Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risoluzione dei problemi relativi AWS Site-to-Site VPN al dispositivo gateway del cliente
Quando si risolvono i problemi relativi al dispositivo Customer Gateway, è importante adottare un approccio strutturato. I primi due argomenti di questa sezione forniscono diagrammi di flusso generalizzati per la risoluzione dei problemi relativi all'utilizzo rispettivamente di un dispositivo configurato per il routing dinamico (abilitato BGP) e un dispositivo configurato per il routing statico (senza BGP abilitato). Di seguito sono riportate le guide alla risoluzione dei problemi specifiche per i dispositivi Cisco, Juniper e Yamaha Customer Gateway.
Oltre agli argomenti di questa sezione, l'abilitazione [AWS Site-to-Site VPN registri](monitoring-logs.md) può essere molto utile per la risoluzione e la risoluzione dei problemi di connettività VPN. Per istruzioni generali sui test, consulta [Test di una AWS Site-to-Site VPN connessione](HowToTestEndToEnd_Linux.md) anche.
**Topics**
+ [Dispositivo con BGP](Generic_Troubleshooting.md)
+ [Dispositivo senza BGP](Generic_Troubleshooting_noBGP.md)
+ [Cisco ASA](Cisco_ASA_Troubleshooting.md)
+ [Cisco IOS](Cisco_Troubleshooting.md)
+ [Cisco IOS senza BGP](Cisco_Troubleshooting_NoBGP.md)
+ [Juniper JunOS](Juniper_Troubleshooting.md)
+ [Juniper ScreenOS](Juniper_ScreenOs_Troubleshooting.md)
+ [Yamaha](Yamaha_Troubleshooting.md)
**Risorse aggiuntive**
+ [Forum su Amazon VPC](https://repost.aws/tags/TATGuEiYydTVCPMhSnXFN6gA/amazon-vpc)
# Risolvi i problemi di AWS Site-to-Site VPN connettività quando si utilizza Border Gateway Protocol
Il diagramma e la tabella seguenti forniscono istruzioni generali per la risoluzione dei problemi di un dispositivo gateway del cliente che utilizza Border Gateway Protocol (BGP). Ti consigliamo inoltre di abilitare le funzionalità di debug del dispositivo. Per informazioni dettagliate, consulta il fornitore del dispositivo gateway.
![\[Diagramma di flusso per la risoluzione dei problemi relativi a un dispositivo gateway del cliente generico\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/troubleshooting-cgw-flow-diagram.png)
| | |
| --- |--- |
| IKE | Determina se esiste un'associazione di sicurezza IKE. È necessaria un'associazione di sicurezza IKE per lo scambio delle chiavi utilizzate per stabilire l'associazione di sicurezza. IPsec Se non esiste un'associazione di questo tipo, esamina le impostazioni di configurazione IKE. Devi configurare i parametri di crittografia, autenticazione, perfect-forward-secrecy e di modalità come elencato nel file di configurazione. Se esiste un'associazione di sicurezza IKE, passa a ''. IPsec |
| IPsec | Determina se esiste un'associazione IPsec di sicurezza (SA). Una IPsec SA è il tunnel stesso. Interroga il dispositivo Customer Gateway per determinare se una IPsec SA è attiva. Assicurati di configurare i parametri di crittografia, autenticazione, perfect-forward-secrecy e di modalità come elencato nel file di configurazione. Se non esiste alcuna IPsec SA, rivedi la tua IPsec configurazione. Se esiste una IPsec SA, passa a «Tunnel». |
| Tunnel | Verifica che le regole di firewall necessarie siano configurate (per un elenco delle regole, consulta [Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente](FirewallRules.md)). Se lo sono, continua. Determina se esiste una connettività IP tramite il tunnel. Ogni lato del tunnel dispone di un indirizzo IP come specificato nel file di configurazione. L'indirizzo del gateway virtuale privato è quello utilizzato come indirizzo router BGP. Dal dispositivo gateway del cliente, esegui il ping di questo indirizzo per determinare se il traffico IP è stato crittografato e decrittografato correttamente. Se il ping non riesce, esamina la configurazione di interfaccia di tunnel per assicurarti che l'indirizzo IP sia configurato correttamente. Se il ping va a buon fine, passa a 'BGP'. |
| BGP | Determina se la sessione di peering BGP è attiva. Per ogni tunnel, procedi come segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/Generic_Troubleshooting.html) Se i tunnel non sono in questo stato, esamina la configurazione BGP. Se il peering BGP viene stabilito, ricevi un prefisso e annunci un prefisso, il tunnel è configurato correttamente. Verifica che entrambi i tunnel siano in questo stato. |
# Risolvi i problemi AWS Site-to-Site VPN di connettività senza Border Gateway Protocol
Il diagramma e la tabella seguenti forniscono istruzioni generali per la risoluzione dei problemi di un dispositivo gateway del cliente che non utilizza Border Gateway Protocol (BGP). Ti consigliamo inoltre di abilitare le funzionalità di debug del dispositivo. Per informazioni dettagliate, consulta il fornitore del dispositivo gateway.
