更新时间:2024-06-13 GMT+08:00
分享

ALM-4285734913 IPSec隧道删除

告警解释

IPSEC/4/IPSECTUNNELSTOP: OID [OID] The IPSec tunnel is deleted. (Ifindex=[Ifindex], SeqNum=[SeqNum],TunnelIndex=[TunnelIndex], RuleNum=[RuleNum], DstIP=[DstIP], InsideIP=[InsideIP], RemotePort=[RemotePort], CpuID=[CpuID], SrcIP=[SrcIP], FlowInfo=[FlowInfo], OfflineReason=[offlinereason], VsysName=[vsys-name], InterfaceName=[InterfaceName], SlotID=[SlotID])

删除IPSec tunnel。

告警属性

告警ID

告警级别

告警类型

4285734913

重要

通信告警

告警参数

参数名称

参数含义

OID

该告警所对应的MIB节点的OID号。

Ifindex

接口索引。

SeqNum

策略号。

TunnelIndex

隧道索引。

RuleNum

规则号。

DstIP

隧道远端的IP地址。

InsideIP

隧道远端内网的IP地址。

RemotePort

隧道远端端口号。

CpuID

CPU号。

SrcIP

隧道本端的IP地址。

FlowInfo

隧道的数据流信息,包括源地址、目的地址、ACL端口号、ACL协议号和DSCP。

offlinereason

隧道被删除的原因。

vsys-name

IPSec策略所属的虚拟系统的名称。

说明:

设备不支持该参数。

InterfaceName

接口名称。

SlotID

Slot号。

说明:

设备不支持该参数。

对系统的影响

IPSec隧道被删除。

可能原因

隧道被删除原因:

  • dpd timeout:DPD探测超时。
  • config modify or manual offline:修改配置导致SA被删除或者手动清除SA。
  • modecfg address soft expiry:Remote端向Server端申请的IP地址租期到期。
  • re-auth timeout:重认证超时导致SA被删除。
  • aaa cut user:AAA模块强制用户下线导致SA被删除。
  • kick old sa with same flow:相同的流接入时删除老的SA。
  • spi conflict:SPI冲突。
  • phase1 sa replace:新IKE SA替换老的IKE SA。
  • phase2 sa replace:新IPSec SA替换老的IPSec SA。
  • disconnect track nqa/bfd/vrrp:根据NQA测试例、NQA组、VRRP、BFD会话或BFD组的状态拆除IPSec隧道。
  • receive invalid spi notify:收到无效SPI通知。
  • dns resolution status change:DNS解析状态发生改变。
  • ikev1 phase1-phase2 sa dependent offline:设备删除IKEv1 SA时删除其关联的IPSec SA。
  • exchange timeout:报文交互超时。

处理步骤

  • 原因:dpd timeout

    以租户管理员登录iMaster NCE-Campus,在主菜单中选择维护 > 诊断 > Ping,在“任务列表”区域检查对应设备的链路状态。

    • 如果链路状态正常,则无需处理。
    • 如果链路状态不正常,请排查链路和网络配置是否正确。
  • 原因:config modify or manual offline
    1. 请检查是否手动执行Reset SA操作,如果是,则无需处理。
    2. 以租户管理员登录iMaster NCE-Campus,在主菜单中选择维护 > 配置结果 > 站点配置状态
    3. “配置结果”页签中,单击设备名称左侧的选择“特性列表”页签中IPSec,单击“查看详情”,检查对应设备的ipsec特性的状态。
      • 如果链路状态正常,则无需处理。
      • 如果链路状态不正常,请修改IPSec相关配置。
  • 原因:receive invalid spi notify

    如果频繁出现此现象,请检查对端设备状态、配置等是否异常。

    1. 检查设备状态。

      以租户管理员登录iMaster NCE-Campus,在主菜单中选择资源中心 > 设备管理,检查对应设备状态。

      • 如果状态正常,则无需处理。
      • 如果状态不正常,请单击设备名称进入详情页面,查找对应原因处理。
    2. 检查对端设备IPSec和NHRP的状态。
      1. 请执行命令display nhrp peer查看NHRP peer表信息来快速定位故障点。
      2. 请执行命令display ike sa查看SA状态,如果IKE SA没有建立,说明IPSec隧道建立失败。
  • 原因:dns resolution status change
    1. 请确保设备与DNS服务器链路正常。
    2. 请确保DNS服务器的服务正常。
    3. 请确保命令remote-address host-name配置的域名正确。
  • 原因:ikev1 phase1-phase2 sa dependent offline

    两端设备能正常重协商起新的IKE SA和IPSec SA时,无需处理此现象。如果两端设备无法重协商起新的IKE SA和IPSec SA,则以租户管理员登录iMaster NCE-Campus在主菜单中选择维护 > 配置结果 > 站点配置状态

    “配置结果”页签中,单击设备名称左侧的选择“特性列表”页签中IPSec,单击“查看详情”,检查对应设备的ipsec特性的状态。

    • 如果链路状态正常,则无需处理。
    • 如果链路状态不正常,请修改IPSec相关配置。
  • 原因:exchange timeout

    以租户管理员登录iMaster NCE-Campus,在主菜单中选择维护 > 诊断 > Ping,在“任务列表”区域检查对应设备的链路状态。

    • 如果链路状态正常,则无需处理。
    • 如果链路状态不正常,请排查链路和网络配置是否正确。
  • 原因:kick old sa with same flow

    请执行命令ipsec remote traffic-identical accept,使能保护相同数据流的新用户接入总部功能。

  • 原因:aaa cut user、disconnect track nqa/bfd/vrrp、modecfg address soft expiry、re-auth timeout、phase1 sa replace、phase2 sa replace、spi conflict

    此现象无需处理。

告警清除

此告警需手动清除。

分享:

    相关文档

    相关产品