Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo gateway per clienti Cisco ASA
<a name="Cisco_ASA_Troubleshooting"></a>

Quando risolvi i problemi di connettività di un dispositivo Cisco Customer Gateway, prendi in considerazione IKE e il routing. IPsec Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.

**Importante**  
Alcuni Cisco supportano solo la modalità. ASAs Active/Standby Quando usi questi Cisco ASAs, puoi avere solo un tunnel attivo alla volta. Il tunnel in standby diventa attivo solo se il primo tunnel non è più disponibile. Il tunnel in standby potrebbe generare l'errore seguente nei file di log, che può essere ignorato: `Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside`.

## IKE
<a name="ASA_IKE"></a>

Utilizza il seguente comando. La risposta mostra un dispositivo gateway del cliente con IKE configurato correttamente.

```
ciscoasa# show crypto isakmp sa
```

```
   Active SA: 2
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: AWS_ENDPOINT_1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE
```

Devono essere visualizzate una o più linee contenenti un valore `src` del gateway remoto specificato nei tunnel. Il valore `state` deve essere `MM_ACTIVE` e `status` deve essere `ACTIVE`. L'assenza di una voce o qualsiasi voce in un altro stato indica che IKE non è configurato in modo appropriato.

Per un'ulteriore risoluzione dei problemi, esegui i comandi seguenti per abilitare i messaggi di log che forniscono informazioni di diagnostica.

```
router# term mon
router# debug crypto isakmp
```

Per disabilitare il debug, utilizza il comando seguente.

```
router# no debug crypto isakmp
```

## IPsec
<a name="ASA_IPsec"></a>

Utilizza il seguente comando. La risposta mostra che un dispositivo gateway per il cliente è IPsec configurato correttamente.

```
ciscoasa# show crypto ipsec sa
```

```
interface: outside
    Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

      access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
      current_peer: integ-ppe1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 6D9F8D3B
      current inbound spi : 48B456A6

    inbound esp sas:
      spi: 0x48B456A6 (1219778214)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x6D9F8D3B (1839172923)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001
```

Per ogni interfaccia di tunnel, devono essere visualizzati `inbound esp sas` e `outbound esp sas`. Ciò presuppone che nell'elenco sia presente un SA (ad esempio,`spi: 0x48B456A6`) e che IPsec sia configurato correttamente.

In Cisco ASA, viene IPsec visualizzato solo dopo l'invio di traffico interessante (traffico che deve essere crittografato). Per mantenerlo sempre IPsec attivo, consigliamo di configurare un monitor SLA. Il monitor SLA continua a inviare traffico interessante, mantenendolo attivo. IPsec

Puoi anche usare il seguente comando ping per IPsec forzare l'avvio della negoziazione e procedere.

```
ping ec2_instance_ip_address
```

```
Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```

Per un'ulteriore risoluzione dei problemi, utilizza il comando seguente per abilitare il debug.

```
router# debug crypto ipsec
```

Per disabilitare il debug, utilizza il comando seguente.

```
router# no debug crypto ipsec
```

## Routing
<a name="ASA_Tunnel"></a>

Esegui il ping dell'altra estremità del tunnel. Se funziona, allora IPsec dovresti stabilirlo. Se questo non funziona, controllate le vostre liste di accesso e consultate la IPsec sezione precedente.

Se le istanze non sono accessibili, controlla le seguenti informazioni:

1. Verificare che l'elenco di accesso sia configurato per consentire il traffico associato alla mappa crypto.

   A questo proposito, utilizzare il seguente comando.

   ```
   ciscoasa# show run crypto
   ```

   ```
   crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
   crypto map VPN_crypto_map_name 1 match address access-list-name
   crypto map VPN_crypto_map_name 1 set pfs
   crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
   crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
   crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600
   ```

1. Controllare l'elenco di accesso utilizzando il seguente comando.

   ```
   ciscoasa# show run access-list access-list-name
   ```

   ```
   access-list access-list-name extended permit ip any vpc_subnet subnet_mask
   ```

1. Verificare che l'elenco di accesso sia corretto. L'elenco di accesso di esempio consente tutto il traffico interno alla sottorete VPC 10.0.0.0/16.

   ```
   access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0
   ```

1. Esegui un traceroute dal dispositivo Cisco ASA, per vedere se raggiunge i router Amazon (ad esempio,/). *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*

   Se li raggiunge, verifica le route statiche che sono state aggiunte nella console Amazon VPC, nonché i gruppi di sicurezza per le specifiche istanze.

1. Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.

## Fai rimbalzare l'interfaccia del tunnel
<a name="ASA_Tunnel-bounce"></a>

Se il tunnel sembra attivo ma il traffico non scorre correttamente, il rimbalzo (disabilitazione e riattivazione) dell'interfaccia del tunnel può spesso risolvere i problemi di connettività. Per far rimbalzare l'interfaccia del tunnel su un Cisco ASA:

1. Esegui il seguente codice:

   ```
   ciscoasa# conf t
   ciscoasa(config)# interface tunnel X  (where X is your tunnel ID)
   ciscoasa(config-if)# shutdown
   ciscoasa(config-if)# no shutdown
   ciscoasa(config-if)# end
   ```

   In alternativa puoi usare un comando a riga singola: 

   ```
   ciscoasa# conf t ; interface tunnel X ; shutdown ; no shutdown ; end
   ```

1. Dopo aver fatto rimbalzare l'interfaccia, controlla se la connessione VPN è stata ristabilita e se il traffico ora scorre correttamente.