다운된 VPN 터널 문제 해결
문제: IPsec VPN이 활성화되지 않았으며 데이터를 전달하지 않습니다.
어떤 유형의 VPN 터널에 문제가 있나요?
사이트 간(LAN-to-LAN) VPN:
2단계로 진행합니다.
원격 액세스 IPsec VPN 또는 클라이언트-LAN VPN:
브랜치 SRX 시리즈의 경우 KB17220를 참조하십시오.
하이엔드 SRX 시리즈의 경우 2단계로 진행합니다.
VPN 터널에 대한 SA(보안 연결)가 활성화되어 있습니까?
show security ipsec security-associations명령을 실행하고 VPN의 게이트웨이 주소를 찾습니다. 원격 게이트웨이가 표시되지 않으면 VPN SA가 활성화되지 않은 것입니다. SA에 대한 자세한 내용은 KB10090를 참조하십시오.user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0 total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32786 3.3.3.3 500 ESP:3des/sha1 5c13215d 28782/unlim U 0 >32786 3.3.3.3 500 ESP:3des/sha1 18f67b48 28782/unlim U 0
SA가 출력에 나열되지 않으면 3단계로 진행합니다.
-
SA가 나열되고(2단계가 작동 중임) 트래픽이 통과하지 않는 경우 을 참조하십시오 작동 중이지만 트래픽을 전달하지 않는 VPN 문제 해결.
-
SA가 활성 상태와 비활성 상태 사이에서 진동하는 경우 을 참조하십시오 플랩핑 VPN 터널 문제 해결.
IKE(Internet Key Exchange) 1단계가 시작되었습니까?
show security ike security-associations명령어를 실행하세요. VPN의 원격 주소가 나열되어 있고 필드 값이StateUP인지 확인합니다.user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 1 2.2.2.2 UP 744a594d957dd513 1e1307db82f58387 Main 2 3.3.3.3 UP 744a594d957dd513 1e1307db82f58387 Main
원격 주소가 나열되지 않거나 필드
DOWN값이State인 경우, 솔루션에 대한 응답자의 IKE(Internet Key Exchange) 1단계 메시지를 분석합니다. KB10101 참조하십시오.상태가
UP인 경우, 솔루션에 대한 응답자의 IKE(Internet Key Exchange) 2단계 메시지를 분석합니다. KB10101 참조하십시오.
문제가 여전히 해결되지 않으면 시작 VPN 디바이스의 VPN 터널에 대한 1단계 또는 2단계 로그를 분석합니다. 시작 쪽의 로그에서 솔루션을 찾을 수 없는 경우 4단계로 진행합니다.
로그, 플로우 추적 옵션 및 IKE 추적 옵션을 수집한 다음 기술 지원 담당자에게 케이스를 개설하십시오. 자세한 내용은 다음을 참조하십시오.
로그 수집은 고객 지원을 위한 데이터 수집을 참조하십시오.
-
플로우 추적 옵션에 대한 자세한 내용은 KB16233 참조하십시오.
IKE(Internet Key Exchange) 추적 옵션에 대한 자세한 내용은 KB19943 참조하십시오.