|
◆ IPsec-VPN - MM_NO_STATEとQM_IDLEの原因と解決方法
Ciscoルータを利用したIPsec-VPN接続が失敗する場合、IKEフェーズ1で失敗しているのか、あるいは
IKEフェーズ2で失敗しているのかの問題を切り分ける必要があります。IKEフェーズ1 のステータスは
show crypto isakmp saコマンドで確認できて、以下の3パターンの結果が得られます。
◇ Pattern 1
ステータスに何も表示されないケース。このステータスはIPsec通信が行われていない状態を意味します。
つまり、end-to-endで通信が行われていない状態であるためPCから対向拠点のPCに対してPINGなどで
通信を行いましょう。拠点間の通信を実行したにも関わらず、ステータスに何も表示されていない場合は
IPsec対象のACL設定ミス、ルーティング設定ミスである可能性が高いです。
◇ Pattern 2
ステータスにMM_NO_STATEと表示されるケース。このステータスはIKEフェーズ1の失敗を意味します。
IPsec-VPN接続を行う両方のルータで、IKEフェーズ1の設定に間違いがないかどうかを確認しましょう。
例えば、Pre-shared Key( crypto isakmp key )の設定が両端のルータで同じ値なのかを確認します。
また、ACLの設定が原因である可能性もあるので障害切り分けのために、ACLを外したり、一時的に緩い
ACLに変更して問題を切りわけましょう。 この問題はルータの再起動で解決する事例も報告されており、
MM_NO_STATE(失敗)ステータスからQM_IDLE(成功)ステータスに遷移してくれる場合もあります。
◇ Pattern 3
QM_IDLEと表示されるケース。このステータスは、IKEフェーズ1の成功を意味します。従って、現状の
IKEフェーズ1の設定は正しいことを意味することから、IPsec-VPN接続の通信が正常に行えない場合には
IKEフェーズ1ではなくて、IKEフェーズ2の設定に問題があることを意味します。
◆ IKEフェーズ2のステータス確認
IKEフェーズ2は show crypto ipsec sa コマンドによりステータスを確認できます。IKEフェーズ2で最も
使用されているセキュリティプロトコルのESPを使用する場合は、show crypto ipsec saコマンドによって
「inbound esp sas:」と「outbound esp sas:」の項目でトランスフォームセットが反映されていることを
確認して、以下の項目で「 X 」の値がカウントされていることを確認しましょう。
# pkts encaps: X, #pkts encrypt: X, #pkts digest: X
# pkts decaps: X, #pkts decrypt: X, #pkts verify: X
現在のアクティブな暗号化セッションは、show crypto engine connections activeにより確認できます。
IPsec-VPNのステータス確認コマンドは以下の通りであり、IKEフェーズ1から順番に確認していきましょう。
| IPsec-VPN確認コマンド |
説明 |
| show crypto isakmp policy |
IKEフェーズ 1 のISAKMPポリシーを表示
|
| show crypto isakmp sa |
IKEフェーズ 1 のISAKMP SAを表示 |
| show crypto ipsec transform-set |
IKEフェーズ 2 のトランスフォームセットの表示 |
| show crypto ipsec sa |
IKEフェーズ 2 のIPsec SAを表示 |
| show crypto session detail |
IPsec SAのステータス表示 |
|