IPsec FAQ:ASA에서 코드를 업그레이드한 후 Avaya 전화가 IPsec VPN을 통해 더 이상 연결할 수 없는 이유는 무엇입니까?

다운로드 옵션

PDF (415.7 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (389.0 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (307.1 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2013년 7월 17일 (수)

문서 ID:116294

번역에 관하여

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 전화기가 내장형 IPsec(Internet Protocol Security) 클라이언트를 사용하는 시스템에 Avaya를 구축하는 경우 발생하는 문제를 설명합니다.

Avaya 전화기가 Cisco ASA(Adaptive Security Appliance)에서 코드 업그레이드 후 IPSEC VPN을 통해 더 이상 연결할 수 없는 이유는 무엇입니까?

이 문제를 이해하려면 NAT-T(Network Address Translation) 및 NAT 검색(NAT-D)의 작동 방식을 이해해야 합니다.NAT-D 프로세스는 다음 단계로 구성됩니다.

IPsec 호스트 간에 하나 이상의 NAT 디바이스를 탐지합니다.
피어가 NAT-T를 지원하는지 여부를 식별합니다.
IKE(Internet Key Exchange)에서 NAT 장치를 통해 IPsec 패킷의 UDP(User Datagram Protocol) 캡슐화 사용을 협상합니다.

NAT-D는 양쪽 IKE 피어의 IP 주소 및 포트의 해시를 양쪽에서 다른 끝으로 보냅니다.양쪽 끝이 이러한 해시를 계산하고 동일한 결과를 생성하는 경우 사이에 NAT가 없다는 것을 알게 됩니다.해시는 일련의 NAT-D 페이로드로 전송됩니다.각 페이로드는 하나의 해시를 포함합니다.여러 해시의 경우 여러 NAT-D 페이로드가 전송됩니다.일반적으로 NAT-D 페이로드는 2개뿐입니다.NAT-D 페이로드는 주 모드의 세 번째 및 네 번째 패킷과 적극적인 모드의 두 번째 및 세 번째 패킷에 포함됩니다.이 예에서는 원격 액세스 터널을 사용하므로 Aggressive Mode입니다.

NAT-D 페이로드에 포함된 세부사항 중 하나는 VID(Vendor ID)입니다. 피어 간 VID를 교환하면 RFC(Request for Comments) 3947에 설명된 대로 원격 호스트의 NAT-T 기능을 확인할 수 있습니다.

The format of the NAT-D packet is:

        1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
      +---------------+---------------+---------------+---------------+
      | Next Payload  | RESERVED      | Payload length                |
      +---------------+---------------+---------------+---------------+
      ~                 HASH of the address and port
      +---------------+---------------+---------------+---------------+

   The payload type for the NAT discovery payload is 20.

NAT-D 페이로드의 현재 허용 페이로드 유형은 20입니다. ASA의 디버그를 보면 다음을 볼 수 있습니다.

[IKEv1]IP = 192.168.96.120, IKE_DECODE RECEIVED Message (msgid=0) with payloads:
HDR + KE (4) + NONCE (10) + UNKNOWN (15), *** ERROR *** + UNKNOWN (15),
*** ERROR *** + NONE (0) total length : 232

다음은 패킷 캡처의 스냅샷입니다.

ASA에서 전화로:

ASA에 전화:

Avaya는 페이로드 20을 인식하지 못하며 ASA는 페이로드 유형 15를 인식하지 못합니다. 이 동작에 대한 설명은 2004년에 동일한 RFC가 페이로드 유형을 15로 정의했기 때문입니다. 따라서 2004년 이후 이 페이로드 유형을 사용하는 Avaya 폰은 더 이상 RFC를 준수하지 않습니다.그렇다면, 왜 이전 코드와 함께 작동했을까요?Avaya와 마찬가지로 일부 이전 코드(버전 8.0.x)는 여전히 이전 ID를 지원하므로그러나 최신 코드(버전 8.2.1+)는 새 RFC 값을 준수해야 하며 페이로드 유형15를 지원하지 않아야 합니다. 그러나 페이로드 유형15를 지원하는 다양한 버전을 찾을 수 있습니다. 이 경우 문제가 발생합니다.

Avaya는 기본 제공 VPN 클라이언트가 올바른 페이로드 ID를 사용하도록 전화기의 펌웨어를 수정해야 합니다.안타깝게도, 46xx Series와 같은 다른 Avaya 전화기는 더 이상 생산되지 않으며 문제를 해결하지 못합니다.이 경우 새 장비를 구하거나 ASA를 작동 중인 버전으로 다운그레이드해야 합니다.먼저 버그 수정을 위해 업그레이드한 경우에는 이 후자 옵션을 사용할 수 없습니다.이전 페이로드 ID로 작동하는 Cisco의 소프트웨어 버전은 모두 보고되고 해당 버전에서 해결된 문제가 해결되어야 합니다.