ALM-303046755 IPSec隧道协商失败
告警解释
IPSEC/4/IPSECNEGOFAIL: OID [OID] IPSec tunnel negotiation fails. (Ifindex=[Ifindex], SeqNum=[SeqNum], Reason=[Reason], ReasonCode=[ReasonCode], PeerAddress=[PeerAddress], PeerPort=[PeerPort], VsysName=[vsys-name], InterfaceName=[InterfaceName], ConnID=[ConnID])
IPSec隧道协商失败。
告警属性
告警ID |
告警级别 |
告警类型 |
---|---|---|
303046755 |
提示 |
通信告警 |
告警参数
参数名称 |
参数含义 |
---|---|
OID |
该告警所对应的MIB节点的OID号。 |
Ifindex |
IPSec隧道所对应的接口索引。 |
SeqNum |
IPSec安全策略的顺序号。 |
Reason |
IPSec隧道协商失败的原因。 |
ReasonCode |
IPSec隧道协商失败原因码。
|
PeerAddress |
对端的IP地址。 |
PeerPort |
对端的UDP端口号。 |
vsys-name |
IPSec策略所属的虚拟系统的名称。
说明:
设备不支持该参数。 |
InterfaceName ConnID |
接口名称。 安全联盟的连接索引。 |
对系统的影响
IPSec隧道无法建立成功。
可能原因
IPSec隧道建立失败的常见原因如下所示:
- phase1 proposal mismatch:两端IKE安全提议参数不匹配。
- phase2 proposal or pfs mismatch:两端IPSec安全提议参数、PFS算法或Security ACL不匹配。
- responder dh mismatch:响应方的DH算法不匹配。
- initiator dh mismatch:发起方的DH算法不匹配。
- encapsulation mode mismatch:封装模式不匹配。
- flow or peer mismatch:两端Security ACL或IKE Peer地址不匹配。
- version mismatch:两端IKE版本号不匹配。
- peer address mismatch:两端的IKE Peer地址不匹配。
- config ID mismatch:根据ID未找到匹配的IKE Peer。
- exchange mode mismatch:两端的协商模式不匹配。
- authentication fail:身份认证失败。
- construct local ID fail:构造本端ID失败。
- rekey no find old sa:重协商时找不到旧的SA。
- rekey fail:重协商时旧的SA正在下线。
- first packet limited:首包限速。
- unsupported version:不支持的IKE版本号。
- malformed message:畸形消息。
- malformed payload:畸形载荷。
- critical drop:未识别的critical载荷。
- cookie mismatch:Cookie不匹配。
- invalid cookie:无效Cookie。
- invalid length:报文长度非法。
- unknown exchange type:未知的协商模式。
- uncritical drop:未识别的非critical载荷。
- route limit:路由注入的数目达到规格。
- local address mismatch:IKE协商时的本端IP地址和接口IP地址不匹配。
- dynamic peers number reaches limitation:IKE对等体数达到规格。
- ipsec tunnel number reaches limitation:IPSec隧道数达到规格。
- netmask mismatch:开启IPSec掩码过滤功能后,掩码不匹配。
- flow confict:数据流冲突。
- proposal mismatch or use sm in ikev2:IPSec安全提议不匹配或者IKEv2使用SM算法。
- no policy applied on interface:没有策略应用到接口上。
- nat detection fail:NAT探测失败。
- fragment packet limit:分片报文超规格。
- fragment packet reassemble timeout:分片报文重组超时。
- max transmit reached:IKE重传报文达到最大次数后,隧道协商失败。
- no valid local cert:没有合法的CA/LOCAL证书。
处理步骤
- 原因:phase1 proposal mismatch
- 原因:phase2 proposal or pfs mismatch
- 原因:responder dh mismatch、initiator dh mismatch
- 原因:encapsulation mode mismatch
- 原因:peer address mismatch
- 原因:config ID mismatch
- 原因:authentication fail
- 原因:exchange mode mismatch
- 原因:route limit
- 原因:local address mismatch
- 原因:ipsec tunnel number reaches limitation
- 原因:dynamic peers number reaches limitation
- 原因:flow confict
- 原因:netmask mismatch
- 原因:no policy applied on interface
- 原因:fragment packet limit
- 原因:fragment packet reassemble timeout
- 原因:max transmit reached
- 原因:no valid local cert
- 非以上原因或问题仍未解决时,请收集相应的信息,并联系技术支持人员。