Problembehandlung SD-WAN bei Latenz, Jitter und Paketverlust
39608
Created On 01/20/23 00:01 AM - Last Modified 12/10/25 01:04 AM
Objective
Die PAN-OS firewall SD-WAN Funktion überwacht SD-WAN virtuelle Schnittstellen (die sowohl physische ISP Schnittstellen als VPN auch Tunnelschnittstellen enthalten) mithilfe von SD-WAN Probes. Wenn bei diesen Tests eine Latenz(ms), Jitter(ms) oder Paketverlust(%) auftritt, die über den im Pfadqualitätsprofil konfigurierten Schwellenwerten liegt, werden diese Metriken als fehlerhaft markiert, sodass der Datenverkehr auf einen anderen Pfad geändert werden kann.
In diesem Dokument finden Sie die Schritte zur Netzwerkproblembehandlung, um die Ursache für diese Latenz, diesen Jitter oder diesen Paketverlust in Ihrem Netzwerk über die betroffenen Links einzugrenzen, zu überprüfen und zu beheben.
Tipp: Die SD-WAN Funktion misst die Latenz, den Jitter und den Paketverlust der Verbindung, indem sie die Testpakete misst, nicht die ICMP Latenz, den Jitter oder den Paketverlust tatsächlicher Datenverkehrspakete. Es ist wichtig zu beachten, dass nicht firewall überprüft wird, ob der tatsächliche Datenverkehr Latenz, Jitter oder Paketverlust aufweist.
Stattdessen wird überprüft, firewall ob die SD-WAN Testpakete Latenz, Jitter oder Paketverlust über diese Verbindung erfahren (was auch der eigentliche Datenverkehr tut). Dann wird einfach überprüft, firewall ob diese Werte über oder unter den konfigurierten Schwellenwerten im Pfadqualitätsprofil für diese Anwendung liegen oder nicht.
Environment
- PAN-OS
- SD-WAN
Procedure
- Untersuchen Sie, welche Verbindung Latenz, Jitter oder Paketverlust aufweist, und ermitteln Sie, welche SD-WAN Anwendung, die diese Verbindung durchquert, die konfigurierten Schwellenwerte für das Pfadqualitätsprofil überschreitet, da Web UI und CLI
Beim Bereitstellen von SD-WAN Policy Regeln müssen Benutzer Pfadqualitätsprofile konfigurieren.Hier legt der Benutzer seine bevorzugten Schwellenwerte für Latenz, Jitter und Paketverlust fest:
Panorama > Objekte > Verknüpfungsmanagement > SD-WAN Pfadqualitätsprofil
Der firewall misst die SD-WAN Tests auf Latenz, Jitter oder Paketverlust. Wenn bei diesen Testpaketen Werte für Latenz, Jitter oder Paketverlust auftreten, die über den Schwellenwerten liegen, die im Pfadqualitätsprofil für diese Anwendung in der SD-WAN Policy Regel für den Datenverkehr konfiguriert sind, wird diese Anwendung als fehlerhaft markiert. Verwenden Sie die folgenden Methoden, um den Status dieser Anwendungen anzuzeigen und festzustellen, ob sie Ihre konfigurierten Schwellenwerte erreichen oder überschreiten:
Panorama SD-WAN > > Monitoring
Quelle: Fehlerbehebung bei der Leistung und Fehlerbehebung App bei der Verbindungsleistung
CLI Befehle
> show sdwan path-monitor stats vif sdwan.1
===slot1 dp0 health_ver:(High sensitive) 15 (Medium sensitive) 11 (Low sensitive) 2 ===
----------------------------------------------------------------
ethernet1/1 idx: 16 Probing: Enabled Monitor-mode: Aggressive
----------------------------------------------------------------
probe-req-send:30920 State: up
probe-reply-recv:30919
packet loss : real-time crt-use change
per 1000 pkt: 0 0 0
latency jitter pkt_loss health_ver
3000ms average
real time: 16 1 0
current use: 0 0 0 2
10000ms average
real time: 16 1 0
current use: 0 1 0 8
25000ms average
real time: 16 1 0
current use: 0 0 0 2
- Identifizieren Sie den Pfad (und ISP), den der Datenverkehr mit Latenz, Jitter oder Paketverlust nimmt, um sein Ziel zu erreichen.