![\[Diagramma di flusso per la risoluzione dei problemi relativi a un gateway del cliente generico\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/troubleshooting-cgw-flow-nobgp-diagram.png)
| | |
| --- |--- |
| IKE | Determina se esiste un'associazione di sicurezza IKE. È necessaria un'associazione di sicurezza IKE per lo scambio delle chiavi utilizzate per stabilire l' IPsec associazione di sicurezza. Se non esiste un'associazione di questo tipo, esamina le impostazioni di configurazione IKE. Devi configurare i parametri di crittografia, autenticazione, perfect-forward-secrecy e di modalità come elencato nel file di configurazione. Se esiste un'associazione di sicurezza IKE, passa a ''. IPsec |
| IPsec | Determina se esiste un'associazione IPsec di sicurezza (SA). Una IPsec SA è il tunnel stesso. Interroga il dispositivo Customer Gateway per determinare se una IPsec SA è attiva. Assicurati di configurare i parametri di crittografia, autenticazione, perfect-forward-secrecy e di modalità come elencato nel file di configurazione. Se non esiste alcuna IPsec SA, rivedi la tua IPsec configurazione. Se esiste una IPsec SA, passa a «Tunnel». |
| Tunnel | Verifica che le regole di firewall necessarie siano configurate (per un elenco delle regole, consulta [Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente](FirewallRules.md)). Se lo sono, continua. Determina se esiste una connettività IP tramite il tunnel. Ogni lato del tunnel dispone di un indirizzo IP come specificato nel file di configurazione. L'indirizzo del gateway virtuale privato è quello utilizzato come indirizzo router BGP. Dal dispositivo gateway del cliente, esegui il ping di questo indirizzo per determinare se il traffico IP è stato crittografato e decrittografato correttamente. Se il ping non riesce, esamina la configurazione di interfaccia di tunnel per assicurarti che l'indirizzo IP sia configurato correttamente. Se il ping ha esito positivo, passa a 'Route statiche'. |
| Route statiche | Per ogni tunnel, procedi come segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/Generic_Troubleshooting_noBGP.html) Se i tunnel non sono in questo stato, esamina la configurazione del dispositivo. Assicurati infine che entrambi i tunnel siano in questo stato. |
# Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo gateway per clienti Cisco ASA
Quando risolvi i problemi di connettività di un dispositivo Cisco Customer Gateway, prendi in considerazione IKE e il routing. IPsec Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.
**Importante**
Alcuni Cisco supportano solo la modalità. ASAs Active/Standby Quando usi questi Cisco ASAs, puoi avere solo un tunnel attivo alla volta. Il tunnel in standby diventa attivo solo se il primo tunnel non è più disponibile. Il tunnel in standby potrebbe generare l'errore seguente nei file di log, che può essere ignorato: `Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside`.
## IKE
Utilizza il seguente comando. La risposta mostra un dispositivo gateway del cliente con IKE configurato correttamente.
```
ciscoasa# show crypto isakmp sa
```
```
Active SA: 2
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2
1 IKE Peer: AWS_ENDPOINT_1
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
```
Devono essere visualizzate una o più linee contenenti un valore `src` del gateway remoto specificato nei tunnel. Il valore `state` deve essere `MM_ACTIVE` e `status` deve essere `ACTIVE`. L'assenza di una voce o qualsiasi voce in un altro stato indica che IKE non è configurato in modo appropriato.
Per un'ulteriore risoluzione dei problemi, esegui i comandi seguenti per abilitare i messaggi di log che forniscono informazioni di diagnostica.
```
router# term mon
router# debug crypto isakmp
```
Per disabilitare il debug, utilizza il comando seguente.
```
router# no debug crypto isakmp
```
## IPsec
Utilizza il seguente comando. La risposta mostra che un dispositivo gateway per il cliente è IPsec configurato correttamente.
```
ciscoasa# show crypto ipsec sa
```
```
interface: outside
Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101
access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
current_peer: integ-ppe1
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: 6D9F8D3B
current inbound spi : 48B456A6
inbound esp sas:
spi: 0x48B456A6 (1219778214)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
sa timing: remaining key lifetime (kB/sec): (4374000/3593)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x6D9F8D3B (1839172923)
transform: esp-aes esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
sa timing: remaining key lifetime (kB/sec): (4374000/3593)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
```
Per ogni interfaccia di tunnel, devono essere visualizzati `inbound esp sas` e `outbound esp sas`. Ciò presuppone che nell'elenco sia presente un SA (ad esempio,`spi: 0x48B456A6`) e che IPsec sia configurato correttamente.
