Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
어떻게 Site-to-Site VPN 로그를 사용하여 터널이 중단된 이유를 확인할 수 있습니까?
AWS Site-to-Site VPN 터널이 중단되어 온프레미스 네트워크에서 리소스에 액세스할 수 없습니다. Site-to-Site VPN 로그를 사용하여 터널이 중단된 이유를 확인하고 싶습니다.
해결 방법
터널 활동 로그를 사용하여 사이트 간 VPN 터널을 모니터링할 수 있습니다. 터널 활동 로그를 활성화하면 Amazon CloudWatch 로그를 사용하여 터널 중단 및 기타 터널 문제에 대한 정보를 수집할 수 있습니다.
Site-to-Site VPN에 필요한 모든 권한을 AWS Identity and Access Management(IAM) 역할에 연결해야 합니다.
참고: VPN 터널 로그는 VPN 로깅을 활성화한 후에만 사용할 수 있습니다. 로깅을 활성화하기 전에 VPN 터널이 플랩된 경우 플랩 시간 동안의 로그를 볼 수 없습니다.
정전에 해당하는 타임스탬프 수집
다음 단계를 완료하세요.
- CloudWatch 콘솔을 엽니다.
- 지표에서 모든 지표를 선택합니다.
- VPN 지표를 선택합니다.
- VPN 터널 지표를 선택하세요.
- 중단이 발생한 터널의 IP 주소를 선택합니다.
- TunnelState 지표를 선택합니다.
- 그래프로 표시된 지표에서 다음 옵션을 선택합니다.
통계에서 최솟값을 선택합니다.
기간에서 분을 선택합니다. - 정전 타임스탬프를 기록해 두세요.
터널 활동 로그 검토
다음 단계를 완료하세요.
- CloudWatch 콘솔을 엽니다.
- 탐색 창에서 로그 그룹을 선택합니다.
- Site-to-Site VPN과 연결된 로그 그룹을 선택합니다.
- 사이트 간 VPN 터널이 중단된 기간의 로그 스트림을 선택합니다.
- 로그에서 오류 및 경고를 검토하여 문제를 식별합니다. 자세한 내용을 알아보려면 Site-to-Site VPN 로그 콘텐츠를 참조하세요.
다음 예는 터널 활동 로그에서 찾을 수 있는 일반적인 오류입니다.
DPD 타임아웃
로그에 피어가 응답하지 않음 - 피어 데드 이벤트 선언이 표시되면 데드 피어 감지(DPD) 시간 초과가 발생한 것입니다. 기본적으로 사이트 간 VPN은 고객 게이트웨이에 DPD R_U_THERE 메시지를 보냅니다. 응답 없이 메시지가 세 번 연속되면 Site-to-Site VPN은 피어 데드로 간주하고 터널을 닫습니다. 문제를 해결하려면 고객 게이트웨이에서 디버그 로그도 수집해야 합니다. DPD 시간 초과의 원인에 대한 자세한 내용을 알아보려면 고객 게이트웨이 장치의 AWS VPN 터널 비활성 또는 터널 다운 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.
고객 게이트웨이 삭제
로그에 AWS 터널이 DELETE 이벤트를 수신했다고 표시되면 고객 게이트웨이가 Site-to-Site VPN에 터널을 삭제하라는 메시지를 보낸 것입니다. 고객 게이트웨이 로그를 사용하여 고객 게이트웨이가 삭제 메시지를 보낸 이유를 식별할 수 있습니다.
터널 설치 문제
터널을 설정할 때 터널이 설정되지 않으면 터널 활동 로그를 검토하여 문제를 식별하세요.
로그 예시:
{ "event_timestamp": 1723999332, "details": "AWS tunnel is evaluating proposals received from CGW", "dpd_enabled": true, "nat_t_detected": false, "ike_phase1_state": "down", "ike_phase2_state": "down" } { "event_timestamp":1723999332, "details":"AWS tunnel is processing proposals to find a matching configuration", "dpd_enabled":true, "nat_t_detected":false, "ike_phase1_state":"down", "ike_phase2_state":"down" } { "event_timestamp": 1723999332, "details": "No Proposal Match Found by AWS", "dpd_enabled": true, "nat_t_detected": false, "ike_phase1_state": "down", "ike_phase2_state": "down" }
위의 예에서 세부 정보 필드는 AWS 터널과 고객 게이트웨이(CGW)의 알고리즘이 일치하지 않는다는 것을 보여줍니다. 이 문제를 해결하려면 고객 게이트웨이가 터널이 지원하는 알고리즘 제품군을 제시하는지 확인하세요. 지원되는 알고리즘 목록은 AWS Site-to-Site VPN 연결을 위한 터널 옵션을 참조하세요.
Site-to-Site VPN 구성, 네트워크 설정 및 방화벽 규칙 확인
그래도 문제를 확인할 수 없는 경우 Site-to-Site VPN 구성, 네트워크 설정 또는 방화벽 규칙으로 인해 터널 중단이 발생하지 않았는지 확인하세요. 이를 위해 자체 IT 팀, 네트워크 관리자 또는 인터넷 서비스 제공업체(ISP)와 협력하여 문제를 해결해야 할 수 있습니다.
관련 정보
Amazon CloudWatch를 사용하여 AWS Site-to-Site VPN 터널을 모니터링
AWSSupport-TroubleshootVPN 런북을 사용하여 AWS Site-to-Site VPN 문제를 해결하려면 어떻게 해야 하나요?
