Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memecahkan masalah AWS Site-to-Site VPN konektivitas dengan perangkat gateway pelanggan Cisco ASA
<a name="Cisco_ASA_Troubleshooting"></a>

Saat Anda memecahkan masalah konektivitas perangkat gateway pelanggan Cisco, pertimbangkan IKE,, dan perutean IPsec. Anda dapat memecahkan masalah di area-area ini dalam urutan apapun, akan tapi kami merekomendasikan supaya Anda memulainya dengan IKE (di bagian bawah tumpukan jaringan) dan lanjutkan ke atas.

**penting**  
Beberapa Cisco ASAs hanya mendukung Active/Standby mode. Ketika Anda menggunakan Cisco ini ASAs, Anda hanya dapat memiliki satu terowongan aktif pada satu waktu. Terowongan siaga lainnya menjadi aktif hanya jika terowongan pertama tidak tersedia. Terowongan siaga mungkin menghasilkan galat berikut dalam berkas log Anda, yang mana dapat diabaikan: `Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside` .

## IKE
<a name="ASA_IKE"></a>

Gunakan perintah berikut ini. Respons tersebut menunjukkan bahwa perangkat gateway pelanggan dengan IKE telah dikonfigurasi dengan benar.

```
ciscoasa# show crypto isakmp sa
```

```
   Active SA: 2
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: AWS_ENDPOINT_1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE
```

Anda harus melihat satu atau lebih baris yang berisi nilai `src` untuk gateway jarak jauh yang ditentukan dalam terowongan. Nilai `state` seharusnya `MM_ACTIVE` dan `status` seharusnya `ACTIVE`. Tidak adanya entri, atau entri apapun ada di status lain, mengindikasikan bahwa IKE tidak dikonfigurasi dengan benar.

Untuk pemecahan masalah lebih lanjut, jalankan perintah berikut untuk mengaktifkan pesan log yang menyediakan informasi diagnostik.

```
router# term mon
router# debug crypto isakmp
```

Untuk menonaktifkan mode debug, gunakan perintah berikut.

```
router# no debug crypto isakmp
```

## IPsec
<a name="ASA_IPsec"></a>

Gunakan perintah berikut ini. Respons menunjukkan perangkat gateway pelanggan dengan IPsec dikonfigurasi dengan benar.

```
ciscoasa# show crypto ipsec sa
```

```
interface: outside
    Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

      access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
      current_peer: integ-ppe1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 6D9F8D3B
      current inbound spi : 48B456A6

    inbound esp sas:
      spi: 0x48B456A6 (1219778214)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x6D9F8D3B (1839172923)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001
```

Untuk setiap antarmuka terowongan, Anda akan melihat, baik `inbound esp sas` maupun `outbound esp sas`. Ini mengasumsikan bahwa SA terdaftar (misalnya,`spi: 0x48B456A6`), dan itu IPsec dikonfigurasi dengan benar.

Di Cisco ASA, IPsec satu-satunya muncul setelah lalu lintas yang menarik (lalu lintas yang harus dienkripsi) dikirim. Untuk selalu tetap IPsec aktif, kami sarankan untuk mengonfigurasi monitor SLA. Monitor SLA terus mengirimkan lalu lintas yang menarik, menjaga agar tetap IPsec aktif.

Anda juga dapat menggunakan perintah ping berikut untuk memaksa Anda IPsec memulai negosiasi dan naik.

```
ping ec2_instance_ip_address
```

```
Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```

Untuk pemecahan masalah lebih lanjut, silahkan gunakan perintah berikut untuk mengaktifkan mode debug.

```
router# debug crypto ipsec
```

Untuk menonaktifkan mode debug, gunakan perintah berikut ini.

```
router# no debug crypto ipsec
```

## Perutean
<a name="ASA_Tunnel"></a>

Ping ujung terowongan lainnya. Jika ini berhasil, maka Anda IPsec harus ditetapkan. Jika ini tidak berfungsi, periksa daftar akses Anda, dan lihat IPsec bagian sebelumnya.

Jika Anda tidak dapat menjangkau instans Anda, periksa informasi berikut.

1. Verifikasi bahwa daftar akses dikonfigurasi untuk mengizinkan lalu lintas yang terkait dengan peta kripto.

   Anda dapat melakukannya dengan menggunakan perintah berikut.

   ```
   ciscoasa# show run crypto
   ```

   ```
   crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
   crypto map VPN_crypto_map_name 1 match address access-list-name
   crypto map VPN_crypto_map_name 1 set pfs
   crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
   crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
   crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600
   ```

1. Periksa daftar akses dengan menggunakan perintah berikut.

   ```
   ciscoasa# show run access-list access-list-name
   ```

   ```
   access-list access-list-name extended permit ip any vpc_subnet subnet_mask
   ```

1. Verifikasi bahwa daftar akses sudah benar. Contoh daftar akses berikut mengizinkan semua lalu lintas internal ke subnet VPC 10.0.0.0/16.

   ```
   access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0
   ```

1. Jalankan traceroute dari perangkat Cisco ASA, untuk melihat apakah itu mencapai router Amazon (misalnya,/). *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*

   Jika traceroute mencapai router Amazon, periksa rute statis yang Anda tambahkan di konsol Amazon VPC, dan juga grup keamanan untuk instans tertentu.

1. Untuk pemecahan masalah lebih lanjut, tinjau konfigurasi.

## Pantulkan antarmuka terowongan
<a name="ASA_Tunnel-bounce"></a>

Jika terowongan tampak naik tetapi lalu lintas tidak mengalir dengan benar, memantul (menonaktifkan dan mengaktifkan kembali) antarmuka terowongan seringkali dapat menyelesaikan masalah konektivitas. Untuk memantulkan antarmuka terowongan pada Cisco ASA:

1. Jalankan hal berikut:

   ```
   ciscoasa# conf t
   ciscoasa(config)# interface tunnel X  (where X is your tunnel ID)
   ciscoasa(config-if)# shutdown
   ciscoasa(config-if)# no shutdown
   ciscoasa(config-if)# end
   ```

   Bergantian Anda dapat menggunakan perintah satu baris: 

   ```
   ciscoasa# conf t ; interface tunnel X ; shutdown ; no shutdown ; end
   ```

1. Setelah memantulkan antarmuka, periksa apakah koneksi VPN telah dibuat kembali dan apakah lalu lintas sekarang mengalir dengan benar..