VPLEX: 잘못된 IP 주소로 인해 3방향 VPN 구성 실패

사용자가 VPlex 관리 서버 IP 주소(클러스터-1 및/또는 클러스터-2 모두) 또는 클러스터 감시 IP 주소를 변경하거나 업데이트했습니다.

문제 설명:
VPlex 관리 서버(클러스터-1 및/또는 클러스터-2 모두)와 클러스터 감시 서버 간의 3방향 VPN 연결 구성이 실패하고 아래 오류 메시지가 표시됩니다.

VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force
Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy
Verifying the VPN status between the management servers...
IPSEC is UP
Remote Management Server at IP Address yy.yy.yy.yy is reachable
Remote Internal Gateway addresses are reachable
Verifying the VPN status between the management server and the cluster witness server...
IPSEC is not UP
Cluster Witness Server at IP Address 128.221.254.3 is not reachable

Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration.

It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address.
Please re-run the cluster witness server vpn configuration with the right public IP address.
Resetting the Cluster Witness VPN configuration
Resetting the Cluster Witness Server VPN configuration

.
.
.
<./truncated>

VPlex 관리 서버(클러스터-1 또는/클러스터-2 모두)와 클러스터 감시 서버 간의 3방향 VPN 연결 구성이 다음과 같이 실패할 수 있는 두 가지 시나리오가 있을 수 있습니다.

1. 사용자가 VPlex 관리 서버 IP 주소(eth3)(클러스터-1 또는 클러스터-2 모두)를 변경했지만 클러스터 감시 서버 IPsec 구성 파일에는 여전히 영향을 받는 관리 서버의 이전 IP 주소가 포함되어 있습니다.

   및/또는,

2. 사용자가 클러스터 감시 IP 주소를 변경했지만 VPlex 관리 서버(클러스터-1 또는 클러스터-2 모두) IPsec 구성 파일에 여전히 클러스터 감시 서버의 이전 IP 주소가 포함되어 있습니다.

이 문제를 해결하려면 아래 시나리오 세부 정보 및 해결 단계를 진행하십시오.

시나리오 1: 사용자가 VPlex 관리 서버 IP 주소(eth3)(클러스터-1 또는 클러스터-2 모두)를 변경했지만 클러스터 감시 서버 IPsec 구성 파일에는 여전히 영향을 받는 관리 서버의 이전 IP 주소가 포함되어 있습니다.

1. 다음과 같이 VPlex 관리 서버(클러스터-1 및 클러스터-2 모두)에 할당된 올바른 IP 주소를 수집합니다.

   클러스터-1:

   VPlexcli:/> vpn status
   Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>

   클러스터-2:

   VPlexcli:/> vpn status
   Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>

2. 공용 IP 주소를 사용하여 클러스터 감시 서버에 대한 SSH를 수행합니다.

   1. 클러스터 감시 서버의 공용 IP 주소를 찾으려면 다음 VPlexcli 명령을 실행합니다.
      예:

      VPlexcli:/> ll /cluster-witness/
      /cluster-witness:
      Attributes:
      Name                Value
      ------------------  -------------
      admin-state         unknown
      private-ip-address  128.221.254.3
      public-ip-address   XX.XX.XX.XX      <<< Cluster-Witness server public IP-address

   2. 다음과 같이 1.a 단계에서 얻은 클러스터 감시의 공용 IP 주소에 대해 SSH를 수행합니다.
      service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
      예:

      service@ManagementServer:~> ssh xx.xx.xx.xx       >> cluster-witness-public-IP-address
      Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts.
      Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx
      service@ClusterWitness:~>

3. "IPsec.config" 파일로 Cat을 검색하고 다음과 같이 VPlex 관리 서버 클러스터-1 및 클러스터-2 IP 주소를 검색합니다.

   참고: 단계 (3)을 수행하기 전에 단계 (1)을 사용하여 vpn 상태 출력에서 VPlex 관리 서버의 실제 IP 주소를 확인합니다. 이 정보가 수집되면 아래에 언급된 "IPsec.config" 파일과 비교하여 일치하는지 여부를 확인/확인합니다.

   예:

   service@ClusterWitness:~> cat /etc/ipsec.conf
   # Add connections here.
   # Setup a tunnel between the management servers and the Cluster Witness Server
   # "left" means local, "right" means remote.
   # Connection between Cluster Witness Server and Management Server
   conn witness-cluster2
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.254.3/32
   leftcert=hostCert.pem
   right=15Y.YYY.Y.YYY             <<========== Old/incorrect IP address of VPlex management server-2
   rightsubnet=128.221.252.64/27,128.221.253.64/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start
   
   # Connection between Cluster Witness Server and Management Server
   conn witness-cluster1
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.254.3/32
   leftcert=hostCert.pem
   right=15X.XXX.X.XXX         <<========== Old/incorrect IP address of VPlex management server-1
   rightsubnet=128.221.252.32/27,128.221.253.32/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start

4. 위의 예에서와 같이 cluster-witness의 "IPsec.config" 파일이 여전히 VPlex 관리 서버-1 및 클러스터-2의 이전 IP 주소를 전달하고 있음을 발견했습니다. 따라서 vi 편집기를 사용하여 클러스터 감시 서버의 "IPsec.config" 파일을 편집하여 VPlex 관리 서버-1 및 클러스터-2의 올바른 IP 주소를 업데이트하십시오.

