我有一个VPN连接到远程站点,每当没有任何东西插入到远程站点LAN bgroup的接口IP不可pipe理或可ping通。
任何人都知道什么命令我在CLI上跳过设置? 或者,如果networking界面上有一个checkbox,我应该打?
正确的答案是创build一个回送接口。 当没有任何东西插入局域网组时,接口就会“closures”,所有与之关联的路由将从路由表中删除。 实际上,这是一种您想要的行为,因为它在使用基于路由的冗余VPN时有帮助 – 这是设备知道“该隧道已closures,现在应该转到此处”的唯一方法。
好的,你所做的是:
现在,您可以使用该回送IP地址来pipe理本机,该地址始终保持可达状态; 而且你不需要开辟额外的地址空间来做到这一点。
确保隧道仍然“保持”是一个完全不同的问题。 在ScreenOS中,这可以通过“monitor rekey”选项来实现(如果需要,可以通过“优化”来实现,如果外部不可ping通,则使用特定的目标IP和源端口,并且可能间隔为5而不是1,如果你去的线路是住宅ISP)。 但是,这与pipe理无关。 如果您configuration了接收日志的服务器,并在“VPN Down”向员工发送通知,它可以给您提供良好的指示,并提前警告VPN失败。 如果configuration错误 – 也就是说,如果Monitor正在ping的地址实际上不能被ping通,或者如果间隔对于ISP连接的质量/延迟太过于激进(如果configuration错误, S)。 这可以通过例如通过隧道ping所述环回地址来处理:您将不依赖于可以ping通的外部地址。
在VPN( 自动密钥IKE )的阶段2设置上,单击高级button,然后打开(检查) VPN监视器和重新密钥 。 如果密钥过期或连接由于某种原因而断开,将会打开隧道。 我们使用这个为我们的远程用户谁经常closures所有连接的设备。 这样,即使VPN上没有stream量,我们仍然可以访问远程的Netscreen。
尝试创build一个环回接口,并连接隧道。
如果这是一个基于策略的VPN隧道,并且所有的客户端都closures,那么可能没有足够的“有趣的”stream量来保持隧道。 可能有一个计时器延长(也许到无穷远)这个超时,以防止这种情况发生。
那么,在不了解您的设置的情况下(最好知道它是基于路由还是基于策略等),您需要牢记的是,ScreenOS通常需要通过策略将stream量路由或转发到隧道中,以启动隧道或保持隧道。 所以,如果没有交通进入隧道隧道不会停留。 这听起来像你的问题。 但是,有几个命令行选项可以调整隧道的行为方式。 尝试Oreilly ScreenOS Cookbook的第10章或下载ScreenOS“概念与范例指南”。 这是瞻博网站上的一个相当大的PDF,但它也被分成多个卷。 尝试查看第5卷:虚拟专用networking,高级虚拟专用networkingfunction。 特别注意一个名为“VPN Monitoring”的选项,使用“set vpn monitor rekey”应该有助于保持隧道在不同的情况下激活,但一定要读取。 另外,如果你想进一步研究,可以在新版本的代码上检查DPD(死对等检测)。
我不认为你可以。 IP接口由于路由表而依赖于物理接口(或bgroup)。 因此,如果物理接口closures,则路由器假定整个networking(包括其本身)都不可达。
