기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Border Gateway 프로토콜이 없는 Cisco IOS 고객 게이트웨이 디바이스와의 AWS Site-to-Site VPN 연결 문제 해결
<a name="Cisco_Troubleshooting_NoBGP"></a>

Cisco 고객 게이트웨이 디바이스의 연결 문제를 해결할 때는 IKE, IPsec 및 터널의 세 가지 사항을 고려하십시오. 이런 영역의 문제는 어떤 순서로든 해결할 수 있지만, (네트워크 스택의 맨 아래에 있는) IKE부터 시작해서 위로 올라가는 것이 좋습니다.

## IKE
<a name="IOS_NoBGP_IKE"></a>

다음 명령을 사용합니다. 응답에는 IKE가 올바로 구성된 고객 게이트웨이 디바이스가 표시됩니다.

```
router# show crypto isakmp sa
```

```
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
174.78.144.73 205.251.233.121 QM_IDLE           2001    0 ACTIVE
174.78.144.73 205.251.233.122 QM_IDLE           2002    0 ACTIVE
```

터널에 지정된 원격 게이트웨이의 `src` 값이 포함된 줄이 한 개 이상 나타날 것입니다. `state`는 `QM_IDLE`이고 `status`는 `ACTIVE`여야 합니다. 항목이 없거나 또 다른 상태의 항목이 있다는 것은 IKE가 올바로 구성되지 않았음을 나타냅니다.

추가적인 문제 해결을 위해서는 다음 명령을 실행하여 진단 정보를 제공하는 로그 메시지를 활성화합니다.

```
router# term mon
router# debug crypto isakmp
```

디버깅을 비활성화하려면 다음 명령을 사용합니다.

```
router# no debug crypto isakmp
```

## IPsec
<a name="IOS_NoBGP_IPsec"></a>

다음 명령을 사용합니다. 응답에는 IPsec가 올바로 구성된 고객 게이트웨이 디바이스가 표시됩니다.

```
router# show crypto ipsec sa
```

```
interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 174.78.144.73

    protected vrf: (none)
    local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    current_peer 72.21.209.225 port 500
     PERMIT, flags={origin_is_acl,}
     #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
     #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

     local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xB8357C22(3090512930)

     inbound esp sas:
      spi: 0x6ADB173(112046451)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
       sa timing: remaining key lifetime (k/sec): (4467148/3189)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xB8357C22(3090512930)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
       sa timing: remaining key lifetime (k/sec): (4467148/3189)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

interface: Tunnel2
     Crypto map tag: Tunnel2-head-0, local addr 205.251.233.122

     protected vrf: (none)
     local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     current_peer 72.21.209.193 port 500
      PERMIT, flags={origin_is_acl,}
     #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
     #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

     local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xF59A3FF6(4120526838)

     inbound esp sas:
      spi: 0xB6720137(3060924727)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
       sa timing: remaining key lifetime (k/sec): (4387273/3492)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xF59A3FF6(4120526838)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
       sa timing: remaining key lifetime (k/sec): (4387273/3492)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
```

각 터널 인터페이스에 대해 인바운드 `esp sas` 및 아웃바운드 `esp sas`가 모두 나타나야 합니다. 이는 SA가 나열되고(예: `spi: 0x48B456A6`) 상태가 `ACTIVE`이며 IPsec가 올바로 구성되어 있음을 가정할 때의 얘기입니다.

추가적인 문제 해결을 위해서는 다음 명령을 사용하여 디버깅을 활성화합니다.

```
router# debug crypto ipsec
```

디버깅을 비활성화하려면 다음 명령을 사용합니다.

```
router# no debug crypto ipsec
```

## 터널
<a name="IOS_NoBGP_tunnel"></a>

우선, 필요한 방화벽 규칙이 있는지 확인합니다. 자세한 내용은 [AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 방화벽 규칙](FirewallRules.md) 단원을 참조하십시오.

방화벽 규칙이 올바로 설정되어 있으면 다음 명령으로 문제 해결을 계속합니다.

```
router# show interfaces tun1
```

```
Tunnel1 is up, line protocol is up 
  Hardware is Tunnel
  Internet address is 169.254.249.18/30
  MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, 
    reliability 255/255, txload 2/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 174.78.144.73, destination 205.251.233.121
  Tunnel protocol/transport IPSEC/IP
  Tunnel TTL 255
  Tunnel transport MTU 1427 bytes
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 1 packets/sec
  5 minute output rate 1000 bits/sec, 1 packets/sec
    407 packets input, 30010 bytes, 0 no buffer
    Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
```

라인 프로토콜이 가동 중인지 확인합니다. 터널 원본 IP 주소, 원본 인터페이스 및 대상이 각각 IP 주소 외부의 고객 게이트웨이 디바이스, 인터페이스 및 IP 주소 외부의 가상 프라이빗 게이트웨이에 대한 터널 구성과 일치하는지 확인합니다. `Tunnel protection through IPSec`가 존재하는지 확인합니다. 양쪽 터널 인터페이스에서 모두 명령을 실행합니다. 문제를 해결하려면 구성을 검토하고 고객 게이트웨이 디바이스에 대한 물리적 연결을 점검합니다.

또한, `169.254.249.18`을 가상 프라이빗 게이트웨이의 내부 IP 주소로 바꾸는 다음 명령을 사용할 수 있습니다.

```
router# ping {{169.254.249.18}} df-bit size 1410
```

```
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
```

5개의 느낌표가 나타나야 합니다.

### 라우팅
<a name="IOS_NoBGP_routing"></a>

고정 라우팅 테이블을 보려면 다음 명령을 사용합니다.

```
router# sh ip route static
```

```
     1.0.0.0/8 is variably subnetted
S       10.0.0.0/16 is directly connected, Tunnel1
is directly connected, Tunnel2
```

두 터널을 모두 통해 VPC CIDR에 대한 고정 경로가 존재함을 확인해야 합니다. 존재하지 않으면 다음과 같이 고정 경로를 추가합니다:

```
router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 
router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200
```

### SLA 모니터링 확인
<a name="IOS_NoBGP_sla"></a>

```
router# show ip sla statistics 100
```

```
IPSLAs Latest Operation Statistics

IPSLA operation id: 100
        Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul  15 2012
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
```

```
router# show ip sla statistics 200
```

```
IPSLAs Latest Operation Statistics

IPSLA operation id: 200
        Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul  15 2012
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
```

`Number of successes`의 값은 SLA 모니터가 성공적으로 설정되었는지 나타냅니다.

자세한 문제 해결 정보는 구성을 검토하십시오.