Sangfor VPN连接上了,但是VPN使用不稳定
VPN使用过程中,出现不稳定,大概包括了延时大,丢包高和频繁断开,可以针对这些现象进行相应排查。
1、检查是否公网线路本身不稳定导致。
a、可能是本端或远端线路带宽被占满,检查双方的出口链路上下行带宽,可尝试对VPN流量做带宽保障。
b、可能是公网链路对于使用TCP/UDP高端口传输的数据做了限制或者双方本身是跨运营商链路,可以尝试修改VPN传输端口或者开启跨运营商序列号。需要注意,修改VPN传输端口时,要避开设备本身其他服务已经使用的端口如UDP 53、UDP 500、UDP 4500、TCP 443、TCP 80等。
c、ping对端VPN设备的公网IP和内网主机IP,比较延时,可ping大包测试(ping大包的参数是 –l size 如ping 8.8.8.8 –l 1470, ping大包,是因为线路不稳定时默认的32 bytes的包可能不会丢包,这时就要ping大点的包察看是否丢包,丢的话线路还是有问题的。另外如果ping对端VPN设备公网IP的延时小于内网主机IP的延时,则修改传输模式看是否正常。
2、可能是VPN流量超过了一方设备的处理性能,检查双方设备的CPU利用率及了解设备的实际性能参数。
3、检查内网通讯是否正常(内网是否有arp欺骗,电脑中病毒的情况) 。
4、如果有设置VPN的多线路策略,修改多线路策略看是否稳定。
5、可能是某端设备接口存在兼容性问题请先通过升级客户端检查设备各个接口是否有error、drop等异常数据包以及接口的mtu值情况。如果有,可以调整接口工作模式,再测试下。
6、如果VPN设备是单臂部署于客户内网,在确认了设备CPU利用率正常之后,检查客户内网是否有AC/BM/SG或者其他类似的流控设备,对我们的某公司 VPN使用的端口进行了流控限制。
7、反向连接 把原来的VPN分支端和总部端配置互换,改成由另一端发起连接,看是否稳定,或者将直连改成非直连试下(对于客户可能总部下有多个分支VPN,但是当前只有一个分支有问题的情况,不方便改动VPN端口的情况,建议使用反向连接,并改VPN端口)。 8、将Sangfor VPN换成标准IPSEC VPN试试
总结:针对Sangfor VPN遇到各类问题时,总的来说都是先确认好现象,如果配置没有问题,可以尝试替换端口,替换传输模式,VPN反向连接,改成标准IPSEC VPN连接等 | 
发表于 2015-9-7 15:15
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2015-9-12 08:47
很好 辛苦啊
技术研究员2级 
