故障排除:Azure 站点到站点 VPN 间歇性地断开连接
我们可能会遇到新的或现有的 Azure 站点到站点 VPN 连接不稳定或定期断开连接的问题。 本文提供了故障排除步骤,以帮助你确定并解决问题的原因。
如果本文未解决你的 Azure 问题,请访问 Microsoft Q&A 和 Stack Overflow 上的 Azure 论坛。 可以在这些论坛上发布问题。 还可提交 Azure 支持请求。 若要提交支持请求,请在 Azure 支持页上提交。
疑难解答步骤
先决条件步骤
检查 Azure 虚拟网络网关的类型:
转到 Azure 门户。
有关类型信息,请查看虚拟网络网关的概述页。
步骤 1:检查是否已验证本地 VPN 设备
- 检查是否使用的是已验证的 VPN 设备和操作系统版本。 如果未验证 VPN 设备,可能需要与设备制造商联系以了解是否存在任何兼容性问题。
- 确保已正确配置 VPN 设备。 有关详细信息,请参阅编辑设备配置示例。
步骤 2:检查安全关联设置(适用于基于策略的 Azure 虚拟网络网关)
- 请确保 Azure 的本地网络网关定义中的虚拟网络、子网和范围与本地 VPN 设备上的配置相同。
- 验证安全关联设置是否匹配。
步骤 3:检查网关子网上用户定义的路由或网络安全组
网关子网上用户定义的路由可能会限制某些流量,并允许其他流量。 这使得 VPN 连接看起来对于某些流量不可靠,而对于其他流量很可靠。
步骤 4:检查“每个子网对一个 VPN 隧道”设置(适用于基于策略的虚拟网络网关)
请确保本地 VPN 设备设置为对基于策略的虚拟网络网关采用每个子网对一个 VPN 隧道。
步骤 5:检查安全关联限制
虚拟网络网关具有 200 个子网安全关联对的限制。 如果 Azure 虚拟网络子网数乘以本地子网数大于 200,请参阅“偶发的子网断开连接”。
步骤 6:检查本地 VPN 设备外部接口地址
如果 VPN 设备面向 Internet 的 IP 地址包含在 Azure 的“本地网络网关地址空间”定义中,可能会遇到偶发的断开连接。
步骤 7:检查本地 VPN 设备是否已启用“完全前向保密”
“完全向前保密”功能可能会导致断开连接问题。 如果 VPN 设备已启用“完全向前保密”,请禁用该功能。 然后更新虚拟网络网关 IPsec 策略。