Como evitar desconexões de VPN?
As conexões de VPN são renegociadas quando a vida útil da AS do IPsec está prestes a expirar ou quando os dados transmitidos por meio de uma conexão de VPN excedem 20 GB. Normalmente, a renegociação não interrompe as conexões de VPN.
A maioria das desconexões são causadas por configurações incorretas nas duas extremidades da conexão de VPN ou falhas de renegociação devido a exceções da Internet.
As causas comuns de desconexões são as seguintes:
- ACLs dos dispositivos em ambas as extremidades da conexão de VPN não coincidem.
- As configurações de vida útil da AS em ambas as extremidades da conexão de VPN são diferentes.
- A DPD não está configurada no data center local.
- A configuração é modificada quando a conexão de VPN está em uso.
- Os pacotes são fragmentados porque o tamanho dos dados excede a MTU.
- Tremulação ocorre na rede da operadora.
Como tal, certifique-se de que as seguintes configurações de VPN estejam corretas para manter as conexões de VPN ativas:
- As sub-redes locais e remotas são pares correspondentes.
- As configurações de vida útil da AS em ambas as extremidades da conexão de VPN são as mesmas.
- A DPD está ativada no dispositivo de gateway local e o número de vezes de detecção é 5 ou mais.
- Os parâmetros são modificados em ambas as extremidades da conexão de VPN durante o uso da conexão de VPN.
- Defina TCP MAX-MSS como 1300 para o dispositivo de gateway local.
- A largura de banda do gateway local é grande o suficiente para ser usada pela conexão de VPN.
- A negociação da conexão de VPN pode ser acionada por ambas as extremidades e a negociação ativa foi habilitada no dispositivo de gateway local.
- Faça ping nas sub-redes em ambas as extremidades continuamente. O script é o seguinte:
#!/bin/sh host=$1 if [ -z $host ]; then echo "Usage: `basename $0` [HOST]" exit 1 fi log_name=$host".log" while :; do result=`ping -W 1 -c 1 $host | grep 'bytes from '` if [ $? -gt 0 ]; then echo -e "`date +'%Y/%m/%d %H:%M:%S'` - host $host is down"| tee -a $log_name else echo -e "`date +'%Y/%m/%d %H:%M:%S'` - host $host is ok -`echo $result | cut -d ':' -f 2`"| tee -a $log_name fi sleep 5 # avoid ping rain done #./ping.sh x.x.x.x >>/dev/null &
- Use o editor vi para copiar o script anterior para o arquivo ping.sh.
- Execute o comando chmod 777 ping.sh para conceder permissões ao arquivo.
- Execute o comando ping:
./ping.sh x.x.x.x >>/dev/null &
x.x.x.x indica o endereço IP a ser pingado.
- Execute o seguinte comando:
Você pode ver o resultado do ping em tempo real.