Como começar com a resolução de problemas da VPN do OS/400
Existem várias formas de começar a analisar os problemas da VPN do OS/400:
- Certifique-se sempre de que aplicou as mais recentes Correções Temporárias de Arquivos (PTFs).
- Certifique-se de que respeita os requisitos de configuração mínimos da VPN.
- Reveja quaisquer mensagens de erro que se encontrem na Informações dos Erros ou nos registos de trabalhos do servidor da VPN para os sistemas local e remoto. De fato, quando está a resolver problemas na ligação da VPN, é muitas vezes necessário olhar para ambos os extremos da ligação. Além disso, é necessário ter em conta que existem quatro endereços que deve verificar: Os pontos de terminação de ligações local e remoto, que são os endereços onde o IPSec é aplicado aos pacotes de IP e os pontos de terminação de dados local e remoto, que são os endereços de origem e de destino dos pacotes de IP.
- Se as mensagens de erro que encontrar não fornecerem informações suficientes para resolver o problema, verifique o diário Filtro de IP.
- O rastreio de comunicações do sistema iSeries AS/400 proporciona-lhe outra hipótese de encontrar informações de carácter geral sobre se o sistema local recebe ou envia pedidos de ligação.
- O comando Rastrear Aplicação de TCP (TRCTCPAPP) proporciona-lhe ainda outra forma de isolar os problemas. De modo geral, a Assistência IBM utiliza o TRCTCPAPP para obter output de rastreio, por forma a analisar os problemas da ligação.
Outras aspectos a verificar |
- Comece com uma configuração IP entre os sistemas centrais local e remoto. Remova quaisquer filtros de IP na interface utilizada pelos sistemas local e remoto para comunicar. Consegue efetuar o PING do sistema central local para o remoto?
Nota: Lembre-se de pedir informações no comando PING; introduza o endereço do sistema remoto e utilize PF10 para parâmetros adicionais, em seguida introduza o endereço da Internet local. Isto é particularmente importante quando tiver várias interfaces físicas ou lógicas. Isto assegura que os endereços corretos são colocados nos pacotes PING.
Se a resposta for sim, prossiga para o passo 2. Se a resposta for não, verifique a configuração IP, o estado da interface e as entradas de encaminhamento.Se a configuração estiver correta, efetue um rastreio de comunicação para verificar, por exemplo, se um pedido PING sai do sistema. Se enviar um pedido PING, mas não receber uma resposta, o problema está na rede ou no sistema remoto.Nota: Podem existir encaminhadores ou firewalls intermediárias que efetuam a filtragem de pacotes de pacotes e podem estar a filtrar os pacotes PING. O PING baseia-se normalmente no protocolo ICMP. Se o PING tiver êxito, isso quer dizer que existe conectividade. Se o PING não tiver êxito, só é possível saber que o PING falhou. Pode querer tentar outros protocolos IP entre os dois sistemas, tal como Telnet ou FTP para verificar a conectividade.
- Verifique as regras de filtragem para a VPN e certifique-se de que estão ativadas. A filtragem é iniciada de forma correcta? Se a resposta for sim, prossiga para o passo 3. Se a resposta for não, verifique se existem mensagens de erro na janela Regras de Pacotes no Operations Navigator. Certifique-se de que as regras de filtragem não especificam Conversão de Endereços de Rede (NAT) para qualquer tráfego na VPN.
- Inicie a ligação da VPN. A ligação é iniciada de forma correcta? Se a resposta for sim, prossiga para o passo 4. Se a resposta for não, verifique se existem erros no registo de trabalhos QTOVMAN, no registo de trabalhos QTOKVPNIKE.
Quando utiliza a VPN, o seu Fornecedor de Serviços de Internet (ISP) e todas as portas de ligação de segurança da sua rede devem suportar os protocolos Authentication Header (AH) e Encapsulated Security Payload (ESP). A escolha de utilizar o AH ou o ESP depende dos objetivos que definir para a ligação da VPN.
- Consegue ativar uma sessão de utilizadores na ligação da VPN? Se a resposta for sim, é porque a ligação da VPN funciona como desejado. Se a resposta for não, verifique nas regras de pacotes e nos grupos de chaves dinâmicas da VPN se existem definições de filtragem que não permitam o tráfego de utilizadores desejado.