IPSec 터널이 실패할 수 있는 여러 가지 요인은 잘못된 구성, 잘못된 라우팅 또는 잠재적인 하드웨어 문제 등이 있습니다. 이 문서에서는 터널 연결 문제의 근본 원인을 조사하고 발견한 다음 해결하는 데 사용할 수 있는 다양한 도구를 설명합니다.
사이트의 IPsec 섹션에는 사이트의 연결 문제를 해결하는 데 사용할 수 있는 도구가 포함되어 있습니다. 여기에는 다음이 포함됩니다:
- 타임라인 연결 로그
- 트래픽 캡처 (PCAP)
- 연결 상태
- IPsec 터널 재설정
이 도구들은 IPSec 사이트 유형(IKEv1, IKEv2)에 사용할 수 있으며, 기본 및 보조 터널에 모두 사용할 수 있습니다.
참고: 문제 해결 도구는 IPSec IKEv1 FW-init을 지원하지 않습니다.
IPsec 섹션을 표시하려면 사이트 구성 > IPSec으로 이동하십시오.
타임라인 연결 로그는 최근 이벤트의 기록을 포함하며 터널 상태의 "히스토리"를 최종 사용자에게 제공합니다. 이는 조사 과정에서 도움이 될 수 있습니다.
타임라인을 다운로드할 때 액티브 및 아카이브 타임라인에 대한 두 개의 CSV 파일(Active 및 Archive timelines)이 제공되며, 이것은 IPSec 협상 변경에 대한 연대기 기록을 제공합니다.
이 읽을 수 있는 형식은 변경이 발생한 시간과 원인을 쉽게 식별할 수 있게 해줍니다.
참고: 타임라인 로그는 사용의 용이함을 위해 UTC 시간대에 표시됩니다.
타임라인 로그를 다운로드하려면 IPSec 사이트의 기본 또는 보조 섹션을 확장하고 타임라인을 클릭하십시오.
패킷 캡처는 터널에서 일어나는 일을 저수준에서 분석할 수 있게 해줍니다. 이는 더 깊은 조사에 유용합니다. Cato 관리 애플리케이션은 IPSec 연결에 사용되는 관련 Cato PoP에서 PCAP을 다운로드할 수 있도록 합니다.
두 개의 PCAP 파일(활성 및 아카이브 PCAP)이 다운로드됩니다. 파일에는 터널을 통과하는 각 패킷에 대한 설명이 포트, 메시지 유형, 프로토콜 등과 함께 포함됩니다.
연결 상태 도구는 IPSec 사이트의 상태 요약을 제공합니다. 연결 상태 버튼을 클릭하면 마지막으로 사용 가능한 데이터 스냅샷을 잡아 화면에 표시합니다.
사이트가 연결 해제된 경우 연결 상태는 아님으로 가져옵니다.
연결 상태는 각 IPSec 터널에 대한 다음 요약 필드를 포함합니다:
- 사이트 이름
- 계정 이름
- 로컬 주소
- 피어 주소
- 마지막 IKE SA 설정됨
- 마지막 ESP SA 설정됨
- 초기 메시지 매개변수 (프로토콜, DH 그룹, 암호화 알고리즘, 암호화 키 길이, PRF 알고리즘, 무결성 알고리즘)
- 인증 메시지 매개변수 (프로토콜, DH 그룹, 암호화 알고리즘, 암호화 키 길이, 무결성 알고리즘)
- 연결 IKE SAs (SPI 초기화자, SPI 응답자, 로컬 포트, 피어 포트, 현재 단계, 타임스탬프)
- IKE 연결 알고리즘 (DH 길이, PRF 알고리즘, 무결성 알고리즘, 암호화 알고리즘, GCM 암호화)
- 플래그
- 연결 ESP SAs (SPI 초기화자, SPI 응답자, 타임스탬프, IKE SPI 데이터, 들어오고 나가는 데이터 패킷)
- ESP 연결 알고리즘 (DH 길이, 무결성 알고리즘, 암호화 알고리즘, GCM 암호화)
- 플래그
연결된 PoP을 트리거하여 원격 피어 주소와 IPSec 터널을 재설정할 수 있습니다. 터널을 재설정하면 사이트에 대한 연결을 재설정하는 데 도움이 될 수 있습니다.
