Cisco IOS 고객 게이트웨이 디바이스와의 AWS Site-to-Site VPN 연결 문제 해결 - AWS Site-to-Site VPN
IKEIPsec터널BGP

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Cisco IOS 고객 게이트웨이 디바이스와의 AWS Site-to-Site VPN 연결 문제 해결

Cisco 고객 게이트웨이 디바이스의 연결 문제를 해결할 때는 , IKE, IPsec터널 및의 네 가지 사항을 고려하세요BGP. 어떤 순서로든 이러한 영역의 문제를 해결할 수 있지만 (네트워크 스택 IKE 하단)으로 시작하여 위로 이동하는 것이 좋습니다.

IKE

다음 명령을 사용합니다. 응답은가 올바르게 IKE 구성된 고객 게이트웨이 디바이스를 보여줍니다.

router# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
192.168.37.160  72.21.209.193   QM_IDLE           2001    0 ACTIVE
192.168.37.160  72.21.209.225   QM_IDLE           2002    0 ACTIVE

터널에 지정된 원격 게이트웨이의 src 값이 포함된 줄이 한 개 이상 나타날 것입니다. stateQM_IDLE이고 statusACTIVE여야 합니다. 항목이 없거나 다른 상태의 항목이 없으면 IKE가 제대로 구성되지 않았음을 나타냅니다.

추가적인 문제 해결을 위해서는 다음 명령을 실행하여 진단 정보를 제공하는 로그 메시지를 활성화합니다.

router# term mon
router# debug crypto isakmp

디버깅을 비활성화하려면 다음 명령을 사용합니다.

router# no debug crypto isakmp

IPsec

다음 명령을 사용합니다. 응답은가 올바르게 IPsec 구성된 고객 게이트웨이 디바이스를 보여줍니다.

router# show crypto ipsec sa
interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160

    protected vrf: (none)
    local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    current_peer 72.21.209.225 port 500
     PERMIT, flags={origin_is_acl,}
     #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
     #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

     local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xB8357C22(3090512930)

     inbound esp sas:
      spi: 0x6ADB173(112046451)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
       sa timing: remaining key lifetime (k/sec): (4467148/3189)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xB8357C22(3090512930)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
       sa timing: remaining key lifetime (k/sec): (4467148/3189)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

interface: Tunnel2
     Crypto map tag: Tunnel2-head-0, local addr 174.78.144.73

     protected vrf: (none)
     local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     current_peer 72.21.209.193 port 500
      PERMIT, flags={origin_is_acl,}
     #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
     #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

     local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xF59A3FF6(4120526838)

     inbound esp sas:
      spi: 0xB6720137(3060924727)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
       sa timing: remaining key lifetime (k/sec): (4387273/3492)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xF59A3FF6(4120526838)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
       sa timing: remaining key lifetime (k/sec): (4387273/3492)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

각 터널 인터페이스에 대해 inbound esp sasoutbound esp sas가 모두 나타나야 합니다. SA가 나열되고(예spi: 0xF95D2F3C:) Status가 라고 가정하면 ACTIVEIPsec가 올바르게 구성됩니다.

추가적인 문제 해결을 위해서는 다음 명령을 사용하여 디버깅을 활성화합니다.

router# debug crypto ipsec

디버깅을 비활성화하려면 다음 명령을 사용합니다.

router# no debug crypto ipsec

터널

우선, 필요한 방화벽 규칙이 있는지 확인합니다. 자세한 내용은 AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 방화벽 규칙 단원을 참조하십시오.

방화벽 규칙이 올바로 설정되어 있으면 다음 명령으로 문제 해결을 계속합니다.

router# show interfaces tun1
Tunnel1 is up, line protocol is up 
  Hardware is Tunnel
  Internet address is 169.254.255.2/30
  MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, 
    reliability 255/255, txload 2/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 174.78.144.73, destination 72.21.209.225
  Tunnel protocol/transport IPSEC/IP
  Tunnel TTL 255
  Tunnel transport MTU 1427 bytes
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 1 packets/sec
  5 minute output rate 1000 bits/sec, 1 packets/sec
    407 packets input, 30010 bytes, 0 no buffer
    Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

line protocol이 가동 중인지 확인합니다. 터널 원본 IP 주소, 원본 인터페이스 및 대상이 각각 IP 주소 외부의 고객 게이트웨이 디바이스, 인터페이스 및 IP 주소 외부의 가상 프라이빗 게이트웨이에 대한 터널 구성과 일치하는지 확인합니다. Tunnel protection via IPSec가 존재하는지 확인합니다. 양쪽 터널 인터페이스에서 모두 명령을 실행합니다. 문제를 해결하려면 구성을 검토하고 고객 게이트웨이 디바이스에 대한 물리적 연결을 점검합니다.

또한, 169.254.255.1을 가상 프라이빗 게이트웨이의 내부 IP 주소로 바꾸는 다음 명령을 사용합니다.

router# ping 169.254.255.1 df-bit size 1410
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!

5개의 느낌표가 나타나야 합니다.

자세한 문제 해결 정보는 구성을 검토하십시오.

BGP

다음 명령을 사용합니다.

router# show ip bgp summary
BGP router identifier 192.168.37.160, local AS number 65000
BGP table version is 8, main routing table version 8
2 network entries using 312 bytes of memory
2 path entries using 136 bytes of memory
3/1 BGP path/bestpath attribute entries using 444 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
Bitfield cache entries: current 1 (at peak 2) using 32 bytes of memory
BGP using 948 total bytes of memory
BGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
169.254.255.1   4  7224     363     323        8    0    0 00:54:21        1
169.254.255.5   4  7224     364     323        8    0    0 00:00:24        1

두 인접 라우터가 모두 나열되어야 합니다. 각각에 대해 State/PfxRcd 값이 1로 표시되어야 합니다.

BGP 피어링이 가동되면 고객 게이트웨이 디바이스가 기본 경로(0.0.0.0/0)를에 광고하고 있는지 확인합니다VPC.

router# show bgp all neighbors 169.254.255.1 advertised-routes
For address family: IPv4 Unicast
BGP table version is 3, local router ID is 174.78.144.73
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
     r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Originating default network 0.0.0.0

Network             Next Hop            Metric   LocPrf Weight Path
*> 10.120.0.0/16    169.254.255.1          100        0   7224    i

Total number of prefixes 1

또한 가상 프라이빗 게이트웨이VPC에서에 해당하는 접두사를 수신하고 있는지 확인합니다.

router# show ip route bgp
	10.0.0.0/16 is subnetted, 1 subnets
B       10.255.0.0 [20/0] via 169.254.255.1, 00:00:20

자세한 문제 해결 정보는 구성을 검토하십시오.