- SD-WAN
Procedure
- Identificar el posible agotamiento de recursos en Palo Alto firewall.
- Si AIOps supervisa el , utilice Cómo identificar altoCPU, búfer de paquetes y Descriptor de paquetes en el firewall firewall con AIOps
- Para firewalls supervisados que no son AIOps, siga estos pasos
- Utilice Cómo solucionar problemas de uso de búfer de paquetes alto o descriptores de paquetes para comprobar si tiene firewall un uso elevado de recursos de plano de datos.
- Determinar si la utilización del plano CPU de datos es alta
- En el firewall, GUIvaya a > DASHBOARD Widgets > Sistema > haga clic en Recursos del sistema
- Para resolver este problema, utilice Cómo solucionar problemas de High DataPlane CPU
- Determinar si la utilización del plano CPU de administración es alta
- En el firewall, GUIvaya a > DASHBOARD Widgets > Sistema > haga clic en Recursos del sistema
- Para resolver este problema, utilice TIPS & TRICKS: Reducción de la carga del plano de administración
- Identificar el posible agotamiento del ancho de banda
- Para firewalls supervisados que no son AIOps, siga estos pasos
- Recopile el ID de interfaz del túnel en cuestión ejecutando > mostrar conexión SDWAN todos
- Para firewalls supervisados que no son AIOps, siga estos pasos
- Necesitaremos saber la hora en que nuestro SDWAN túnel bajó usando el comando > grep mp-log sdwand.log patrón "if_idx X", X el valor se basa en el id-id de la interfaz de arriba.
- En la herramienta de supervisión del ancho de banda de red (por ejemplo, PRTG, WhatUp, Nagios, etc.), correlacione el tiempo obtenido y vea si la velocidad de bits de la interfaz relacionada con el problema tenía una tendencia plana / nivelada en el gráfico. En caso afirmativo, esto confirma que necesitamos más ancho de banda para admitir el requisito actual y escalar al proveedor de servicios si SLA no se cumple.
- Usando el mismo comando en el paso 2.a.i, ¿Otras interfaces de túnel asignadas a la misma interfaz física experimentan el mismo problema?
- Identificar posibles IPSEC discrepancias de configuración
- En la mayoría de las topologías, los asientos detrás del firewallhub , mientras que la accesibilidad entre los Panorama firewalls de la rama y Panorama pasa por el SD-WANtúnel /IPSEC.
A El problema surge cuando empujamos SDWAN/IPSEC-related config a hub y firewalls de bifurcación simultáneamente, lo que puede desencadenar una renegociación de túnel. Si el commit en el sucede primero versus la rama, el hub hub esperará a que la rama inicie la IKEIPSEC / negociación. Una vez completada la confirmación en la bifurcación, pero el túnel no existe, la rama firewall pierde su conectividad con el Panorama y revertirá los cambios debido a Habilitar recuperación de confirmación automatizada . Ahora tenemos dos dispositivos que tienen un parámetro /IPSEC diferenteSDWAN.- vaya a Panorama > Dispositivos administrados > Resumen, para verificar cualquier falta de sincronización firewall.
- use Cómo solucionar problemas de Túnel IPSec VPN , busque cualquier IPSEC discrepancia de configuración en la rama e intente editar temporalmente la configuración de la rama firewall para que coincida con la hubconfiguración de .
- Una vez que el túnel esté activo, empuje la configuración a la Panorama rama firewall para sincronizar sus configuraciones.
- En la mayoría de las topologías, los asientos detrás del firewallhub , mientras que la accesibilidad entre los Panorama firewalls de la rama y Panorama pasa por el SD-WANtúnel /IPSEC.
- Identifique un posible problema debido a la configuración que impide que el ICMP monitor del túnel funcione.
- Protección de zona con comprobación estricta IP aplicada en una interfaz de túnel
- ejecutar > mostrar contador delta del filtro global sí | caída de coincidencia
- Protección de zona con comprobación estricta IP aplicada en una interfaz de túnel
- determinar la zona aplicada a la interfaz del túnel, desde la rama vaya a > NETWORK Interfaces > Túnel, en la mayoría de los casos esta zona a-hub
- desde , Panoramavaya a NETWORK > plantilla > [haga clic en la plantilla adecuada] > Perfiles de red> > de protección de zonas [haga clic en la zona apropiada según el paso 4.a.ii] Protección contra ataques basada en paquetes > > IP Suelta > desmarca Dirección de Strick IP Comprobar > confirmar
- suponiendo que la topología se basa en el Paso 3.a, y no tenemos accesibilidad entre Panorama y la rama, necesitaremos ejecutar el Paso 4.a.iii directamente en la rama, desde la bifurcaciónGUI, vaya a NETWORK > Perfiles de red> Protección de zonas > [haga clic en la zona apropiada según el paso 4.a.ii] > Protección contra ataques basada en paquetes > Suelta > desmarca la dirección de Strick Comprobar > IP confirmar IP
Additional Information
- ¿Cómo interpretamos tl_0102_007951000299644_0104
TL = Túnel 0102 = Ethernet1/2 del local firewall, que es uno de los extremos del túnel
007951000299644 = número de serie del interlocutor remoto
0104 = Ethernet1
/4 del mando a distancia firewall con el número de serie anterior
007951000299644 = número de serie del interlocutor remoto
0104 = Ethernet1
/4 del mando a distancia firewall con el número de serie anterior