故障排除:Azure 站点到站点 VPN 间歇性地断开连接

  • 项目

我们可能会遇到新的或现有的 Azure 站点到站点 VPN 连接不稳定或定期断开连接的问题。 本文提供了故障排除步骤,以帮助你确定并解决问题的原因。

如果本文未解决你的 Azure 问题,请访问 Microsoft Q&A 和 Stack Overflow 上的 Azure 论坛。 可以在这些论坛上发布问题。 还可提交 Azure 支持请求。 若要提交支持请求,请在 Azure 支持页上提交。

疑难解答步骤

先决条件步骤

检查 Azure 虚拟网络网关的类型:

  1. 转到 Azure 门户

  2. 有关类型信息,请查看虚拟网络网关的概述页。

    The overview of the gateway

步骤 1:检查是否已验证本地 VPN 设备

  1. 检查是否使用的是已验证的 VPN 设备和操作系统版本。 如果未验证 VPN 设备,可能需要与设备制造商联系以了解是否存在任何兼容性问题。
  2. 确保已正确配置 VPN 设备。 有关详细信息,请参阅编辑设备配置示例

步骤 2:检查安全关联设置(适用于基于策略的 Azure 虚拟网络网关)

  1. 请确保 Azure 的本地网络网关定义中的虚拟网络、子网和范围与本地 VPN 设备上的配置相同。
  2. 验证安全关联设置是否匹配。

步骤 3:检查网关子网上用户定义的路由或网络安全组

网关子网上用户定义的路由可能会限制某些流量,并允许其他流量。 这使得 VPN 连接看起来对于某些流量不可靠,而对于其他流量很可靠。

步骤 4:检查“每个子网对一个 VPN 隧道”设置(适用于基于策略的虚拟网络网关)

请确保本地 VPN 设备设置为对基于策略的虚拟网络网关采用每个子网对一个 VPN 隧道

步骤 5:检查安全关联限制

虚拟网络网关具有 100 个子网安全关联对的限制。 如果 Azure 虚拟网络子网数乘以本地子网数大于 100,则可能会看到零星的子网断开连接。

步骤 6:检查本地 VPN 设备外部接口地址

如果 VPN 设备面向 Internet 的 IP 地址包含在 Azure 的“本地网络网关地址空间”定义中,可能会遇到偶发的断开连接。

步骤 7:检查本地 VPN 设备是否已启用“完全前向保密”

“完全向前保密”功能可能会导致断开连接问题。 如果 VPN 设备已启用“完全向前保密”,请禁用该功能。 然后更新虚拟网络网关 IPsec 策略

后续步骤