更新时间:2024-09-03 GMT+08:00
分享

ALM-4285734925 IPSec隧道协商失败

告警解释

IPSEC/4/IPSECNEGOFAIL: OID [OID] IPSec tunnel negotiation fails. (Ifindex=[Ifindex], SeqNum=[SeqNum], Reason=[Reason], ReasonCode=[ReasonCode], PeerAddress=[PeerAddress], PeerPort=[PeerPort], VsysName=[vsys-name], InterfaceName=[InterfaceName])

IPSec隧道协商失败。

告警属性

告警ID

OID

告警级别

告警类型

4285734925

1.3.6.1.4.1.2011.6.122.26.6.14

提示

通讯告警

告警参数

参数名称

参数含义

OID

该告警所对应的MIB节点的OID号。

Ifindex

IPSec隧道所对应的接口索引。

SeqNum

IPSec安全策略的顺序号。

Reason

IPSec隧道协商失败的原因。

ReasonCode

IPSec隧道协商失败原因码。

  • 1:phase1 proposal mismatch
  • 2:phase2 proposal or pfs mismatch
  • 3:encapsulation mode mismatch
  • 4:flow or peer mismatch
  • 5:version mismatch
  • 6:responder dh mismatch
  • 7:initiator dh mismatch
  • 10:ip assigned fail
  • 12:peer address mismatch
  • 13:config ID mismatch
  • 14:construct local ID fail
  • 15:authentication fail
  • 16:rekey no find old sa
  • 17:rekey fail
  • 18:first packet limited
  • 21:invalid cookie
  • 24:invalid length
  • 26:unsupported version
  • 28:malformed payload
  • 30:malformed message
  • 31:cookie mismatch
  • 32:exchange mode mismatch
  • 33:unknown exchange type
  • 34:critical drop
  • 35:uncritical drop
  • 36:route limit
  • 39:local address mismatch
  • 40:nat detection fail
  • 41:ipsec tunnel number reaches limitation
  • 42:dynamic peers number reaches limitation
  • 43:none of user's interface is selected
  • 44:in disconnect state
  • 45:proposal mismatch or use sm in ikev2
  • 46:flow conflict
  • 47:ikev2 not support sm in ipsec proposal
  • 48:netmask mismatch
  • 49:no policy applied on interface
  • 50:fragment packet limit
  • 51:fragment packet reassemble timeout
  • 52:form cert payload fail
  • 53:max transmit reached
  • 54:no valid local cert

PeerAddress

对端的IP地址。

PeerPort

对端的UDP端口号。

vsys-name

IPSec策略所属的虚拟系统的名称。

说明:

设备不支持该参数。

InterfaceName

接口名称。

ConnID

安全联盟的连接索引。

对系统的影响

IPSec隧道无法建立成功。

可能原因

IPSec隧道建立失败的常见原因如下所示:

  • phase1 proposal mismatch:两端IKE安全提议参数不匹配。
  • phase2 proposal or pfs mismatch:两端IPSec安全提议参数、PFS算法或Security ACL不匹配。
  • responder dh mismatch:响应方的DH算法不匹配。
  • initiator dh mismatch:发起方的DH算法不匹配。
  • encapsulation mode mismatch:封装模式不匹配。
  • flow or peer mismatch:两端Security ACL或IKE Peer地址不匹配。
  • version mismatch:两端IKE版本号不匹配。
  • peer address mismatch:两端的IKE Peer地址不匹配或配置IKE协商时指定的VPN实例的名称与协商IPSec隧道的物理接口上绑定的VPN实例不同。
  • config ID mismatch:根据ID未找到匹配的IKE Peer。
  • exchange mode mismatch:两端的协商模式不匹配。
  • authentication fail:身份认证失败。
  • construct local ID fail:构造本端ID失败。
  • rekey no find old sa:重协商时找不到旧的SA。
  • rekey fail:重协商时旧的SA正在下线。
  • first packet limited:首包限速。
  • unsupported version:不支持的IKE版本号。
  • malformed message:畸形消息。
  • malformed payload:畸形载荷。
  • critical drop:未识别的critical载荷。
  • cookie mismatch:Cookie不匹配。
  • invalid cookie:无效Cookie。
  • invalid length:报文长度非法。
  • unknown exchange type:未知的协商模式。
  • uncritical drop:未识别的非critical载荷。
  • route limit:路由注入的数目达到规格。
  • ip assigned fail:IP地址分配失败。
  • local address mismatch:IKE协商时的本端IP地址和接口IP地址不匹配。
  • dynamic peers number reaches limitation:IKE对等体数达到规格。
  • ipsec tunnel number reaches limitation:IPSec隧道数达到规格。
  • in disconnect state:在disconnect状态拆除IPSec隧道。
  • netmask mismatch:开启IPSec掩码过滤功能后,掩码不匹配。
  • flow confict:数据流冲突。
  • proposal mismatch or use sm in ikev2:IPSec安全提议不匹配或者IKEv2使用SM算法。
  • ikev2 not support sm in ipsec proposal ikev2:IKEv2不支持IPSec安全提议的SM算法。
  • no policy applied on interface:没有策略应用到接口上。
  • none of user's interface is selected:根据对端ID选取用户表中Tunnel接口失败。
  • nat detection fail:NAT探测失败。
  • fragment packet limit:分片报文超规格。
  • fragment packet reassemble timeout:分片报文重组超时。

