フラッピング VPN トンネルのトラブルシューティング
問題点
説明
サイト間 VPN トンネルまたはリモート IPsec VPN トンネル フラッピング(立て続けにアップとダウンがすばやく繰り返される)。
診断
この問題は1つのVPNにのみ影響しますか?
はい:システム ログを確認し、手順 2 に進みます。 ログを表示するには、 コマンドを使用します。
show log messagesメッセージを正しく報告するには、情報レベルのログを有効にする必要があります。user@host # set system syslog file messages any infoフラッピング VPN トンネルを報告するシステム ログの例を次に示します。
VPN up/down events:
Jul 9 21:07:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:08:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:09:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:10:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4
Unstable VPN behavior (VPN constantly rebuilding):
Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0xfd91b643, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xbdec9669, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x69b34ae4, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0x6f55d8ea, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x6fa6b0b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xa66ac906, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
-
いいえ:問題が設定されているすべてのVPNにある場合は、インターネット接続、SRXシリーズファイアウォール、およびスイッチインターフェイスに関連するエラーを調査します。SRXシリーズファイアウォールインターフェイスでエラーを確認するには、 コマンドを実行します 。
show interfaces extensive
-
コマンドを使用して、この VPN に対して VPN モニターが有効になっていることを確認します。
show configuration security ipsec vpn vpn-nameVPNモニターは有効になっていますか?
-
はい:手順 3 に進みます。
-
いいえ:手順 5 に進みます。
-
-
VPN監視を無効にし、VPNを確認します。
user@host# deactivate security ipsec vpn vpn-name vpn-monitoruser@host# commitVPNは安定していますか?
-
はい:不安定性は、VPN モニタの設定に関連しています。手順 4 に進みます。
-
いいえ:手順 5 に進みます。
-
-
リモート VPN 接続は ICMP エコー要求をブロックするように構成されていますか?
-
はい:送信元インターフェイスと宛先 IP オプションを使用するように VPN モニターを再度有効にしてから再構成します。KB10119を参照してください。http://kb.juniper.net/KB10119
-
いいえ:手順 5 に進みます。
-
-
SRXシリーズファイアウォールに接続されているリモートデバイスは、ジュニパー以外のデバイスですか?
-
はい: SRXシリーズファイアウォールとピアVPNデバイスの値を確認します。proxy-id
-
いいえ:手順 6 に進みます。
-
-
VPNは一定期間安定していて、その後上下し始めましたか?
-
はい:ネットワークまたはデバイスの変更、または新しいネットワーク機器が環境に追加されていないかどうかを調査します。
-
いいえ:両端のVPNデバイスからサイト間のログを収集し、テクニカルサポート担当者とケースをオープンします。カスタマーサポート向けのデータ収集を参照してください。https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html
-