Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

IKE(Internet Key Exchange) 2단계 VPN 상태 메시지 분석 방법

문제

설명

비활성 IKE(Internet Key Exchange) 2단계로 인한 문제와 관련된 VPN 상태 메시지를 검토하고 분석합니다.

증상

  • IKE(Internet Key Exchange) 2단계가 활성화되지 않았습니다.

  • 명령 출력에는 show security ipsec security-associations VPN의 원격 주소가 나열되지 않습니다.

솔루션

IKE(Internet Key Exchange) 2단계 문제를 해결하는 가장 좋은 방법은 응답자 방화벽의 VPN 상태 메시지를 검토하는 것입니다.

응답자 방화벽은 터널 설정 요청을 수신하는 VPN의 수신자 측입니다. 이니시에이터 방화벽은 초기 터널 설정 요청을 보내는 VPN의 이니시에이터 측입니다.

  1. CLI를 사용하여 응답자 방화벽의 VPN 상태 로그에 대한 syslog 파일 kmd-logs을(를) 구성합니다.

    KB10097-VPN 상태 메시지를 표시하도록 syslog를 구성하는 방법을 참조하십시오. VPN 터널을 불러오면 메시지가 에 캡처 ldm-logs됩니다.

  2. CLI를 사용하여 2단계 오류 메시지를 확인합니다. show log kmd-logs

    샘플 출력 메시지:

      • 의미 - Junos OS를 실행하는 디바이스가 지정된 IKE 피어가 전송한 IKE 2단계 제안을 수락하지 않았습니다.

      • Action(작업) - 로컬 2단계 VPN 구성 요소를 확인합니다. 2단계 제안 요소에는 다음이 포함됩니다.

        • 인증 알고리즘

        • 암호화 알고리즘

        • 수명 킬로바이트

        • 라이프타임 초(초)

        • 프로토콜

        • PFS(Perfect Forward Secrecy)

      원격 피어의 2단계 제안 중 하나 이상을 수락하도록 로컬 구성을 변경하거나, 원격 피어의 관리자에게 연락하여 터널 양쪽 끝에서 상호 수용 가능한 2단계 제안을 하나 이상 사용하도록 IKE 구성을 준비할 수 있습니다.

    샘플 출력 메시지:

    VPN 연결이 성공적으로 설정되면 syslog에서 다음 메시지를 볼 수 있습니다.

  3. 2단계 메시지를 찾을 수 없는 경우 단계로 4진행합니다.

  4. CLI를 사용하여 2단계 제안을 검토하고 구성이 피어가 구성한 2단계 제안과 일치하는지 확인합니다. show security ipsec

  5. 문제가 지속될 경우 주니퍼 네트웍스 지원 팀에 JTAC 케이스를 개설하려면 JTAC 케이스를 열기 전에 문제 해결을 지원하기 위해 수집해야 하는 데이터에 대한 고객 지원 데이터 수집 을 참조하십시오.