IKE(Internet Key Exchange) 2단계 VPN 상태 메시지 분석 방법
문제
설명
비활성 IKE(Internet Key Exchange) 2단계로 인한 문제와 관련된 VPN 상태 메시지를 검토하고 분석합니다.
증상
IKE(Internet Key Exchange) 2단계가 활성화되지 않았습니다.
명령 출력에는 show security ipsec security-associations VPN의 원격 주소가 나열되지 않습니다.
솔루션
IKE(Internet Key Exchange) 2단계 문제를 해결하는 가장 좋은 방법은 응답자 방화벽의 VPN 상태 메시지를 검토하는 것입니다.
응답자 방화벽은 터널 설정 요청을 수신하는 VPN의 수신자 측입니다. 이니시에이터 방화벽은 초기 터널 설정 요청을 보내는 VPN의 이니시에이터 측입니다.
CLI를 사용하여 응답자 방화벽의 VPN 상태 로그에 대한 syslog 파일 kmd-logs을(를) 구성합니다.
KB10097-VPN 상태 메시지를 표시하도록 syslog를 구성하는 방법을 참조하십시오. VPN 터널을 불러오면 메시지가 에 캡처 ldm-logs됩니다.
CLI를 사용하여 2단계 오류 메시지를 확인합니다. show log kmd-logs
샘플 출력 메시지:
Message: Jul 10 16:14:30 210-2 kmd[52472]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.10.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=10.10.10.0/24)] for local ip: 2.2.2.1, remote peer ip:2.2.2.2
의미 - 피어 디바이스의 프록시 ID가 로컬 프록시 ID와 일치하지 않습니다.
작업 - 프록시 ID는 피어의 구성된 프록시 ID와 정확히 반대여야 합니다. KB10124 참조 - 2단계 오류를 수정하는 방법: 피어 프록시 ID를 일치시키지 못했습니다.
Message: Jul 16 21:14:20 kmd[1456]: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: KMD_VPN_PV_PHASE2: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: IKE Phase-2: Negotiations failed. Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2
의미 - Junos OS를 실행하는 디바이스가 지정된 IKE 피어가 전송한 IKE 2단계 제안을 수락하지 않았습니다.
Action(작업) - 로컬 2단계 VPN 구성 요소를 확인합니다. 2단계 제안 요소에는 다음이 포함됩니다.
인증 알고리즘
암호화 알고리즘
수명 킬로바이트
라이프타임 초(초)
프로토콜
PFS(Perfect Forward Secrecy)
원격 피어의 2단계 제안 중 하나 이상을 수락하도록 로컬 구성을 변경하거나, 원격 피어의 관리자에게 연락하여 터널 양쪽 끝에서 상호 수용 가능한 2단계 제안을 하나 이상 사용하도록 IKE 구성을 준비할 수 있습니다.
샘플 출력 메시지:
IPsec proposal mismatch
Message: Sep 7 09:26:57 kmd[1393]: IKE negotiation failed with error: No proposal chosen. IKE Version: 1, VPN: vpn1 Gateway: ike-gw, Local: 10.10.10.1/500, Remote: 10.10.10.2/500, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, VR-ID: 0
주:Local IKE-ID
및Remote IKE-ID
이(가) 로Not-Available
표시되면 1단계 실패 메시지입니다. KB30548 - 12.1X44 이상 릴리스의 IKE(Internet Key Exchange) 1단계 VPN 상태 메시지를 참조하십시오.Action(작업) - 로컬 2단계 VPN 구성 요소를 확인합니다. 2단계 제안 요소에는 다음이 포함됩니다.
인증 알고리즘
암호화 알고리즘
수명 킬로바이트
라이프타임 초(초)
프로토콜
PFS(Perfect Forward Secrecy)
Proxy-ID mismatch
샘플 출력 메시지:
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
작업 - 프록시 ID는 피어의 구성된 프록시 ID와 정확히 반대로 일치해야 합니다. KB10124 참조 - 2단계 오류를 수정하는 방법: 피어 프록시 ID를 일치시키지 못했습니다.
VPN 연결이 성공적으로 설정되면 syslog에서 다음 메시지를 볼 수 있습니다.
Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: inbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: outbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.1 is up. Local-ip: 10.10.10.2, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.2, Remote IKE-ID: 10.10.10.1, XAUTH username: Not-Applicable, VR id: 0
Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: inbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: outbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.2 is up. Local-ip: 10.10.10.1, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, XAUTH username: Not-Applicable, VR id: 0, Traffic-selector: , Traffic-selector local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Traffic-selector remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24)ze: 12px;">IPsec Proposal mismatch
2단계 메시지를 찾을 수 없는 경우 단계로 4진행합니다.
CLI를 사용하여 2단계 제안을 검토하고 구성이 피어가 구성한 2단계 제안과 일치하는지 확인합니다. show security ipsec
show security ipsec proposal ipsec-phase2-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; } policy ipsec-phase2-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-phase2-proposal; } vpn ike-vpn-srx1 { vpn-monitor; ike { gateway gw-srx1; ipsec-policy ipsec-phase2-policy; } }
문제가 지속될 경우 주니퍼 네트웍스 지원 팀에 JTAC 케이스를 개설하려면 JTAC 케이스를 열기 전에 문제 해결을 지원하기 위해 수집해야 하는 데이터에 대한 고객 지원 데이터 수집 을 참조하십시오.