Cómo solucionar SD-WAN problemas de latencia, fluctuación de fase y pérdida de paquetes
39608
Created On 01/20/23 00:01 AM - Last Modified 12/10/25 01:04 AM
Objective
La PAN-OS firewall SD-WAN función supervisa SD-WAN las interfaces virtuales (que contienen interfaces físicas ISP y/o VPN interfaces de túnel) mediante SD-WAN sondas. Si estos sondeos experimentan una cantidad de latencia (ms), fluctuación (ms) o pérdida de paquetes (%) que está por encima de los umbrales configurados en el perfil de calidad de ruta, entonces esa métrica se marcará como incorrecta y, como resultado, el tráfico podría cambiarse a una ruta diferente.
Este documento le proporciona los pasos de solución de problemas de red para reducir, verificar y resolver la causa raíz de esta latencia, fluctuación de fase o pérdida de paquetes que se detecta en su red a través de los vínculos afectados.
Consejo: La SD-WAN función mide la latencia, la fluctuación de fase y la pérdida de paquetes del enlace midiendo los ICMP paquetes de sondeo, no la latencia, la fluctuación de fase o la pérdida de paquetes de tráfico real Es importante tener en cuenta que no firewall comprueba si el tráfico
real está experimentando latencia, fluctuación o pérdida de paquetes. En su lugar, comprueba firewall si los SD-WAN paquetes de sondeo están experimentando latencia, fluctuación de fase o pérdida de paquetes a través de ese enlace (que el tráfico real también va). Luego, firewall simplemente verifica si esos valores están por encima o por debajo de los umbrales configurados en el perfil de calidad de ruta para esa aplicación o no.
Environment
- PAN-OS
- SD-WAN
Procedure
- Investigue qué vínculo está experimentando latencia, fluctuación de fase o pérdida de paquetes e identifique qué SD-WAN aplicación que atraviesa ese vínculo supera los umbrales de perfil de calidad de ruta configurados debido a que utiliza Web UI y CLI
Al implementar SD-WAN Policy reglas, los usuarios deben configurar perfiles de calidad de ruta.Aquí es donde el usuario establece sus umbrales preferidos para la latencia, la fluctuación de fase y la pérdida de paquetes:
Panorama > Objetos > Gestión de vínculos > SD-WAN Perfil de calidad de ruta
Mide firewall los sondeos para detectar SD-WAN latencia, fluctuación de fase o pérdida de paquetes. Si esos paquetes de sondeo experimentan valores de latencia, fluctuación de fase o pérdida de paquetes que estén por encima de los umbrales configurados en el perfil de calidad de ruta de acceso para esa aplicación en la regla que está alcanzando el SD-WAN Policy tráfico, esa aplicación se marcará como incorrecta. Para ver el estado de estas aplicaciones y si cumplen o superan los umbrales configurados, utilice los métodos siguientes:
Panorama SD-WAN > > Monitoreo
Origen: Solución de problemas de rendimiento y solución de problemas de App rendimiento de vínculos
CLI Comandos
> show sdwan path-monitor stats vif sdwan.1
===slot1 dp0 health_ver:(High sensitive) 15 (Medium sensitive) 11 (Low sensitive) 2 ===
----------------------------------------------------------------
ethernet1/1 idx: 16 Probing: Enabled Monitor-mode: Aggressive
----------------------------------------------------------------
probe-req-send:30920 State: up
probe-reply-recv:30919
packet loss : real-time crt-use change
per 1000 pkt: 0 0 0
latency jitter pkt_loss health_ver
3000ms average
real time: 16 1 0
current use: 0 0 0 2
10000ms average
real time: 16 1 0
current use: 0 1 0 8
25000ms average
real time: 16 1 0
current use: 0 0 0 2
Referencia: Usar CLI comandos para SD-WAN tareas
- Identificar la ruta (y ISP) que el tráfico que experimenta la latencia, la fluctuación de fase o la pérdida de paquetes está tomando para llegar a su destino
Vaya a Supervisar registros de tráfico de > y use filtros para determinar la dirección de origenIP, la dirección de destino y la interfaz de salida del tráfico de esta aplicación a través de esa ruta de acceso, y compruebe qué ruta y vínculo está tomando para llegar a su destino IP
- Llámelo ISP y pídales que resuelvan la latencia, la fluctuación de fase o la pérdida de paquetes
Si no hay otros dispositivos además del ISP entre la sucursal y Hub firewall, continúe con este problema de latencia, fluctuación de fase o pérdida de paquetes con su ISP. Nota: Si las afirmaciones no hay latencia, fluctuación de fase o pérdida de paquetes en la ruta, pídales que proporcionen pruebas documentadas, especialmente porque las ISP firewallsondas de (que atraviesan ese ISP/VPN Túnel) están experimentando latencia, fluctuación de fase o pérdida de SD-WAN ICMP paquetes).
Si hay otros dispositivos (enrutadores, conmutadores, etc.) en la ruta de estas SD-WAN sondas, aparte del ISP, continúe con los pasos a continuación.
Si hay otros dispositivos (enrutadores, conmutadores, etc.) en la ruta de estas SD-WAN sondas, aparte del ISP, continúe con los pasos a continuación.