In Cisco ASA, viene IPsec visualizzato solo dopo l'invio di traffico interessante (traffico che deve essere crittografato). Per mantenerlo sempre IPsec attivo, consigliamo di configurare un monitor SLA. Il monitor SLA continua a inviare traffico interessante, mantenendolo attivo. IPsec
Puoi anche usare il seguente comando ping per IPsec forzare l'avvio della negoziazione e procedere.
```
ping ec2_instance_ip_address
```
```
Pinging ec2_instance_ip_address with 32 bytes of data:
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```
Per un'ulteriore risoluzione dei problemi, utilizza il comando seguente per abilitare il debug.
```
router# debug crypto ipsec
```
Per disabilitare il debug, utilizza il comando seguente.
```
router# no debug crypto ipsec
```
## Routing
Esegui il ping dell'altra estremità del tunnel. Se funziona, allora IPsec dovresti stabilirlo. Se questo non funziona, controllate le vostre liste di accesso e consultate la IPsec sezione precedente.
Se le istanze non sono accessibili, controlla le seguenti informazioni:
1. Verificare che l'elenco di accesso sia configurato per consentire il traffico associato alla mappa crypto.
A questo proposito, utilizzare il seguente comando.
```
ciscoasa# show run crypto
```
```
crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
crypto map VPN_crypto_map_name 1 match address access-list-name
crypto map VPN_crypto_map_name 1 set pfs
crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600
```
1. Controllare l'elenco di accesso utilizzando il seguente comando.
```
ciscoasa# show run access-list access-list-name
```
```
access-list access-list-name extended permit ip any vpc_subnet subnet_mask
```
1. Verificare che l'elenco di accesso sia corretto. L'elenco di accesso di esempio consente tutto il traffico interno alla sottorete VPC 10.0.0.0/16.
```
access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0
```
1. Esegui un traceroute dal dispositivo Cisco ASA, per vedere se raggiunge i router Amazon (ad esempio,/). *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*
Se li raggiunge, verifica le route statiche che sono state aggiunte nella console Amazon VPC, nonché i gruppi di sicurezza per le specifiche istanze.
1. Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.
## Fai rimbalzare l'interfaccia del tunnel
Se il tunnel sembra attivo ma il traffico non scorre correttamente, il rimbalzo (disabilitazione e riattivazione) dell'interfaccia del tunnel può spesso risolvere i problemi di connettività. Per far rimbalzare l'interfaccia del tunnel su un Cisco ASA:
1. Esegui il seguente codice:
```
ciscoasa# conf t
ciscoasa(config)# interface tunnel X (where X is your tunnel ID)
ciscoasa(config-if)# shutdown
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# end
```
In alternativa puoi usare un comando a riga singola:
```
ciscoasa# conf t ; interface tunnel X ; shutdown ; no shutdown ; end
```
1. Dopo aver fatto rimbalzare l'interfaccia, controlla se la connessione VPN è stata ristabilita e se il traffico ora scorre correttamente.
# Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo gateway per clienti Cisco IOS
Quando risolvi i problemi di connettività di un dispositivo Cisco Customer Gateway, prendi in considerazione quattro fattori: IKE, IPsec il tunnel e BGP. Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.
## IKE
Utilizza il seguente comando. La risposta mostra un dispositivo gateway del cliente con IKE configurato correttamente.
```
router# show crypto isakmp sa
```
```
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE
192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE
```
Devono essere visualizzate una o più linee contenenti un valore `src` del gateway remoto specificato nei tunnel. `state` deve essere `QM_IDLE` e `status` deve essere `ACTIVE`. L'assenza di una voce o qualsiasi voce in un altro stato indica che IKE non è configurato in modo appropriato.
Per un'ulteriore risoluzione dei problemi, esegui i comandi seguenti per abilitare i messaggi di log che forniscono informazioni di diagnostica.
```
router# term mon
router# debug crypto isakmp
```
Per disabilitare il debug, utilizza il comando seguente.
```
router# no debug crypto isakmp
```
## IPsec
Utilizza il seguente comando. La risposta mostra che un dispositivo gateway per il cliente è configurato correttamente. IPsec
```
router# show crypto ipsec sa
```
```
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
#pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xB8357C22(3090512930)
inbound esp sas:
spi: 0x6ADB173(112046451)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xB8357C22(3090512930)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2
Crypto map tag: Tunnel2-head-0, local addr 174.78.144.73
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.193 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas:
spi: 0xB6720137(3060924727)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF59A3FF6(4120526838)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
```
Per ogni interfaccia di tunnel, devono essere visualizzati `inbound esp sas` e `outbound esp sas`. Supponendo che un SA sia `spi: 0xF95D2F3C` elencato (ad esempio) e che `Status` IPsec sia `ACTIVE` configurato correttamente.
