Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

アップしているがトラフィックを通過しない VPN のトラブルシューティング

説明

VPN はアップしていますが、1 方向または両方向にトラフィックを通過する必要はありません。

このトピックでは、アクティブな VPN トンネルを通過するトラフィックを防止する可能性がある問題のトラブルシューティングに役立ちます。

環境

VPN

ソリューション

  1. VPN SA(セキュリティ アソシエーション)がアクティブかどうかを確認します。 show security ipsec security-associations

    VPN ゲートウェイが表示された場合は、トンネルが確立され、アップされます。出力には、各 VPN トンネルに 2 つの行が表示され、トラフィックの各方向の SPI 情報が表示されます。

    この MON フィールドは VPN 監視によってトンネルのステータスを表示するために使用され、以下のいずれかの値があります。

    • - (ハイフン): VPN トンネルはアクティブで、VPN 監視オプション機能は設定されていません。

    • U (アップ): VPN トンネルはアクティブで、リンク(VPN モニターを介して検出)がアップしています。

    • D (下): VPN トンネルはアクティブで、リンク(VPN モニターを介して検出)はダウンしています。

  2. VPN が外部インターフェイスとしてループバック インターフェイス lo0 を使用するかどうかを確認します。 show configuration security ike

    • Yes: VPN は、ループバック インターフェイスを外部 lo0 インターフェイスとして使用しています。ステップに進 3 みます。

    • No: VPNは、外部インターフェイスとしてループバック lo0 インターフェイスを使用していない。ステップに進 4 みます。

  3. VPN 外部インターフェイスとして使用されるエグレス インターフェイス(物理インターフェイス)と lo0 が同じインターフェイス内にあるセキュリティ ゾーン。

  4. VPN がルートベース VPN の場合は、 ステップ に進みます 5 。ポリシーベースの 8 VPN の場合は、手順に進みます。「 ポリシーベース VPN とルートベース VPN の違い」を参照してください。

  5. st0インターフェイスを介して、リモートネットワークにルートが割り当てられているかどうかを確認します。 show route remote network

  6. ステップ 1 のリモート ネットワークに割り当てられたルートに基づき、VPN が正しい st0 インターフェイスを指 5 していることを確認します。show security ike および show security ipsec

    1. まず、 コマンドを使用してIKEゲートウェイを確認 show security ike します。

    2. コマンドを使用してゲートウェイがIKE IPsec VPN を確認し、出力でインターフェースを指 show security ipsecbind-interface している場合は確認 st0 します。

      この例では、VPN ike-vpn-siteB がインターフェイスを指 st0.0 しています。

  7. 内部ゾーンからst0へのトラフィックを許可するセキュリティ ポリシーセキュリティ ゾーン。 show security policies

  8. トラフィックを許可する VPN トンネル セキュリティ ポリシーが含されているかどうかを確認します。 show security policies

  9. ステップまたはステップで識別されたポリシーでトラフィックが一致するかどうかを 7 確認します 8show security flow session source prefix source address destination prefix destination address

    • Yes: ステップに進 10 みます。

    • No: セキュリティ ポリシーの順序を検証します。show security match policies。セキュリティー ポリシーの順序について を参照してください

      順序が正しい場合は、 データを渡していないセキュリティ ポリシー をトラブルシューティングする方法 を参照してください

      注:

      セッションのアウト方向のカウンターだけが増加している場合は、トラフィックが受信されている pkts VPNピアを使用して検証します。

      これは、このトンネルが形成されている VPN ピア上のパケット カウンターをチェックして、もう一方のエンドがパケットを受信しているかどうかを確認します。

  10. ログとフロー トレース オプションを収集し、データ センター サポート チームジュニパーネットワークスを開きます。