NSX IPSec VPNトンネルがダウンしています
search cancel

NSX IPSec VPNトンネルがダウンしています

book

Article ID: 428742

calendar_today

Updated On:

Products

VMware NSX

Issue/Introduction

免責事項:これは英文の記事「NSX IPSec VPN Tunnel is Down」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

 

  • NSX Edge IPSec トンネルがダウンしています。
  • Edge ログには再送信された IPSec パケットが表示されます。

    /var/log/syslog
    [Timestamp] [Edge] NSX 3237894 VPN [nsx@6876 comp="nsx-edge" subcomp="iked" s2comp="ike-stack" level="INFO"] IKEv2 packet S([IP]:500 -> [IP]:500): mID=0 (retransmit count=1)
    [Timestamp] [Edge] NSX 3237894 VPN [nsx@6876 comp="nsx-edge" subcomp="iked" s2comp="ike-stack" level="INFO"] IKEv2 packet S([IP]:500 -> [IP]:500): mID=0 (retransmit count=2)
    [Timestamp] [Edge] NSX 3237894 VPN [nsx@6876 comp="nsx-edge" subcomp="iked" s2comp="ike-stack" level="INFO"] IKEv2 packet S([IP]:500 -> [IP]:500): mID=0 (retransmit count=3)
    [Timestamp] [Edge] NSX 3237894 VPN [nsx@6876 comp="nsx-edge" subcomp="iked" s2comp="ike-stack" level="INFO"] IKEv2 packet S([IP]:500 -> [IP]:500): mID=0 (retransmit count=4)

  • Edge ログにはトンネルがダウンしていることが示されています。

    /var/log/syslog
    [Timestamp] [Edge] NSX  VPN [nsx@6876 comp="nsx-edge" subcomp="iked" s2comp="iked-main" level="INFO"] Request for IPSEC tunnel status update : tunnel: [Tunnel ID], rule: [Rule], local_ip: [IP], peer_ip: [IP] inbound_spi: 0x0, outbound_spi: 0x0 status: IPSEC_STATUS_DOWN, error: Peer not reachable
    [Timestamp] [Edge] NSX  VPN [nsx@6876 comp="nsx-edge" subcomp="iked" s2comp="iked-main" level="INFO"] Request for IPSEC tunnel status update : tunnel: [Tunnel ID], rule: [Rule], local_ip: [IP], peer_ip: [IP] inbound_spi: 0x0, outbound_spi: 0x0 status: IPSEC_STATUS_DOWN, error: Peer not reachable

  • Edge が動作している ESX ホスト上のパケット キャプチャには、物理​​ NIC から出力されるトラフィックが表示され、応答は受信されません。

    pktcap-uw --uplink vmnic[X] --capture UplinkSndKernel,UplinkRcvKernel -o - | tcpdump-uw -enr -


  • IPSecステータスを切り替えても問題は解決しません。NSX

    UI > ネットワーク > VPN > IPsecセッション > 管理ステータス

 

Environment

VMware NSX

Resolution

この問題が発生していると思われる場合は、Broadcom サポートにサポート ケースを開き、NSX Manager、NSX Edge、ESX のログと、ESX および TOR スイッチからのパケット キャプチャを提供してください。

詳細については、 Creating and managing Broadcom support cases参照してください。

回避策: 

 

  1. 新しいトンネルを作成します。
  2. 新しいトンネルに新しいローカルIPを割り当て、問題のあるトンネルと同じリモートIPを使用します。
  3. 新しいトンネルに古いローカルIPを割り当てます。トンネルが起動することを確認します。
  4. 新しいトンネルを削除し、元のローカルIPとリモートIPを使用して古いトンネルを再度有効にします。
Powered by Wolken Software