Per un'ulteriore risoluzione dei problemi, utilizza il comando seguente per abilitare il debug.
```
router# debug crypto ipsec
```
Per disabilitare il debug, utilizza il comando seguente.
```
router# no debug crypto ipsec
```
## Tunnel
Innanzi tutto, accertati che le regole di firewall necessarie siano applicate. Per ulteriori informazioni, consulta [Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente](FirewallRules.md).
Se le regole di firewall sono configurate correttamente, continua con la risoluzione dei problemi utilizzando il comando seguente.
```
router# show interfaces tun1
```
```
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Internet address is 169.254.255.2/30
MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 174.78.144.73, destination 72.21.209.225
Tunnel protocol/transport IPSEC/IP
Tunnel TTL 255
Tunnel transport MTU 1427 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
407 packets input, 30010 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
```
Assicurarsi che il file `line protocol` sia attivo. Verificare che l'indirizzo IP di origine del tunnel, l'interfaccia di origine e la destinazione corrispondano rispettivamente alla configurazione del tunnel per l'indirizzo IP esterno del dispositivo gateway del cliente, all'interfaccia e all'indirizzo IP esterno del gateway virtuale privato. Assicurarsi che il file `Tunnel protection via IPSec` sia presente. Eseguire il comando su entrambe le interfacce di tunnel. Per risolvere qualsiasi tipo di problema, rivedere la configurazione e controllare le connessioni fisiche al dispositivo gateway del cliente.
Utilizza inoltre il comando seguente, sostituendo `169.254.255.1` con l'indirizzo IP interno del gateway virtuale privato.
```
router# ping 169.254.255.1 df-bit size 1410
```
```
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
```
Devono essere visualizzati 5 punti esclamativi.
Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.
## BGP
Utilizza il seguente comando.
```
router# show ip bgp summary
```
```
BGP router identifier 192.168.37.160, local AS number 65000
BGP table version is 8, main routing table version 8
2 network entries using 312 bytes of memory
2 path entries using 136 bytes of memory
3/1 BGP path/bestpath attribute entries using 444 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
Bitfield cache entries: current 1 (at peak 2) using 32 bytes of memory
BGP using 948 total bytes of memory
BGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1
169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1
```
Entrambi i router devono essere elencati. Per ciascuno, il valore di `State/PfxRcd` deve essere `1`.
Se il peering BGP è attivo, verifica che il router del dispositivo gateway del cliente pubblicizzi la route predefinita (0.0.0.0/0) al VPC.
```
router# show bgp all neighbors 169.254.255.1 advertised-routes
```
```
For address family: IPv4 Unicast
BGP table version is 3, local router ID is 174.78.144.73
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Originating default network 0.0.0.0
Network Next Hop Metric LocPrf Weight Path
*> 10.120.0.0/16 169.254.255.1 100 0 7224 i
Total number of prefixes 1
```
Assicurati inoltre di ricevere il prefisso corrispondente al VPC dal gateway virtuale privato.
```
router# show ip route bgp
```
```
10.0.0.0/16 is subnetted, 1 subnets
B 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20
```
Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.
# Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo gateway per clienti Cisco IOS senza Border Gateway Protocol
Quando risolvi i problemi di connettività di un dispositivo Cisco Customer Gateway, prendi in considerazione tre fattori: IKE e tunnel. IPsec Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.
## IKE
Utilizza il seguente comando. La risposta mostra un dispositivo gateway del cliente con IKE configurato correttamente.
```
router# show crypto isakmp sa
```
```
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE
174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE
```
Devono essere visualizzate una o più linee contenenti un valore `src` del gateway remoto specificato nei tunnel. `state` deve essere `QM_IDLE` e `status` deve essere `ACTIVE`. L'assenza di una voce o qualsiasi voce in un altro stato indica che IKE non è configurato in modo appropriato.
Per un'ulteriore risoluzione dei problemi, esegui i comandi seguenti per abilitare i messaggi di log che forniscono informazioni di diagnostica.
```
router# term mon
router# debug crypto isakmp
```
Per disabilitare il debug, utilizza il comando seguente.
