オンプレミスネットワークへの HA VPN を確立しようとしていますが、接続が正常に確立されません。あなたは Google Cloud のネットワーク環境と、VPN デバイスとして機能するオンプレミスのファイアウォールの両方に対して完全な管理権限を持っています。
Google Cloud コンソールには「Negotiation failure(ネゴシエーション失敗)」および「BGP is down(BGPダウン)」と表示されています。Cloud Logging でログを確認したところ、以下のエントリが頻繁に記録されていました。
-
log name:
…/logs/cloud.googleapis.com%2Fipsec_events -
textPayload:
received NO_PROPOSAL_CHOSEN notify, no CHILD_SA built
Cloud Logging のエントリに基づいて、VPN の失敗をトラブルシューティングし、是正措置を講じる必要があります。何をすべきですか?
正解:B
この問題の決定的なヒントは、ログに含まれる NO_PROPOSAL_CHOSEN および no CHILD_SA built というメッセージです。
1. なぜ B が正しいのか?
-
NO_PROPOSAL_CHOSEN の意味: これは、IKE ネゴシエーションにおいて、提案された暗号化アルゴリズムやハッシュアルゴリズム(Proposal)が、相手側の設定と一致しなかったことを示します。
-
Phase 2 (CHILD_SA): IPsec において、
CHILD_SA(または単に SA)は Phase 2 で構築されるデータ通信用のトンネルを指します。ログに「no CHILD_SA built」とあるため、Phase 1(認証)は成功している可能性が高いですが、その後の Phase 2(暗号化スイートの合意)で失敗していることがわかります。 -
是正措置: オンプレミス側の Phase 2 設定(暗号化、整合性アルゴリズムなど)が Google Cloud のサポートしている仕様と合致しているか確認する必要があります。
コメント