ジュニパーIPトンネルのトンネル撮影

Juniper SRXでのIPSecの構成に関する記事が1つ 、 2つ 、 3つあります。 しかし、少し後退して、何かがうまくいかなかった場合について話をしたいと思います。

JunOSは、非常に便利なモニタリングおよびトンネリングトンネルを提供します。 それらの一部は公式wikiに記載されており、一部はインターネット上にあります。JTACとのコミュニケーションから何かを学びます。

私にとって有用であることが判明したもの：
ログを分析する場合、 VPNエラーの説明はかなり詳細なラベルです。 こちらの情報も見ることができます （VPNトンネルのタイプごとにグループ化されています）。

まあ、猫の下のパルプ。

チーム

最初のフェーズのデバッグ

show security ike security-associations #   sa   .      node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 1990848 UP 0a8d1bb614de2965 47ade7df5b93f10f Main 1.2.3.4 #    : show security ike security-association index <#> detail show security ike security-association <peer-ip> #    show security ike stats sa 

第二段階のデバッグ

 # SA    show security ipsec security-associations | no-more node0: -------------------------------------------------------------------------- Total active tunnels: 231 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131375 ESP:3des/sha1 48707aa6 621/ 4608000 - root 500 1.2.3.4 >131375 ESP:3des/sha1 a2152402 621/ 4608000 - root 500 1.2.3.4 #         detail show security ipsec next-hop-tunnels #    route-based VPN -    #    ,      # ,   RB VPN    ACL   vpn- #   static-route   vpn 172.27.10.14 st0.10 client-1-14 Static 1.2.3.4 172.27.10.15 st0.10 client-1-15 Static show security ipsec inactive-tunnels #    -       node0: -------------------------------------------------------------------------- Total inactive tunnels: 145 Total inactive tunnels with establish immediately: 145 ID Port Nego# Fail# Flag Gateway Tunnel Down Reason 131195 500 0 0 600a29 2.3.4.5 SA not initiated 

ログとトレースの収集

設定モードに入り、必要なtraceoptionsをアクティブにします。 不要なタスクでルーターをロードしないように、後でオフにすることを忘れないでください。

 #  kmd-logs #       #     set system syslog file kmd-logs daemon info set system syslog file kmd-logs match KMD #  traceoptions. #         edit security ike traceoptions set file ike-debug files 2 size 10240 world-readable set flag all set level 15 top edit security ipsec traceoptions set file ipsec-debug files 2 size 10240 world-readable set flag all top edit security flow traceoptions set file vpn-debug set file size 5m set file world-readable set flag basic-datapath set flag packet-drops set packet-filter filter1 protocol esp set packet-filter filter1 source-prefix <local peer>/32 set packet-filter filter1 destination-prefix <remote peer>/32 set packet-filter filter2 protocol esp set packet-filter filter2 source-prefix <local peer>/32 set packet-filter filter2 destination-prefix <remote peer>/32 

変更を適用し、構成モードを終了します。 デバッグを実行します

 > request security ike debug-enable level 10 local <local-ip> remote <peer-ip> 

クライアントネットワーク上のホストにpingを実行して、トンネルが起動し、ログを確認します。

 show log ike-debug | no-more 

この情報が誰かに役立つことを願っています;）あるいは、あなた自身の経験から何か共有したいことがありますか？ コメントを書いてください！