```
router# no debug crypto isakmp
```
## IPsec
Utilizza il seguente comando. La risposta mostra che un dispositivo gateway per il cliente è configurato correttamente. IPsec
```
router# show crypto ipsec sa
```
```
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 174.78.144.73
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
#pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xB8357C22(3090512930)
inbound esp sas:
spi: 0x6ADB173(112046451)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xB8357C22(3090512930)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4467148/3189)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2
Crypto map tag: Tunnel2-head-0, local addr 205.251.233.122
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 72.21.209.193 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas:
spi: 0xB6720137(3060924727)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xF59A3FF6(4120526838)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
sa timing: remaining key lifetime (k/sec): (4387273/3492)
IV size: 16 bytes
replay detection support: Y replay window size: 128
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
```
Per ogni interfaccia di tunnel, deve essere visualizzato un `esp sas` in entrata e un `esp sas` in uscita. Ciò presuppone che sia elencata una SA (ad esempio,`spi: 0x48B456A6`), che lo stato sia `ACTIVE` e che IPsec sia configurata correttamente.
Per un'ulteriore risoluzione dei problemi, utilizza il comando seguente per abilitare il debug.
```
router# debug crypto ipsec
```
Per disabilitare il debug, utilizza il comando seguente.
```
router# no debug crypto ipsec
```
## Tunnel
Innanzi tutto, accertati che le regole di firewall necessarie siano applicate. Per ulteriori informazioni, consulta [Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente](FirewallRules.md).
Se le regole di firewall sono configurate correttamente, continua con la risoluzione dei problemi utilizzando il comando seguente.
```
router# show interfaces tun1
```
```
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Internet address is 169.254.249.18/30
MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 174.78.144.73, destination 205.251.233.121
Tunnel protocol/transport IPSEC/IP
Tunnel TTL 255
Tunnel transport MTU 1427 bytes
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
407 packets input, 30010 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
```
Assicurati che il protocollo di linea sia attivo. Verificare che l'indirizzo IP di origine del tunnel, l'interfaccia di origine e la destinazione corrispondano rispettivamente alla configurazione del tunnel per l'indirizzo IP esterno del dispositivo gateway del cliente, all'interfaccia e all'indirizzo IP esterno del gateway virtuale privato. Assicurarsi che il file `Tunnel protection through IPSec` sia presente. Eseguire il comando su entrambe le interfacce di tunnel. Per risolvere qualsiasi tipo di problema, rivedere la configurazione e controllare le connessioni fisiche al dispositivo gateway del cliente.
Puoi anche utilizzare il comando seguente, sostituendo `169.254.249.18` con l'indirizzo IP interno del gateway virtuale privato.
```
router# ping 169.254.249.18 df-bit size 1410
```
```
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
```
Devono essere visualizzati 5 punti esclamativi.
### Routing
Per visualizzare la tabella di routing statica, utilizza il comando seguente.
```
router# sh ip route static
```
```
1.0.0.0/8 is variably subnetted
S 10.0.0.0/16 is directly connected, Tunnel1
is directly connected, Tunnel2
```
Verifica che la route statica esista per il CIDR VPC via i due tunnel. In caso contrario, aggiungi le route statiche come mostrato di seguito.
```
router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100
router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200
```
### Verifica del monitoraggio SLA
```
router# show ip sla statistics 100
```
```
IPSLAs Latest Operation Statistics
IPSLA operation id: 100
Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul 15 2012
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
```
```
router# show ip sla statistics 200
```
```
IPSLAs Latest Operation Statistics
IPSLA operation id: 200
Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul 15 2012
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
```
Il valore per `Number of successes` indica se il monitor SLA è stato configurato correttamente.
Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.
# Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo gateway per clienti Juniper JunOS
Quando risolvi i problemi di connettività di un dispositivo Customer Gateway di Juniper, prendi in considerazione quattro fattori: IKE, tunnel e BGP. IPsec Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.
## IKE
Utilizza il seguente comando. La risposta mostra un dispositivo gateway del cliente con IKE configurato correttamente.
```
user@router> show security ike security-associations
```
```
Index Remote Address State Initiator cookie Responder cookie Mode
4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main
3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main
```
Devono essere visualizzate una o più linee contenenti un indirizzo remoto del gateway remoto specificato nei tunnel. `State` deve essere `UP`. L'assenza di una voce, o qualsiasi voce in un altro stato (come `DOWN`), indica che IKE non è configurato in modo appropriato.
Per un'ulteriore risoluzione dei problemi, abilita le opzioni di monitoraggio IKE come consigliato nel file di configurazione di esempio. Esegui quindi il comando seguente per stampare vari messaggi di debug sullo schermo.
```
user@router> monitor start kmd
```
Da un host esterno, puoi recuperare l'intero file di log con il comando seguente.
