更新时间:2024-06-13 GMT+08:00
分享

ALM-15795028 IPSec隧道协商失败

告警解释

IPSec tunnel negotiation fails. (Ifindex=[Ifindex], SeqNum=[SeqNum], Reason=[Reason-Str], ReasonCode=[ReasonCode], PeerAddress=[PeerAddress], PeerPort=[PeerPort], VsysName=[vsys-name], InterfaceName=[InterfaceName])

IPsec隧道协商失败。

告警属性

告警ID

OID

告警级别

告警类型

15795028

1.3.6.1.4.1.2011.6.122.26.6.14

提示

通信告警

告警参数

参数名称

参数含义

Ifindex

IPsec隧道所对应的接口索引。

SeqNum

IPsec策略的顺序号。

Reason-Str

IPsec隧道协商失败的原因。

ReasonCode

IPsec隧道协商失败原因码。

PeerAddress

对端的IP地址。

PeerPort

对端的UDP端口号。

vsys-name

IPsec策略所属的虚拟系统的名称。固定显示为Public。

InterfaceName

接口名称。

对系统的影响

IPsec隧道无法建立成功。

可能原因

  • 两端IKE安全提议参数不匹配。仅隧道发起端可见。
  • 两端IKE安全提议加密算法参数不匹配。仅隧道接收端可见。
  • 两端IKE安全提议认证方法参数不匹配。仅隧道接收端可见。
  • 两端IKE安全提议认证算法参数不匹配。仅隧道接收端可见。
  • 两端IKE安全提议DH组参数不匹配。仅隧道接收端可见。
  • 两端IKE安全提议完整性算法参数不匹配。仅隧道接收端可见。
  • 两端IKE安全提议PRF算法参数不匹配。仅隧道接收端可见。
  • 两端IPsec安全提议参数、PFS算法或Security ACL不匹配。
  • 响应方的DH算法不匹配。
  • 发起方的DH算法不匹配。
  • 封装模式不匹配。
  • 两端Security ACL或IKE Peer地址不匹配。
  • 两端IKE版本号不匹配。
  • 两端的IKE Peer地址不匹配。
  • 根据ID未找到匹配的IKE Peer。
  • 两端的协商模式不匹配。
  • 身份认证失败。
  • 构造本端ID失败。
  • 重协商时找不到旧的SA。
  • 重协商时旧的SA正在下线。
  • 首包限速。
  • 不支持的IKE版本号。
  • 畸形消息。
  • 畸形载荷。
  • 畸形载荷或两端预共享密钥不一致。
  • 未识别的critical载荷。
  • Cookie不匹配。
  • 无效Cookie。
  • 报文长度非法。
  • 未知的协商模式。
  • 未识别的非critical载荷。
  • 路由注入的数目达到规格。
  • IP地址分配失败。
  • EAP认证超时。
  • EAP认证失败。
  • XAUTH认证失败。
  • XAUTH认证超时。
  • License限制。
  • IKE协商时的本端IP地址和接口IP地址不匹配。
  • IKE对等体数达到规格。
  • IPsec隧道数达到规格。
  • 开启IPsec掩码过滤功能后,掩码不匹配。
  • 数据流冲突。
  • IPsec安全提议不匹配或者IKEv2使用SM算法。
  • IKEv2不支持IPsec安全提议的SM算法。
  • 没有策略应用到接口上。
  • NAT探测失败。
  • 分片报文超规格。
  • 分片报文重组超时。

处理步骤

  • 原因:phase1 proposal mismatch

请查看两端的IKE安全提议参数,并执行相应的命令将不匹配的参数修改一致。

  • 原因:phase2 proposal or pfs mismatch

请查看两端的IPsec安全提议参数或PFS算法,并执行相应的命令将不匹配的参数修改一致。

  • 原因:responder dh mismatch、initiator dh mismatch

请查看两端的DH算法,并执行相应的命令将DH算法修改一致。

  • 原因:encapsulation mode mismatch

请查看两端的封装模式,并执行相应的命令将封装模式修改一致。

  • 原因:eap authentication timeout、eap authentication fail、xauth authentication fail、xauth authentication timeout

请确保客户端的用户名和密码正确,以及确保用户接入的相关配置正确。

  • 原因:ip assigned fail

请确保AAA和IPsec的相关配置正确,例如IP Pool、AAA业务方案、为IKE用户分配的IP地址。

  • 原因:peer address mismatch

请查看两端的IKE对等体地址,并执行相应的命令修改不匹配的IKE对等体地址。

  • 原因:config ID mismatch

请查看身份认证参数,例如ID类型和ID值,执行相应的命令修改不匹配的参数。

  • 原因:authentication fail

请查看两端的IKE安全提议参数或IKE对等体参数,并执行相应的命令将两端的参数修改一致。

  • 原因:license or specification limited

请根据需要申请License或扩容。

  • 原因:exchange mode mismatch

请查看两端的IKEv1阶段1协商模式,并执行相应的命令将两端的协商模式修改一致。

  • 原因:route limit

请更换路由注入规格更高的设备,并合理规划网络。

  • 原因:local address mismatch

请查看IKE协商时的本端IP地址和接口IP地址,并执行相应的命令将地址修改一致。

  • 原因:ipsec tunnel number reaches limitation

请删除不必要的IPsec隧道或设备扩容。

  • 原因:dynamic peers number reaches limitation

请设备扩容,并合理规划网络。

  • 原因:in disconnect state

请用户根据IPsec链路探测结果检查链路或设备是否正常。

  • 原因: proposal mismatch or use sm in ikev2、ikev2 not support sm in ipsec proposal

请查看IPsec安全提议中IKEv2使用的算法,并执行相应的命令将算法修改正确。

  • 原因:flow confict

请查看两端的ACL规则,并执行相应的命令将ACL规则修改正确。

  • 原因:netmask mismatch

请修改分支或总部保护的IPsec数据流范围,使得各分支和总部协商的数据流不存在交集。

  • 原因:no policy applied on interface

请在接口上应用相应的IPsec策略。

  • 原因:fragment packet limit

收到的分片报文数超过规格,请合理调整对端设备的MTU值。

  • 原因:fragment packet reassemble timeout

请确保两端链路正常及设备状态正常。

  • 非以上原因或问题仍未解决时,请收集相应的信息,并联系技术支持人员。

相关文档