皆さんこんにちは、
私は81台のASAを持っており、それらをAzure内のPalo Alto VM500にサイト間VPNで接続したいです。トンネルは確立し、pingも通りますが、多くのパケットロスがあります。これはISPの問題ではありません。いくつかのサイトからテストした結果です。パケットロスは変動し、あるサイトではASAからのすべてのパケットの30%がドロップされ、別のサイトでは約100成功したパケットごとに3つのパケットがエラーになり、ほぼパターン化しています。何か間違ったことをしているのでしょうか、それともASAsはPalosにVPN接続するのがあまり得意ではないのでしょうか?私はIKEv2を使用しており、多くのフェーズ1とフェーズ2の設定を試してきました。NATトラバーサルは有効にしていますが、パケットロスは改善しません。逆に、物理のPA-440を使った支店は問題なくVM 500に接続でき、パケットも落としません。IKEv1を使用すべきでしょうか、それともこれが設計の問題で、現場のASAをPalosに置き換える必要があるのでしょうか?
Paloの前にロードバランサーを置いてみてはいかがでしょうか。Paloには多くのケースで必要とされるベストプラクティスの設計があります。VPNでの試みは未経験ですが、セットアップとテストは比較的簡単です。
PCAPはありますか?
ASAとPAは協調できますが、少し手間がかかります。プロキシIDを利用していることを確認してください。また、両側に返送ルートが設定されているかも重要です。どこかに返送ルートの設定漏れがある可能性が高いです。Paloのシステムログも確認しましたか?大抵の場合、問題はフェーズ2の不一致に起因しています。
このCisco ASAは、6年以上にわたりVTI(仮想トンネルインターフェース)を使用したトンネル保護モードをサポートしています。これにより、ポリシーベースのVPNの代わりにルートベースのVPNが可能になります。ルートベースVPNではプロキシIDは不要です:
BGPのみサポートされています。実装後はNATバイパスは不要で、ACLSとBGP設定を使ってトラフィック管理が可能です。
長年この方法を使っていますが、非常に良く動作します。