排除 VPN 隧道抖动故障

问题

诊断

1. 该问题是否仅影响一个 VPN？

   • 是的：检查系统日志并继续执行步骤 2。使用 show log messages 命令查看日志。必须启用信息级日志记录才能正确报告消息。

     user@host # set system syslog file messages any info

     以下是报告 VPN 隧道抖动的系统日志示例：

     VPN up/down events:

     content_copy zoom_out_map

     Jul 9 21:07:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4
     Jul 9 21:08:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4
     Jul 9 21:09:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4
     Jul 9 21:10:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4

     Unstable VPN behavior (VPN constantly rebuilding):

     content_copy zoom_out_map

     Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0xfd91b643, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
     Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xbdec9669, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
     Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x69b34ae4, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
     Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0x6f55d8ea, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
     Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x6fa6b0b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
     Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xa66ac906, AUX-SPI: 0, Mode: Tunnel, Type: dynamic 

   • 不：如果问题出在所有已配置的 VPN 上，请调查与互联网连接以及 SRX 系列防火墙和交换机接口相关的错误。要检查 SRX 系列防火墙接口上的错误，请运行 show interfaces extensive 命令。

2. 使用命令验证 show configuration security ipsec vpn vpn-name 是否为此 VPN 启用了 VPN 监视器。

   是否启用了 VPN 监视器？

   • 是的：继续执行步骤 3。

   • 不：继续执行步骤 5。

3. 禁用 VPN 监视器并检查 VPN。

   content_copy zoom_out_map

   user@host# deactivate security ipsec vpn vpn-name vpn-monitor
   user@host# commit

   VPN 稳定吗？

   • 是的：不稳定与 VPN 监视器配置有关。继续执行步骤 4。

   • 不：继续执行步骤 5。

4. 远程 VPN 连接是否配置为阻止 ICMP 回显请求？

   • 是的：重新启用并重新配置 VPN 监视器以使用源接口和目标 IP 选项。请参阅 KB10119。

   • 不：继续执行步骤 5。

5. 连接到 SRX 系列防火墙的远程设备是否为非瞻博网络设备？

   • 是的：proxy-id验证 SRX 系列防火墙和对等 VPN 设备上的值。

   • 不：继续执行步骤 6。

6. VPN是否稳定了一段时间，然后开始上下波动？

   • 是的：调查网络或设备是否更改，或者是否已将任何新的网络设备添加到环境中。

   • 不：从两端的 VPN 设备收集站点到站点日志，并向技术支持代表提交案例。请参阅 客户支持的数据收集。