Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Comment analyser les messages d’état d’un VPN IKE Phase 2

Problème

Description

Examinez et analysez les messages d’état VPN liés aux problèmes causés par un IKE inactif Phase 2.

Symptômes

  • IKE Phase 2 n’est pas actif.

  • La show security ipsec security-associations sortie de la commande ne répertorie pas l’adresse distante du VPN.

Solution

La meilleure façon de résoudre les problèmes IKE de phase 2 consiste à examiner les messages d’état VPN du pare-feu du répondeur.

Le pare-feu du répondeur est le côté récepteur du VPN qui reçoit les demandes d’installation du tunnel. Le pare-feu de l’initiateur est le côté initiateur du VPN qui envoie les demandes initiales d’installation du tunnel.

  1. À l’aide de l’interface de ligne de commande, configurez un fichier syslog, , kmd-logspour les journaux d’état VPN sur le pare-feu du répondeur.

    Voir KB10097-Comment configurer syslog pour afficher les messages d’état VPN. Lorsque vous ouvrez le tunnel VPN, les messages sont capturés dans ldm-logs.

  2. À l’aide de l’interface de ligne de commande, recherchez les messages d’erreur de phase 2 : show log kmd-logs

    Exemples de messages de sortie :

      • Signification : le périphérique exécutant Junos OS n’a accepté aucune des propositions IKE Phase 2 envoyées par l’homologue IKE spécifié.

      • Action : vérifiez les éléments de configuration du VPN de phase 2 local. Les éléments de la proposition de la phase 2 sont les suivants :

        • Algorithme d’authentification

        • Algorithme de chiffrement

        • Kilo-octets sur la durée de vie

        • Secondes à vie

        • Protocole

        • Confidentialité de transmission parfaite

      Vous pouvez modifier la configuration locale pour accepter au moins une des propositions de phase 2 de l’homologue distant, ou contacter l’administrateur de l’homologue distant et faire en sorte que les configurations IKE aux deux extrémités du tunnel utilisent au moins une proposition de phase 2 mutuellement acceptable.

    Exemples de messages de sortie :

    Si la connexion VPN est établie avec succès, vous pouvez voir les messages suivants dans le syslog :

  3. Si vous ne parvenez pas à localiser les messages de la phase 2, passez à l’étape 4.

  4. À l’aide de l’interface de ligne de commande, examinez les propositions de phase 2 et vérifiez que la configuration correspond aux propositions de phase 2 configurées par l’homologue : show security ipsec

  5. Si le problème persiste, pour ouvrir un dossier JTAC auprès de l’équipe d’assistance Juniper Networks, consultez Collecte de données pour le support client afin de connaître les données à collecter pour faciliter le dépannage avant d’ouvrir un dossier JTAC.