处理步骤

  • 原因:phase1 proposal mismatch

    请查看两端的IKE安全提议参数,并执行相应的命令将不匹配的参数修改一致。

  • 原因:phase2 proposal or pfs mismatch

    请查看两端的IPSec安全提议参数或PFS算法,并执行相应的命令将不匹配的参数修改一致。

  • 原因:responder dh mismatch、initiator dh mismatch

    请查看两端的DH算法,并执行相应的命令将DH算法修改一致。

  • 原因:encapsulation mode mismatch

    请查看两端的封装模式,并执行相应的命令将封装模式修改一致。

  • 原因:eap authentication timeout、eap authentication fail、xauth authentication fail、xauth authentication timeout

    请确保客户端的用户名和密码正确,以及确保用户接入的相关配置正确。

  • 原因:ip assigned fail

    请确保AAA和IPSec的相关配置正确,例如IP Pool、AAA业务方案、为IKE用户分配的IP地址。

  • 原因:peer address mismatch

    请查看两端的IKE对等体地址,并执行相应的命令修改不匹配的IKE对等体地址。

  • 原因:config ID mismatch

    请查看身份认证参数,例如ID类型和ID值,执行相应的命令修改不匹配的参数。

  • 原因:authentication fail

    请查看两端的IKE安全提议参数或IKE对等体参数,并执行相应的命令将两端的参数修改一致。

  • 原因:license or specification limited

    请根据需要申请License或扩容。

  • 原因:exchange mode mismatch

    请查看两端的IKEv1阶段1协商模式,并执行相应的命令将两端的协商模式修改一致。

  • 原因:route limit

    请更换路由注入规格更高的设备,并合理规划网络。

  • 原因:local address mismatch

    请查看IKE协商时的本端IP地址和接口IP地址,并执行相应的命令将地址修改一致。

  • 原因:ipsec tunnel number reaches limitation

    请删除不必要的IPSec隧道或设备扩容。

  • 原因:dynamic peers number reaches limitation

    请设备扩容,并合理规划网络。

  • 原因:none of user's interface is selected

    请查看IKE用户表中ID类型和ID值、IKE用户关联的接口,并执行相应的命令修改不匹配的参数。

  • 原因:in disconnect state

    请用户根据IPSec链路探测结果检查链路或设备是否正常。

  • 原因: proposal mismatch or use sm in ikev2、ikev2 not support sm in ipsec proposal

    请查看IPSec安全提议中IKEv2使用的算法,并执行相应的命令将算法修改正确。

  • 原因:flow confict

    请查看两端的ACL规则,并执行相应的命令将ACL规则修改正确。

  • 原因:netmask mismatch

    请修改分支或总部保护的IPSec数据流范围,使得各分支和总部协商的数据流不存在交集。

  • 原因:no policy applied on interface

    请在接口上应用相应的IPSec策略。

  • 原因:fragment packet limit

    收到的分片报文数超过规格,请合理调整对端设备的MTU值。

  • 原因:fragment packet reassemble timeout

    请确保两端链路正常及设备状态正常。

  • 原因:max transmit reached

    请检查网络坏境是否正常。

  • 原因:no valid local cert

    请使用合法的CA/LOCAL证书。

  • 非以上原因或问题仍未解决时,请收集相应的信息,并联系技术支持人员。

相关文档