Comment résoudre SD-WAN les problèmes liés à la panne de lien

Comment résoudre SD-WAN les problèmes liés à la panne de lien

14552
Created On 01/20/23 02:49 AM - Last Modified 09/15/23 05:10 AM


Objective


Nous avons reçu une notification indiquant qu'une ou plusieurs interfaces de tunnel de SDWANsont en panne et nous allons essayer d'explorer certains scénarios possibles pour isoler et résoudre le problème.

Environment


  • PAN-OS 10.0 et versions ultérieures
  • SD-WAN

Procedure


  1. Identifier l’épuisement possible des ressources dans le Palo Alto firewall.
    1. Si le est surveillé par AIOps, utilisez Comment identifier un haut, un tampon de paquets et un CPUdescripteur de paquets dans le firewall firewall avec AIOps
    2. Pour les pare-feu non surveillés par AIOps, procédez comme suit :
      1. Utilisez Comment faire pour résoudre les problèmes d’utilisation de la mémoire tampon de paquets élevée ou des descripteurs de paquets pour vérifier si votre firewall utilisation des ressources du plan de données est élevée.
      2. Déterminer si l’utilisation du plan CPU de données est élevée
        1. firewallSous le , accédez à > GUIDASHBOARD Widgets > système > cliquez sur Ressources système
        2. Pour résoudre ce problème, utilisez Comment faire pour dépanner High DataPlane CPU
      3. Déterminer si l’utilisation du plan CPU de gestion est élevée
        1. firewallSous , accédez à > GUIDASHBOARD Widgets > système > cliquez sur Ressources système
        2. Pour résoudre ce problème, utilisez TIPS & TRICKS: Réduction de la charge du plan de gestion
NOTE: A une valeur élevée de descripteur de paquets et/ou de tampon de paquets de 60 % et plus est probablement un signe possible de déni de service (DoS).
  1. Identifier l’épuisement possible de la bande passante
    1. Pour les pare-feu non surveillés par AIOps, procédez comme suit :
      1. Collectez l’ID d’interface du tunnel concerné en exécutant > afficher la connexion SDWAN tous
sdwankb1-1.png
  1. Nous aurons besoin de connaître l'heure à laquelle notre SDWAN tunnel est tombé en panne en utilisant la commande > grep mp-log sdwand.log modèle « if_idx X« , X la valeur est basée sur l'interface-id ci-dessus.
sdwankb2-2.png
 
  1. Dans votre outil de surveillance de la bande passante réseau (par exemple, PRTG, WhatUp, Nagios, etc.), corrélez le temps obtenu et voyez si le débit binaire de l’interface concernant le problème avait une tendance plate / stabilisée dans le graphique. Si oui, cela confirme que nous avons besoin de plus de bande passante pour prendre en charge l'exigence actuelle et remonter au fournisseur de services si le SLA n'est pas respecté.
  2. En utilisant la même commande à l’étape 2.a.i, d’autres interfaces de tunnel mappées à la même interface physique rencontrent-elles le même problème ?
  1. Identifier les éventuelles IPSEC incohérences de configuration
    1. Dans la plupart des topologies, les sièges derrière le , tandis que l’accessibilité entre les Panorama pare-feu de branche et Panorama passe par le SD-WANhub firewalltunnel /.IPSEC
      A Le problème survient lorsque nous poussons simultanément /IPSEC-related config vers hub et branchons SDWANles pare-feu, ce qui peut déclencher une renégociation de tunnel. Si la validation dans le hub se produit en premier par rapport à la branche, la attendra que la branche lance la hub IKEnégociation /IPSEC . Une fois la validation terminée au niveau de la branche, mais que le tunnel n'existe pas, la branche firewall perd sa connectivité à la et annule les modifications dues à l'option Activer la récupération automatisée de la Panorama validation . Maintenant, nous avons deux appareils qui ont un paramètre / SDWANIPSEC différent.
      1. accédez à Panorama > Résumé des appareils gérés > pour vérifier les cas de désynchronisation firewall.
      2. utilisez Comment dépanner IPSec VPN Tunnel Down , recherchez toute IPSEC divergence de configuration au niveau de la branche et essayez de modifier temporairement la configuration de la branche firewall pour qu'elle corresponde à la hubconfiguration de .
      3. Une fois le tunnel en place, poussez la configuration vers la Panorama branche firewall pour synchroniser leurs configurations.
  2. Identifiez les problèmes possibles dus à la configuration empêchant le ICMP moniteur de tunnel de fonctionner.
    1. Protection de zone avec contrôle strict IP appliqué sur une interface de tunnel
      1. Exécuter > afficher le compteur Filtre global delta Oui | Match Drop

sdwan-strick1-1.png
  1. déterminer la zone appliquée à l’interface du tunnel, à partir de la branche aller à NETWORK > Interfaces > Tunnel, dans la plupart des cas cette zone à-hub
  2. à partir du Panorama, accédez à > NETWORK Modèle > [cliquez sur le modèle approprié] > Profils réseau> Protection des zones > [cliquez sur la zone appropriée conformément à l’étape 4.a.ii] > Protection contre les attaques basées sur les paquets > Déposez > décochez Strick Vérification de l’adresse > IP validation IP 
  3. En supposant que la topologie est basée sur l'étape 3.a, et que nous n'avons pas d'accessibilité entre Panorama et la branche, nous devrons exécuter l'étape 4.a.iii directement dans la branche, à partir de la branche GUI, aller à > NETWORK Profils réseau> Protection des zones > [cliquez sur la zone appropriée conformément à l'étape 4.a.ii] > Protection contre les attaques basées sur les paquets > IP Déposer > décochez Strick IP Address Check > Commit 
 

Additional Information


  1. Comment interprétons-nous tl_0102_007951000299644_0104
TL = tunnel 0102 = Ethernet1/2 du localfirewall, qui est l’une des extrémités du tunnel
007951000299644 = numéro de série de l’homologue distant
0104 =
Ethernet1/4 de la télécommande firewall avec le numéro de série ci-dessus
 
sdwankb3-1.png
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGOvCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language