USG6650 L2TP VPN 连接后过一段时间会中断

发布时间:  2016-06-29 浏览次数:  245 下载次数:  0
问题描述
笔记本电脑通过L2TP VPN连接服务器成功,但30秒后服务器发送StopCCN通知客户端下线,导致L2TP VPN连接中断。
处理过程
一:笔记本电脑通过L2TP VPN连接服务器成功,但30秒后服务器发送StopCCN通知客户端下线;VPN部分时间是可以正常使用的,暂排除服务器配置问题。

二:抓包查看,服务器每隔10秒发送一次PPP LCP Echo Request,客户端也做了回应,但不知什么原因服务器没收到,当服务器发送3次Request都没有收到Reply后,服务器发送了StopCCN,通知客户端下线,怀疑数据包可能被防火墙丢弃。

三:在防火墙上做流量统计,发现有部分数据被丢弃:
[USG6600-diagnose]display firewall statistic acl                               
15:35:28  2016/05/19                                                           
                                                                               
Current Show sessions count: 1                                                
                                                                               
Protocol(UDP) SourceIp(172.31.0.2) DestinationIp(xxx.42.32.xxx)                
SourcePort(1701) DestinationPort(1701) VpnIndex(public)                       
                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag       
Obverse(pkts) : 629         0           629         0           0             
Reverse(pkts) : 43          0           32          11          0             
                                                                               
Discard detail information:                                                   
  MTF_PROCESS_ERROR             :     11               
四:从现象和流统信息看,数据包确实有被丢弃情况,怀疑是防火墙攻击防范导致丢包;在配置了防udp flood攻击情况下,因为echo报文的特征都一样,当流量超过50M(设备默认阈值)的时候,会触发指纹学习,这个时候l2tp报文的特征又相似,可能命中指纹丢包了。建议修改攻击防范阈值为500M,修改后观察,问题成功解决。
根因
设备配置了udp flood攻击防范,默认阈值与实际业务量大小不匹配,导致设备丢弃正常通信报文。
解决方案

Anti-ddos udp-flood dynamic-fingerprint-learn alert-speed 500调整udp-flood阈值后问题解决

END