Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memecahkan masalah AWS Site-to-Site VPN konektivitas dengan perangkat gateway pelanggan Juniper JunOS
<a name="Juniper_Troubleshooting"></a>

Saat Anda memecahkan masalah konektivitas perangkat gateway pelanggan Juniper, pertimbangkan empat hal: IKE,, terowongan IPsec, dan BGP. Anda dapat memecahkan masalah di area-area ini dalam urutan apapun, akan tapi kami merekomendasikan supaya Anda memulainya dengan IKE (di bagian bawah tumpukan jaringan) dan lanjutkan ke atas. 

## IKE
<a name="IKETroubleshooting"></a>

Gunakan perintah berikut ini. Respons tersebut menunjukkan bahwa perangkat gateway pelanggan dengan IKE telah dikonfigurasi dengan benar.

```
user@router> show security ike security-associations
```

```
Index   Remote Address  State  Initiator cookie  Responder cookie  Mode
4       72.21.209.225   UP     c4cd953602568b74  0d6d194993328b02  Main
3       72.21.209.193   UP     b8c8fb7dc68d9173  ca7cb0abaedeb4bb  Main
```

Anda akan melihat satu atau lebih baris yang berisi alamat jarak jauh dari gateway jarak jauh yang ditentukan dalam terowongan. `State` seharusnya `UP`. Tidak adanya entri, atau entri apapun ada di status lain (seperti `DOWN`), merupakan indikasi bahwa IKE tidak dikonfigurasi dengan benar.

Untuk pemecahan masalah lebih lanjut, aktifkan opsi pelacakan IKE seperti yang direkomendasikan dalam contoh file konfigurasi. Kemudian jalankan perintah berikut untuk mencetak berbagai pesan debug ke layar.

```
user@router> monitor start kmd
```

Dari host eksternal, Anda dapat mengambil seluruh berkas log dengan perintah berikut.

```
scp username@router.hostname:/var/log/kmd
```

## IPsec
<a name="IPsecTroubleshooting"></a>

Gunakan perintah berikut ini. Respons menunjukkan perangkat gateway pelanggan dengan IPsec dikonfigurasi dengan benar.

```
user@router> show security ipsec security-associations
```

```
Total active tunnels: 2
ID      Gateway        Port  Algorithm        SPI      Life:sec/kb Mon vsys
<131073 72.21.209.225  500   ESP:aes-128/sha1 df27aae4 326/ unlim   -   0
>131073 72.21.209.225  500   ESP:aes-128/sha1 5de29aa1 326/ unlim   -   0
<131074 72.21.209.193  500   ESP:aes-128/sha1 dd16c453 300/ unlim   -   0
>131074 72.21.209.193  500   ESP:aes-128/sha1 c1e0eb29 300/ unlim   -   0
```

Secara khusus, Anda akan melihat setidaknya dua baris per alamat gateway (sesuai dengan gateway jarak jauh). Tanda sisipan di awal setiap baris (< >) menunjukkan arah lalu lintas untuk entri tertentu. Output memiliki baris terpisah untuk lalu lintas masuk ("<", lalu lintas dari virtual private gateway ke perangkat gateway pelanggan ini) dan lalu lintas keluar (">").

Untuk pemecahan masalah lebih lanjut, aktifkan opsi penelusuran IKE (untuk informasi selengkapnya, lihat bagian sebelumnya tentang IKE). 

## Terowongan
<a name="TunnelTroubleshooting"></a>

Pertama, periksa kembali apakah Anda memiliki aturan firewall yang diperlukan. Untuk daftar aturan, lihat [Aturan firewall untuk perangkat gateway AWS Site-to-Site VPN pelanggan](FirewallRules.md).

Jika aturan firewall Anda disiapkan dengan benar, lanjutkan pemecahan masalah dengan perintah berikut.

```
user@router> show interfaces st0.1
```

```
 Logical interface st0.1 (Index 70) (SNMP ifIndex 126)
    Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel
    Input packets : 8719
    Output packets: 41841
    Security: Zone: Trust
    Allowed host-inbound traffic : bgp ping ssh traceroute
    Protocol inet, MTU: 9192
      Flags: None
      Addresses, Flags: Is-Preferred Is-Primary
      Destination: 169.254.255.0/30, Local: 169.254.255.2
```

Pastikan bahwa `Security: Zone` adalah benar, dan bahwa alamat `Local` cocok dengan terowongan perangkat gateway pelanggan di dalam alamat.

