トラブルシューティング方法SD-WANリンクダウン
14554
Created On 01/20/23 02:49 AM - Last Modified 09/15/23 05:10 AM
Objective
次の 1 つ以上の通知を受け取りました。SDWANのトンネル インターフェースがダウンしており、考えられるいくつかのシナリオを調査して、問題を切り分けて解決します。
Environment
- PAN-OS 10.0以上
- SD-WAN
Procedure
- パロアルトの資源枯渇の可能性を特定するfirewall.
- もしfirewallAIOps によって監視されている場合は、使用しますハイの見分け方CPU、パケット バッファ、およびパケット記述子firewallAIOps で
- AIOps で監視されていないファイアウォールの場合は、次の手順を使用します。
- 使用するパケット バッファまたはパケット記述子の使用率が高い場合のトラブルシューティング方法あなたのfirewallはデータプレーン リソースの使用率が高くなっています。
- データ プレーンがCPU利用率が高い
- 下firewallのGUI、に行くDASHBOARD> ウィジェット > システム >クリックシステム リソース
- この問題を解決するには、 High DataPlane のトラブルシューティング方法CPU
- 管理プレーンがCPU利用率が高い
- 下firewallのGUI、に行くDASHBOARD> ウィジェット > システム >クリックシステム リソース
- この問題を解決するには、TIPS &TRICKS : 管理プレーンの負荷を軽減する
- 帯域幅の枯渇の可能性を特定する
- AIOps で監視されていないファイアウォールの場合は、次の手順を使用します。
- 実行して、関係するトンネルのインターフェイス ID を収集します> sdwan 接続をすべて表示
- AIOps で監視されていないファイアウォールの場合は、次の手順を使用します。
- 時間を知る必要がありますSDWANコマンドを使用してトンネルがダウンしました> grep mp-log sdwand.log パターン "if_idxX "、X値は上記のインターフェイス ID に基づいています。
- ネットワーク帯域幅監視ツール (例: PRTG、WhatUp、Nagios など)、取得した時間を相関させ、問題に関連するインターフェイスのビット レートがグラフで横ばい/横ばい傾向にあるかどうかを確認します。 はいの場合、現在の要件をサポートするためにさらに帯域幅が必要であることを確認し、サービス プロバイダーにエスカレートします。SLA満たされていません。
- ステップ 2.ai で同じコマンドを使用すると、同じ物理インターフェイスにマップされている他のトンネル インターフェイスで同じ問題が発生していますか?
- 可能性の識別IPSEC構成の不一致
- ほとんどのトポロジでは、Panorama後ろの席hubfirewall、支社のファイアウォールとPanoramaを通過しますSD-WAN/IPSECトンネル。
A プッシュすると問題が発生しますSDWAN/IPSEC-関連する設定hubおよびファイアウォールを同時に分岐させると、トンネルの再ネゴシエーションがトリガーされる可能性があります。 コミットがhubブランチに対して最初に発生し、hubブランチが開始するのを待ちますIKE/IPSEC交渉。 ブランチでコミットが完了した後、トンネルが存在しない場合、ブランチはfirewallへの接続を失うPanoramaによる変更を元に戻します自動コミット回復を有効にする. これで、異なる 2 つのデバイスができました。SDWAN /IPSECパラメータ。- に行くPanorama> 管理対象デバイス > 概要、同期していないことを確認するfirewall.
- 使用するIPSec のトラブルシューティング方法VPNトンネルダウン、いずれかを探しますIPSECブランチで設定の不一致が発生し、一時的にブランチを編集してみるfirewallに一致するように設定しますhubの構成。
- トンネルが立ち上がったら、Panoramaブランチへの設定firewall設定を同期します。
- ほとんどのトポロジでは、Panorama後ろの席hubfirewall、支社のファイアウォールとPanoramaを通過しますSD-WAN/IPSECトンネル。
- 構成が原因で発生する可能性のある問題を特定します。ICMPトンネル モニタが機能しなくなります。
- Strict によるゾーン保護IPトンネル インターフェイスに適用されるチェック
- 実行する> カウンタ グローバル フィルタ デルタを表示する はい |マッチドロップ
- Strict によるゾーン保護IPトンネル インターフェイスに適用されるチェック
- トンネル インターフェイスに適用されるゾーンを決定し、ブランチから次の場所に移動します。NETWORK > インターフェース > トンネル、ほとんどの場合これゾーンからhub
- からPanorama、に行くNETWORK> テンプレート > [適切なテンプレートをクリック] > ネットワーク プロファイル> ゾーン保護 > [ステップ 4.a.ii に従って適切なゾーンをクリックします] > パケットベースの攻撃防御 >IPドロップ >チェックを外すストリックIPアドレスチェック > コミット
- トポロジはステップ 3.a に基づいており、その間に到達可能性がないと仮定します。Panoramaブランチから、ステップ 4.a.iii をブランチで直接実行する必要があります。GUI 、に行くNETWORK> ネットワーク プロファイル> ゾーン保護 > [ステップ 4.a.ii に従って適切なゾーンをクリックします] > パケットベースの攻撃防御 >IPドロップ >チェックを外すストリックIPアドレスチェック > コミット
Additional Information
- どう解釈するかtl_0102_007951000299644_0104
tl = トンネル
0102 = ローカルの ethernet1/2firewall 、トンネルの終点の 1 つ
007951000299644 = リモート ピアのシリアル番号
0104 = リモートの ethernet1/4firewall上記のシリアルナンバーで
0102 = ローカルの ethernet1/2firewall 、トンネルの終点の 1 つ
007951000299644 = リモート ピアのシリアル番号
0104 = リモートの ethernet1/4firewall上記のシリアルナンバーで