IPsec VPN 세션 또는 터널이 종료되면 경보가 발생하고 종료 경보의 이유가 경보 대시보드 또는 NSX Manager 사용자 인터페이스의 VPN 페이지에 표시됩니다.
해결책
다음 표를 사용하여 NSX Manager 사용자 인터페이스에 표시되는 이유 메시지를 찾고 종료 경보의 가능한 원인을 검토합니다. 경보를 해결하려면 특정 이유 메시지와 종료 경보의 가능한 원인에 대해 나열된 필수 작업을 수행하십시오.
IPsec VPN 세션 종료 경보의 이유 | 가능한 원인 | 경보 메시지를 해결하기 위한 필수 작업 |
---|---|---|
인증 실패 | VPN 게이트웨이 간의 IKE SA 설정이 인증 실패로 인해 실패했습니다. IKE SA 인증은 미리 공유한 키, 로컬 ID 및 원격 ID 값에 따라 달라집니다. |
|
선택한 제안 없음 | 로컬 및 피어 구성 파일의 IKE 변환 구성이 일치하지 않습니다. | 다음 속성이 두 게이트웨이의 모두에 대해 동일하게 구성되어 있는지 확인합니다.
|
피어가 삭제를 전송함 | 피어 게이트웨이가 삭제 사례를 시작했습니다. IKE SA에 대해 삭제 페이로드가 수신됩니다. | 피어 게이트웨이가 삭제 페이로드를 전송한 이유를 확인하려면 NSX Edge 및 피어 게이트웨이 측의 syslog를 검토합니다. |
피어가 응답하지 않음 | IKE SA 협상이 시간 초과되었습니다. |
|
잘못된 구문 |
|
잘못된 구문을 디버깅하려면 Edge syslog를 분석합니다. |
잘못된 spi | IKE 페이로드에 잘못된 SPI 값이 수신되었습니다. | 잘못된 SPI 값을 디버깅하려면 Edge syslog를 분석합니다. |
구성 실패 | 일부 제약 조건 또는 특정 조건으로 인해 NSX Edge에서 세션 구성 인식에 실패했습니다. 이유는 Session_Config_Fail_Reason의 세션 덤프에 나열됩니다. | Session_Config_Fail_Reason에서 세션 덤프에 표시된 이유를 사용하여 오류를 해결합니다. |
협상이 시작되지 않음 | IKE SA 협상이 시작되지 않았습니다. |
|
IPsec 서비스가 사용하도록 설정되지 않음 | 세션에 사용되는 VPN 서비스의 상태가 활성이 아닙니다. | IPsec VPN 서비스 구성의 [관리 상태]가 사용하도록 설정되지 않았는지 확인합니다. |
세션이 사용하도록 설정되지 않음 | 관리자가 세션을 사용하도록 설정하지 않았습니다. | 이 오류를 해결하려면 세션을 사용하도록 설정합니다. |
SR 상태가 활성이 아님 | SR이 대기 상태입니다. | HA 피어 SR이 활성 상태인 NSX Edge 노드의 VPN 세션 상태를 확인합니다. |
IPsec VPN 터널 종료 경보의 이유 | 가능한 원인 | 경보 메시지를 해결하기 위한 필수 작업 |
---|---|---|
피어가 삭제를 전송함 | 피어 게이트웨이가 IPSEC SA에 대한 삭제 페이로드를 전송했습니다. | 피어 게이트웨이가 삭제 페이로드를 전송한 이유를 이해하려면 NSX Edge 및 피어 게이트웨이 측의 syslog를 확인해야 합니다. |
선택한 제안 없음 | 로컬 및 피어 게이트웨이 둘 다에 대한 구성에서 ESP 변환 구성이 일관되지 않습니다. | 다음 속성이 두 게이트웨이의 모두에 대해 동일하게 구성되어 있는지 확인합니다.
|
TS가 허용되지 않음 | 터널 구성에 대한 게이트웨이 간의 정책 규칙 정의 불일치로 인해 IPsec SA 설정이 실패했습니다. | 두 게이트웨이에서 로컬 및 원격 네트워크 구성을 확인합니다. |
IKE SA 종료 | IKE SA 세션이 종료되었습니다. | 먼저 Edge syslog에서 세션 종료 이유를 확인합니다. 이전 표의 필요한 작업 열을 참조하여 세션 종료 오류를 해결한 다음, 터널 종료 이유가 계속 지속되는지 확인합니다. |
잘못된 구문 |
|
잘못된 구문을 디버깅하려면 Edge syslog를 분석합니다. |
잘못된 spi | ESP 페이로드에 잘못된 SPI 값이 수신되었습니다. | 잘못된 SPI 값을 디버깅하려면 Edge syslog를 분석합니다. |
IKE 피어가 없음 | 모든 IKE 피어가 비활성입니다. 연결을 설정하려고 하는 피어 게이트웨이가 남아 있지 않습니다. |
|
IPsec 협상이 시작되지 않음 | IPsec SA 협상이 시작되지 않았습니다. | IKE SA가 아직 실행되고 있지 않습니다. Edge syslog에 나열된 세션 종료 이유를 확인하고 오류를 해결합니다. |