IPsec 터널을 재설정하려면 IPsec 사이트의 기본 또는 보조 섹션을 확장하고 IPsec 터널 재설정을 클릭하세요.
다음 섹션은 IPSec 터널 문제를 조사할 때 고려해야 할 일반 단계입니다.
참고: 이 단계들은 패킷 손실 문제와 관련이 없습니다.
-
최근 상태 페이지의 상태 변경 사항을 확인하세요 - PoP에서 문제가 발생하면 IPSec 터널에 영향을 미칠 수 있습니다 (각 터널은 하나의 Cato PoP 위치에 연결되어 있습니다). 상태 페이지에서 Cato PoPs 상태를 모니터링할 수 있습니다.
원격 피어가 Azure 또는 AWS와 같은 클라우드 벤더인 경우, 그들의 상태 페이지도 확인할 수 있습니다.
-
원격 IPSec 방화벽 구성을 수집하세요.
- 터널 시작이 설정된 사람은 누구입니까?
- 원격 방화벽의 IPSec 구성이 Cato 관리 애플리케이션의 IPSec 구성과 일치합니까? (즉, IKE 메시지 매개변수가 일치합니까?)
- Cato 관리 애플리케이션에서 연결 상태를 확인하세요.
- 원격 IPSec 방화벽에서 NAT-T가 활성화되어 있습니까?
-
원격 IPSec 방화벽에서 로그와 PCAP을 수집하고, 카토 관리 애플리케이션에서 타임라인과 PCAP을 수집합니다.
- 로그를 검토하여 이상이 있는지 확인합니다. 원격 방화벽 타임스탬프가 카토에서 다운로드한 이벤트 및 타임라인 로그와 일치합니까?
- 패킷별 통신을 위해 PCAPs를 검토합니다.
- 트래픽 선택기를 검토합니다 - 터널이 정책 기반인지 경로 기반인지 확인합니다?
-
카토 관리 애플리케이션에서 일반 사이트 설정을 검토합니다:
- 이 설정이 높은 가용성 설정입니까? 예라면, BGP 상태는 무엇입니까?
- 사전 공유 키 불일치가 있습니까? (사전 공유 키는 최대 64자까지 지원됩니다)
- 카토 관리 애플리케이션에서 터널을 재설정합니다.
- 계정 담당자에게 연락하거나 카토 지원에 티켓을 열어주세요.
이 섹션에는 IPSec 타임라인 로그의 실패 메시지 목록이 포함되어 있습니다.
IKEv1:
| "지원되지 않는 p1 변환" |
| "선택된 P1 변환은 XXX입니다. 현재 구성과 일치하지 않습니다" - p1 불일치 |
| "지원되지 않는 p2 변환" |
| "선택된 단계 2 변환은 XXX입니다. 현재 구성과 일치하지 않습니다" |
| "선택된 단계 2 변환은 XXX입니다. 현재 AWS 구성 템플릿과 일치하지 않습니다" - AWS를 사용하는 경우 |
| "이 연결에 적합한 피어를 찾을 수 없습니다 - 랜덤 사용, 오류 예상" |
| "구성 불일치: 방화벽이 로컬 서브넷 없이 연결을 시도하고 있으며, 사이트는 서브넷으로 구성되어 있습니다" |
| "방화벽이 로컬 서브넷 <>와 함께 카토 초기화 사이트에 연결을 시도하고 있지만, 사이트의 <site_id> 로컬이 0.0.0.0/0입니다" |
| "로컬 서브넷 " <서브넷 세부 정보> "이 사이트에 구성되어 있지 않습니다" |
IKEv2:
| IKEV2_CONN_CLOSE_REASON__UNKNOWN = 0 |
| IKEV2_CONN_CLOSE_REASON__TIMEOUT = 1 |
| IKEV2_CONN_CLOSE_REASON__CONFIG_MISMATCH = 2 |
| IKEV2_CONN_CLOSE_REASON__CONFIG_CHANGED = 3 |
| IKEV2_CONN_CLOSE_REASON__SITE_REMOVED = 4 |
| IKEV2_CONN_CLOSE_REASON__NO_PEER_PROPOSAL_SELECTED = 5 |
| IKEV2_CONN_CLOSE_REASON__USER_REQUEST = 6 |
| IKEV2_CONN_CLOSE_REASON__TUNNEL_CREATION_FAILURE = 7 |
댓글 0개
댓글을 남기려면 로그인하세요.