- Identificar qué dispositivo o interfaz (o si el ISP) en la ruta del tráfico está causando la latencia
- Revise cualquier herramienta de supervisión de red o tráfico de terceros para identificar el punto en el que se produce la latencia en la ruta de ese flujo de tráfico
- Identifique si ha habido algún cambio de configuración o nuevos dispositivos introducidos en su red en la ruta de este tráfico que puedan haber causado esta latencia, fluctuación de fase o pérdida de paquetes
- Inicie sesión y verifique los dispositivos en la ruta del tráfico para ver si muestran algún signo de problemas al procesar el tráfico. Comience con cualquier dispositivo (s) que sospeche que es más probable que cause este tipo de lentitud o cualquier dispositivo nuevo introducido ya que el tráfico estaba funcionando como se esperaba. Consejo: Utilice las herramientas de diagnóstico de tráfico integradas de ese proveedor (seguimiento de paquetes, captura de paquetes, registros de rendimiento, registros de tráfico, etc.) para diagnosticar por qué ese flujo de tráfico (por origen IP y destino IP) atraviesa ese dispositivo lentamente.
- Tome capturas de paquetes en varios puntos de la red a lo largo de la ruta de este flujo de tráfico. Compare las marcas de tiempo en las capturas de paquetes en varios puntos de la red lado a lado para identificar en qué punto de captura (es decir, dispositivo) tarda más tiempo el paquete en llegar o ingresar/salir. Hacerlo hasta que pueda reducir a un solo dispositivo o enlace de la red que causa directamente la latencia le permitirá solucionar problemas, resolver o realizar los cambios de configuración necesarios en ese dispositivo.
- Consulte con el y pídales que proporcionen pruebas / evidencia de que no hay latencia, pérdida de paquetes o fluctuación en la ruta que toma el ISP tráfico
- Identifique y reduzca o elimine cualquier carga pesada, utilización o congestión en cualquier dispositivo o enlace en la ruta
Verifique las estadísticas / estado de cada enlace y dispositivo en la ruta del tráfico para detectar caídas, errores, inundaciones o problemas de procesamiento de paquetes. Estos tipos de síntomas pueden hacer que los paquetes tarden más de lo normal en ingresar/salir de un dispositivo, lo que a su vez hará que los usuarios finales informen de lentitud en la funcionalidad de la aplicación.
Los culpables comunes incluyen:
Los culpables comunes incluyen:
- Cualquier dispositivo bajo un ataque DDoS / inundación de tráfico de cualquier tipo
- Cualquier dispositivo que redirija o proxies que el flujo de tráfico
- Cualquier dispositivo que inspeccione en gran medida (dispositivos de descifrado) que trafique innecesariamente
- Cualquier dispositivo que experimente problemas de recursos altos, como alta CPU, memoria, búferes, etc.
- Configurar QoS en cualquier dispositivo (s) necesario para priorizar los paquetes de ese tráfico a lo largo de la ruta de tráfico
Configure QoS en cualquier dispositivo apropiado en la ruta de este flujo de tráfico. Como resultado, este flujo de tráfico específico se priorizará sobre otro tráfico y es procesado por los dispositivos en esta ruta lo más rápido posible. Consulte la documentación del proveedor del dispositivo correspondiente sobre cómo configurar QoS en su dispositivo.
- Optimizar el enrutamiento y la ruta
Asegúrese de que el tráfico tome las rutas y enlaces más cortos, directos y rápidos para llegar a su destino. Verifique que el tráfico no sea redirigido o redirigido innecesariamente por ningún dispositivo de seguridad a lo largo de la ruta. Detenga temporalmente la redirección o el proxy para determinar si ese es el problema. Si el tráfico se redirige o se envía involuntariamente a un proxy, vuelva a configurar el dispositivo que realiza la redirección o el proxy para que no lo haga en ese flujo de tráfico. A continuación, compruebe si se ha resuelto el problema o si se ha mejorado el rendimiento del tráfico (latencia, fluctuación de fase o pérdida de paquetes).
Los culpables comunes de esto incluyen:
Los culpables comunes de esto incluyen:
- Cortafuegos que realizan inspecciones intensivas
- Dispositivos de descifrado
- Dispositivos proxy
- Enrutamiento de túneles innecesario / subóptimo VPN
- (Opcional) Reduzca la configuración de la aplicación o use un protocolo / tecnología más ligero y rápido para transmitir ese tráfico
Ejemplos:
- Limitar la calidad de vídeo (de 4k a 1080p)
- Limitar el códec de calidad de audio (de G.722 a G.711 o G.729)
- Evalúe si hay una versión o implementación más ligera del protocolo/aplicación que está utilizando que tenga requisitos de ancho de banda más bajos si es necesario
- Crear un perfil de calidad de ruta con requisitos menos estrictos para pérdida de paquetes, latencia o fluctuación de fase
Si usted o su no pueden hacer que la aplicación/ruta de acceso funcione a los niveles de umbral especificados en su ISP perfil de calidad de ruta actual, es posible que deba editar los umbrales de pérdida de paquetes, latencia o fluctuación de fase en el perfil de calidad de ruta a niveles inferiores