tocdepth

2

Как я могу предотвратить прерывание VPN-соединения?

Параметры VPN-соединения могуть быть пересогласованы, когда период действия текущих параметров IPsec SA подходит к окончанию или объем данных, переданных через VPN-соединение, превышает 20 ГБ. Обычно пересогласование параметров не прерывает VPN-соединения.

Большинство прерываний вызвано несогласованными настройками параметров с обеих сторон VPN-соединения или сбоем их пересогласования из-за проблем с интернетом.

Наиболее распространенными причинами прерывания соединения являются:

• Значение списков доступа (ACL) на устройствах с обеих сторон VPN-соединения не совпадают между собой.

• Периоды действия параметров SA с обеих сторон VPN-соединения не совпадают.

• Механизм проверки состояния и доступности смежных устройств (Dead Peer Detection) не настроен в аппаратном ЦОД.

• Параметры IKE и IPsec были некорректно изменены во время использовании VPN.

• Фрагментация IP-пакетов, поскольку размер данных превышает допустимый MTU.

• Вариации задержок при передаче пакетов в сети оператора.

Поэтому убедитесь, что выполнены следующие настройки для успешного VPN-соединения:

• Описание локальной подсети одной площадки совпадает с удаленной подсетью другой и наоборот.

• Периоды действия параметров SA с обеих сторон VPN-соединения согласованы.

• Механизм DPD включен на устройстве аппаратного ЦОД, и количество попыток обнаружения смежного устройства больше или равно 5.

• При необходимости параметры протоколов IKE и IPsec изменяются согласовано с обеих сторон VPN-соединения во время его использования.

• Для параметра TCP MAX-MSS установлено значение 1300 для устройства в аппаратном ЦОД.

• Доступная пропускная способность VPN-шлюза в аппартном ЦОД достаточно велика для использования VPN-соединения.

• Установка VPN-соединения может быть инициирована обеими площадками, и активный режим включен на VPN-шлюзе в аппаратном ЦОД.

• Проверьте установку VPN-соединения (утилита ping) между площадками с помощью файл-скрипта:

  #!/bin/sh
  host=$1
  if [ -z $host ]; then
      echo "Usage: `basename $0` [HOST]"
      exit 1
  fi
  log_name=$host".log"
  
  while :; do
      result=`ping -W 1 -c 1 $host | grep 'bytes from '`
      if [ $? -gt 0 ]; then
          echo -e "`date +'%Y/%m/%d %H:%M:%S'` - host $host is down"| tee -a $log_name
      else
          echo -e "`date +'%Y/%m/%d %H:%M:%S'` - host $host is ok -`echo $result | cut -d ':' -f 2`"| tee -a $log_name
      fi
  sleep 5 # avoid ping rain
  done
  #./ping.sh x.x.x.x >>/dev/null &
  

Примечание

1. С помощью редактора vi скопируйте вышеприведенный список команд в созданный файл с названием ping.sh.

2. Чтобы предоставить права доступа к файлу на выполнение, запустите chmod 777 ping.sh.

3. Запустите ./ping.sh x.x.x.x >>/dev/null &. В качестве x.x.x.x необходимо указать IP-адрес для проверки VPN-соединения.

4. После выполнения команд из скрипта создается дополнительный файл x.x.x.x.log. Чтобы просмотреть результат непрерывного использования утилиты ping в реальном времени, запустите tail -f x.x.x.x.log.

Была ли статья полезной?

Да Нет

Предыдущая статья

Поддерживается ли SSL VPN?

Следующая статья

Какова максимальная пропускная способность VPN-шлюза?

Запустили Evolution free tier
для Dev & Test

Получить