IPSec VPN 터널이 불안정해지면 NSX Data Center for vSphere 제품 로그를 수집하여 기본적인 문제 해결을 시작합니다. 데이터 경로에서 패킷 캡처 세션을 설정하고, 일부 NSX Edge CLI 명령을 실행하여 터널 불안정의 원인을 확인합니다.

다음 절차를 사용하여 IPSec VPN 터널 불안정의 원인을 해결하십시오.

사전 요구 사항

데이터 경로에 대해 패킷 캡처 세션을 설정하기 전에 다음과 같은 요구 사항이 충족되는지 확인합니다.
  • UDP 포트 500 및 4500에서 패킷이 송수신될 수 있습니다.
  • 방화벽 규칙에서 데이터 트래픽이 포트 500 및 4500을 통과하도록 허용합니다.
  • 방화벽 규칙에서 ESP(보안 페이로드 캡슐화) 패킷을 허용합니다.
  • IPSec 인터페이스를 통한 로컬 서브넷 라우팅이 올바르게 구성되어 있습니다.
  • 터널 끝의 IP로 작은 ping 페이로드 및 더 큰 ping 페이로드를 전송하여 MTU 구성에 조각화 문제가 있는지 확인하십시오.

프로시저

  1. 두 사이트에서 지원 로그를 수집합니다.
    중요: NSX Edge 장치의 제한된 디스크 공간 때문에 Syslog 서버로 로그를 리디렉션해야 합니다. 자세한 내용은 " NSX Data Center for vSphere 관리 가이드" 의 "원격 Syslog 서버 구성" 섹션을 참조하십시오.
  2. NSX Edge의 IPSec VPN 서비스가 SonicWall, Watchguard 등과 같은 타사 하드웨어 VPN 방화벽 솔루션을 사용하도록 올바르게 구성되었는지 확인합니다. 필요한 경우 VPN 공급업체에 필요한 구체적인 구성 정보를 문의하십시오.
  3. NSX Edge와 타사 방화벽 간에 IKE 패킷 또는 ESP 패킷의 패킷 캡처를 설정합니다.
  4. NSX Edge에서 문제가 발생할 때의 실시간 상태를 기록합니다. 다음 명령을 실행하고 결과를 기록합니다.
    명령 용도
    show service ipsec IPSec VPN 서비스의 상태를 확인합니다.
    show service ipsec sp 보안 정책의 상태를 확인합니다.
    show service ipsec sa SA(보안 연결)의 상태를 확인합니다.
  5. 이 문제가 여전히 나타나는 경우 타사 VPN 솔루션에서 IPSec 관련 로그 및 출력을 캡처합니다.
  6. 문제를 확인하기 위해 IPSec 관련 로그 및 출력을 검토합니다. IPSec VPN 서비스가 실행되고 있고, 보안 정책이 생성되었고, 디바이스 간에 보안 연결이 구성되어 있는지 확인합니다.
    로그에서 확인할 수 있는 일반적인 문제는 다음과 같습니다.
    • 잘못된 ID: INVALID_ID_INFORMATION 또는 PAYLOAD_MALFORMED
    • 신뢰할 수 있는 CA 없음: INVALID_KEY_INFORMATION 또는 보다 구체적인 오류 예를 들어 'C=CN, ST=BJ, O=VMWare, OU=CINS, Cn=left‘ 또는 PAYLOAD_MALFORMED에 대해 알려진 RSA 공개 키가 없습니다.
    • 제안된 proxy-id를 찾을 수 없습니다. INVALID_ID_INFORMATION 또는 PAYLOAD_MALFORMED
    • DPD 피어에서 응답이 없습니다. 예: DPD: 피어의 응답이 없습니다. 피어 비활성을 선언합니다.
  7. vSphere Web Client, 또는 NSX Edge CLI에서 또는 NSX Data Center for vSphere REST API를 실행하여 터널 오류 메시지를 확인합니다.
    예를 들어 vSphere Web Client에서 오류 메시지를 보려면 NSX Edge를 두 번 클릭하고 IPSec VPN 페이지로 이동한 후 다음 단계를 수행합니다.
    1. IPSec 통계 표시(Show IPSec Statistics)를 클릭합니다.
    2. 다운된 IPSec 채널을 선택합니다.
    3. 선택한 채널의 경우 다운된 터널(사용 안 함)을 선택하고 터널 오류의 세부 정보를 봅니다.
      • NSX 6.4.6 이상에서 터널 상태 열의 사용 안 함을 클릭합니다.
      • NSX 6.4.5 이하 버전에서는 터널 상태 열의 세부 정보 보기를 클릭합니다.

    다음 표에는 IPSec 터널 연결 문제의 가능한 원인과 각 문제와 연결된 오류 메시지가 나와 있습니다.

    원인 오류 메시지
    IKEv1 피어에 연결할 수 없습니다. Version-IKEv1 피어의 응답이 없으므로 IKE 메시지를 다시 전송합니다.
    IKEv1 1단계 제안이 일치하지 않습니다. Version-IKEv1 선택한 제안이 없습니다. 구성된 Encryption/Authentication/DH/IKE-Version을 확인하십시오.
    다음 중 하나가 일치하지 않습니다.
    • IKEv1 PSK
    • IKEv1 ID
    • IKEv1 인증서
    Version-IKEv1 인증이 실패했습니다. 구성된 암호 또는 로컬/피어 ID 구성을 확인하십시오.
    IKEv1 2단계 제안이 일치하지 않습니다. IPSec-SA 제안 또는 트래픽 선택기가 일치하지 않습니다.
    IKEv2 피어에 연결할 수 없습니다. Version-IKEv2 피어의 응답이 없으므로 IKE 메시지를 다시 전송합니다.
    IKEv2 IKE SA 제안이 일치하지 않습니다. Version-IKEv2 선택한 제안이 없습니다. 구성된 Encrypt/Authentication/DH/IKEversion을 확인하십시오.
    IKEv2 IPSec SA 제안이 일치하지 않습니다. IPSec-SA 제안 또는 트래픽 선택기가 일치하지 않습니다.
    IKEv2 IPSec SA 트래픽 선택기가 일치하지 않습니다. 트래픽 선택기가 일치하지 않습니다. 왼쪽/오른쪽 서브넷 구성을 확인하십시오.
    다음 중 하나가 일치하지 않습니다.
    • IKEv2 PSK
    • IKEv2 ID
    • IKEv2 인증서
    Version-IKEv2 인증이 실패했습니다. 구성된 암호 또는 로컬/피어 ID 구성을 확인하십시오.
  8. 이 문제가 여전히 발생하는 경우 런타임 상태, 트래픽 상태 및 전체 데이터 경로의 패킷 캡처 세션을 캡처하십시오.
    트래픽에 문제가 있는 위치를 확인하려면 IPSec 터널의 한쪽에 있는 개인 서브넷에서 IPSec 터널의 다른 쪽에 있는 다른 개인 서브넷으로 Ping합니다.
    1. 다음 그림에서와 같이 지점 1, 2, 3 및 4에서 패킷 캡처를 설정합니다.
    2. VM 1에서 호스트 2로 Ping합니다.
    3. 호스트 2에서 VM 1로 Ping합니다.
    4. 패킷 전송이 실패했거나 패킷을 삭제된 지점을 확인합니다.
    그림 1. 데이터 경로의 다양한 지점에서 패킷 캡처

    다이어그램은 패킷을 캡처할 수 있는 지점 1, 2, 3 및 4를 보여 줍니다.