ALM-303046755 IPSec隧道协商失败

告警解释

IPSEC/4/IPSECNEGOFAIL: OID [OID] IPSec tunnel negotiation fails. (Ifindex=[Ifindex], SeqNum=[SeqNum], Reason=[Reason], ReasonCode=[ReasonCode], PeerAddress=[PeerAddress], PeerPort=[PeerPort], VsysName=[vsys-name], InterfaceName=[InterfaceName], ConnID=[ConnID])

IPSec隧道协商失败。

告警属性

告警参数

对系统的影响

IPSec隧道无法建立成功。

可能原因

IPSec隧道建立失败的常见原因如下所示：

• phase1 proposal mismatch：两端IKE安全提议参数不匹配。
• phase2 proposal or pfs mismatch：两端IPSec安全提议参数、PFS算法或Security ACL不匹配。
• responder dh mismatch：响应方的DH算法不匹配。
• initiator dh mismatch：发起方的DH算法不匹配。
• encapsulation mode mismatch：封装模式不匹配。
• flow or peer mismatch：两端Security ACL或IKE Peer地址不匹配。
• version mismatch：两端IKE版本号不匹配。
• peer address mismatch：两端的IKE Peer地址不匹配。
• config ID mismatch：根据ID未找到匹配的IKE Peer。
• exchange mode mismatch：两端的协商模式不匹配。
• authentication fail：身份认证失败。
• construct local ID fail：构造本端ID失败。
• rekey no find old sa：重协商时找不到旧的SA。
• rekey fail：重协商时旧的SA正在下线。
• first packet limited：首包限速。
• unsupported version：不支持的IKE版本号。
• malformed message：畸形消息。
• malformed payload：畸形载荷。
• critical drop：未识别的critical载荷。
• cookie mismatch：Cookie不匹配。
• invalid cookie：无效Cookie。
• invalid length：报文长度非法。
• unknown exchange type：未知的协商模式。
• uncritical drop：未识别的非critical载荷。
• route limit：路由注入的数目达到规格。
• local address mismatch：IKE协商时的本端IP地址和接口IP地址不匹配。
• dynamic peers number reaches limitation：IKE对等体数达到规格。
• ipsec tunnel number reaches limitation：IPSec隧道数达到规格。
• netmask mismatch：开启IPSec掩码过滤功能后，掩码不匹配。
• flow confict：数据流冲突。
• proposal mismatch or use sm in ikev2：IPSec安全提议不匹配或者IKEv2使用SM算法。
• no policy applied on interface：没有策略应用到接口上。
• nat detection fail：NAT探测失败。
• fragment packet limit：分片报文超规格。
• fragment packet reassemble timeout：分片报文重组超时。
• max transmit reached：IKE重传报文达到最大次数后，隧道协商失败。
• no valid local cert：没有合法的CA/LOCAL证书。

处理步骤

• 原因：phase1 proposal mismatch

  请查看两端的IKE安全提议参数，并执行相应的命令将不匹配的参数修改一致。

• 原因：phase2 proposal or pfs mismatch

  请查看两端的IPSec安全提议参数或PFS算法，并执行相应的命令将不匹配的参数修改一致。

• 原因：responder dh mismatch、initiator dh mismatch

  请查看两端的DH算法，并执行相应的命令将DH算法修改一致。

• 原因：encapsulation mode mismatch

  请查看两端的封装模式，并执行相应的命令将封装模式修改一致。

• 原因：peer address mismatch

  请查看两端的IKE对等体地址，并执行相应的命令修改不匹配的IKE对等体地址。

• 原因：config ID mismatch

  请查看身份认证参数，例如ID类型和ID值，执行相应的命令修改不匹配的参数。

• 原因：authentication fail

  请查看两端的IKE安全提议参数或IKE对等体参数，并执行相应的命令将两端的参数修改一致。

• 原因：exchange mode mismatch

  请查看两端的IKEv1阶段1协商模式，并执行相应的命令将两端的协商模式修改一致。

• 原因：route limit

  请更换路由注入规格更高的设备，并合理规划网络。

• 原因：local address mismatch

  请查看IKE协商时的本端IP地址和接口IP地址，并执行相应的命令将地址修改一致。

• 原因：ipsec tunnel number reaches limitation

  请删除不必要的IPSec隧道或设备扩容。

• 原因：dynamic peers number reaches limitation

  请设备扩容，并合理规划网络。

• 原因：flow confict

  请查看两端的ACL规则，并执行相应的命令将ACL规则修改正确。

• 原因：netmask mismatch

  请修改分支或总部保护的IPSec数据流范围，使得各分支和总部协商的数据流不存在交集。

• 原因：no policy applied on interface

  请在接口上应用相应的IPSec策略。

• 原因：fragment packet limit

  收到的分片报文数超过规格，请合理调整对端设备的MTU值。

• 原因：fragment packet reassemble timeout

  请确保两端链路正常及设备状态正常。

• 原因：max transmit reached

  请检查网络坏境是否正常。

• 原因：no valid local cert

  请使用合法的CA/LOCAL证书。

• 非以上原因或问题仍未解决时，请收集相应的信息，并联系技术支持人员。