我与远程站点有 VPN 连接,只要没有任何东西插入远程站点的 LAN bgroup,接口 IP 就无法管理或 ping 通。
有人知道我在 CLI 上跳过了什么命令来设置它吗?或者如果 Web 界面上有一个复选框,我应该点击它吗?
答案1
正确的答案是创建一个环回接口。当没有任何东西插入 LAN bgroup 时,接口将“关闭”,并且与其关联的所有路由都将从路由表中删除。实际上,这是您想要的行为,因为它在使用基于路由的冗余 VPN 时很有帮助 - 这是设备知道“该隧道已关闭,我现在应该路由到这里”的唯一方法。
好的,那么你要做的是:
- 在您的虚拟路由器(可能是 trust-vr)中,选中“忽略此虚拟路由器中接口的子网冲突”选项
- 创建新的loopback.1接口
- 为其指定 LAN bgroup 空间中的最后一个地址,并带有 /32 网络掩码。例如,如果您的 LAN bgroup 有 192.168.1.0/24,则 loopback.1 将是 192.168.1.254/32。较小的网络空间也类似。
- 确保该 bgroup 上的 DHCP 服务器不在其 IP 池中包含环回接口的地址。
现在,您可以使用该环回 IP 地址来管理该设备,该地址将始终保持可达;并且您不必为此开辟额外的地址空间。
确保隧道保持“正常”是完全不同的问题。在 ScreenOS 中,这可以通过“监视器重新密钥”选项来实现(如果您愿意,可以进行“优化”,如果外部无法 ping 通,则使用特定的目标 IP 和源端口,如果您通过的线路是住宅 ISP,则间隔可能为 5 而不是 1)。但是,这与管理能力无关。如果您配置一个接收日志并在“VPN 故障”时向工作人员发送通知的服务器,它可以为您提供良好的指示和 VPN 故障预警。如果您配置错误,也有可能使您的 VPN“崩溃” - 也就是说,如果监视器正在 ping 的地址实际上无法 ping 通,或者间隔对于您的 ISP 连接的质量/延迟来说太长。例如,可以通过隧道 ping 所述环回地址来处理:您不会依赖于外部地址是否可访问来 ping。
答案2
在 VPN 的第 2 阶段设置中(自动密钥 IKE)点击先进的按钮,然后打开(检查)VPN监控器和重新密钥。如果密钥过期或由于某种原因连接断开,这将打开隧道。我们将其用于经常关闭所有连接设备的远程用户。这样,即使 VPN 上没有流量,我们仍然能够访问远程 Netscreen。
答案3
尝试创建一个环回接口并将隧道连接到该接口。
如果这是基于策略的 VPN 隧道,并且所有客户端都已关闭,则可能没有足够的“有趣”流量来保持隧道畅通。可能有一个计时器可以延长(可能无限长)此超时时间,以防止发生这种情况。
答案4
我认为你不能。由于路由表的原因,IP 接口依赖于物理接口(或 bgroup)。因此,如果物理接口关闭,路由器会认为整个网络(包括其自身)都无法访问。