你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

故障排除:Azure 站点到站点 VPN 间歇性地断开连接

可能会遇到新的或现有的 Microsoft Azure 站点到站点 VPN 连接不稳定或定期断开连接的问题。 本文提供了故障排除步骤,以帮助你确定并解决问题的原因。

如果本文未解决 Azure 问题,请访问 Microsoft Q & A 和 Stack Overflow 上的 Azure 论坛。 可将问题发布到这些论坛上,或发布到 Twitter 上的 @AzureSupport。 还可提交 Azure 支持请求。 若要提交支持请求,请在 Azure 支持页上,选择“获取支持”。

疑难解答步骤

先决条件步骤

检查 Azure 虚拟网络网关的类型:

  1. 转到 Azure 门户

  2. 有关类型信息,请查看虚拟网络网关的概述页。

    网关的概述

步骤 1:检查是否已验证本地 VPN 设备

  1. 检查是否使用的是已验证的 VPN 设备和操作系统版本。 如果未验证 VPN 设备,可能需要与设备制造商联系以了解是否存在任何兼容性问题。
  2. 确保已正确配置 VPN 设备。 有关详细信息,请参阅编辑设备配置示例

步骤 2:检查安全关联设置(适用于基于策略的 Azure 虚拟网络网关)

  1. 请确保 Microsoft Azure 的本地网络网关定义中的虚拟网络、子网和范围与本地 VPN 设备上的配置相同。
  2. 验证安全关联设置是否匹配。

步骤 3:检查网关子网上用户定义的路由或网络安全组

网关子网上用户定义的路由可能会限制某些流量,并允许其他流量。 这使得 VPN 连接看起来对于某些流量不可靠,而对于其他流量很可靠。

步骤 4:检查“每个子网对一个 VPN 隧道”设置(适用于基于策略的虚拟网络网关)

请确保本地 VPN 设备设置为对基于策略的虚拟网络网关采用每个子网对一个 VPN 隧道

步骤 5:检查安全关联限制

虚拟网络网关具有 200 个子网安全关联对的限制。 如果 Azure 虚拟网络子网数乘以本地子网数大于 200,请参阅“偶发的子网断开连接”。

步骤 6:检查本地 VPN 设备外部接口地址

如果 VPN 设备面向 Internet 的 IP 地址包含在 Azure 的“本地网络网关地址空间”定义中,可能会遇到偶发的断开连接。

步骤 7:检查本地 VPN 设备是否已启用“完全前向保密”

“完全向前保密”功能可能会导致断开连接问题。 如果 VPN 设备已启用“完全向前保密”,请禁用该功能。 然后更新虚拟网络网关 IPsec 策略

后续步骤