Navigieren Sie zu Überwachen > Datenverkehrsprotokolle und verwenden Sie Filter , um die Quelladresse IP , die Zieladresse IP und die Ausgangsschnittstelle des Datenverkehrs dieser Anwendung über diesen Pfad zu ermitteln und zu überprüfen, welchen Pfad und welche Verknüpfung sie benötigt, um zum Ziel zu gelangen.
- Rufen Sie an und lassen Sie ISP sie die Latenz, Jitter oder Paketverlust beheben
Wenn es außer dem ISP zwischen dem Zweig und Hub firewallkeine anderen Geräte gibt, verfolgen Sie dieses Problem mit Latenz, Jitter oder Paketverlust mit Ihrem ISP. Hinweis: Wenn die Behauptungen keine Latenz, keinen Jitter oder keinen Paketverlust auf dem Pfad aufweisen, bitten Sie sie, dokumentierte Beweise vorzulegen, insbesondere da die Sonden von (SD-WAN ICMPdie ISP firewalldiesen /VPN Tunnel durchlaufenISP) Latenz, Jitter oder Paketverlust aufweisen.
Wenn sich im Pfad dieser SD-WAN Sonden neben dem ISPandere Geräte (Router, Switches usw.) befinden, fahren Sie mit den folgenden Schritten fort.
Wenn sich im Pfad dieser SD-WAN Sonden neben dem ISPandere Geräte (Router, Switches usw.) befinden, fahren Sie mit den folgenden Schritten fort.
- Identifizieren Sie, welches Gerät oder welche Schnittstelle (oder ob das ISP) im Pfad des Datenverkehrs die Latenz verursacht.
- Überprüfen Sie alle Datenverkehrs- oder Netzwerküberwachungstools von Drittanbietern, um den Punkt zu ermitteln, an dem die Latenz auf dem Pfad dieses Datenverkehrsflusses auftritt.
- Ermitteln Sie, ob Konfigurationsänderungen vorgenommen oder neue Geräte in Ihr Netzwerk im Pfad dieses Datenverkehrs eingeführt wurden, die diese Latenz, diesen Jitter oder den Paketverlust verursacht haben könnten.
- Melden Sie sich an und überprüfen Sie die Geräte im Pfad des Datenverkehrs, um festzustellen, ob sie Anzeichen von Problemen bei der Verarbeitung des Datenverkehrs aufweisen. Beginnen Sie mit allen Geräten, von denen Sie vermuten, dass sie am wahrscheinlichsten diese Art von Langsamkeit verursachen, oder mit neuen Geräten, die eingeführt wurden, da der Datenverkehr wie erwartet funktionierte. Tipp: Verwenden Sie die integrierten Datenverkehrsdiagnosetools dieses Anbieters (Paketverfolgung, Paketerfassung, Leistungsprotokolle, Datenverkehrsprotokolle usw.), um zu diagnostizieren, warum dieser Datenverkehrsfluss (nach Quelle IP und Ziel IP) langsam durch dieses Gerät läuft.
- Nehmen Sie Paketerfassungen an verschiedenen Punkten im Netzwerk entlang des Pfades dieses Datenverkehrsflusses vor. Vergleichen Sie die Zeitstempel in den Paketerfassungen an verschiedenen Punkten im Netzwerk nebeneinander, um festzustellen, an welchem Erfassungspunkt (d. h. Gerät) das Paket länger braucht, um anzukommen/eingehend/ausgehen. Wenn Sie dies tun, bis Sie sich auf ein einzelnes Gerät oder eine Verbindung des Netzwerks beschränken können, die die Latenz direkt verursacht, können Sie dann die erforderliche Konfigurationsänderung auf diesem Gerät beheben, beheben oder die erforderlichen Konfigurationsänderungen vornehmen.
