IPsec VPN 세션 또는 터널이 종료되었을 때 발생하는 경보

IPsec VPN 세션 또는 터널이 종료되면 경보가 발생하고 종료 경보의 이유가 경보 대시보드 또는 NSX Manager 사용자 인터페이스의 VPN 페이지에 표시됩니다.

해결책

다음 표를 사용하여 NSX Manager 사용자 인터페이스에 표시되는 이유 메시지를 찾고 종료 경보의 가능한 원인을 검토합니다. 경보를 해결하려면 특정 이유 메시지와 종료 경보의 가능한 원인에 대해 나열된 필수 작업을 수행하십시오.

표 1. IPsec VPN 세션이 종료됨 경고의 원인 및 해결 방법
IPsec VPN 세션 종료 경보의 이유	가능한 원인	경보 메시지를 해결하기 위한 필수 작업
`인증 실패`	VPN 게이트웨이 간의 IKE SA 설정이 인증 실패로 인해 실패했습니다. IKE SA 인증은 미리 공유한 키, 로컬 ID 및 원격 ID 값에 따라 달라집니다.	`Local ID` 및 `Remote ID` 값을 확인합니다. 로컬 ID 값은 피어 VPN 게이트웨이의 원격 ID 값으로 설정되어야 합니다. `Pre-shared Key` 값을 확인합니다. 이 값은 두 VPN 게이트웨이에서 정확히 일치해야 합니다.
`선택한 제안 없음`	로컬 및 피어 구성 파일의 IKE 변환 구성이 일치하지 않습니다.	다음 속성이 두 게이트웨이의 모두에 대해 동일하게 구성되어 있는지 확인합니다. `DH groups` `Digest and encryption algorithms`
`피어가 삭제를 전송함`	피어 게이트웨이가 삭제 사례를 시작했습니다. IKE SA에 대해 `삭제` 페이로드가 수신됩니다.	피어 게이트웨이가 `삭제` 페이로드를 전송한 이유를 확인하려면 NSX Edge 및 피어 게이트웨이 측의 로그를 검토합니다.
`피어가 응답하지 않음`	IKE SA 협상이 시간 초과되었습니다.	원격 게이트웨이가 실행 중인지 확인합니다. 원격 게이트웨이에 대한 연결을 확인합니다.
`잘못된 구문`	IKE 제안 또는 변환이 올바르게 구성되지 않았습니다. 잘못된 형식의 IKE 페이로드가 있습니다.	잘못된 구문을 디버깅하려면 로그를 분석합니다.
`잘못된 spi`	IKE 페이로드에 잘못된 SPI 값이 수신되었습니다.	잘못된 SPI 값을 디버깅하려면 로그를 분석합니다.
`구성 실패`	일부 제약 조건 또는 특정 조건으로 인해 NSX Edge에서 세션 구성 인식에 실패했습니다. 이유는 `Session_Config_Fail_Reason`의 세션 덤프에 나열됩니다.	`Session_Config_Fail_Reason`에서 세션 덤프에 표시된 이유를 사용하여 오류를 해결합니다.
`협상이 시작되지 않음`	IKE SA 협상이 시작되지 않았습니다.	세션 구성의 `Connection Initiation Mode` 속성이 `Responder`로 설정되어 있는지 확인합니다. 피어 구성에 `Initiator`로 설정된 하나 이상의 게이트웨이가 있는지 확인합니다. .
`IPsec 서비스가 활성이 아님`	세션에 사용되는 VPN 서비스의 상태가 활성이 아닙니다.	IPsec VPN 서비스 구성의 [관리 상태]가 사용되지 않도록 설정되었는지 확인합니다.
`세션이 사용하지 않도록 설정됨`	관리자가 세션을 사용하지 않도록 설정했습니다.	이 오류를 해결하려면 세션을 사용하도록 설정합니다.
`SR 상태가 활성이 아님`	SR이 대기 상태입니다.	HA 피어 SR이 활성 상태인 NSX Edge 노드의 VPN 세션이 활성 상태인지 확인합니다.

표 2. IPsec VPN 터널이 종료됨 경고의 원인 및 해결 방법
IPsec VPN 터널 종료 경보의 이유	가능한 원인	경보 메시지를 해결하기 위한 필수 작업
`피어가 삭제를 전송함`	피어 게이트웨이가 IPSEC SA에 대한 `삭제` 페이로드를 전송했습니다.	피어 게이트웨이가 `삭제` 페이로드를 전송한 이유를 이해하려면 NSX Edge 및 피어 게이트웨이 측의 로그를 확인해야 합니다.
`선택한 제안 없음`	로컬 및 피어 게이트웨이 둘 다에 대한 구성에서 ESP 변환 구성이 일관되지 않습니다.	다음 속성이 두 게이트웨이의 모두에 대해 동일하게 구성되어 있는지 확인합니다. `DH groups` `Digest and encryption algorithms` `PFS`가 활성화되어 있거나 그렇지 않습니다.
`TS가 허용되지 않음`	터널 구성에 대한 게이트웨이 간의 정책 규칙 정의 불일치로 인해 IPsec SA 설정이 실패했습니다.	두 게이트웨이에서 로컬 및 원격 네트워크 구성을 확인합니다.
`IKE SA 종료`	IKE SA 세션이 종료되었습니다.	로그에 나열된 세션 종료 이유를 확인하고 오류를 해결합니다.
`잘못된 구문`	제안 또는 변환이 올바르게 구성되지 않았습니다. 잘못된 형식의 페이로드가 있습니다.	잘못된 구문을 디버깅하려면 로그를 분석합니다.
`잘못된 spi`	ESP 페이로드에 잘못된 SPI 값이 수신되었습니다.	잘못된 SPI 값을 디버깅하려면 로그를 분석합니다.
`IKE 피어가 없음`	모든 IKE 피어가 비활성입니다. 연결을 설정하려고 하는 피어 게이트웨이가 남아 있지 않습니다.	원격 게이트웨이가 실행 중인지 확인합니다. 구성된 피어 게이트웨이에 대한 연결을 확인합니다.
`IPsec 협상이 시작되지 않음`	IPsec SA 협상이 시작되지 않았습니다.	IKE SA가 아직 실행되고 있지 않습니다. 로그에 나열된 세션 종료 이유를 확인하고 오류를 해결합니다.