SSH偶发性断连如何解决？

线下服务器SSH连接云上服务器，或者处于不同安全组的机器互相SSH，都可能会出现偶发性断连。

出现原因如下：

1. 常规配置为，客户防火墙允许 SAP Client 通过特定端口访问云上的 SAP 应用层 （出方向规则），sapapp-sg 安全组允许 SAP Client 通过特定端口访问 SAP 应用层 （入方向规则）；dmz-sg 安全组允许 SAP Router 访问 SAP 应用层（出方向端口默认 全开），sapapp-sg 安全组允许 SAP Router 访问 SAP 应用层（入方向规则）。

2. 当线下 SAP Client 与线上 SAP 应用建立链接时，客户防火墙和 sapapp-sg 都会在连 接表中维护这条链接的记录，两个防火墙为了使得自身内存不被占满，在发现此链接处于闲置状态 N 秒后，会自动从连接表中移除这条记录。华为云安全组默认移 除时间为 600s，客户防火墙时间需客户自行查证。

3. 链接被移除后，当 SAP 应用返回数据给 SAP Client 时，会经过 sapapp-sg，发现没 有了链接的记录，于是为数据包添加随机端口继续发送给 SAP Client，由于 sapapp[1]sg 的出方向端口默认全部放开，因此 sapapp-sg 将数据包发送至客户防火墙，由于文档名称 2020-3-31 第 3 页, 共 5 页 客户防火墙没有开放允许 SAP 应用访问 SAP Client 的入规则，数据包将被丢弃， 此时显示为 SAP Client 与 SAP 应用断连。

4. dmz-sg 如果有不允许 SAP 应用访问 SAP Router 的入规则，同样的问题也会发生。

解决方案：使用putty等工具的keepalive功能保持连接。