如何排除故障SD-WAN链接下来
14560
Created On 01/20/23 02:49 AM - Last Modified 09/15/23 05:10 AM
Objective
我们收到通知,其中一项或多项SDWAN的隧道接口已关闭,我们将尝试探索一些可能的场景来隔离和解决问题。
Environment
- PAN-OS 10.0及以上
- SD-WAN
Procedure
- 确定帕洛阿尔托可能的资源枯竭firewall.
- 如果firewall被AIOps监控,使用如何识别高CPU,数据包缓冲区和数据包描述符在firewall与 AIOps
- 对于非 AIOps 监控的防火墙,使用以下步骤
- 利用如何对高数据包缓冲区或数据包描述符使用进行故障排除检查你的firewall数据平面资源使用率很高。
- 确定数据平面是否CPU利用率高
- 在下面firewall的GUI, 去DASHBOARD> 小部件 > 系统 >点击系统资源
- 要解决此问题,请使用如何对高数据平面进行故障排除CPU
- 确定管理平面是否CPU利用率高
- 在下面firewall的GUI, 去DASHBOARD> 小部件 > 系统 >点击系统资源
- 要解决此问题,请使用TIPS&TRICKS : 减少管理平面负载
- 确定可能的带宽耗尽
- 对于非 AIOps 监控的防火墙,使用以下步骤
- 通过执行收集相关隧道的接口 ID > 显示所有 sdwan 连接
- 对于非 AIOps 监控的防火墙,使用以下步骤
- 我们需要知道我们的时间SDWAN使用命令关闭隧道> grep mp-log sdwand.log 模式“if_idxX ",X值基于上面的 interface-id。
- 在您的网络带宽监控工具中(例如, PRTG、WhatUp、Nagios等),将得到的时间关联起来,看问题接口的码率在图中是否有平缓的趋势。 如果是,这确认我们需要更多带宽来支持当前要求,如果SLA没有被满足。
- 在步骤 2.ai 下使用相同的命令,是否其他隧道接口映射到同一物理接口遇到相同的问题?
- 确定可能IPSEC配置不匹配
- 在大多数拓扑中,Panorama后面的座位hubfirewall,而分支防火墙之间的可达性和Panorama通过SD-WAN/IPSEC隧道。
A 当我们推动时出现问题SDWAN/IPSEC-相关配置hub和分支防火墙同时进行,这可能会触发隧道重新协商。 如果在hub首先发生在分支上,hub将等待分支发起IKE/IPSEC谈判。 在分支完成提交后,但隧道不存在,分支firewall失去与Panorama并将恢复由于以下原因所做的更改启用自动提交恢复. 现在我们有两个不同的设备SDWAN/IPSEC范围。- 去Panorama> 托管设备 > 摘要,验证任何不同步firewall.
- 利用如何排除 IPSec 故障VPN向下隧道, 寻找任何IPSEC分支配置不一致,尝试临时编辑分支firewall配置使其与hub的配置。
- 隧道建立后,按下Panorama配置到分支firewall同步他们的配置。
- 在大多数拓扑中,Panorama后面的座位hubfirewall,而分支防火墙之间的可达性和Panorama通过SD-WAN/IPSEC隧道。
- 确定由于配置阻止的可能问题ICMP隧道监视器的功能。
- 严格的区域保护IP检查应用于隧道接口
- 执行> 显示计数器全局过滤器增量是 |火柴掉落
- 严格的区域保护IP检查应用于隧道接口
- 确定应用于隧道接口的区域,从分支转到NETWORK> 接口 > 隧道,在大多数情况下这区对hub
- 来自Panorama, 去NETWORK> 模板 > [点击合适的模板] > 网络配置文件> 区域保护 > [按照步骤 4.a.ii 单击适当的区域] > 基于数据包的攻击防护 >IP放下 >取消勾选斯特里克IP地址检查 > 提交
- 假设拓扑基于步骤 3.a,并且我们之间没有可达性Panorama和分支,我们需要直接在分支中从分支执行步骤 4.a.iiiGUI , 去NETWORK> 网络配置文件> 区域保护 > [按照步骤 4.a.ii 单击适当的区域] > 基于数据包的攻击防护 >IP放下 >取消勾选斯特里克IP地址检查 > 提交
Additional Information
- 我们如何解读tl_0102_007951000299644_0104
时间=隧道
0102 = 本地的 ethernet1/2firewall , 这是隧道的一端
007951000299644 = 远程端的序列号
0104 = 远程的 ethernet1/4firewall用上面的序列号
0102 = 本地的 ethernet1/2firewall , 这是隧道的一端
007951000299644 = 远程端的序列号
0104 = 远程的 ethernet1/4firewall用上面的序列号