Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Fehlerbehebung bei der Konnektivität von Yamaha-Kunden-Gateway-Geräten
Wenn Sie Konnektivitätsprobleme bei einem Yamaha-Kunden-Gateway-Gerät beheben möchten, spielen dabei vier Faktoren eine Rolle: IKE, IPsec, Tunnel und BGP. Sie können zwar in beliebiger Reihenfolge nach Fehlern in diesen drei Bereichen suchen, wir empfehlen jedoch, mit IKE (am Ende des Netzwerk-Stacks) zu beginnen und sich hochzuarbeiten.
Anmerkung
Die Einstellung für proxy ID, die in Phase 2 von IKE verwendet wurde, ist im Yamaha-Router standardmäßig deaktiviert. Dies kann Probleme bei der Herstellung einer Verbindung mit dem Site-to-Site-VPN verursachen. Wenn die proxy
ID in Ihrem Router nicht konfiguriert ist, können Sie sich für die richtige Einstellung an der von AWS bereitgestellten Beispielkonfigurationsdatei für Yamaha orientieren.
IKE
Führen Sie den folgenden Befehl aus. Die Antwort zeigt ein Kunden-Gateway-Gerät mit korrekt konfiguriertem IKE.
#show ipsec sa gateway 1
sgw flags local-id remote-id # of sa
--------------------------------------------------------------------------
1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1
Es sollte eine Zeile mit dem Wert remote-id für die in den Tunneln angegebene Remote-Gateway angezeigt werden. Lassen Sie die Tunnelnummer weg, um alle Sicherheitszuweisungen (Security Associations, SAs) anzuzeigen.
Wenn Sie weitere Informationen zur Fehlersuche benötigen, führen Sie die folgenden Befehle aus, um Protokollmeldungen auf DEBUG-Ebene mit Diagnoseinformationen zu aktivieren.
#syslog debug on#ipsec ike log message-info payload-info key-info
Um die protokollierten Elemente zu löschen, führen Sie den folgenden Befehl aus.
#no ipsec ike log#no syslog debug on
IPsec
Führen Sie den folgenden Befehl aus. Das Ergebnis ist ein Kunden-Gateway mit korrekt konfigurierter IPsec.
#show ipsec sa gateway 1 detail
SA[1] Duration: 10675s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[2] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: a6 67 47 47
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[3] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 6b 98 69 2b
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[4] Duration: 10681s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
Sie sollten für jede Tunnelschnittstelle sowohl receive sas als auch send
sas sehen.
Aktivieren Sie zur weiteren Problembehebung mit dem folgenden Befehl Debugging.
#syslog debug on#ipsec ike log message-info payload-info key-info
Wenn Sie Debugging deaktivieren möchten, führen Sie den folgenden Befehl aus.
#no ipsec ike log#no syslog debug on
Tunnel
Überprüfen Sie zunächst, ob die benötigten Firewall-Regeln konfiguriert sind. Eine Liste der Regeln finden Sie unter Konfigurieren einer Firewall zwischen dem Internet und Ihrem Kunden-Gateway-Gerät.
Wenn die Firewall-Regeln korrekt eingerichtet sind, können Sie mithilfe des folgenden Befehls mit der Fehlersuche fortfahren.
#show status tunnel 1
TUNNEL[1]:
Description:
Interface type: IPsec
Current status is Online.
from 2011/08/15 18:19:45.
5 hours 7 minutes 58 seconds connection.
Received: (IPv4) 3933 packets [244941 octets]
(IPv6) 0 packet [0 octet]
Transmitted: (IPv4) 3933 packets [241407 octets]
(IPv6) 0 packet [0 octet]
Stellen Sie sicher, dass der Wert current status online ist und dass als Interface
type IPsec ausgewählt ist. Führen Sie den Befehl für beide Tunnelschnittstellen aus. Fehler, die hier auftreten, können Sie in der Konfiguration beheben.
BGP
Führen Sie den folgenden Befehl aus.
#show status bgp neighbor
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.1, Foreign port: 0
BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.5, Foreign port:Hier sollten beide Nachbarn aufgeführt sein. Für jeden davon sollte der BGP state-Wert Active betragen.
Wenn BGP-Peering aktiviert ist, überprüfen Sie, ob Ihr Kunden-Gateway-Gerät die Standardroute (0.0.0.0/0) an die VPC sendet.
#show status bgp neighbor169.254.255.1advertised-routes
Total routes: 1
*: valid route
Network Next Hop Metric LocPrf Path
* default 0.0.0.0 0 IGPStellen Sie außerdem sicher, dass Sie das Präfix Ihrer VPC vom Virtual Private Gateway empfangen.
#show ip route
Destination Gateway Interface Kind Additional Info.
default ***.***.***.*** LAN3(DHCP) static
10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124