Selanjutnya, gunakan perintah berikut, menggantikan `169.254.255.1` dengan alamat IP di dalam virtual private gateway Anda. Hasil Anda akan terlihat seperti respons yang ditunjukkan di sini.

```
user@router> ping {{169.254.255.1}} size 1382 do-not-fragment
```

```
PING 169.254.255.1 (169.254.255.1): 1410 data bytes
64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms
64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms
```

Untuk pemecahan masalah lebih lanjut, tinjau konfigurasi.

## BGP
<a name="BGPTroubleshooting"></a>

Jalankan perintah berikut.

```
user@router> show bgp summary
```

```
Groups: 1 Peers: 2 Down peers: 0
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending
inet.0                 2          1          0          0          0          0
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
169.254.255.1          7224          9         10       0       0        1:00 1/1/1/0              0/0/0/0
169.254.255.5          7224          8          9       0       0          56 0/1/1/0              0/0/0/0
```

Untuk pemecahan masalah lebih lanjut, gunakan perintah berikut, mengganti `169.254.255.1` dengan alamat IP di dalam virtual private gateway Anda. 

```
user@router> show bgp neighbor {{169.254.255.1}}
```

```
Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000
  Type: External    State: Established    Flags: <ImportEval Sync>
  Last State: OpenConfirm   Last Event: RecvKeepAlive
  Last Error: None
  Export: [ EXPORT-DEFAULT ] 
  Options: <Preference HoldTime PeerAS LocalAS Refresh>
  Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0
  Number of flaps: 0
  Peer ID: 169.254.255.1    Local ID: 10.50.0.10       Active Holdtime: 30
  Keepalive Interval: 10         Peer index: 0   
  BFD: disabled, down
  Local Interface: st0.1                            
  NLRI for restart configured on peer: inet-unicast
  NLRI advertised by peer: inet-unicast
  NLRI for this session: inet-unicast
  Peer supports Refresh capability (2)
  Restart time configured on the peer: 120
  Stale routes from peer are kept for: 300
  Restart time requested by this peer: 120
  NLRI that peer supports restart for: inet-unicast
  NLRI that restart is negotiated for: inet-unicast
  NLRI of received end-of-rib markers: inet-unicast
  NLRI of all end-of-rib markers sent: inet-unicast
  Peer supports 4 byte AS extension (peer-as 7224)
  Table inet.0 Bit: 10000
    RIB State: BGP restart is complete
    Send state: in sync
    Active prefixes:              1
    Received prefixes:            1
    Accepted prefixes:            1
    Suppressed due to damping:    0
    Advertised prefixes:          1
Last traffic (seconds): Received 4    Sent 8    Checked 4   
Input messages:  Total 24     Updates 2       Refreshes 0     Octets 505
Output messages: Total 26     Updates 1       Refreshes 0     Octets 582
Output Queue[0]: 0
```

Di sini Anda akan melihat `Received prefixes` dan `Advertised prefixes` telah terdaftar masing-masing 1. Ini akan berada di dalam bagian `Table inet.0`.

Jika `State` bukan `Established`, periksa `Last State` dan `Last Error` untuk detail mengenai apa yang diperlukan untuk memperbaiki masalah.

Jika peering BGP aktif, pastikan perangkat gateway pelanggan Anda mengiklankan rute default (0.0.0.0/0) ke VPC. 

```
user@router> show route advertising-protocol bgp {{169.254.255.1}}
```

```
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
  Prefix                  Nexthop              MED     Lclpref    AS path
* 0.0.0.0/0               Self                                    I
```

Selain itu, pastikan Anda menerima prefiks yang sesuai dengan VPC Anda dari virtual private gateway.

```
user@router> show route receive-protocol bgp {{169.254.255.1}}
```

```
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
  Prefix                  Nexthop              MED     Lclpref    AS path
* 10.110.0.0/16           169.254.255.1        100                7224 I
```