翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Juniper ScreenOS ベースのカスタマーゲートウェイデバイスの接続をトラブルシューティングする場合は、IKE、、IPsecトンネル、 の 4 つの要素を考慮してくださいBGP。これらの領域は任意の順序でトラブルシューティングできますが、IKE(ネットワークスタックの下部にある) から始めて上に進むことをお勧めします。
IKE および IPsec
以下のコマンドを使用します。レスポンスには、 が正しくIKE設定されたカスタマーゲートウェイデバイスが表示されます。
ssg5-serial->get sa
total configured sa: 2
HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys
00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 0
00000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 0
00000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 0
00000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0トンネル内で指定されたリモートゲートウェイのリモートアドレスを含む 1 つ以上の行が表示されます。Sta 値は A/-、SPI は 00000000 以外の 16 進数になっている必要があります。他の状態のエントリIKEは、 が正しく設定されていないことを示します。
さらにトラブルシューティングを行うには、IKEトレースオプションを有効にします (設定ファイルの例で推奨されています)。
トンネル
最初に、必要なファイアウォールルールがあることをもう一度確認します。ルールのリストについては、「AWS Site-to-Site VPN カスタマーゲートウェイデバイスのファイアウォールルール」を参照してください。
ファイアウォールルールが正しくセットアップされた場合は、次のコマンドでトラブルシューティングを継続します。
ssg5-serial->get interface tunnel.1
Interface tunnel.1:
description tunnel.1
number 20, if_info 1768, if_index 1, mode route
link ready
vsys Root, zone Trust, vr trust-vr
admin mtu 1500, operating mtu 1500, default mtu 1500
*ip 169.254.255.2/30
*manage ip 169.254.255.2
route-deny disable
bound vpn:
IPSEC-1
Next-Hop Tunnel Binding table
Flag Status Next-Hop(IP) tunnel-id VPN
pmtu-v4 disabled
ping disabled, telnet disabled, SSH disabled, SNMP disabled
web disabled, ident-reset disabled, SSL disabled
OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled
PIM: not configured IGMP not configured
NHRP disabled
bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbpslink:ready が表示され、IP アドレスがカスタマーゲートウェイデバイスのトンネルの内部のアドレスと一致することを確認します。
次に、以下のコマンドを使用して、169.254.255.1 を仮想プライベートゲートウェイの内部 IP アドレスで置き換えます。次に示すようなレスポンスが結果として返されます。
ssg5-serial->ping169.254.255.1
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 msさらにトラブルシューティングする場合は、設定を確認します。
BGP
以下のコマンドを実行します。
ssg5-serial->get vrouter trust-vr protocol bgp neighbor
Peer AS Remote IP Local IP Wt Status State ConnID Up/Down
--------------------------------------------------------------------------------
7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01
7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59両方のBGPピアの状態は である必要があります。これはESTABLISH、仮想プライベートゲートウェイBGPへの接続がアクティブであることを意味します。
さらにトラブルシューティングする場合は、次のコマンドを使用して、169.254.255.1 を仮想プライベートゲートウェイの内部 IP アドレスで置き換えます。
ssg5-serial->get vr trust-vr prot bgp neigh169.254.255.1
peer: 169.254.255.1, remote AS: 7224, admin status: enable
type: EBGP, multihop: 0(disable), MED: node default(0)
connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15s
configured hold time: node default(90s), configured keepalive: node default(30s)
configured adv-interval: default(30s)
designated local IP: n/a
local IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179
router ID of peer: 169.254.255.1, remote AS: 7224
negotiated hold time: 30s, negotiated keepalive interval: 10s
route map in name: , route map out name:
weight: 100 (default)
self as next hop: disable
send default route to peer: disable
ignore default route from peer: disable
send community path attribute: no
reflector client: no
Neighbor Capabilities:
Route refresh: advertised and received
Address family IPv4 Unicast: advertised and received
force reconnect is disable
total messages to peer: 106, from peer: 106
update messages to peer: 6, from peer: 4
Tx queue length 0, Tx queue HWM: 1
route-refresh messages to peer: 0, from peer: 0
last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)
number of total successful connections: 4
connected: 2 minutes 6 seconds
Elapsed time since last update: 2 minutes 6 secondsBGP ピアリングが稼働している場合は、カスタマーゲートウェイデバイスがデフォルトルート (0.0.0.0/0) を にアドバタイズしていることを確認しますVPC。このコマンドは、ScreenOS バージョン 6.2.0 以降に適用されます。
ssg5-serial->get vr trust-vr protocol bgp rib neighbor169.254.255.1advertised
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix Nexthop Wt Pref Med Orig AS-Path
--------------------------------------------------------------------------------------
>i 0.0.0.0/0 0.0.0.0 32768 100 0 IGP
Total IPv4 routes advertised: 1さらに、仮想プライベートゲートウェイVPCから に対応するプレフィックスを受け取っていることを確認します。このコマンドは、ScreenOS バージョン 6.2.0 以降に適用されます。
ssg5-serial->get vr trust-vr protocol bgp rib neighbor169.254.255.1received
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix Nexthop Wt Pref Med Orig AS-Path
--------------------------------------------------------------------------------------
>e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224
Total IPv4 routes received: 1