当没有人插入时，我如何保持Juniper ScreenOS接口IP的正常运行？

Question

我有一个VPN连接到一个远程站点，每当没有任何连接到远程站点，LAN b组，接口IP是不可管理的或可点击的。

有人知道我在CLI上跳过什么命令来设置这个吗？或者，如果网页界面上有一个复选框，我应该去点击？

Answer 1

正确的答案是创建一个回送接口。当没有任何连接到LAN bgroup时，接口就会“关闭”，所有与它相关的路由都会从路由表中删除。实际上，这是你想要的一种行为，因为它在使用基于路由的冗余VPN时很有帮助--这是设备知道“隧道已经关闭，我现在应该路由到这里”的唯一方法。

好吧，所以你要做的是：

• 在vrouter (可能是信任-vr)中，检查“忽略此VRouter中接口的子网冲突”选项。
• 创建一个新的循环1接口
• 给它在局域网bgroup空间的最后一个地址，带有一个/32网络掩码。例如，如果您的LAN bgroup有192.168.1.0/24，则环回1为192.168.1.254/32。类似于较小的净空间。
• 确保该bgroup上的DHCP服务器在其IP池(S)中不包括回送接口的地址。

现在，您可以使用该回送IP地址来管理该单元，该地址始终是可访问的；并且您不必为此创建额外的地址空间。

确保隧道保持“向上”是一个完全不同的问题。在ScreenOS中，这可以通过"monitor rekey“选项来实现(如果您愿意，可以使用”优化“以获得良好的度量，如果外部不可单击，则使用特定的目的地IP和源端口，如果您通过的线路是住宅isn，则可能间隔为5而不是1)。然而，这与管理能力无关。如果您配置一个接收日志并向"VPN Down“的工作人员发送通知的服务器，则可以为您提供良好的VPN故障指示和预警。如果你配置不当，它也有可能使你的VPN“翻动”--也就是说，如果监视器正在敲击的地址实际上不能被点击，或者如果间隔太过激进，以致于你的ISP连接的质量/延迟(S)。这可以通过，例如，通过隧道点击所述回送地址来处理:您将不依赖于可以到ping的外部地址。

Answer 2

在VPN的第二阶段设置(AutoKey IKE)上，单击高级按钮，然后打开(检查) VPN监视器和密钥。这将打开隧道，如果密钥过期或连接由于某种原因中断。我们将此应用于我们的远程用户，他们经常关闭所有连接的设备。这样，即使VPN上没有流量，我们仍然能够到达远程Netscreen。

Answer 3

尝试创建一个回送接口并将隧道连接到该接口。

如果这是一个基于策略的VPN隧道，并且所有客户端都关闭了，那么可能没有足够的“有趣”流量来保持隧道正常运行。可能会有一个计时器来延长(也许是无限)这个超时，以防止这种情况发生。