我设法build立了从Amazon VPC到公司networking的站点到站点的VPN连接 ,经过很多configuration,它工作的很好,但是现在我意识到VPN通道每次没有stream量低谷几分钟 。
我发现产生stream量的唯一方法是从公司的networking到达亚马逊实例,然后隧道再次上升。
我有一个cronjob每分钟做ping,但我认为它应该有一个keepalive选项,或者至less有一个隧道的日志文件,以查明发生了什么事情。
任何想法保持隧道和/或从亚马逊提起来?
防火墙是一个检查点R75.20,它只允许一个隧道一次同一个子网,所以我不能有两个隧道活动。
谢谢,任何问题只是问。
编辑我忘了补充,ping keepalive工作得很好(可能会产生一点点的stream量,但没有什么可担心的),连接下降,因为我不得不重新启动实例,这一点时间,它放弃了我。
添加一个SLA监视器
使用sla监视器,我们可以让ASA在隧道上进行连续的ping操作,以保持它始终处于运行状态。 这是一个configuration,每隔5秒就会在隧道上ping IP。
sla monitor 1 type echo protocol ipIcmpEcho 10.1.2.2 interface OUTSIDE frequency 5 exit sla monitor schedule 1 life forever start-time now 这一点只是保持隧道。 ping是否成功并不重要。
参考: http : //www.tunnelsup.com/troubleshooting-vpn-between-cisco-asa-and-amazon-aws
两个想法,
1)看看你是否可以在检查点侧启用重新启动。 这可能是一个漫长而复杂的调查,实际上可能无法正常工作。
2)由于您使用的是VPC,您是否启用了“启用DNS”function? 它默认是打开的。 如果是这样的话,VPC内部一直有一个IP地址 – VPC DNS服务器。 即使你所有的实例都消失了,它仍然会在那里。 其IP地址很容易从您的实例的DHCP租约中find,但始终是VPC子网networking号+2(例如,如果VPC为172.20.0.0/16,则VPC DNS服务器IP为172.20.0.2) 。 你可以从你的cron做一个@abcd whatever.com。
最后,几分钟后连接关系似乎太短了。 你也许可以修改检查点端的隧道生命周期(因为检查点是启动隧道的那个,对吧?)
祝你好运!