IPsec이 실행 중일 때 시스템 문제를 해결하는 방법의 조사로 문제를 처리하지 못한 경우 파일의 구문이나 서비스 구성이 문제가 아니라 구성의 의미가 문제일 수 있습니다.
ike:default 및 ike:ikev2 서비스 인스턴스를 모두 사용으로 설정한 경우 IKEv2 및 IKEv1 규칙이 겹치지 않는지 확인합니다. 동일한 네트워크 끝점에 규칙을 적용하면 IPsec SA가 중복되어 경우에 따라 연결이 끊어질 수도 있습니다.
IKE 규칙을 변경하는 경우 규칙을 커널로 읽어들입니다.
# ikeadm -v[1|2] read rule
IKEv1을 실행 중인 경우 연결하는 IKEv1 시스템에서 규칙의 알고리즘 방식을 사용할 수 있는지 확인합니다. 사용 가능한 알고리즘을 확인하려면 IKEv2를 지원하지 않는 시스템에서 ikeadm dump algorithms 명령을 실행합니다.
# ikeadm dump groupsAvailable Diffie-Hellman groups # ikeadm dump encralgsAll IKE encryption algorithms # ikeadm dump authalgsAll IKE authentication algorithms
IPsec 및 IKEv1 시스템 모두에서 사용 가능한 알고리즘을 사용하도록 두 시스템의 정책 파일을 모두 수정합니다. 그럼 다음 IKEv1 서비스를 다시 시작하고 IPsec 서비스를 새로 고칩니다.
# svcadm restart ike:default; svcadm refresh ipsec/policy
IKEv1에서 미리 공유한 키를 사용 중이고 원격 IKEv1 시스템을 재부팅한 경우 로컬 시스템에서 ipseckey flush 명령을 실행합니다.
자체 서명된 인증서를 사용 중인 경우 다른 관리자와 함께 DN이 동일한 인증서를 다시 만들지 않았는지, 그리고 인증서의 해시 값이 일치하는지 확인합니다. 검증 단계는 자체 서명된 공개 키 인증서로 IKEv2를 구성하는 방법의 Step 4를 참조하십시오.
인증서가 업데이트된 경우 새 인증서를 가져온 다음 IKEv2 서비스를 새로 고치고 다시 시작합니다.
ikeadm -v2 dump | get 명령을 사용하여 현재 IKEv2 구성을 봅니다. 사용법 요약은 IKE 정보 보기를 참조하십시오.
kstat 명령을 사용하여 IPsec 관련 통계를 표시합니다. 자세한 내용은 kstat(1M) 매뉴얼 페이지를 참조하십시오.
# kstat -m ipsecesp # kstat -m ipsecah # kstat -m ip
다음 예의 kstat 출력에는 ipsecesp 모듈에 문제가 없다고 나옵니다.
# kstat -m ipsecesp module: ipsecesp instance: 0 name: esp_stat class: net acquire_requests 18 bad_auth 0 bad_decrypt 0 bad_padding 0 bytes_expired 0 crtime 4.87974774 crypto_async 0 crypto_failures 0 crypto_sync 172 good_auth 86 keysock_in 135 num_aalgs 9 num_ealgs 13 out_discards 0 out_requests 86 replay_early_failures 0 replay_failures 0 sa_port_renumbers 0 snaptime 5946769.7947628
snoop 명령을 사용하여 보호되지 않는 트래픽을 봅니다. Wireshark 응용 프로그램에서는 snoop 출력을 읽을 수 있습니다. snoop 출력의 예는 IPsec로 패킷이 보호되는지 확인하는 방법을 참조하십시오.