Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo gateway per clienti Cisco IOS
<a name="Cisco_Troubleshooting"></a>

Quando risolvi i problemi di connettività di un dispositivo Cisco Customer Gateway, prendi in considerazione quattro fattori: IKE, IPsec il tunnel e BGP. Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e di risalire. 

## IKE
<a name="IKE"></a>

Utilizza il seguente comando. La risposta mostra un dispositivo gateway del cliente con IKE configurato correttamente.

```
router# show crypto isakmp sa
```

```
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
192.168.37.160  72.21.209.193   QM_IDLE           2001    0 ACTIVE
192.168.37.160  72.21.209.225   QM_IDLE           2002    0 ACTIVE
```

Devono essere visualizzate una o più linee contenenti un valore `src` del gateway remoto specificato nei tunnel. `state` deve essere `QM_IDLE` e `status` deve essere `ACTIVE`. L'assenza di una voce o qualsiasi voce in un altro stato indica che IKE non è configurato in modo appropriato.

Per un'ulteriore risoluzione dei problemi, esegui i comandi seguenti per abilitare i messaggi di log che forniscono informazioni di diagnostica.

```
router# term mon
router# debug crypto isakmp
```

Per disabilitare il debug, utilizza il comando seguente.

```
router# no debug crypto isakmp
```

## IPsec
<a name="IPsec"></a>

Utilizza il seguente comando. La risposta mostra che un dispositivo gateway per il cliente è configurato correttamente. IPsec

```
router# show crypto ipsec sa
```

```
interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160

    protected vrf: (none)
    local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    current_peer 72.21.209.225 port 500
     PERMIT, flags={origin_is_acl,}
     #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
     #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

     local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xB8357C22(3090512930)

     inbound esp sas:
      spi: 0x6ADB173(112046451)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
       sa timing: remaining key lifetime (k/sec): (4467148/3189)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xB8357C22(3090512930)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
       sa timing: remaining key lifetime (k/sec): (4467148/3189)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

interface: Tunnel2
     Crypto map tag: Tunnel2-head-0, local addr 174.78.144.73

     protected vrf: (none)
     local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     current_peer 72.21.209.193 port 500
      PERMIT, flags={origin_is_acl,}
     #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
     #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

     local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xF59A3FF6(4120526838)

     inbound esp sas:
      spi: 0xB6720137(3060924727)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
       sa timing: remaining key lifetime (k/sec): (4387273/3492)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xF59A3FF6(4120526838)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
       sa timing: remaining key lifetime (k/sec): (4387273/3492)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
```

Per ogni interfaccia di tunnel, devono essere visualizzati `inbound esp sas` e `outbound esp sas`. Supponendo che un SA sia `spi: 0xF95D2F3C` elencato (ad esempio) e che `Status` IPsec sia `ACTIVE` configurato correttamente.

Per un'ulteriore risoluzione dei problemi, utilizza il comando seguente per abilitare il debug.

```
router# debug crypto ipsec
```

Per disabilitare il debug, utilizza il comando seguente.

```
router# no debug crypto ipsec
```

## Tunnel
<a name="Tunnel"></a>

Innanzi tutto, accertati che le regole di firewall necessarie siano applicate. Per ulteriori informazioni, consulta [Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente](FirewallRules.md).

Se le regole di firewall sono configurate correttamente, continua con la risoluzione dei problemi utilizzando il comando seguente.

```
router# show interfaces tun1
```

```
Tunnel1 is up, line protocol is up 
  Hardware is Tunnel
  Internet address is 169.254.255.2/30
  MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, 
    reliability 255/255, txload 2/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 174.78.144.73, destination 72.21.209.225
  Tunnel protocol/transport IPSEC/IP
  Tunnel TTL 255
  Tunnel transport MTU 1427 bytes
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 1 packets/sec
  5 minute output rate 1000 bits/sec, 1 packets/sec
    407 packets input, 30010 bytes, 0 no buffer
    Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
```

Assicurarsi che il file `line protocol` sia attivo. Verificare che l'indirizzo IP di origine del tunnel, l'interfaccia di origine e la destinazione corrispondano rispettivamente alla configurazione del tunnel per l'indirizzo IP esterno del dispositivo gateway del cliente, all'interfaccia e all'indirizzo IP esterno del gateway virtuale privato. Assicurarsi che il file `Tunnel protection via IPSec` sia presente. Eseguire il comando su entrambe le interfacce di tunnel. Per risolvere qualsiasi tipo di problema, rivedere la configurazione e controllare le connessioni fisiche al dispositivo gateway del cliente.

Utilizza inoltre il comando seguente, sostituendo `169.254.255.1` con l'indirizzo IP interno del gateway virtuale privato.

```
router# ping 169.254.255.1 df-bit size 1410
```

```
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
```

Devono essere visualizzati 5 punti esclamativi.

Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.

## BGP
<a name="BGP"></a>

Utilizza il seguente comando.

```
router# show ip bgp summary
```

```
BGP router identifier 192.168.37.160, local AS number 65000
BGP table version is 8, main routing table version 8
2 network entries using 312 bytes of memory
2 path entries using 136 bytes of memory
3/1 BGP path/bestpath attribute entries using 444 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
Bitfield cache entries: current 1 (at peak 2) using 32 bytes of memory
BGP using 948 total bytes of memory
BGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
169.254.255.1   4  7224     363     323        8    0    0 00:54:21        1
169.254.255.5   4  7224     364     323        8    0    0 00:00:24        1
```

Entrambi i router devono essere elencati. Per ciascuno, il valore di `State/PfxRcd` deve essere `1`.

Se il peering BGP è attivo, verifica che il router del dispositivo gateway del cliente pubblicizzi la route predefinita (0.0.0.0/0) al VPC. 

```
router# show bgp all neighbors 169.254.255.1 advertised-routes
```

```
For address family: IPv4 Unicast
BGP table version is 3, local router ID is 174.78.144.73
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
     r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Originating default network 0.0.0.0

Network             Next Hop            Metric   LocPrf Weight Path
*> 10.120.0.0/16    169.254.255.1          100        0   7224    i

Total number of prefixes 1
```

Assicurati inoltre di ricevere il prefisso corrispondente al VPC dal gateway virtuale privato. 

```
router# show ip route bgp
```

```
	10.0.0.0/16 is subnetted, 1 subnets
B       10.255.0.0 [20/0] via 169.254.255.1, 00:00:20
```

Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.