ALM-15795028 IPSec隧道协商失败

告警解释

IPSec tunnel negotiation fails. (Ifindex=[Ifindex], SeqNum=[SeqNum], Reason=[Reason-Str], ReasonCode=[ReasonCode], PeerAddress=[PeerAddress], PeerPort=[PeerPort], VsysName=[vsys-name], InterfaceName=[InterfaceName])

IPsec隧道协商失败。

告警属性

告警参数

对系统的影响

IPsec隧道无法建立成功。

可能原因

• 两端IKE安全提议参数不匹配。仅隧道发起端可见。
• 两端IKE安全提议加密算法参数不匹配。仅隧道接收端可见。
• 两端IKE安全提议认证方法参数不匹配。仅隧道接收端可见。
• 两端IKE安全提议认证算法参数不匹配。仅隧道接收端可见。
• 两端IKE安全提议DH组参数不匹配。仅隧道接收端可见。
• 两端IKE安全提议完整性算法参数不匹配。仅隧道接收端可见。
• 两端IKE安全提议PRF算法参数不匹配。仅隧道接收端可见。
• 两端IPsec安全提议参数、PFS算法或Security ACL不匹配。
• 响应方的DH算法不匹配。
• 发起方的DH算法不匹配。
• 封装模式不匹配。
• 两端Security ACL或IKE Peer地址不匹配。
• 两端IKE版本号不匹配。
• 两端的IKE Peer地址不匹配。
• 根据ID未找到匹配的IKE Peer。
• 两端的协商模式不匹配。
• 身份认证失败。
• 构造本端ID失败。
• 重协商时找不到旧的SA。
• 重协商时旧的SA正在下线。
• 首包限速。
• 不支持的IKE版本号。
• 畸形消息。
• 畸形载荷。
• 畸形载荷或两端预共享密钥不一致。
• 未识别的critical载荷。
• Cookie不匹配。
• 无效Cookie。
• 报文长度非法。
• 未知的协商模式。
• 未识别的非critical载荷。
• 路由注入的数目达到规格。
• IP地址分配失败。
• EAP认证超时。
• EAP认证失败。
• XAUTH认证失败。
• XAUTH认证超时。
• License限制。
• IKE协商时的本端IP地址和接口IP地址不匹配。
• IKE对等体数达到规格。
• IPsec隧道数达到规格。
• 开启IPsec掩码过滤功能后，掩码不匹配。
• 数据流冲突。
• IPsec安全提议不匹配或者IKEv2使用SM算法。
• IKEv2不支持IPsec安全提议的SM算法。
• 没有策略应用到接口上。
• NAT探测失败。
• 分片报文超规格。
• 分片报文重组超时。

处理步骤

• 原因：phase1 proposal mismatch

请查看两端的IKE安全提议参数，并执行相应的命令将不匹配的参数修改一致。

• 原因：phase2 proposal or pfs mismatch

请查看两端的IPsec安全提议参数或PFS算法，并执行相应的命令将不匹配的参数修改一致。

• 原因：responder dh mismatch、initiator dh mismatch

请查看两端的DH算法，并执行相应的命令将DH算法修改一致。

• 原因：encapsulation mode mismatch

请查看两端的封装模式，并执行相应的命令将封装模式修改一致。

• 原因：eap authentication timeout、eap authentication fail、xauth authentication fail、xauth authentication timeout

请确保客户端的用户名和密码正确，以及确保用户接入的相关配置正确。

• 原因：ip assigned fail

请确保AAA和IPsec的相关配置正确，例如IP Pool、AAA业务方案、为IKE用户分配的IP地址。

• 原因：peer address mismatch

请查看两端的IKE对等体地址，并执行相应的命令修改不匹配的IKE对等体地址。

• 原因：config ID mismatch

请查看身份认证参数，例如ID类型和ID值，执行相应的命令修改不匹配的参数。

• 原因：authentication fail

请查看两端的IKE安全提议参数或IKE对等体参数，并执行相应的命令将两端的参数修改一致。

• 原因：license or specification limited

请根据需要申请License或扩容。

• 原因：exchange mode mismatch

请查看两端的IKEv1阶段1协商模式，并执行相应的命令将两端的协商模式修改一致。

• 原因：route limit

请更换路由注入规格更高的设备，并合理规划网络。

• 原因：local address mismatch

请查看IKE协商时的本端IP地址和接口IP地址，并执行相应的命令将地址修改一致。

• 原因：ipsec tunnel number reaches limitation

请删除不必要的IPsec隧道或设备扩容。

• 原因：dynamic peers number reaches limitation

请设备扩容，并合理规划网络。

• 原因：in disconnect state

请用户根据IPsec链路探测结果检查链路或设备是否正常。

• 原因： proposal mismatch or use sm in ikev2、ikev2 not support sm in ipsec proposal

请查看IPsec安全提议中IKEv2使用的算法，并执行相应的命令将算法修改正确。

• 原因：flow confict

请查看两端的ACL规则，并执行相应的命令将ACL规则修改正确。

• 原因：netmask mismatch

请修改分支或总部保护的IPsec数据流范围，使得各分支和总部协商的数据流不存在交集。

• 原因：no policy applied on interface

请在接口上应用相应的IPsec策略。

• 原因：fragment packet limit

收到的分片报文数超过规格，请合理调整对端设备的MTU值。

• 原因：fragment packet reassemble timeout

请确保两端链路正常及设备状态正常。

• 非以上原因或问题仍未解决时，请收集相应的信息，并联系技术支持人员。