如何排除故障SD-WAN链接下来

14560

Created On 01/20/23 02:49 AM - Last Modified 09/15/23 05:10 AM

Objective

我们收到通知，其中一项或多项SDWAN的隧道接口已关闭，我们将尝试探索一些可能的场景来隔离和解决问题。

NOTE:A 60% 及以上的高数据包描述符和/或数据包缓冲区值可能是拒绝服务 (DoS) 的可能迹象。

我们需要知道我们的时间SDWAN使用命令关闭隧道> grep mp-log sdwand.log 模式“if_idxX ",X值基于上面的 interface-id。

在您的网络带宽监控工具中（例如， PRTG、WhatUp、Nagios等），将得到的时间关联起来，看问题接口的码率在图中是否有平缓的趋势。如果是，这确认我们需要更多带宽来支持当前要求，如果SLA没有被满足。
在步骤 2.ai 下使用相同的命令，是否其他隧道接口映射到同一物理接口遇到相同的问题？

确定可能IPSEC配置不匹配
1. 在大多数拓扑中，Panorama后面的座位hubfirewall，而分支防火墙之间的可达性和Panorama通过SD-WAN/IPSEC隧道。
  A 当我们推动时出现问题SDWAN/IPSEC-相关配置hub和分支防火墙同时进行，这可能会触发隧道重新协商。如果在hub首先发生在分支上，hub将等待分支发起IKE/IPSEC谈判。在分支完成提交后，但隧道不存在，分支firewall失去与Panorama并将恢复由于以下原因所做的更改启用自动提交恢复. 现在我们有两个不同的设备SDWAN/IPSEC范围。
  1. 去Panorama> 托管设备 > 摘要，验证任何不同步firewall.
  2. 利用如何排除 IPSec 故障VPN向下隧道, 寻找任何IPSEC分支配置不一致，尝试临时编辑分支firewall配置使其与hub的配置。
  3. 隧道建立后，按下Panorama配置到分支firewall同步他们的配置。
确定由于配置阻止的可能问题ICMP隧道监视器的功能。
1. 严格的区域保护IP检查应用于隧道接口
  1. 执行> 显示计数器全局过滤器增量是 |火柴掉落

确定应用于隧道接口的区域，从分支转到NETWORK> 接口 > 隧道，在大多数情况下这区对hub
来自Panorama，去NETWORK> 模板 > [点击合适的模板] > 网络配置文件> 区域保护 > [按照步骤 4.a.ii 单击适当的区域] > 基于数据包的攻击防护 >IP放下 >取消勾选斯特里克IP地址检查 > 提交
假设拓扑基于步骤 3.a，并且我们之间没有可达性Panorama和分支，我们需要直接在分支中从分支执行步骤 4.a.iiiGUI ，去NETWORK> 网络配置文件> 区域保护 > [按照步骤 4.a.ii 单击适当的区域] > 基于数据包的攻击防护 >IP放下 >取消勾选斯特里克IP地址检查 > 提交

时间=隧道
0102 = 本地的 ethernet1/2firewall , 这是隧道的一端
007951000299644 = 远程端的序列号
0104 = 远程的 ethernet1/4firewall用上面的序列号