기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Juniper ScreenOS 고객 게이트웨이 디바이스와의 AWS Site-to-Site VPN 연결 문제 해결
Juniper ScreenOS 기반 고객 게이트웨이 디바이스의 연결 문제를 해결할 때는 IKE, IPsec, 터널 및 BGP의 네 가지 사항을 고려하십시오. 이런 영역의 문제는 어떤 순서로든 해결할 수 있지만, (네트워크 스택의 맨 아래에 있는) IKE부터 시작해서 위로 올라가는 것이 좋습니다.
## IKE 및 IPsec
다음 명령을 사용합니다. 응답에는 IKE가 올바로 구성된 고객 게이트웨이 디바이스가 표시됩니다.
```
ssg5-serial-> get sa
```
```
total configured sa: 2
HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys
00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 0
00000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 0
00000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 0
00000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0
```
터널에 지정된 원격 게이트웨이의 원격 주소가 포함된 줄이 한 개 이상 나타날 것입니다. `Sta` 값은 `A/-`, `SPI`는 `00000000` 이외의 16진수여야 합니다. 다른 상태의 항목은 IKE가 올바로 구성되지 않았음을 나타냅니다.
추가적인 문제 해결을 위해서는 예제 구성 파일에서 권장하는 대로 IKE 추적 옵션을 활성화하십시오.
## 터널
우선, 필요한 방화벽 규칙이 있는지 중복 확인합니다. 규칙 목록은 [AWS Site-to-Site VPN 고객 게이트웨이 디바이스에 대한 방화벽 규칙](FirewallRules.md) 단원을 참조하십시오.
방화벽 규칙이 올바로 설정되어 있으면 다음 명령으로 문제 해결을 계속합니다.
```
ssg5-serial-> get interface tunnel.1
```
```
Interface tunnel.1:
description tunnel.1
number 20, if_info 1768, if_index 1, mode route
link ready
vsys Root, zone Trust, vr trust-vr
admin mtu 1500, operating mtu 1500, default mtu 1500
*ip 169.254.255.2/30
*manage ip 169.254.255.2
route-deny disable
bound vpn:
IPSEC-1
Next-Hop Tunnel Binding table
Flag Status Next-Hop(IP) tunnel-id VPN
pmtu-v4 disabled
ping disabled, telnet disabled, SSH disabled, SNMP disabled
web disabled, ident-reset disabled, SSL disabled
OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled
PIM: not configured IGMP not configured
NHRP disabled
bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps
```
`link:ready`가 나타나는지, `IP` 주소가 고객 게이트웨이 디바이스 터널 내부 주소와 일치하는지 확인합니다.
다음으로, `169.254.255.1`을 가상 프라이빗 게이트웨이의 내부 IP 주소로 바꾸는 다음 명령을 사용합니다. 결과는 아래에 표시된 응답과 같은 내용이어야 합니다.
```
ssg5-serial-> ping 169.254.255.1
```
```
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms
```
자세한 문제 해결 정보는 구성을 검토하십시오.
## BGP
다음 명령을 실행합니다.
```
ssg5-serial-> get vrouter trust-vr protocol bgp neighbor
```
```
Peer AS Remote IP Local IP Wt Status State ConnID Up/Down
--------------------------------------------------------------------------------
7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01
7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59
```
두 BGP 피어의 상태는 모두 `ESTABLISH`로 표시되어야 하며, 이는 가상 프라이빗 게이트웨이에 대한 BGP 연결이 활성 상태라는 의미입니다.
추가적인 문제 해결을 위해, `169.254.255.1`을 가상 프라이빗 게이트웨이의 내부 IP 주소로 바꾸는 다음 명령을 사용합니다.
```
ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1
```
```
peer: 169.254.255.1, remote AS: 7224, admin status: enable
type: EBGP, multihop: 0(disable), MED: node default(0)
connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15s
configured hold time: node default(90s), configured keepalive: node default(30s)
configured adv-interval: default(30s)
designated local IP: n/a
local IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179
router ID of peer: 169.254.255.1, remote AS: 7224
negotiated hold time: 30s, negotiated keepalive interval: 10s
route map in name: , route map out name:
weight: 100 (default)
self as next hop: disable
send default route to peer: disable
ignore default route from peer: disable
send community path attribute: no
reflector client: no
Neighbor Capabilities:
Route refresh: advertised and received
Address family IPv4 Unicast: advertised and received
force reconnect is disable
total messages to peer: 106, from peer: 106
update messages to peer: 6, from peer: 4
Tx queue length 0, Tx queue HWM: 1
route-refresh messages to peer: 0, from peer: 0
last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)
number of total successful connections: 4
connected: 2 minutes 6 seconds
Elapsed time since last update: 2 minutes 6 seconds
```
BGP 피어링이 가동되면 고객 게이트웨이 디바이스가 VPC에 기본 경로(0.0.0.0/0)를 알리는지 확인합니다. 이 명령은 ScreenOS 버전 6.2.0 이상에 적용됩니다.
```
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised
```
```
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix Nexthop Wt Pref Med Orig AS-Path
--------------------------------------------------------------------------------------
>i 0.0.0.0/0 0.0.0.0 32768 100 0 IGP
Total IPv4 routes advertised: 1
```
그 밖에도, 가상 프라이빗 게이트웨이에서 VPC에 해당하는 접두사를 받아야 합니다. 이 명령은 ScreenOS 버전 6.2.0 이상에 적용됩니다.
```
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received
```
```
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix Nexthop Wt Pref Med Orig AS-Path
--------------------------------------------------------------------------------------
>e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224
Total IPv4 routes received: 1
```