```
scp username@router.hostname:/var/log/kmd
```
## IPsec
Utilizza il seguente comando. La risposta mostra che un dispositivo gateway per il cliente è configurato correttamente. IPsec
```
user@router> show security ipsec security-associations
```
```
Total active tunnels: 2
ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys
<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0
>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0
<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0
>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0
```
In particolare, devono essere visualizzate almeno due linee per indirizzo di gateway (corrispondente al gateway remoto). Le parentesi angolare all'inizio di ogni linea (< >) indica la direzione del traffico per la particolare voce. L'output ha linee distinte per il traffico in entrata ("<", traffico dal gateway virtuale privato a questo dispositivo gateway del cliente) e il traffico in uscita (">").
Per un'ulteriore risoluzione dei problemi, abilita le opzioni di monitoraggio IKE (per ulteriori informazioni, consulta la sezione precedente su IKE).
## Tunnel
Innanzi tutto, accertati che le regole di firewall necessarie siano applicate. Per un elenco di regole, consulta [Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente](FirewallRules.md).
Se le regole di firewall sono configurate correttamente, continua con la risoluzione dei problemi utilizzando il comando seguente.
```
user@router> show interfaces st0.1
```
```
Logical interface st0.1 (Index 70) (SNMP ifIndex 126)
Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel
Input packets : 8719
Output packets: 41841
Security: Zone: Trust
Allowed host-inbound traffic : bgp ping ssh traceroute
Protocol inet, MTU: 9192
Flags: None
Addresses, Flags: Is-Preferred Is-Primary
Destination: 169.254.255.0/30, Local: 169.254.255.2
```
Assicurati che il valore di `Security: Zone` sia corretto e che l'indirizzo `Local` corrisponda all'indirizzo interno del tunnel del dispositivo gateway del cliente.
Successivamente, utilizza il comando seguente, sostituendo `169.254.255.1` con l'indirizzo IP interno del gateway virtuale privato. I risultati devono essere simili alla risposta riportata di seguito.
```
user@router> ping 169.254.255.1 size 1382 do-not-fragment
```
```
PING 169.254.255.1 (169.254.255.1): 1410 data bytes
64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms
64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms
```
Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.
## BGP
Eseguire il seguente comando seguente.
```
user@router> show bgp summary
```
```
Groups: 1 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0 2 1 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0
169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0
```
Per un'ulteriore risoluzione dei problemi, puoi anche utilizzare il comando seguente, sostituendo `169.254.255.1` con l'indirizzo IP interno del gateway virtuale privato.
```
user@router> show bgp neighbor 169.254.255.1
```
```
Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000
Type: External State: Established Flags:
Last State: OpenConfirm Last Event: RecvKeepAlive
Last Error: None
Export: [ EXPORT-DEFAULT ]
Options:
Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0
Number of flaps: 0
Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30
Keepalive Interval: 10 Peer index: 0
BFD: disabled, down
Local Interface: st0.1
NLRI for restart configured on peer: inet-unicast
NLRI advertised by peer: inet-unicast
NLRI for this session: inet-unicast
Peer supports Refresh capability (2)
Restart time configured on the peer: 120
Stale routes from peer are kept for: 300
Restart time requested by this peer: 120
NLRI that peer supports restart for: inet-unicast
NLRI that restart is negotiated for: inet-unicast
NLRI of received end-of-rib markers: inet-unicast
NLRI of all end-of-rib markers sent: inet-unicast
Peer supports 4 byte AS extension (peer-as 7224)
Table inet.0 Bit: 10000
RIB State: BGP restart is complete
Send state: in sync
Active prefixes: 1
Received prefixes: 1
Accepted prefixes: 1
Suppressed due to damping: 0
Advertised prefixes: 1
Last traffic (seconds): Received 4 Sent 8 Checked 4
Input messages: Total 24 Updates 2 Refreshes 0 Octets 505
Output messages: Total 26 Updates 1 Refreshes 0 Octets 582
Output Queue[0]: 0
```
Il valore di `Received prefixes` e `Advertised prefixes` deve essere 1 nella sezione `Table inet.0`.
Se il valore di `State` non è `Established`, verifica il valore di `Last State` e `Last Error` per informazioni dettagliate su come procedere per risolvere il problema.
Se il peering BGP è attivo, verifica che il router del dispositivo gateway del cliente pubblicizzi la route predefinita (0.0.0.0/0) al VPC.
```
user@router> show route advertising-protocol bgp 169.254.255.1
```
```
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
* 0.0.0.0/0 Self I
```
Assicurati, inoltre, di ricevere il prefisso che corrisponde al VPC dal gateway virtuale privato.
```
user@router> show route receive-protocol bgp 169.254.255.1
```
```
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
Prefix Nexthop MED Lclpref AS path
* 10.110.0.0/16 169.254.255.1 100 7224 I
```
# Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo gateway per clienti Juniper ScreenOS
Quando risolvi i problemi di connettività di un dispositivo gateway per clienti basato su Juniper ScreenOS, considera quattro aspetti: IKE, IPsec tunnel e BGP. Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.
