Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Как анализировать сообщения о состоянии IKE VPN фазы 2

Проблема

Описание

Просмотрите и проанализируйте сообщения о состоянии VPN, связанные с неактивным IKE 2-м этапе.

Симптомы

  • IKE фаза 2 не активна.

  • Выходные show security ipsec security-associations данные команды не перечисляют удаленный адрес VPN.

Решение

Лучшим способом устранения неполадок, IKE 2-го этапа, является просмотр сообщений состояния VPN на межсетевом экране ответчика.

Межсетевой экран ответчика является стороной-приемником VPN, который получает запросы на установку туннеля. Межсетевой экран инициатора является стороной-инициатором VPN, которая отправляет запросы начальной установки туннеля.

  1. Используя интерфейс командной строки, настройте файл syslog для журналов состояния kmd-logs VPN на межсетевом экране ответчика.

    См. KB10097-Как настроить syslog для отображения сообщений состояния VPN. По мере того, как туннель VPN будет разобрачен, сообщения будут схвачены ldm-logs в .

  2. С помощью интерфейс командной строки проверьте, нет ли сообщений об ошибках фазы 2: show log kmd-logs

    Примеры выходных сообщений:

      • Это означает. Устройство, Junos OS устройство не принял ни одно из предложений IKE фазы 2, которые были посланы IKE одноранговую ранговую ранговую сети.

      • Action (Действие) — проверьте локальные элементы конфигурации VPN фазы 2. Элементы предложения фазы 2 включают в себя следующие:

        • Алгоритм аутентификации

        • Алгоритм шифрования

        • Килобайты срока службы

        • Секунда срока службы

        • Протокол

        • Превосходная конфиденциальность переадресации

      Можно изменить локализованную конфигурацию, чтобы принять хотя бы одно из предложений фазы 2 удаленного одноранговых узла, или связаться с администратором удаленного одноранговых узла и договорится о настройке IKE на обоих концах туннеля, чтобы использовать хотя бы одно взаимно приемлемое предложение фазы 2.

    Примеры выходных сообщений:

    Если VPN-соединение установлено успешно, в syslog можно увидеть следующие сообщения:

  3. Если не удалось обнаружить сообщения фазы 2, перейдите к шагу 4 .

  4. Используя интерфейс командной строки, просмотрите предложения фазы 2 и подтвердите, что конфигурация соответствует предложениям фазы 2, настроенным одноранговой узлами: show security ipsec

  5. Если проблема сохраняется, чтобы открыть случай JTAC в группе технической поддержки Juniper Networks, см. сбор данных для поддержки клиентов за данными, которые необходимо собрать для помощи в устранении неполадок перед открытием случая JTAC. https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html