- Erkundigen Sie sich bei der ISP und bitten Sie sie, einen Nachweis/Nachweis zu erbringen, dass es keine Latenz, keinen Paketverlust oder Jitter auf dem Pfad gibt, den der Datenverkehr nimmt
- Identifizieren und reduzieren oder eliminieren Sie schwere Lasten, Auslastungen oder Überlastungen auf Geräten oder Links im Pfad
Überprüfen Sie die Statistiken/den Zustand jedes Links und Geräts im Pfad des Datenverkehrs auf Ausfälle, Fehler, Überschwemmungen oder Probleme bei der Paketverarbeitung. Diese Art von Symptomen kann dazu führen, dass Pakete länger als normal brauchen, um ein Gerät ein- und auszugehen, was wiederum dazu führt, dass Endbenutzer langsame Funktionen der Anwendung melden.
Häufige Schuldige sind:
Häufige Schuldige sind:
- Jedes Gerät, das einem DDoS-Angriff / einer Traffic-Flut jeglicher Art ausgesetzt ist
- Jedes Gerät, das diesen Datenverkehrsfluss umleitet oder weiterleitet
- Jedes Gerät, das den Datenverkehr unnötig stark überprüft (Entschlüsselungsgeräte)
- Jedes Gerät mit hohen Ressourcenproblemen wie z. B. hoher CPUSpeicher, Puffer usw.
- Konfigurieren Sie QoS auf den Geräten, die erforderlich sind, um die Pakete dieses Datenverkehrs entlang des Datenverkehrspfads zu priorisieren
Konfigurieren Sie QoS auf allen geeigneten Geräten im Pfad dieses Datenverkehrsflusses. Dadurch wird dieser spezifische Verkehrsfluss gegenüber dem anderen Datenverkehr priorisiert und von Geräten auf diesem Pfad so schnell wie möglich verarbeitet. Informationen zur Konfiguration von QoS auf dem jeweiligen Gerät finden Sie in der Herstellerdokumentation des jeweiligen Geräts.
- Optimieren des Routings und des Pfads
Stellen Sie sicher, dass der Datenverkehr die kürzesten, direktesten und schnellsten Routen und Links nimmt, um sein Ziel zu erreichen. Stellen Sie sicher, dass der Datenverkehr nicht unnötig von Sicherheitsgeräten entlang des Pfads umgeleitet oder weitergeleitet wird. Beenden Sie vorübergehend die Umleitung oder den Proxy, um festzustellen, ob dies das Problem ist. Wenn der Datenverkehr unbeabsichtigt umgeleitet oder per Proxy weitergeleitet wird, konfigurieren Sie das Gerät, das die Umleitung durchführt, oder den Proxy neu, um dies bei diesem Datenverkehrsfluss nicht zu tun. Überprüfen Sie dann, ob das Problem behoben oder die Datenverkehrsleistung (Latenz, Jitter oder Paketverlust) verbessert wurde.
Häufige Schuldige dafür sind:
Häufige Schuldige dafür sind:
- Firewalls führen umfangreiche Inspektionen durch
- Entschlüsselungsgeräte
- Proxy-Geräte
- Unnötiges / suboptimales VPN Tunnelrouting
- (Optional) Niedrigere Anwendungseinstellungen oder Verwendung eines leichteren, schnelleren Protokolls / einer schnelleren Technologie, um diesen Datenverkehr zu übertragen
Beispiele:
- Begrenzung der Videoqualität (von 4k bis 1080p)
- Begrenzen des Audioqualitätscodecs (von G.722 auf G.711 oder G.729)
- Beurteilen Sie, ob es eine leichtere Version oder Implementierung des von Ihnen verwendeten Protokolls / der Anwendung gibt, die bei Bedarf geringere Bandbreitenanforderungen aufweist.
- Erstellen eines Pfadqualitätsprofils mit weniger strengen Anforderungen für Paketverlust, Latenz oder Jitter
Wenn Sie oder Ihr nicht in der Lage sind, die Anwendung/den Pfad ISP auf die Schwellenwerte zu bringen, die Sie im aktuellen Pfadqualitätsprofil angegeben haben, müssen Sie möglicherweise die Schwellenwerte für Paketverlust, Latenz oder Jitter im Pfadqualitätsprofil auf niedrigere Stufen ändern.