## IKE e IPsec
Utilizza il seguente comando. La risposta mostra un dispositivo gateway del cliente con IKE configurato correttamente.
```
ssg5-serial-> get sa
```
```
total configured sa: 2
HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys
00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 0
00000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 0
00000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 0
00000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0
```
Devono essere visualizzate una o più linee contenenti un indirizzo remoto del gateway remoto specificato nei tunnel. Il valore di `Sta` deve essere `A/-` e quello di `SPI` deve essere un numero esadecimale diverso da `00000000`. Le voci in altri stati indicano che IKE non è configurato in modo appropriato.
Per un'ulteriore risoluzione dei problemi, abilita le opzioni di monitoraggio IKE come consigliato nel file di configurazione di esempio.
## Tunnel
Innanzi tutto, accertati che le regole di firewall necessarie siano applicate. Per un elenco di regole, consulta [Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente](FirewallRules.md).
Se le regole di firewall sono configurate correttamente, continua con la risoluzione dei problemi utilizzando il comando seguente.
```
ssg5-serial-> get interface tunnel.1
```
```
Interface tunnel.1:
description tunnel.1
number 20, if_info 1768, if_index 1, mode route
link ready
vsys Root, zone Trust, vr trust-vr
admin mtu 1500, operating mtu 1500, default mtu 1500
*ip 169.254.255.2/30
*manage ip 169.254.255.2
route-deny disable
bound vpn:
IPSEC-1
Next-Hop Tunnel Binding table
Flag Status Next-Hop(IP) tunnel-id VPN
pmtu-v4 disabled
ping disabled, telnet disabled, SSH disabled, SNMP disabled
web disabled, ident-reset disabled, SSL disabled
OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled
PIM: not configured IGMP not configured
NHRP disabled
bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps
```
Assicurati che `link:ready` sia visualizzato e che l'indirizzo `IP` corrisponda all'indirizzo interno del tunnel del dispositivo gateway del cliente.
Successivamente, utilizza il comando seguente, sostituendo `169.254.255.1` con l'indirizzo IP interno del gateway virtuale privato. I risultati devono essere simili alla risposta riportata di seguito.
```
ssg5-serial-> ping 169.254.255.1
```
```
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms
```
Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.
## BGP
Eseguire il seguente comando seguente.
```
ssg5-serial-> get vrouter trust-vr protocol bgp neighbor
```
```
Peer AS Remote IP Local IP Wt Status State ConnID Up/Down
--------------------------------------------------------------------------------
7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01
7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59
```
Per entrambi i peer BGP lo stato deve essere `ESTABLISH`. Questo indica che la connessione BGP al gateway virtuale privato è attiva.
Per un'ulteriore risoluzione dei problemi, puoi anche utilizzare il comando seguente, sostituendo `169.254.255.1` con l'indirizzo IP interno del gateway virtuale privato.
```
ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1
```
```
peer: 169.254.255.1, remote AS: 7224, admin status: enable
type: EBGP, multihop: 0(disable), MED: node default(0)
connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15s
configured hold time: node default(90s), configured keepalive: node default(30s)
configured adv-interval: default(30s)
designated local IP: n/a
local IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179
router ID of peer: 169.254.255.1, remote AS: 7224
negotiated hold time: 30s, negotiated keepalive interval: 10s
route map in name: , route map out name:
weight: 100 (default)
self as next hop: disable
send default route to peer: disable
ignore default route from peer: disable
send community path attribute: no
reflector client: no
Neighbor Capabilities:
Route refresh: advertised and received
Address family IPv4 Unicast: advertised and received
force reconnect is disable
total messages to peer: 106, from peer: 106
update messages to peer: 6, from peer: 4
Tx queue length 0, Tx queue HWM: 1
route-refresh messages to peer: 0, from peer: 0
last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)
number of total successful connections: 4
connected: 2 minutes 6 seconds
Elapsed time since last update: 2 minutes 6 seconds
```
Se il peering BGP è attivo, verifica che il router del dispositivo gateway del cliente pubblicizzi la route predefinita (0.0.0.0/0) al VPC. Questo comando si applica a ScreenOS versione 6.2.0 e versione successiva.
```
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised
```
```
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix Nexthop Wt Pref Med Orig AS-Path
--------------------------------------------------------------------------------------
>i 0.0.0.0/0 0.0.0.0 32768 100 0 IGP
Total IPv4 routes advertised: 1
```
Assicurati, inoltre, di ricevere il prefisso corrispondente al VPC dal gateway virtuale privato. Questo comando si applica a ScreenOS versione 6.2.0 e versione successiva.
