NSX Edge CLI에서 IPSec 구성 명령을 실행하여 IPSec VPN 터널 연결 문제를 해결할 수 있습니다. 또한 vSphere Web ClientNSX Data Center for vSphere REST API를 사용하여 터널 실패의 원인을 확인하고 터널 오류 메시지를 볼 수 있습니다.

터널 생성 및 연결 문제를 해결하려면 다음 절차를 사용하십시오.

프로시저

  1. 두 사이트에서 지원 로그를 수집합니다.
    중요: NSX Edge 장치의 제한된 디스크 공간 때문에 Syslog 서버로 로그를 리디렉션해야 합니다. 자세한 내용은 " NSX Data Center for vSphere 관리 가이드" 의 "원격 Syslog 서버 구성" 섹션을 참조하십시오.
  2. 타사 VPN 솔루션에서 로그를 수집합니다.
  3. NSX Edge CLI에서 다음 명령을 실행하여 Edge의 양쪽에서 IPSec 구성을 확인합니다.
    show config ipsec
    팁:

    SSH를 사용하면 NSX Edge 명령의 출력을 보다 쉽게 검토하고 캡처할 수 있습니다. NSX Edge에서 SSH를 사용하도록 설정하는 방법에 대한 자세한 내용은 "NSX 명령줄 인터페이스 참조 가이드" 의 "CLI에서 로그인 및 로그아웃" 항목을 참조하십시오.

  4. NSX Edge에서 문제가 발생할 때의 실시간 상태를 기록합니다. 다음 명령을 실행하고 결과를 기록합니다.
    명령 용도
    show service ipsec IPSec VPN 서비스의 상태를 확인합니다.
    show service ipsec sp 보안 정책의 상태를 확인합니다.
    show service ipsec sa SA(보안 연결)의 상태를 확인합니다.
  5. 이 문제가 여전히 나타나는 경우 타사 VPN 솔루션에서 IPSec 관련 로그 및 출력을 캡처합니다.
  6. 문제를 확인하기 위해 IPSec 관련 로그 및 출력을 검토합니다. IPSec VPN 서비스가 실행되고 있고, 보안 정책이 생성되었고, 디바이스 간에 보안 연결이 구성되어 있는지 확인합니다.
    로그에서 확인할 수 있는 일반적인 문제는 다음과 같습니다.
    • 잘못된 ID: INVALID_ID_INFORMATION 또는 PAYLOAD_MALFORMED
    • 신뢰할 수 있는 CA 없음: INVALID_KEY_INFORMATION 또는 보다 구체적인 오류 예를 들어 'C=CN, ST=BJ, O=VMWare, OU=CINS, Cn=left‘ 또는 PAYLOAD_MALFORMED에 대해 알려진 RSA 공개 키가 없습니다.
    • 제안된 proxy-id를 찾을 수 없습니다. INVALID_ID_INFORMATION 또는 PAYLOAD_MALFORMED
    • DPD 피어에서 응답이 없습니다. 예: DPD: 피어의 응답이 없습니다. 피어 비활성을 선언합니다.
  7. vSphere Web Client, 또는 NSX Edge CLI에서 또는 NSX Data Center for vSphere REST API를 실행하여 터널 오류 메시지를 확인합니다.
    예를 들어 vSphere Web Client에서 오류 메시지를 보려면 NSX Edge를 두 번 클릭하고 IPSec VPN 페이지로 이동한 후 다음 단계를 수행합니다.
    1. IPSec 통계 표시(Show IPSec Statistics)를 클릭합니다.
    2. 다운된 IPSec 채널을 선택합니다.
    3. 선택한 채널의 경우 다운된 터널(사용 안 함)을 선택하고 터널 오류의 세부 정보를 봅니다.
      • NSX 6.4.6 이상에서 터널 상태 열의 사용 안 함을 클릭합니다.
      • NSX 6.4.5 이하 버전에서는 터널 상태 열의 세부 정보 보기를 클릭합니다.

    다음 표에는 IPSec 터널 연결 문제의 가능한 원인과 각 문제와 연결된 오류 메시지가 나와 있습니다.

    원인 오류 메시지
    IKEv1 피어에 연결할 수 없습니다. Version-IKEv1 피어의 응답이 없으므로 IKE 메시지를 다시 전송합니다.
    IKEv1 1단계 제안이 일치하지 않습니다. Version-IKEv1 선택한 제안이 없습니다. 구성된 Encryption/Authentication/DH/IKE-Version을 확인하십시오.
    다음 중 하나가 일치하지 않습니다.
    • IKEv1 PSK
    • IKEv1 ID
    • IKEv1 인증서
    Version-IKEv1 인증이 실패했습니다. 구성된 암호 또는 로컬/피어 ID 구성을 확인하십시오.
    IKEv1 2단계 제안이 일치하지 않습니다. IPSec-SA 제안 또는 트래픽 선택기가 일치하지 않습니다.
    IKEv2 피어에 연결할 수 없습니다. Version-IKEv2 피어의 응답이 없으므로 IKE 메시지를 다시 전송합니다.
    IKEv2 IKE SA 제안이 일치하지 않습니다. Version-IKEv2 선택한 제안이 없습니다. 구성된 Encrypt/Authentication/DH/IKEversion을 확인하십시오.
    IKEv2 IPSec SA 제안이 일치하지 않습니다. IPSec-SA 제안 또는 트래픽 선택기가 일치하지 않습니다.
    IKEv2 IPSec SA 트래픽 선택기가 일치하지 않습니다. 트래픽 선택기가 일치하지 않습니다. 왼쪽/오른쪽 서브넷 구성을 확인하십시오.
    다음 중 하나가 일치하지 않습니다.
    • IKEv2 PSK
    • IKEv2 ID
    • IKEv2 인증서
    Version-IKEv2 인증이 실패했습니다. 구성된 암호 또는 로컬/피어 ID 구성을 확인하십시오.
  8. IKE 패킷이나 ESP 패킷 중 하나 또는 둘 다에 대해 NSX Edge에서 패킷 캡처를 설정합니다.
    다음 그림을 참조하십시오. 패킷 전송이 실패했거나 패킷이 삭제된 지점을 확인합니다.
    1. 지점 1과 2에서 패킷 캡처를 설정합니다.
    2. VM 1에서 호스트 2로 Ping합니다.
    3. 호스트 2에서 VM 1로 Ping합니다.
    그림 1. 데이터 전송의 다양한 지점에서 패킷 캡처
    다이어그램은 패킷을 캡처할 수 있는 지점 1 및 2를 보여 줍니다.

    NSX Edge와 Cisco 디바이스 간 패킷 캡처 세션의 작동 예제에 대해서는 "NSX 문제 해결 가이드" 의 "성공적인 협상을 위한 패킷 캡처" 항목을 참조하십시오.

  9. 모든 데이터를 검토하고 분석하십시오. 패킷 캡처 데이터는 문제가 발생한 위치를 파악하는 데 도움이 됩니다.
    예를 들어, 다음 문제를 확인할 수 있습니다.
    • IKEv1 채널 및 터널 오류
    • IKEv2 채널 및 터널 오류
    • 데이터 경로 오류
    • IPSec VPN 터널 다운 오류
    • IPSec VPN 터널이 다운된 방향