文档首页/ 华为乾坤/ 更多文档/ 设备告警处理/ WAC&AP告警/ ALM-303046755 IPSec隧道协商失败
更新时间:2024-06-13 GMT+08:00
分享

ALM-303046755 IPSec隧道协商失败

告警解释

IPSEC/4/IPSECNEGOFAIL: OID [OID] IPSec tunnel negotiation fails. (Ifindex=[Ifindex], SeqNum=[SeqNum], Reason=[Reason], ReasonCode=[ReasonCode], PeerAddress=[PeerAddress], PeerPort=[PeerPort], VsysName=[vsys-name], InterfaceName=[InterfaceName], ConnID=[ConnID])

IPSec隧道协商失败。

告警属性

告警ID

告警级别

告警类型

303046755

提示

通信告警

告警参数

参数名称

参数含义

OID

该告警所对应的MIB节点的OID号。

Ifindex

IPSec隧道所对应的接口索引。

SeqNum

IPSec安全策略的顺序号。

Reason

IPSec隧道协商失败的原因。

ReasonCode

IPSec隧道协商失败原因码。
  • 1:phase1 proposal mismatch
  • 2:phase2 proposal or pfs mismatch
  • 3:encapsulation mode mismatch
  • 4:flow or peer mismatch
  • 5:version mismatch
  • 6:responder dh mismatch
  • 7:initiator dh mismatch
  • 12:peer address mismatch
  • 13:config ID mismatch
  • 14:construct local ID fail
  • 15:authentication fail
  • 16:rekey no find old sa
  • 17:rekey fail
  • 18:first packet limited
  • 21:invalid cookie
  • 24:invalid length
  • 26:unsupported version
  • 28:malformed payload
  • 30:malformed message
  • 31:cookie mismatch
  • 32:exchange mode mismatch
  • 33:unknown exchange type
  • 34:critical drop
  • 35:uncritical drop
  • 36:route limit
  • 39:local address mismatch
  • 40:nat detection fail
  • 41:ipsec tunnel number reaches limitation
  • 42:dynamic peers number reaches limitation
  • 46:flow conflict
  • 48:netmask mismatch
  • 49:no policy applied on interface
  • 50:fragment packet limit
  • 51:fragment packet reassemble timeout
  • 52:form cert payload fail
  • 53:max transmit reached
  • 54:no valid local cert

PeerAddress

对端的IP地址。

PeerPort

对端的UDP端口号。

vsys-name

IPSec策略所属的虚拟系统的名称。

说明:

设备不支持该参数。

InterfaceName

ConnID

接口名称。

安全联盟的连接索引。

对系统的影响

IPSec隧道无法建立成功。

可能原因

IPSec隧道建立失败的常见原因如下所示:

  • phase1 proposal mismatch:两端IKE安全提议参数不匹配。
  • phase2 proposal or pfs mismatch:两端IPSec安全提议参数、PFS算法或Security ACL不匹配。
  • responder dh mismatch:响应方的DH算法不匹配。
  • initiator dh mismatch:发起方的DH算法不匹配。
  • encapsulation mode mismatch:封装模式不匹配。
  • flow or peer mismatch:两端Security ACL或IKE Peer地址不匹配。
  • version mismatch:两端IKE版本号不匹配。
  • peer address mismatch:两端的IKE Peer地址不匹配。
  • config ID mismatch:根据ID未找到匹配的IKE Peer。
  • exchange mode mismatch:两端的协商模式不匹配。
  • authentication fail:身份认证失败。
  • construct local ID fail:构造本端ID失败。
  • rekey no find old sa:重协商时找不到旧的SA。
  • rekey fail:重协商时旧的SA正在下线。
  • first packet limited:首包限速。
  • unsupported version:不支持的IKE版本号。
  • malformed message:畸形消息。
  • malformed payload:畸形载荷。
  • critical drop:未识别的critical载荷。
  • cookie mismatch:Cookie不匹配。
  • invalid cookie:无效Cookie。
  • invalid length:报文长度非法。
  • unknown exchange type:未知的协商模式。
  • uncritical drop:未识别的非critical载荷。
  • route limit:路由注入的数目达到规格。
  • local address mismatch:IKE协商时的本端IP地址和接口IP地址不匹配。
  • dynamic peers number reaches limitation:IKE对等体数达到规格。
  • ipsec tunnel number reaches limitation:IPSec隧道数达到规格。
  • netmask mismatch:开启IPSec掩码过滤功能后,掩码不匹配。
  • flow confict:数据流冲突。
  • proposal mismatch or use sm in ikev2:IPSec安全提议不匹配或者IKEv2使用SM算法。
  • no policy applied on interface:没有策略应用到接口上。
  • nat detection fail:NAT探测失败。
  • fragment packet limit:分片报文超规格。
  • fragment packet reassemble timeout:分片报文重组超时。
  • max transmit reached:IKE重传报文达到最大次数后,隧道协商失败。
  • no valid local cert:没有合法的CA/LOCAL证书。

处理步骤

  • 原因:phase1 proposal mismatch

    请查看两端的IKE安全提议参数,并执行相应的命令将不匹配的参数修改一致。

  • 原因:phase2 proposal or pfs mismatch

    请查看两端的IPSec安全提议参数或PFS算法,并执行相应的命令将不匹配的参数修改一致。

  • 原因:responder dh mismatch、initiator dh mismatch

    请查看两端的DH算法,并执行相应的命令将DH算法修改一致。

  • 原因:encapsulation mode mismatch

    请查看两端的封装模式,并执行相应的命令将封装模式修改一致。

  • 原因:peer address mismatch

    请查看两端的IKE对等体地址,并执行相应的命令修改不匹配的IKE对等体地址。

  • 原因:config ID mismatch

    请查看身份认证参数,例如ID类型和ID值,执行相应的命令修改不匹配的参数。

  • 原因:authentication fail

    请查看两端的IKE安全提议参数或IKE对等体参数,并执行相应的命令将两端的参数修改一致。

  • 原因:exchange mode mismatch

    请查看两端的IKEv1阶段1协商模式,并执行相应的命令将两端的协商模式修改一致。

  • 原因:route limit

    请更换路由注入规格更高的设备,并合理规划网络。

  • 原因:local address mismatch

    请查看IKE协商时的本端IP地址和接口IP地址,并执行相应的命令将地址修改一致。

  • 原因:ipsec tunnel number reaches limitation

    请删除不必要的IPSec隧道或设备扩容。

  • 原因:dynamic peers number reaches limitation

    请设备扩容,并合理规划网络。

  • 原因:flow confict

    请查看两端的ACL规则,并执行相应的命令将ACL规则修改正确。

  • 原因:netmask mismatch

    请修改分支或总部保护的IPSec数据流范围,使得各分支和总部协商的数据流不存在交集。

  • 原因:no policy applied on interface

    请在接口上应用相应的IPSec策略。

  • 原因:fragment packet limit

    收到的分片报文数超过规格,请合理调整对端设备的MTU值。

  • 原因:fragment packet reassemble timeout

    请确保两端链路正常及设备状态正常。

  • 原因:max transmit reached

    请检查网络坏境是否正常。

  • 原因:no valid local cert

    请使用合法的CA/LOCAL证书。

  • 非以上原因或问题仍未解决时,请收集相应的信息,并联系技术支持人员。

相关文档