SAP GUI连接SAP应用服务器偶发性断连如何解决？

线下 SAP GUI 连接云上 SAP 应用，或者云上处于不同安全组的 SAP GUI 和 SAP 应用，都可能会出现偶发性断连。

出现原因如下：

1. 常规配置为，客户防火墙允许 SAP Client 通过特定端口访问云上的 SAP 应用层 （出方向规则），sapapp-sg 安全组允许 SAP Client 通过特定端口访问 SAP 应用层 （入方向规则）；dmz-sg 安全组允许 SAP Router 访问 SAP 应用层（出方向端口默认 全开），sapapp-sg 安全组允许 SAP Router 访问 SAP 应用层（入方向规则）。

2. 当线下 SAP Client 与线上 SAP 应用建立链接时，客户防火墙和 sapapp-sg 都会在连 接表中维护这条链接的记录，两个防火墙为了使得自身内存不被占满，在发现此链接处于闲置状态 N 秒后，会自动从连接表中移除这条记录。华为云安全组默认移 除时间为 600s，客户防火墙时间需客户自行查证。

3. 链接被移除后，当 SAP 应用返回数据给 SAP Client 时，会经过 sapapp-sg，发现没 有了链接的记录，于是为数据包添加随机端口继续发送给 SAP Client，由于 sapapp[1]sg 的出方向端口默认全部放开，因此 sapapp-sg 将数据包发送至客户防火墙，由于客户防火墙没有开放允许 SAP 应用访问 SAP Client 的入规则，数据包将被丢弃， 此时显示为 SAP Client 与 SAP 应用断连。

4. dmz-sg 如果有不允许 SAP 应用访问 SAP Router 的入规则，同样的问题也会发生。

解决方案有以下两种：

1. 客户防火墙和 dmz-sg 对 SAP 应用开放所有端口。

2. 在SAP应用侧设置 keepalive 机制，rdisp/keepalive = 300，此参数使得 SAP 应用每5分钟做一次连接保持操作。

3. 根据SAP Note 1410736设定saprouter所在机器的TCP keepalive机制。修改keepalive参数值，语法示例如下：sysctl -w net.ipv4.tcp_keepalive_time=300。