在某些 Branch Office VPN (BOVPN) 安装中,会出现所有设置均正确,但 BOVPN 连接不能始终正确运行的情况。 您可使用下述信息,来帮助您对 BOVPN 隧道的可用性问题进行故障排除。 这些程序不会提高 BOVPN 隧道的一般性能。
大部分 BOVPN 隧道都可以一直传输流量。 出现的问题一般与以下三种情况中的一项或多项有关:
您可以在所有 XTM 设备上安装最新的操作系统和管理软件,但是您仍然无法控制本列表中的所有其他情况。 然而,您可以采取某些特定的措施来提高 BOVPN 的可用性。
IKE 保持活动和 Dead Peer Detection 设置都可以显示隧道何时断开连接。 当它们发现隧道断开连接后,它们会启动新的第 1 阶段协商。 如果您同时选择了 IKE 保持活动和 Dead Peer Detection,那么其中一个设置启动的第 1 阶段协商会使另一个设置将隧道识别为已断开连接,从而再启动一个第 1 阶段协商。 每个第 1 阶段协商都会终断所有的隧道流量,直至该隧道协商完毕。 为了提高隧道稳定性,请只选择 IKE 保持活动或 Dead Peer Detection, 不要同时选择两者。
请注意这些设置的以下相关信息:
IKE 保持活动设置仅用于 XTM 设备。 如果远程端点是第三方 IPSec 设备,则不要使用该设置。
启用 IKE 保持活动后,XTM 设备会定期向远程网关设备发送消息并等待响应。 消息间隔定义发送消息的时间间隔。 最大失败数是 XTM 设备尝试重新协商第 1 阶段连接前,可接受的远程网关设备响应失败次数。
Dead Peer Detection 是大部分 IPSec 设备使用的行业标准。 如果两个端点设备都支持 Dead Peer Detection,请选择它。提高 Branch Office VPN 隧道可用性
当您启用 Dead Peer Detection 后,Firebox 会监测隧道流量,以确定隧道是否处于活动状态。 如果在流量闲置超时中输入的时间段内没有从远程对等方接收到流量,且有数据包正等待送往对等方,则 XTM 设备会发送一个查询。 如果在进行了最大重试次数中设定次数的尝试后仍无响应,则 XTM 设备会重新协商第 1 阶段连接。 有关 Dead Peer Detection 的详细信息,请参阅 http://www.ietf.org/rfc/rfc3706.txt。
IKE 保持活动和 Dead Peer Detection 设置都属于第 1 阶段的设置。
默认 BOVPN 设置可提供安全与速度的最佳组合。 应尽可能使用默认设置。 如果远程端点设备不支持 WatchGuard 默认设置中的某一项,请配置 XTM 设备以便从远程端点使用默认设置。 以下是 WSM 11.x 的默认设置:
如果在 VPN > BOVPN 配置页面中未显示某项设置,则不能更改该设置。
常规设置 | |
---|---|
模式 | 主模式(如果其中一个设备有动态外部 IP 地址,请选择攻击性模式。) |
NAT 穿越 | 是(Y) |
NAT 穿越保持活动间隔 | 20 秒 |
IKE 保持活动(I) | 已禁用 |
IKE 保持活动消息间隔 | 无 |
IKE 保持活动最大失败数 | 无 |
Dead Peer Detection (RFC3706) | 已启用 |
Dead Peer Detection 流量闲置超时 | 20 秒 |
Dead Peer Detection 最大重试次数 | 5 |
第 1 阶段转换设置 | |
---|---|
认证算法 | 共享哈希算法 1 (SHA-1) |
加密算法 | 3DES |
SA 有效期或协商到期时间(小时) | 8 |
SA 有效期或协商到期时间(千字节) | 0 |
Diffie-Hellman 组 | 2 |
第 2 阶段方案设置 | |
---|---|
类型 | ESP |
认证算法 | 共享哈希算法 1 (SHA-1) |
加密算法 | AES(256 位) |
强制密钥过期 | 启用 |
第 2 阶段密钥到期时间(小时) | 8 |
第 2 阶段密钥到期时间(千字节) | 128000 |
启用 Perfect Forward Secrecy(P) | 否(N) |
Diffie-Hellman 组 | 无 |
如果隧道在一段时间内没有流量经过,则一个端点可以确定另一个端点不可用,并立即停止尝试与 VPN 隧道重新协商。 确保隧道内始终有流量经过的一种方法就是配置 Firebox,使其通过隧道发送日志流量。 您不需要使用 Log Server 来接收并保持流量记录。 具体来说,您需要故意将 Firebox 配置为向并不存在的 Log Server 发送日志流量。 这样就可以产生少量持续通过隧道发送的流量,从而有助于使隧道更加稳定。
日志数据有两种: WatchGuard 日志记录和系统日志记录。 如果 Firebox 的配置是同时向 WatchGuard Log Server 和系统日志服务器发送日志数据,则您不能使用此方法来通过隧道发送流量。
必须选择一个 Log Server IP 地址,以便将日志数据发送到这里。 要选择 IP 地址,请遵循以下原则。
两种类型的日志记录会生成数量不同的流量。
WatchGuard 日志记录
在 Firebox 连接到 Log Server 之前不会发送任何日志数据。 通过隧道发送的唯一一种流量就是尝试连接到 Log Server 的流量,该尝试每三分钟进行一次。 该流量已足以帮助隧道保持稳定,同时对其他 BOVPN 流量的影响也最小。
系统日志记录
日志数据将立刻发送到系统日志服务器 IP 地址。 日志数据的多少取决于 Firebox 所处理的流量。 系统日志记录通常生成足以让数据包始终通过隧道传输的流量。 流量的大小偶尔会使常规 BOVPN 流量降低,但是这种现象并不常见。
要在提高稳定性的同时把对 BOVPN 流量产生的影响降至最低,请先尝试使用 WatchGuard 日志记录选项。 如果这不能提高 BOVPN 隧道的稳定性,再尝试使用系统日志记录。 接下来的步骤假设两个端点设备都是 WatchGuard 设备,且两个端点都配置为不向 WatchGuard Log Server 及系统日志服务器发送日志数据。 如果一个端点已经配置为向服务器发送日志数据,请不要更改这些日志记录设置。
您可尝试以下这些不同的选项:
通过隧道发送 WatchGuard 日志数据
通过隧道发送系统日志数据