SSL VPN-Plus: 통신 문제

발생 가능한 SSL VPN 연결 및 데이터 경로 문제와 해결 방법을 이해하려면 이 항목을 사용하십시오.

문제

SSL VPN 연결 및 데이터 경로와 관련된 일반적인 문제는 다음과 같습니다.

SSL VPN-Plus Client가 SSL VPN 서버에 연결할 수 없습니다.
SSL VPN-Plus Client가 설치되어 있지만 SSL VPN-Plus 서비스가 실행되고 있지 않습니다.
로그인한 사용자의 최대 수에 도달했습니다. SSL VPN 웹 포털 또는 SSL VPN-Plus Client에 다음과 같은 메시지가 표시됩니다.
최대 사용자 수에 도달했습니다/SSL VPN-Plus 라이센스에 따라 로그인한 사용자의 최대 수에 도달했습니다. 잠시 후 다시 시도하십시오. 또는 SSL 읽기에 실패했습니다.가 표시됩니다.
SSL VPN 서비스가 실행되고 있지만 데이터 경로가 작동하지 않습니다.
SSL VPN 연결이 설정되었지만 전용 네트워크의 애플리케이션에 액세스할 수 없습니다.

해결책

SSL VPN-Plus Client가 SSL VPN 서버에 연결할 수 없으면 다음을 수행합니다.
- SSL VPN 사용자가 올바른 사용자 이름 및 암호를 사용하여 로그인되어 있는지 확인합니다.
- SSL VPN 사용자가 유효한지 여부를 확인합니다.
- SSL VPN 사용자가 웹 포털을 사용하여 SSL VPN 서버에 연결할 수 있는지 여부를 확인합니다.
NSX Edge에서 다음 단계를 수행하여 SSL VPN 프로세스가 실행 중인지 여부를 확인합니다.
1. CLI에서 NSX Edge에 로그인합니다. Edge CLI에 로그인하는 방법에 대한 자세한 내용은 "NSX 명령줄 인터페이스 참조" 를 참조하십시오.
2. show process monitor 명령을 실행하고 sslvpn 프로세스를 찾습니다.
3. show service network-connections 명령을 실행하고 sslvpn 프로세스가 포트 443에서 수신 대기하는지 확인합니다.
  
  참고: 기본적으로 SSL 트래픽에 대해 포트 443이 사용됩니다. 그러나 SSL 트래픽에 대해 다른 TCP 포트를 구성한 경우 sslvpn 프로세스가 해당 TCP 포트 번호에서 수신 대기하는지 확인합니다.

SSL VPN-Plus Client에서 SSL VPN-Plus 서비스가 실행 중인지 여부를 확인합니다.

운영 체제 설명

Windows 작업 관리자를 열고 SSL VPN-Plus Client 서비스가 시작되었는지 여부를 확인합니다.

Mac

운영 체제	설명
Windows	작업 관리자를 열고 SSL VPN-Plus Client 서비스가 시작되었는지 여부를 확인합니다.
Mac	`naclientd` 프로세스가 데몬에 대해 시작되었는지 확인합니다. `naclient` 프로세스가 GUI에 대해 시작되었는지 확인합니다. 프로세스가 실행 중인지 여부를 확인하려면 ps -ef \| grep "naclient" 명령을 실행합니다.
Linux	`naclientd` 및 `naclient_poll` 프로세스가 시작되었는지 확인합니다. 프로세스가 실행 중인지 여부를 확인하려면 ps -ef \| grep "naclient" 명령을 실행합니다.

naclientd 프로세스가 데몬에 대해 시작되었는지 확인합니다.
naclient 프로세스가 GUI에 대해 시작되었는지 확인합니다.

프로세스가 실행 중인지 여부를 확인하려면 ps -ef | grep "naclient" 명령을 실행합니다.

Linux

naclientd 및 naclient_poll 프로세스가 시작되었는지 확인합니다.
프로세스가 실행 중인지 여부를 확인하려면 ps -ef | grep "naclient" 명령을 실행합니다.

서비스가 실행되고 있지 않으면 다음 명령을 실행하여 서비스를 시작합니다.

운영 체제	명령
Mac	sudo launchctl load -w /Library/LaunchDaemons/com.vmware.naclientd.plist 명령을 실행합니다.
Linux	sudo service naclient start 명령을 실행합니다.

