更新时间:2024-09-03 GMT+08:00
分享

ALM-4285734913 IPSec隧道删除

告警解释

IPSEC/4/IPSECTUNNELSTOP: OID [OID] The IPSec tunnel is deleted. (Ifindex=[Ifindex], SeqNum=[SeqNum],TunnelIndex=[TunnelIndex], RuleNum=[RuleNum], DstIP=[DstIP], InsideIP=[InsideIP], RemotePort=[RemotePort], CpuID=[CpuID], SrcIP=[SrcIP], FlowInfo=[FlowInfo], OfflineReason=[offlinereason], VsysName=[vsys-name], InterfaceName=[InterfaceName], SlotID=[SlotID])

删除IPSec tunnel。

告警属性

告警ID

告警级别

告警类型

4285734913

重要

通信告警

告警参数

参数名称

参数含义

OID

该告警所对应的MIB节点的OID号。

Ifindex

接口索引。

SeqNum

策略号。

TunnelIndex

隧道索引。

RuleNum

规则号。

DstIP

隧道远端的IP地址。

InsideIP

隧道远端内网的IP地址。

RemotePort

隧道远端端口号。

CpuID

CPU号。

SrcIP

隧道本端的IP地址。

FlowInfo

隧道的数据流信息,包括源地址、目的地址、ACL端口号、ACL协议号和DSCP。

offlinereason

隧道被删除的原因。

vsys-name

IPSec策略所属的虚拟系统的名称。

说明:

设备不支持该参数。

InterfaceName

接口名称。

SlotID

Slot号。

说明:

设备不支持该参数。

对系统的影响

IPSec隧道被删除。

可能原因

隧道被删除原因:

处理步骤

  • 原因:dpd timeout

    请执行Ping操作检查链路是否可达,如果链路不可达,请排查链路和网络配置是否正确。

    以租户管理员登录iMaster NCE-Campus,在主菜单中选择维护 > 诊断 > Ping,在“任务列表”区域检查对应设备的链路状态。

    • 如果链路状态正常,则无需处理。
    • 如果链路状态不正常,请排查链路和网络配置是否正确。
  • 原因:heartbeat timeout
    1. 请执行Ping操作检查链路是否可达,如果链路不可达,请排查链路。
    2. 请检查两端的heartbeat配置是否正确,如果heartbeat配置不正确,请修改相应的配置。
  • 原因:config modify or manual offline
    1. 请检查是否手动执行Reset SA操作,如果是,则无需处理。
    2. 请检查本端修改的IPSec配置是否正确,如果不正确,则请修改正确。
    3. 请检查手动取消IPSec策略是否合理,如果不合理,则请重新在接口上应用IPSec策略。
  • 原因:phase1 hard expiry

    请检查IKE SA的生存周期是否合理,如果不合理,请修改IKE SA的生存周期。

  • 原因:phase2 hard expiry

    请检查IPSec SA的生存周期是否合理,如果不合理,请修改IPSec SA的生存周期。

  • 原因:peer address switch

    请确认故障的链路是否需要修复,如果是,请排查链路和网络配置是否正确。

  • 原因:hard expiry triggered by port mismatch

    请检查两端的NAT端口是否匹配,如果不匹配,请修改相应的NAT端口。

  • 原因:peer request

    请确认对端的日志信息,并根据其信息确认IPSec隧道故障的原因。

  • 原因:receive invalid spi notify

    如果频繁出现此现象,请检查对端设备状态、配置等是否异常。

  • 原因:dns resolution status change
    1. 请确保设备与DNS服务器链路正常。
    2. 请确保DNS服务器的服务正常。
    3. 请确保命令remote-address host-name配置的域名正确。
  • 原因:ikev1 phase1-phase2 sa dependent offline

    两端设备能正常重协商起新的IKE SA和IPSec SA时,无需处理此现象。如果两端设备无法重协商起新的IKE SA和IPSec SA,则建议在本端设备上执行命令undo ikev1 phase1-phase2 sa dependent配置IKEv1协商时IPSec SA的存在不依赖于IKE SA。维护 > 配置结果 > 站点配置状态

  • 原因:exchange timeout

    以租户管理员登录iMaster NCE-Campus,在主菜单中选择维护 > 诊断 > Ping,在“任务列表”区域检查对应设备的链路状态。

  • 原因:kick old sa with same flow

    请执行命令ipsec remote traffic-identical accept,使能保护相同数据流的新用户接入总部功能。

  • 原因:aaa cut user、disconnect track nqa/bfd/vrrp、modecfg address soft expiry、re-auth timeout、phase1 sa replace、phase2 sa replace、spi conflict、nhrp notify

    此现象无需处理。

告警清除

此告警修复后,系统会自动清除此告警,当前告警页面将不再显示该告警,无需手工清除。此告警需手动清除。

相关文档