   참고: VPlex 클러스터-1 및 클러스터-2의 올바른 IP 주소를 등호와 IP 주소 사이에 공백 없이 등호 뒤에 놓고 파일을 저장한 후 종료합니다.

   예:

   service@ClusterWitness:~> vi /etc/ipsec.conf
   # Add connections here.
   # Setup a tunnel between the management servers and the Cluster Witness Server
   # "left" means local, "right" means remote.
   # Connection between Cluster Witness Server and Management Server
   conn witness-cluster1
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.254.3/32
   leftcert=hostCert.pem
   right=14M.MMM.M.MMM       <<========== Add/update the correct IP address of VPlex cluster-1.
   rightsubnet=128.221.252.32/27,128.221.253.32/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start
   
   # Connection between Cluster Witness Server and Management Server
   conn witness-cluster2
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.254.3/32
   leftcert=hostCert.pem
   right=14N.NNN.N.NNN       <<========== Add/update the correct IP address of VPlex cluster-2.
   rightsubnet=128.221.252.64/27,128.221.253.64/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start

5. 클러스터 감시 서버와 VPlex 관리 서버(클러스터-1 및 클러스터-2 모두)에서 다음과 같이 IPSEC 서비스를 재시작합니다.

   service@ClusterWitness:~> sudo /usr/sbin/ipsec restart
   service@ManagementServer:~> sudo /usr/sbin/ipsec restart

   1. 다음과 같이 IPsec 서비스의 상태를 확인합니다.

      service@ClusterWitness:~> sudo /usr/sbin/ipsec status
      service@ManagementServer:~> sudo /usr/sbin/ipsec status

6. 아래 명령을 다시 수행하여 VPlex 관리 서버와 클러스터 감시 서버 간의 3방향 VPN 연결을 다음과 같이 재구성합니다.
   예:
   클러스터-1의 VPlexcli:

   VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

   그런 다음 클러스터 2의 VPlexcli에서

   VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

7. 다음과 같이 1단계(클러스터-1 및 클러스터-2 모두)를 따르는 클러스터 감시의 상태를 확인합니다. 예:
   

   VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok

8. 다음과 같이 vpn status 명령(cluster-1 및 cluster-2 모두)을 사용하여 VPN 연결을 확인합니다.

   예:
   클러스터-1:

   VPlexcli:/> vpn status
   
   Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

   클러스터-2:

   VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

시나리오 2: 사용자가 클러스터 감시 IP 주소를 변경했지만 VPlex 관리 서버(클러스터-1 또는 클러스터-2 모두) IPsec 구성 파일에 여전히 클러스터 감시 서버의 이전 IP 주소가 포함되어 있습니다.

9. 아래 명령에 따라 올바른 클러스터 감시 공용 IP 주소를 확인합니다.

   VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components

10. VPlex 관리 서버(클러스터-1 또는 클러스터-2)에서 다음과 같이 ipsec.conf 파일을 cat합니다.

    참고: 단계 (10)을 수행하기 전에 vpn 상태 출력에서 VPlex 관리 서버의 실제 IP 주소를 (9) 단계로부터 확인합니다. 이 정보가 수집되면 아래에 언급된 "IPsec.config" 파일과 비교하여 일치하는지 여부를 확인/확인합니다.

    예:

    service@Managementserver:~> cat /etc/ipsec.conf     >> Cluster-1
    # Add connections here.
    # Setup a tunnel between the management servers and their networks
    # "left" means local, "right" means remote.
    # Connection between Cluster Witness Server and Management Server
    conn net-witness
    type=tunnel
       keyexchange=ikev2
       mobike=no
       reauth=no
       left=%defaultroute
       leftsubnet=128.221.252.64/27,128.221.253.64/27
       leftcert=hostCert.pem
       right=xx.xx.xx.45    <<========== Old/incorrect IP address of cluster-witness
       rightsubnet=128.221.254.3/32
       rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com"
       ike=3des-sha256-modp2048
       esp=aes128-sha1
       auto=start
    
    # Connection between Management Server 1 and Management Server 2
    conn net-net
       type=tunnel
       keyexchange=ikev2
       mobike=no
       reauth=no
       left=%defaultroute
       leftsubnet=128.221.252.64/27,128.221.253.64/27
       leftcert=hostCert.pem
       right=14N.NNN.N.NNN   <<========== IP address of remote management server
       rightsubnet=128.221.252.32/27,128.221.253.32/27
       rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com"
       ike=3des-sha256-modp2048
       esp=aes256-sha256
       auto=start

11. 위의 예에서와 같이 VPlex 관리 서버(클러스터-1 또는 클러스터-2)의 "IPsec.config" 파일이 여전히 클러스터 감시 서버의 이전 IP 주소를 전달하고 있음을 발견했습니다. 따라서 vi 편집기로 "IPsec.config" 파일을 편집하여 클러스터 감시 서버의 올바른 IP 주소를 업데이트하십시오.

    참고: 영향을 받는 VPlex 관리 서버의 올바른 IP 주소를 등호와 IP 주소 사이에 공백 없이 등호 뒤에 배치하고 파일을 저장한 후 종료합니다.

이 문제를 해결하려면 시나리오 1의 4-8단계를 반복합니다.