在 IPsec VPN 会话或隧道关闭时,将引发警报,并在 NSX Manager 用户界面上的警报仪表板或 VPN 页面上显示关闭警报的原因。

解决方案

可以使用下表以查找在 NSX Manager 用户界面上看到的原因消息,并查看关闭警报的可能原因。要解决该警报,请执行为关闭警报的特定原因消息和可能原因列出的所需操作。

表 1. IPsec VPN 会话关闭警报的原因和解决方案
IPsec VPN 会话关闭警报的原因 可能的原因 解决警报消息所需的操作
身份验证失败 由于身份验证失败,在 VPN 网关之间建立 IKE SA 失败。IKE SA 身份验证取决于预共享密钥、本地 ID 和远程 ID 值。
  • 验证Local IDRemote ID 值。必须在对等 VPN 网关中将本地 ID 值设置为远程 ID 值。
  • 验证Pre-shared Key值。在两个 VPN 网关中,它必须完全匹配。
未选择建议 本地和对等体配置文件中的 IKE 转换配置不一致。 确保为两个网关配置的以下属性是相同的。
  • DH groups
  • Digest and encryption algorithms
对等体发送了删除 对等网关启动了删除操作。IKE SA 收到了 DELETE 负载。 要确定对等网关为何发送 DELETE 负载,请检查 NSX Edge 和对等网关端中的日志。
对等体没有响应 IKE SA 协商超时。
  • 验证远程网关是否已启动。
  • 验证到远程网关的连接。
语法无效
  • IKE 建议或转换格式不正确。
  • IKE 负载格式不正确。
要调试无效的语法,请分析日志。
SPI 无效 在 IKE 负载中收到无效的 SPI 值。 要调试无效的 SPI 值,请分析日志。
配置失败 由于某些限制或条件,NSX Edge 中的会话配置实现失败。将在会话转储中的 Session_Config_Fail_Reason 下面列出原因。 使用会话转储中的 Session_Config_Fail_Reason 下面显示的原因解决错误。
未启动协商 尚未启动 IKE SA 协商。
  • 验证会话配置中的 Connection Initiation Mode 属性是否设置为 Responder
  • 验证对等体配置是否将至少一个网关设置为 Initiator
IPsec 服务未处于活动状态 用于会话的 VPN 服务未处于活动状态。 验证是否禁用了 IPsec VPN 服务配置中的管理状态。
会话已禁用 管理员已禁用会话。 启用会话以解决该错误。
SR 未处于活动状态 SR 处于备用状态。 验证 HA 对等 SR 所在的 NSX Edge 节点上的 VPN 会话是否处于活动状态。
表 2. IPsec VPN 隧道关闭警报的原因和解决方案
IPsec VPN 隧道关闭警报的原因 可能的原因 解决警报消息所需的操作
对等体发送了删除 对等网关为 IPSEC SA 发送了 DELETE 负载。 要了解对等网关为何发送 DELETE 负载,您必须检查 NSX Edge 和对等网关端中的日志。
未选择建议 ESP 转换配置在本地和对等网关配置中不一致。 确保为两个网关配置的以下属性是相同的。
  • DH groups
  • Digest and encryption algorithms
  • 是否激活了 PFS
TS 不可接受 由于隧道配置的网关之间的策略规则定义不匹配,IPsec SA 设置失败。 检查两个网关上的本地和远程网络配置。
IKE SA 关闭 IKE SA 会话关闭。 检查日志中列出的会话关闭原因并解决这些错误。
语法无效
  • 建议或转换格式不正确。
  • 负载格式不正确。
要调试无效的语法,请分析日志。
SPI 无效 在 ESP 负载中收到无效的 SPI 值。 要调试无效的 SPI 值,请分析日志。
没有 IKE 对等体 所有 IKE 对等体处于不活动状态。没有剩下任何对等网关,无法尝试与之建立连接。
  • 检查远程网关是否已启动。
  • 检查到配置的对等网关的连接。
未启动 IPsec 协商 尚未启动 IPsec SA 协商。 尚未启动 IKE SA。检查日志中列出的会话关闭原因并解决这些错误。