ALM-15795028 IPSec隧道协商失败
告警解释
IPSec tunnel negotiation fails. (Ifindex=[Ifindex], SeqNum=[SeqNum], Reason=[Reason-Str], ReasonCode=[ReasonCode], PeerAddress=[PeerAddress], PeerPort=[PeerPort], VsysName=[vsys-name], InterfaceName=[InterfaceName])
IPsec隧道协商失败。
告警属性
|
告警ID |
OID |
告警级别 |
告警类型 |
|---|---|---|---|
|
15795028 |
1.3.6.1.4.1.2011.6.122.26.6.14 |
提示 |
通信告警 |
告警参数
|
参数名称 |
参数含义 |
|---|---|
|
Ifindex |
IPsec隧道所对应的接口索引。 |
|
SeqNum |
IPsec策略的顺序号。 |
|
Reason-Str |
IPsec隧道协商失败的原因。 |
|
ReasonCode |
IPsec隧道协商失败原因码。 |
|
PeerAddress |
对端的IP地址。 |
|
PeerPort |
对端的UDP端口号。 |
|
vsys-name |
IPsec策略所属的虚拟系统的名称。固定显示为Public。 |
|
InterfaceName |
接口名称。 |
对系统的影响
IPsec隧道无法建立成功。
可能原因
- 两端IKE安全提议参数不匹配。仅隧道发起端可见。
- 两端IKE安全提议加密算法参数不匹配。仅隧道接收端可见。
- 两端IKE安全提议认证方法参数不匹配。仅隧道接收端可见。
- 两端IKE安全提议认证算法参数不匹配。仅隧道接收端可见。
- 两端IKE安全提议DH组参数不匹配。仅隧道接收端可见。
- 两端IKE安全提议完整性算法参数不匹配。仅隧道接收端可见。
- 两端IKE安全提议PRF算法参数不匹配。仅隧道接收端可见。
- 两端IPsec安全提议参数、PFS算法或Security ACL不匹配。
- 响应方的DH算法不匹配。
- 发起方的DH算法不匹配。
- 封装模式不匹配。
- 两端Security ACL或IKE Peer地址不匹配。
- 两端IKE版本号不匹配。
- 两端的IKE Peer地址不匹配。
- 根据ID未找到匹配的IKE Peer。
- 两端的协商模式不匹配。
- 身份认证失败。
- 构造本端ID失败。
- 重协商时找不到旧的SA。
- 重协商时旧的SA正在下线。
- 首包限速。
- 不支持的IKE版本号。
- 畸形消息。
- 畸形载荷。
- 畸形载荷或两端预共享密钥不一致。
- 未识别的critical载荷。
- Cookie不匹配。
- 无效Cookie。
- 报文长度非法。
- 未知的协商模式。
- 未识别的非critical载荷。
- 路由注入的数目达到规格。
- IP地址分配失败。
- EAP认证超时。
- EAP认证失败。
- XAUTH认证失败。
- XAUTH认证超时。
- License限制。
- IKE协商时的本端IP地址和接口IP地址不匹配。
- IKE对等体数达到规格。
- IPsec隧道数达到规格。
- 开启IPsec掩码过滤功能后,掩码不匹配。
- 数据流冲突。
- IPsec安全提议不匹配或者IKEv2使用SM算法。
- IKEv2不支持IPsec安全提议的SM算法。
- 没有策略应用到接口上。
- NAT探测失败。
- 分片报文超规格。
- 分片报文重组超时。
处理步骤
- 原因:phase1 proposal mismatch
请查看两端的IKE安全提议参数,并执行相应的命令将不匹配的参数修改一致。
- 原因:phase2 proposal or pfs mismatch
请查看两端的IPsec安全提议参数或PFS算法,并执行相应的命令将不匹配的参数修改一致。
- 原因:responder dh mismatch、initiator dh mismatch
请查看两端的DH算法,并执行相应的命令将DH算法修改一致。
- 原因:encapsulation mode mismatch
请查看两端的封装模式,并执行相应的命令将封装模式修改一致。
- 原因:eap authentication timeout、eap authentication fail、xauth authentication fail、xauth authentication timeout
请确保客户端的用户名和密码正确,以及确保用户接入的相关配置正确。
- 原因:ip assigned fail
请确保AAA和IPsec的相关配置正确,例如IP Pool、AAA业务方案、为IKE用户分配的IP地址。
- 原因:peer address mismatch
请查看两端的IKE对等体地址,并执行相应的命令修改不匹配的IKE对等体地址。
- 原因:config ID mismatch
请查看身份认证参数,例如ID类型和ID值,执行相应的命令修改不匹配的参数。
- 原因:authentication fail
请查看两端的IKE安全提议参数或IKE对等体参数,并执行相应的命令将两端的参数修改一致。
- 原因:license or specification limited
请根据需要申请License或扩容。
- 原因:exchange mode mismatch
请查看两端的IKEv1阶段1协商模式,并执行相应的命令将两端的协商模式修改一致。
- 原因:route limit
请更换路由注入规格更高的设备,并合理规划网络。
- 原因:local address mismatch
请查看IKE协商时的本端IP地址和接口IP地址,并执行相应的命令将地址修改一致。
- 原因:ipsec tunnel number reaches limitation
请删除不必要的IPsec隧道或设备扩容。
- 原因:dynamic peers number reaches limitation
请设备扩容,并合理规划网络。
- 原因:in disconnect state
请用户根据IPsec链路探测结果检查链路或设备是否正常。
- 原因: proposal mismatch or use sm in ikev2、ikev2 not support sm in ipsec proposal
请查看IPsec安全提议中IKEv2使用的算法,并执行相应的命令将算法修改正确。
- 原因:flow confict
请查看两端的ACL规则,并执行相应的命令将ACL规则修改正确。
- 原因:netmask mismatch
请修改分支或总部保护的IPsec数据流范围,使得各分支和总部协商的数据流不存在交集。
- 原因:no policy applied on interface
请在接口上应用相应的IPsec策略。
- 原因:fragment packet limit
收到的分片报文数超过规格,请合理调整对端设备的MTU值。
- 原因:fragment packet reassemble timeout
请确保两端链路正常及设备状态正常。
- 非以上原因或问题仍未解决时,请收集相应的信息,并联系技术支持人员。
