Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2023-11-13 GMT+08:00

¿Cómo puedo evitar las desconexiones de VPN?

Las conexiones de VPN se renegocian cuando la vida útil de la SA IPsec está a punto de expirar o cuando los datos transmitidos con una conexión de VPN superan los 20 GB. Por lo general, la renegociación no interrumpe las conexiones de VPN.

La mayoría de las desconexiones se deben a configuraciones incorrectas en los dos extremos de la conexión de VPN o a fallos de renegociación debidos a excepciones de Internet.

Las causas comunes para las desconexiones son las siguientes:

  • Las ACL de los dispositivos en ambos extremos de la conexión de VPN no coinciden.
  • La configuración de la vida útil de SA en ambos extremos de la conexión de VPN es diferente.
  • DPD no está configurado en su centro de datos local.
  • La configuración se modifica cuando la conexión de VPN está en uso.
  • Los paquetes están fragmentados porque el tamaño de los datos excede la MTU.
  • La fluctuación se produce en la red del operador.

Por lo tanto, asegúrese de que las siguientes configuraciones de VPN son correctas para mantener las conexiones de VPN activas:

  • Las subredes locales y remotas son pares coincidentes.
  • La configuración de la duración de la SA en ambos extremos de la conexión de VPN es la misma.
  • DPD está habilitado en el dispositivo del gateway local y el número de veces de detección es de 5 o más.
  • Los parámetros se modifican en ambos extremos de la conexión de VPN durante el uso de la conexión de VPN.
  • Establezca TCP MAX-MSS en 1300 para el dispositivo del gateway local.
  • El ancho de banda del gateway local es lo suficientemente grande para ser utilizado por la conexión de VPN.
  • La negociación de conexión de VPN se puede activar por ambos extremos y la negociación activa se ha habilitado en el gateway local.
  • Hacer ping a las subredes en ambos extremos continuamente. El script es el siguiente:
    #!/bin/sh
    host=$1
    if [ -z $host ]; then
        echo "Usage: `basename $0` [HOST]"
        exit 1
    fi
    log_name=$host".log"
    
    while :; do
        result=`ping -W 1 -c 1 $host | grep 'bytes from '`
        if [ $? -gt 0 ]; then
            echo -e "`date +'%Y/%m/%d %H:%M:%S'` - host $host is down"| tee -a $log_name
        else
            echo -e "`date +'%Y/%m/%d %H:%M:%S'` - host $host is ok -`echo $result | cut -d ':' -f 2`"| tee -a $log_name
        fi
    sleep 5 # avoid ping rain
    done
    #./ping.sh x.x.x.x >>/dev/null &
    1. Utilice el editor vi para copiar el script anterior en el archivo ping.sh.
    2. Ejecute el comando chmod 777 ping.sh para conceder permisos al archivo.
    3. Ejecute el comando ping:

      ./ping.sh x.x.x.x >>/dev/null &

      x.x.x.x indica la dirección IP que se va a hacer ping.

    4. Ejecute el siguiente comando:

      tail -f x.x.x.x.log

      Puede ver el resultado de ping en tiempo real.