¿Cómo puedo evitar las desconexiones de VPN?
Las conexiones de VPN se renegocian cuando la vida útil de la SA IPsec está a punto de expirar o cuando los datos transmitidos con una conexión de VPN superan los 20 GB. Por lo general, la renegociación no interrumpe las conexiones de VPN.
La mayoría de las desconexiones se deben a configuraciones incorrectas en los dos extremos de la conexión de VPN o a fallos de renegociación debidos a excepciones de Internet.
Las causas comunes para las desconexiones son las siguientes:
- Las ACL de los dispositivos en ambos extremos de la conexión de VPN no coinciden.
- La configuración de la vida útil de SA en ambos extremos de la conexión de VPN es diferente.
- DPD no está configurado en su centro de datos local.
- La configuración se modifica cuando la conexión de VPN está en uso.
- Los paquetes están fragmentados porque el tamaño de los datos excede la MTU.
- La fluctuación se produce en la red del operador.
Por lo tanto, asegúrese de que las siguientes configuraciones de VPN son correctas para mantener las conexiones de VPN activas:
- Las subredes locales y remotas son pares coincidentes.
- La configuración de la duración de la SA en ambos extremos de la conexión de VPN es la misma.
- DPD está habilitado en el dispositivo del gateway local y el número de veces de detección es de 5 o más.
- Los parámetros se modifican en ambos extremos de la conexión de VPN durante el uso de la conexión de VPN.
- Establezca TCP MAX-MSS en 1300 para el dispositivo del gateway local.
- El ancho de banda del gateway local es lo suficientemente grande para ser utilizado por la conexión de VPN.
- La negociación de conexión de VPN se puede activar por ambos extremos y la negociación activa se ha habilitado en el gateway local.
- Hacer ping a las subredes en ambos extremos continuamente. El script es el siguiente:
#!/bin/sh host=$1 if [ -z $host ]; then echo "Usage: `basename $0` [HOST]" exit 1 fi log_name=$host".log" while :; do result=`ping -W 1 -c 1 $host | grep 'bytes from '` if [ $? -gt 0 ]; then echo -e "`date +'%Y/%m/%d %H:%M:%S'` - host $host is down"| tee -a $log_name else echo -e "`date +'%Y/%m/%d %H:%M:%S'` - host $host is ok -`echo $result | cut -d ':' -f 2`"| tee -a $log_name fi sleep 5 # avoid ping rain done #./ping.sh x.x.x.x >>/dev/null &
- Utilice el editor vi para copiar el script anterior en el archivo ping.sh.
- Ejecute el comando chmod 777 ping.sh para conceder permisos al archivo.
- Ejecute el comando ping:
./ping.sh x.x.x.x >>/dev/null &
x.x.x.x indica la dirección IP que se va a hacer ping.
- Ejecute el siguiente comando:
Puede ver el resultado de ping en tiempo real.