當沒有人插入 Juniper ScreenOS 介面 IP 時，如何保持它正常執行？

我有一個到遠端站點的 VPN 連接，只要沒有任何東西插入遠端站點 LAN bgroup，介面 IP 就無法管理或 ping 通。

任何人都知道我在 CLI 上跳過了什麼命令來設置它？或者如果網路界面上有一個複選框，我應該點擊？

正確的答案是創建一個環回介面。當沒有任何東西插入 LAN bgroup 時，介面會“關閉”，並且與它關聯的所有路由都將從路由表中刪除。實際上，這是您想要的一種行為，因為它在使用基於路由的冗餘 VPN 時會有所幫助——這是設備知道“該隧道已關閉，我現在應該路由到這裡”的唯一方法。

好的，所以你要做的是：

• 在您的 vrouter（可能是 trust-vr）中，選中“忽略此 VRouter 中介面的子網衝突”選項
• 創建一個新的 loopback.1 介面
• 用 /32 網路遮罩給它你 LAN bgroup 空間中的最後一個地址。例如，如果您的 LAN bgroup 有 192.168.1.0/24，則 loopback.1 將是 192.168.1.254/32。類似於較小的淨空間。
• 確保該 bgroup 上的 DHCP 伺服器不將環回介面的地址包含在其 IP 池中。

現在您可以使用該環回 IP 地址來管理設備，該地址將始終保持可達；而且您不必為此開闢額外的地址空間。

確保隧道保持“向上”是一個完全不同的問題。在 ScreenOS 中，這可以通過“monitor rekey”選項來完成（如果您願意，可以使用“優化”以獲得良好的測量效果，如果外部不可 ping，則使用特定的目標 IP 和源埠，並且可能間隔為 5如果您經過的線路是住宅 ISP，則不是 1）。然而，這與能夠管理無關。如果您配置的伺服器接收日誌並在“VPN Down”時向員工發送通知，它可以為您提供良好的 VPN 故障指示和提前警告。如果您配置錯誤，它也有使您的 VPN “抖動”的風險 - 也就是說，如果 Monitor 正在 ping 的地址實際上無法被 ping，或者如果間隔對於您的 ISP 連接的質量/延遲來說過於激進。這可以通過例如通過隧道 ping 所述環回地址來處理：您將不會依賴可訪問的外部地址來 ping。

引用自：https://serverfault.com/questions/8389