Memecahkan masalah AWS Site-to-Site VPN konektivitas dengan perangkat gateway pelanggan Cisco ASA - AWS Site-to-Site VPN
IKEIPsecPerutean

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memecahkan masalah AWS Site-to-Site VPN konektivitas dengan perangkat gateway pelanggan Cisco ASA

Saat Anda memecahkan masalah konektivitas perangkat gateway pelanggan Cisco, pertimbangkan IKEIPsec, dan perutean. Anda dapat memecahkan masalah area ini dalam urutan apa pun, tetapi kami sarankan Anda memulai dengan IKE (di bagian bawah tumpukan jaringan) dan naik.

penting

Beberapa Cisco ASAs hanya mendukung mode Aktif/Siaga. Ketika Anda menggunakan Cisco iniASAs, Anda hanya dapat memiliki satu terowongan aktif pada satu waktu. Terowongan siaga lainnya menjadi aktif hanya jika terowongan pertama tidak tersedia. Terowongan siaga mungkin menghasilkan galat berikut dalam berkas log Anda, yang mana dapat diabaikan: Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside .

IKE

Gunakan perintah berikut ini. Respons menunjukkan perangkat gateway pelanggan dengan IKE dikonfigurasi dengan benar.

ciscoasa# show crypto isakmp sa

   Active SA: 2
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: AWS_ENDPOINT_1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

Anda harus melihat satu atau lebih baris yang berisi nilai src untuk gateway jarak jauh yang ditentukan dalam terowongan. Nilai state seharusnya MM_ACTIVE dan status seharusnya ACTIVE. Tidak adanya entri, atau entri apa pun di negara bagian lain, menunjukkan bahwa tidak IKE dikonfigurasi dengan benar.

Untuk pemecahan masalah lebih lanjut, jalankan perintah berikut untuk mengaktifkan pesan log yang menyediakan informasi diagnostik.

router# term mon
router# debug crypto isakmp

Untuk menonaktifkan mode debug, gunakan perintah berikut.

router# no debug crypto isakmp

IPsec

Gunakan perintah berikut ini. Respons menunjukkan perangkat gateway pelanggan dengan IPsec dikonfigurasi dengan benar.

ciscoasa# show crypto ipsec sa
interface: outside
    Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

      access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
      current_peer: integ-ppe1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 6D9F8D3B
      current inbound spi : 48B456A6

    inbound esp sas:
      spi: 0x48B456A6 (1219778214)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x6D9F8D3B (1839172923)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001

Untuk setiap antarmuka terowongan, Anda akan melihat, baik inbound esp sas maupun outbound esp sas. Ini mengasumsikan bahwa SA terdaftar (misalnya,spi: 0x48B456A6), dan itu IPsec dikonfigurasi dengan benar.

Di CiscoASA, IPsec satu-satunya muncul setelah lalu lintas yang menarik (lalu lintas yang harus dienkripsi) dikirim. Untuk selalu tetap IPsec aktif, kami sarankan untuk mengonfigurasi SLA monitor. SLAMonitor terus mengirim lalu lintas yang menarik, menjaga agar tetap IPsec aktif.

Anda juga dapat menggunakan perintah ping berikut untuk memaksa Anda IPsec memulai negosiasi dan naik.

ping ec2_instance_ip_address
Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

Untuk pemecahan masalah lebih lanjut, silahkan gunakan perintah berikut untuk mengaktifkan mode debug.

router# debug crypto ipsec

Untuk menonaktifkan mode debug, gunakan perintah berikut ini.

router# no debug crypto ipsec

Perutean

Ping ujung terowongan lainnya. Jika ini berhasil, maka Anda IPsec harus ditetapkan. Jika ini tidak berfungsi, periksa daftar akses Anda, dan lihat IPsec bagian sebelumnya.

Jika Anda tidak dapat menjangkau instans Anda, periksa informasi berikut.

  1. Verifikasi bahwa daftar akses dikonfigurasi untuk mengizinkan lalu lintas yang terkait dengan peta kripto.

    Anda dapat melakukannya dengan menggunakan perintah berikut.

    ciscoasa# show run crypto
    crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
crypto map VPN_crypto_map_name 1 match address access-list-name
crypto map VPN_crypto_map_name 1 set pfs
crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

  2. Periksa daftar akses dengan menggunakan perintah berikut.

    ciscoasa# show run access-list access-list-name
    access-list access-list-name extended permit ip any vpc_subnet subnet_mask

  3. Verifikasi bahwa daftar akses sudah benar. Daftar akses contoh berikut memungkinkan semua lalu lintas internal ke VPC subnet 10.0.0.0/16.

    access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

  4. Jalankan traceroute dari ASA perangkat Cisco, untuk melihat apakah itu mencapai router Amazon (misalnya, AWS_ENDPOINT_1/AWS_ENDPOINT_2).

    Jika ini mencapai router Amazon, periksa rute statis yang Anda tambahkan di VPC konsol Amazon, dan juga grup keamanan untuk instance tertentu.

  5. Untuk pemecahan masalah lebih lanjut, tinjau konfigurasi.