플랩핑 VPN 터널 문제 해결
문제
설명
Site-to-Site VPN 터널 또는 원격 IPsec VPN 터널 플래핑(즉, 빠르게 연속적으로 작동 및 축소)
진단
이 문제가 하나의 VPN에만 영향을 미치나요?
예: 시스템 로그를 확인하고 2단계로 진행합니다.
show log messages
명령을 사용하여 로그를 봅니다. 메시지가 올바르게 보고되려면 정보 수준 로깅을 사용하도록 설정해야 합니다.user@host # set system syslog file messages any info
다음은 플래핑 VPN 터널을 보고하는 시스템 로그의 예입니다.
VPN up/down events:
Jul 9 21:07:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:08:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:09:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2 is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4 Jul 9 21:10:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2 is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable, VR id: 4
Unstable VPN behavior (VPN constantly rebuilding):
Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0xfd91b643, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:43:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xbdec9669, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x69b34ae4, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:44:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0x6f55d8ea, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: inbound, SPI: 0x6fa6b0b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Jul 9 20:45:10 kmd[1496]: KMD_PM_SA_ESTABLISHED: Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2, Local ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Remote ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Direction: outbound, SPI: 0xa66ac906, AUX-SPI: 0, Mode: Tunnel, Type: dynamic
-
아니요: 구성된 모든 VPN에 문제가 있는 경우 인터넷 연결과 SRX 시리즈 방화벽 및 스위치 인터페이스와 관련된 오류를 조사합니다. SRX 시리즈 방화벽 인터페이스에서 오류를 확인하려면 명령을 실행합니다
show interfaces extensive
.
-
명령을 사용하여
show configuration security ipsec vpn vpn-name
이 VPN에 대해 VPN 모니터가 사용하도록 설정되어 있는지 확인합니다.VPN 모니터가 활성화되어 있습니까?
-
예: 3단계로 진행합니다.
-
아니요: 5단계로 진행합니다.
-
-
VPN 모니터를 비활성화하고 VPN을 확인하십시오.
user@host# deactivate security ipsec vpn vpn-name vpn-monitor
user@host# commit
VPN은 안정적인가요?
-
예: 불안정성은 VPN 모니터 구성과 관련이 있습니다. 4단계로 진행합니다.
-
아니요: 5단계로 진행합니다.
-
-
원격 VPN 연결이 ICMP 에코 요청을 차단하도록 구성되어 있습니까?
-
예: VPN Monitor를 다시 사용하도록 설정하고 재구성하여 소스 인터페이스 및 대상 IP 옵션을 사용합니다. KB10119 참조하십시오.
-
아니요: 5단계로 진행합니다.
-
-
SRX 시리즈 방화벽에 연결된 원격 디바이스가 주니퍼 제품이 아닌 디바이스입니까?
-
예: proxy-id SRX 시리즈 방화벽 및 피어 VPN 디바이스에서 값을 확인합니다.
-
아니요: 6단계로 진행합니다.
-
-
VPN이 일정 기간 동안 안정적이었고 그 후 위아래로 움직이기 시작했습니까?
-
예: 네트워크 또는 디바이스 변경 사항 또는 새 네트워크 장비가 환경에 추가되었는지 여부를 조사합니다.
-
아니요: 양쪽 끝의 VPN 디바이스에서 사이트 간 로그를 수집하고 기술 지원 담당자에게 케이스를 개설합니다. 고객 지원을 위한 데이터 수집을 참조하십시오.
-