Amazon Virtual Private Cloud
Network Administrator Guide

Fehlersuche für Juniper ScreenOS-Kunden-Gateway-Konnektivität

Wenn Sie Konnektivitätsprobleme bei einem Juniper ScreenOS-basierten Kunden-Gateway beheben möchten, spielen dabei vier Faktoren eine Rolle: IKE, IPsec, Tunnel und BGP. Sie können zwar in beliebiger Reihenfolge nach Fehlern in diesen drei Bereichen suchen, wir empfehlen jedoch, mit IKE (am Ende des Netzwerk-Stacks) zu beginnen und sich hochzuarbeiten.

IKE und IPsec

Verwenden Sie den folgenden Befehl. Die Ausgabe ist ein Kunden-Gateway mit korrekt konfiguriertem IKE.

ssg5-serial-> get sa
total configured sa: 2 HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys 00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 0 00000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 0 00000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 0 00000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0

Es sollte mindestens eine Zeile mit einer Remote-Adresse des in den Tunneln angegebenen Remote-Gateways angezeigt werden. Der Wert Sta sollte A/- sein und unter SPI sollte eine andere hexadezimale Zahl als 00000000 angezeigt werden. Wenn die Einträge davon abweichen, ist IKE nicht korrekt konfiguriert.

Wenn Sie weitere Informationen zur Fehlersuche benötigen, aktivieren Sie die IKE-Trace-Optionen (wie in den Beispielkonfigurationsinformationen unter Beispiel: Juniper ScreenOS-Gerät empfohlen).

Tunnel

Überprüfen Sie zunächst noch einmal, ob die benötigten Firewall-Regeln konfiguriert sind. Eine Liste der Regeln finden Sie unter Konfigurieren einer Firewall zwischen dem Internet und Ihrem Kunden-Gateway.

Wenn die Firewall-Regeln korrekt eingerichtet sind, können Sie mithilfe des folgenden Befehls mit der Fehlersuche fortfahren:

ssg5-serial-> get interface tunnel.1
Interface tunnel.1: description tunnel.1 number 20, if_info 1768, if_index 1, mode route link ready vsys Root, zone Trust, vr trust-vr admin mtu 1500, operating mtu 1500, default mtu 1500 *ip 169.254.255.2/30 *manage ip 169.254.255.2 route-deny disable bound vpn: IPSEC-1 Next-Hop Tunnel Binding table Flag Status Next-Hop(IP) tunnel-id VPN pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured NHRP disabled bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps

Stellen Sie sicher, dass link:ready angezeigt wird und die IP-Adresse mit der internen Adresse des Kunden-Gateway-Tunnels übereinstimmt.

Führen Sie nun den folgenden Befehl aus und ersetzen Sie dabei 169.254.255.1 durch die interne IP-Adresse des Virtual Private Gateways. Ihre Ergebnisse sollten etwa wie folgt aussehen.

ssg5-serial-> ping 169.254.255.1
Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms

Fahren Sie mit der Fehlersuche in der Konfiguration fort.

BGP

Verwenden Sie den folgenden Befehl:

ssg5-serial-> get vrouter trust-vr protocol bgp neighbor
Peer AS Remote IP Local IP Wt Status State ConnID Up/Down -------------------------------------------------------------------------------- 7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01 7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59

Beide BGP-Peers sollten mit dem Zustand ESTABLISH angezeigt werden. D. h. die BGP-Verbindung zum Virtual Private Gateway ist aktiv.

Führen Sie zur weiteren Fehlersuche den folgenden Befehl aus; ersetzen Sie dabei 169.254.255.1 durch die interne IP-Adresse des Virtual Private Gateways.

ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1
peer: 169.254.255.1, remote AS: 7224, admin status: enable type: EBGP, multihop: 0(disable), MED: node default(0) connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15s configured hold time: node default(90s), configured keepalive: node default(30s) configured adv-interval: default(30s) designated local IP: n/a local IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179 router ID of peer: 169.254.255.1, remote AS: 7224 negotiated hold time: 30s, negotiated keepalive interval: 10s route map in name: , route map out name: weight: 100 (default) self as next hop: disable send default route to peer: disable ignore default route from peer: disable send community path attribute: no reflector client: no Neighbor Capabilities: Route refresh: advertised and received Address family IPv4 Unicast: advertised and received force reconnect is disable total messages to peer: 106, from peer: 106 update messages to peer: 6, from peer: 4 Tx queue length 0, Tx queue HWM: 1 route-refresh messages to peer: 0, from peer: 0 last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0) number of total successful connections: 4 connected: 2 minutes 6 seconds Elapsed time since last update: 2 minutes 6 seconds

Wenn BGP Peering aktiviert ist, überprüfen Sie, ob Ihr Kunden-Gateway-Router die Standardroute (0.0.0.0/0) an die VPC sendet. Dieser Befehl ist ab ScreenOS 6.2.0 anwendbar.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised
i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path -------------------------------------------------------------------------------------- >i 0.0.0.0/0 0.0.0.0 32768 100 0 IGP Total IPv4 routes advertised: 1

Stellen Sie außerdem sicher, dass Sie das Präfix Ihrer VPC vom Virtual Private Gateway empfangen. Dieser Befehl ist ab ScreenOS 6.2.0 anwendbar.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received
i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path -------------------------------------------------------------------------------------- >e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224 Total IPv4 routes received: 1

Virtual Private Gateway-Verknüpfung

Stellen Sie sicher, dass das virtuelle private Gateway Ihrer VPC zugewiesen ist. Das Team für Systemintegration tut dies über die AWS Management Console.

Wenn Sie Fragen haben oder weitere Hilfe benötigen, verwenden Sie die Amazon VPC forum.