你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
故障排除:Azure 站点到站点 VPN 间歇性地断开连接
可能会遇到新的或现有的 Microsoft Azure 站点到站点 VPN 连接不稳定或定期断开连接的问题。 本文提供了故障排除步骤,以帮助你确定并解决问题的原因。
如果本文未解决 Azure 问题,请访问 Microsoft Q & A 和 Stack Overflow 上的 Azure 论坛。 可将问题发布到这些论坛上,或发布到 Twitter 上的 @AzureSupport。 还可提交 Azure 支持请求。 若要提交支持请求,请在 Azure 支持页上,选择“获取支持”。
疑难解答步骤
先决条件步骤
检查 Azure 虚拟网络网关的类型:
转到 Azure 门户。
查看虚拟网络网关的“概述”页,以验证类型。 示例:基于路由。
步骤 1:检查是否已验证本地 VPN 设备
- 检查是否使用的是已验证的 VPN 设备和操作系统版本。 如果未验证 VPN 设备,可能需要与设备制造商联系以了解是否存在任何兼容性问题。
- 确保已正确配置 VPN 设备。 有关详细信息,请参阅编辑设备配置示例。
步骤 2:检查安全关联设置(适用于基于策略的 Azure 虚拟网络网关)
- 请确保 Microsoft Azure 的本地网络网关定义中的虚拟网络、子网和范围与本地 VPN 设备上的配置相同。
- 验证安全关联设置是否匹配。
步骤 3:检查网关子网上用户定义的路由或网络安全组
网关子网上用户定义的路由可能会限制某些流量,并允许其他流量。 这使得 VPN 连接看起来对于某些流量不可靠,而对于其他流量很可靠。
步骤 4:检查“每个子网对一个 VPN 隧道”设置(适用于基于策略的虚拟网络网关)
请确保本地 VPN 设备设置为对基于策略的虚拟网络网关采用每个子网对一个 VPN 隧道。
步骤 5:检查安全关联限制
虚拟网络网关具有 200 个子网安全关联对的限制。 如果 Azure 虚拟网络子网数乘以本地子网数大于 200,请参阅“偶发的子网断开连接”。
步骤 6:检查本地 VPN 设备外部接口地址
如果 VPN 设备面向 Internet 的 IP 地址包含在 Azure 的“本地网络网关地址空间”定义中,可能会遇到偶发的断开连接。
步骤 7:检查本地 VPN 设备是否已启用“完全前向保密”
“完全向前保密”功能可能会导致断开连接问题。 如果 VPN 设备已启用“完全向前保密”,请禁用该功能。 然后更新虚拟网络网关 IPsec 策略。