Cisco ASA 고객 게이트웨이 디바이스와의 AWS Site-to-Site VPN 연결 문제 해결 - AWS Site-to-Site VPN
IKEIPsec라우팅

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Cisco ASA 고객 게이트웨이 디바이스와의 AWS Site-to-Site VPN 연결 문제 해결

Cisco 고객 게이트웨이 디바이스의 연결 문제를 해결할 때는 IKE, IPsec및 라우팅을 고려하세요. 어떤 순서로든 이러한 영역의 문제를 해결할 수 있지만 (네트워크 스택 IKE 하단)으로 시작하여 위로 이동하는 것이 좋습니다.

중요

일부 Cisco는 활성/대기 모드ASAs만 지원합니다. 이러한 Cisco 를 사용하는 경우 한 번에 하나의 활성 터널만 가질 ASAs수 있습니다. 첫 번째 터널을 사용할 수 없을 경우에만 다른 스탠바이 터널이 활성화됩니다. 스탠바이 터널은 사용자의 로그 파일에 다음 오류를 발생시킬 수 있는데, 무시해도 됩니다. Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside

IKE

다음 명령을 사용합니다. 응답은 가 올바르게 IKE 구성된 고객 게이트웨이 디바이스를 보여줍니다.

ciscoasa# show crypto isakmp sa

   Active SA: 2
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: AWS_ENDPOINT_1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

터널에 지정된 원격 게이트웨이의 src 값이 포함된 줄이 한 개 이상 나타날 것입니다. state 값은 MM_ACTIVE이고 statusACTIVE여야 합니다. 항목이 없거나 다른 상태의 항목이 없으면 IKE가 제대로 구성되지 않았음을 나타냅니다.

추가적인 문제 해결을 위해서는 다음 명령을 실행하여 진단 정보를 제공하는 로그 메시지를 활성화합니다.

router# term mon
router# debug crypto isakmp

디버깅을 비활성화하려면 다음 명령을 사용합니다.

router# no debug crypto isakmp

IPsec

다음 명령을 사용합니다. 응답은 가 올바르게 IPsec 구성된 고객 게이트웨이 디바이스를 보여줍니다.

ciscoasa# show crypto ipsec sa
interface: outside
    Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

      access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
      current_peer: integ-ppe1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 6D9F8D3B
      current inbound spi : 48B456A6

    inbound esp sas:
      spi: 0x48B456A6 (1219778214)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x6D9F8D3B (1839172923)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001

각 터널 인터페이스에 대해 inbound esp sasoutbound esp sas가 모두 나타나야 합니다. 이렇게 하면 SA가 나열되고(예: spi: 0x48B456A6) 올바르게 구성된 것으로 가정IPsec합니다.

Cisco 에서는 흥미로운 트래픽(암호화해야 하는 트래픽)ASA이 전송된 후에IPsec만 가 나타납니다. 를 항상 IPsec 활성화하려면 SLA 모니터를 구성하는 것이 좋습니다. SLA 모니터는 흥미로운 트래픽을 계속 전송하여 를 IPsec 활성 상태로 유지합니다.

또한 다음 ping 명령을 사용하여 가 협상을 시작하고 위로 이동IPsec하도록 강제할 수 있습니다.

ping ec2_instance_ip_address
Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

추가적인 문제 해결을 위해서는 다음 명령을 사용하여 디버깅을 활성화합니다.

router# debug crypto ipsec

디버깅을 비활성화하려면 다음 명령을 사용합니다.

router# no debug crypto ipsec

라우팅

터널의 다른 쪽 종단을 ping합니다. 이 작동하면 를 설정해야 IPsec 합니다. 작동하지 않는 경우 액세스 목록을 확인하고 이전 IPsec 섹션을 참조하세요.

인스턴스에 연결할 수 없는 경우 다음 정보를 확인하십시오.

  1. 액세스 목록이 크립토 맵과 연결된 트래픽을 허용하도록 구성되어 있는지 확인합니다.

    다음 명령을 사용하여 확인할 수 있습니다.

    ciscoasa# show run crypto
    crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
crypto map VPN_crypto_map_name 1 match address access-list-name
crypto map VPN_crypto_map_name 1 set pfs
crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

  2. 다음 명령을 사용하여 액세스 목록을 확인합니다.

    ciscoasa# show run access-list access-list-name
    access-list access-list-name extended permit ip any vpc_subnet subnet_mask

  3. 이 액세스 목록이 정확한지 확인합니다. 다음 액세스 목록 예제에서는 VPC 서브넷 10.0.0.0/16에 대한 모든 내부 트래픽을 허용합니다.

    access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

  4. Cisco ASA 디바이스에서 traceroute를 실행하여 Amazon 라우터(예: AWS_ENDPOINT_1/AWS_ENDPOINT_2).

    Amazon 라우터에 도달하면 Amazon VPC 콘솔에 추가한 정적 경로와 특정 인스턴스의 보안 그룹을 확인합니다.

  5. 자세한 문제 해결 정보는 구성을 검토하십시오.