Yamaha 고객 게이트웨이 디바이스와의 AWS Site-to-Site VPN 연결 문제 해결 - AWS Site-to-Site VPN
IKEIPsec터널BGP

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Yamaha 고객 게이트웨이 디바이스와의 AWS Site-to-Site VPN 연결 문제 해결

Yamaha 고객 게이트웨이 디바이스의 연결 문제를 해결할 때는 , IKE, IPsec터널, 의 네 가지 사항을 고려하세요BGP. 어떤 순서로든 이러한 영역의 문제를 해결할 수 있지만 (네트워크 스택 IKE 하단)으로 시작하여 위로 이동하는 것이 좋습니다.

참고

의 2단계에서 사용되는 proxy ID 설정은 Yamaha 라우터에서 기본적으로 비활성화IKE됩니다. 이로 인해 에 Site-to-Site 연결하는 데 문제가 발생할 수 있습니다VPN. proxy ID 가 라우터에 구성되지 않은 경우 Yamaha가 올바르게 설정할 수 있도록 AWS제공된 예제 구성 파일을 참조하세요.

IKE

다음 명령을 실행합니다. 응답은 가 올바르게 IKE 구성된 고객 게이트웨이 디바이스를 보여줍니다.

# show ipsec sa gateway 1
sgw  flags local-id                      remote-id        # of sa
--------------------------------------------------------------------------
1    U K   YOUR_LOCAL_NETWORK_ADDRESS     72.21.209.225    i:2 s:1 r:1

터널에 지정된 원격 게이트웨이의 remote-id 값이 포함된 줄이 나타날 것입니다. 터널 번호를 생략하여 모든 보안 연결(SAs)을 나열할 수 있습니다.

추가 문제 해결을 위해 다음 명령을 실행하여 진단 정보를 제공하는 DEBUG 수준 로그 메시지를 활성화합니다.

# syslog debug on
# ipsec ike log message-info payload-info key-info

로그에 기록된 항목을 취소하려면 다음 명령을 실행합니다.

# no ipsec ike log
# no syslog debug on

IPsec

다음 명령을 실행합니다. 응답은 가 올바르게 IPsec 구성된 고객 게이트웨이 디바이스를 보여줍니다.

# show ipsec sa gateway 1 detail
SA[1] Duration: 10675s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit

SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[2] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: a6 67 47 47 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[3] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 6b 98 69 2b 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[4] Duration: 10681s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------

각 터널 인터페이스에 대해 receive sassend sas가 모두 나타나야 합니다.

추가적인 문제 해결을 위해서는 다음 명령을 사용하여 디버깅을 활성화합니다.

# syslog debug on
# ipsec ike log message-info payload-info key-info

디버깅을 비활성화하려면 다음 명령을 실행합니다.

# no ipsec ike log
# no syslog debug on

터널

우선, 필요한 방화벽 규칙이 있는지 확인합니다. 규칙 목록은 AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 방화벽 규칙 단원을 참조하십시오.

방화벽 규칙이 올바로 설정되어 있으면 다음 명령으로 문제 해결을 계속합니다.

# show status tunnel 1
TUNNEL[1]: 
Description: 
  Interface type: IPsec
  Current status is Online.
  from 2011/08/15 18:19:45.
  5 hours 7 minutes 58 seconds  connection.
  Received:    (IPv4) 3933 packets [244941 octets]
               (IPv6) 0 packet [0 octet]
  Transmitted: (IPv4) 3933 packets [241407 octets]
               (IPv6) 0 packet [0 octet]

current status 값이 온라인이고 Interface type인지 확인합니다IPsec. 양쪽 터널 인터페이스에서 모두 명령을 실행해야 합니다. 여기서 문제를 해결하려면 구성을 검토하십시오.

BGP

다음 명령을 실행합니다.

# show status bgp neighbor
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link
  BGP version 0, remote router ID 0.0.0.0
  BGP state = Active
  Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
  Received 0 messages, 0 notifications, 0 in queue
  Sent 0 messages, 0 notifications, 0 in queue
  Connection established 0; dropped 0
  Last reset never
Local host: unspecified
Foreign host: 169.254.255.1, Foreign port: 0

BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link
  BGP version 0, remote router ID 0.0.0.0
  BGP state = Active
  Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
  Received 0 messages, 0 notifications, 0 in queue
  Sent 0 messages, 0 notifications, 0 in queue
  Connection established 0; dropped 0
  Last reset never
Local host: unspecified
Foreign host: 169.254.255.5, Foreign port:

두 인접 라우터가 모두 나열되어야 합니다. 각각에 대해 BGP state 값이 Active로 표시되어야 합니다.

BGP 피어링이 작동하면 고객 게이트웨이 디바이스가 기본 경로(0.0.0.0/0)를 에 광고하고 있는지 확인합니다VPC.

# show status bgp neighbor 169.254.255.1 advertised-routes 
Total routes: 1
*: valid route
  Network            Next Hop        Metric LocPrf Path
* default            0.0.0.0              0        IGP

또한 가상 프라이빗 게이트웨이VPC에서 에 해당하는 접두사를 받고 있는지 확인합니다.

# show ip route
Destination         Gateway          Interface       Kind  Additional Info.
default             ***.***.***.***   LAN3(DHCP)    static  
10.0.0.0/16         169.254.255.1    TUNNEL[1]       BGP  path=10124