```
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received
```
```
i: IBGP route, e: EBGP route, >: best route, *: valid route
Prefix Nexthop Wt Pref Med Orig AS-Path
--------------------------------------------------------------------------------------
>e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224
Total IPv4 routes received: 1
```
# Risolvi i problemi di AWS Site-to-Site VPN connettività con un dispositivo Customer Gateway Yamaha
Quando risolvi i problemi di connettività di un dispositivo Customer Gateway Yamaha, prendi in considerazione quattro fattori: IKE, tunnel e BGP. IPsec Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.
**Nota**
Per impostazione predefinita, l'impostazione `proxy ID` utilizzata nella fase 2 di IKE è disabilitata sul router Yamaha. Ciò può causare problemi di connessione alla VPN. Site-to-Site Se non `proxy ID` è configurato sul router, consulta il file di configurazione AWS di esempio fornito da Yamaha per impostarlo correttamente.
## IKE
Eseguire il seguente comando seguente. La risposta mostra un dispositivo gateway del cliente con IKE configurato correttamente.
```
# show ipsec sa gateway 1
```
```
sgw flags local-id remote-id # of sa
--------------------------------------------------------------------------
1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1
```
Deve essere visualizzata una linea con un valore `remote-id` del gateway remoto specificato nei tunnel. È possibile elencare tutte le associazioni di sicurezza (SAs) omettendo il numero del tunnel.
Per un'ulteriore risoluzione dei problemi, esegui i comandi seguenti per abilitare i messaggi di log di livello DEBUG che forniscono informazioni di diagnostica.
```
# syslog debug on
# ipsec ike log message-info payload-info key-info
```
Per annullare gli elementi registrati, esegui il comando seguente:
```
# no ipsec ike log
# no syslog debug on
```
## IPsec
Eseguire il seguente comando seguente. La risposta mostra che un dispositivo gateway per il cliente è IPsec configurato correttamente.
```
# show ipsec sa gateway 1 detail
```
```
SA[1] Duration: 10675s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[2] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: a6 67 47 47
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[3] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 6b 98 69 2b
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
SA[4] Duration: 10681s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee
Key: ** ** ** ** ** (confidential) ** ** ** ** **
----------------------------------------------------
```
Per ogni interfaccia di tunnel, devono essere visualizzati `receive sas` e `send sas`.
Per un'ulteriore risoluzione dei problemi, utilizza il comando seguente per abilitare il debug.
```
# syslog debug on
# ipsec ike log message-info payload-info key-info
```
Per disabilitare il debug, esegui il comando seguente.
```
# no ipsec ike log
# no syslog debug on
```
## Tunnel
Innanzi tutto, accertati che le regole di firewall necessarie siano applicate. Per un elenco di regole, consulta [Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente](FirewallRules.md).
Se le regole di firewall sono configurate correttamente, continua con la risoluzione dei problemi utilizzando il comando seguente.
```
# show status tunnel 1
```
```
TUNNEL[1]:
Description:
Interface type: IPsec
Current status is Online.
from 2011/08/15 18:19:45.
5 hours 7 minutes 58 seconds connection.
Received: (IPv4) 3933 packets [244941 octets]
(IPv6) 0 packet [0 octet]
Transmitted: (IPv4) 3933 packets [241407 octets]
(IPv6) 0 packet [0 octet]
```
Assicurati che il `current status` valore sia online e `Interface type` basta IPsec. e di eseguire il comando su entrambe le interfacce di tunnel. Per risolvere qualsiasi problema in questa fase, esamina la configurazione.
## BGP
Eseguire il seguente comando seguente.
```
# show status bgp neighbor
```
```
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.1, Foreign port: 0
BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link
BGP version 0, remote router ID 0.0.0.0
BGP state = Active
Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
Received 0 messages, 0 notifications, 0 in queue
Sent 0 messages, 0 notifications, 0 in queue
Connection established 0; dropped 0
Last reset never
Local host: unspecified
Foreign host: 169.254.255.5, Foreign port:
```
Entrambi i router devono essere elencati. Per ciascuno, il valore di `BGP state` deve essere `Active`.
Se il peering BGP è attivo, verifica che il router del dispositivo gateway del cliente pubblicizzi la route predefinita (0.0.0.0/0) al VPC.
```
# show status bgp neighbor 169.254.255.1 advertised-routes
```
```
Total routes: 1
*: valid route
Network Next Hop Metric LocPrf Path
* default 0.0.0.0 0 IGP
```
Assicurati, inoltre, di ricevere il prefisso corrispondente al VPC dal gateway virtuale privato.
```
# show ip route
```
```
Destination Gateway Interface Kind Additional Info.
default ***.***.***.*** LAN3(DHCP) static
10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124
```