로그인한 SSL VPN 사용자가 최대 수에 도달한 경우 NSX Edge 폼 팩터를 늘려 CCU(동시 사용자 수)를 늘립니다.
자세한 내용은 " NSX 관리 가이드" 를 참조하십시오. 이 작업을 수행하면 연결된 사용자가 VPN에서 연결이 끊어집니다.
SSL VPN 서비스가 실행되고 있지만 데이터 경로가 작동하지 않는 경우 다음 단계를 수행합니다.
1. 연결에 성공한 후 가상 IP가 지정되었는지 여부를 확인합니다.
2. 경로가 추가되었는지 여부를 확인합니다.
전용(백엔드) 네트워크의 애플리케이션에 액세스할 수 없는 경우 다음 단계를 수행하여 문제를 해결합니다.
1. 전용 네트워크 및 IP 풀이 동일한 서브넷에 있지 않은지 확인합니다.
2. 관리자가 IP 풀을 정의하지 않았거나 IP 풀이 모두 사용된 경우 다음 단계를 수행합니다.
  1. vSphere Web Client에 로그인합니다.
  2. 네트워킹 및 보안(Networking & Security)를 클릭한 다음 NSX Edge(NSX Edges)를 클릭합니다.
  3. NSX Edge를 두 번 클릭하고 SSL VPN-Plus 탭을 클릭합니다.
  4. "NSX 관리 가이드" 의 "IP 풀 추가" 항목에 설명된 대로 정적 IP 풀을 추가합니다. 게이트웨이(Gateway) 텍스트 상자에서 IP 주소를 추가해야 합니다. 게이트웨이 IP 주소가 na0 인터페이스에 할당됩니다. 모든 TCP 이외 트래픽은 na0 인터페이스라는 가상 어댑터를 통해 흐릅니다. 동일한 na0 인터페이스에 할당된 다른 게이트웨이 IP 주소로 여러 IP 풀을 생성할 수 있습니다.
  5. show interface na0 명령을 사용하여 제공된 IP 주소를 확인하고 모든 IP 풀이 동일한 na0 인터페이스에 할당되었는지 확인합니다.
  6. 클라이언트 시스템에 로그인하고 SSL VPN-Plus Client - 통계(SSL VPN-Plus Client - Statistics) 화면으로 이동한 후 할당된 가상 IP 주소를 확인합니다.
3. NSX Edge CLI(명령줄 인터페이스)에 로그인하고 debug packet capture interface na0 명령을 실행하여 na0 인터페이스에 대해 패킷 캡처를 수행합니다. 또한 패킷 캡처(Packet Capture) 도구를 사용하여 패킷을 캡처할 수도 있습니다. 자세한 내용은 "NSX 관리 가이드" 를 참조하십시오.
  
  참고: no debug packet capture interface na0 명령을 실행하여 캡처를 중지할 때까지 패킷 캡처는 백그라운드에서 계속 실행됩니다.
4. TCP 최적화가 사용되도록 설정되면 방화벽 규칙을 확인합니다.
5. TCP 이외 트래픽의 경우 백엔드 네트워크의 기본 게이트웨이가 Edge의 내부 인터페이스로 설정되어 있는지 확인합니다.
6. Mac 및 Linux 클라이언트의 경우 SSL VPN Client가 설치된 시스템으로 로그인한 후 tcpdump -i tap0 -s 1500 -w filepath 명령을 실행하여 tap0 인터페이스 또는 가상 어댑터에 대해 패킷 캡처를 수행합니다. Windows 클라이언트에서는 Wireshark와 같은 패킷 분석기 도구를 사용하여 SSL VPN-Plus Client 어댑터에서 패킷을 캡처합니다.

위의 모든 단계로 문제가 해결되지 않으면 다음 NSX Edge CLI 명령을 사용하여 문제를 추가적으로 해결합니다.

용도	명령
SSL VPN 상태를 확인합니다.	show service sslvpn-plus
SSL VPN 통계를 확인합니다.	show service sslvpn-plus stats
연결된 VPN 클라이언트를 확인합니다.	show service sslvpn-plus tunnels
SSL VPN-Plus 세션을 확인합니다.	show service sslvpn-plus sessions