Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IKE フェーズ 2 VPN ステータス メッセージの分析方法

問題点

説明

非アクティブなIKEフェーズ2によって引き起こされた問題に関連するVPNステータスメッセージを確認および分析します。

症状

  • IKE フェーズ 2 はアクティブではありません。

  • show security ipsec security-associations コマンドの出力には、VPN のリモート アドレスはリストされません。

ソリューション

IKEフェーズ2の問題をトラブルシューティングする最適な方法は、レスポンダーファイアウォールのVPNステータスメッセージを確認することです。

レスポンダーファイアウォールは、トンネルセットアップ要求を受信するVPNの 受信 側です。イニシエーター ファイアウォールは、初期トンネル セットアップ要求を送信する VPN の イニシエーター 側です。

  1. CLI を使用して、レスポンダー ファイアウォールの VPN ステータス ログ用の syslog ファイル kmd-logsを構成します。

    VPNステータス メッセージを表示するように syslog を設定する方法についてKB10097を参照してください。VPN トンネルを起動すると、メッセージが ldm-logs でキャプチャされます。

  2. CLI を使用して、フェーズ 2 のエラー メッセージを確認します。 show log kmd-logs

    サンプル出力メッセージ:

      • 意味—Junos OSを実行しているデバイスは、指定されたIKEピアが送信したIKEフェーズ2のプロポーザルをいずれも受け入れませんでした。

      • アクション:ローカルのフェーズ 2 VPN 構成要素を確認します。フェーズ 2 のプロポーザル要素には、次のものが含まれます。

        • 認証アルゴリズム

        • 暗号化アルゴリズム

        • ライフタイムキロバイト

        • ライフタイム秒

        • プロトコル

        • 完全転送機密保持

      リモートピアのフェーズ2プロポーザルの少なくとも1つを受け入れるようにローカル設定を変更するか、リモートピアの管理者に連絡して、トンネルの両端のIKE設定が相互に受け入れ可能なフェーズ2プロポーザルを少なくとも1つ使用するように手配することができます。

    サンプル出力メッセージ:

    VPN 接続が正常に確立されると、syslog に次のメッセージが表示されます。

  3. フェーズ 2 のメッセージが見つからなかった場合は、ステップ 4 に進みます。

  4. CLI を使用してフェーズ 2 のプロポーザルを確認し、ピアによって設定されたフェーズ 2 のプロポーザルと設定が一致していることを確認します。 show security ipsec

  5. 問題が解決しない場合は、ジュニパーネットワークスのサポートチームでJTACのケースをオープンするには、 カスタマーサポート向けのデータ収集 を参照して、JTACのケースをオープンする前にトラブルシューティングに役立つように収集すべきデータを確認してください。