在 IPsec VPN 会话或隧道关闭时,将引发警报,并在 NSX Manager 用户界面上的警报仪表板或 VPN 页面上显示关闭警报的原因。

解决方案

可以使用下表以查找在 NSX Manager 用户界面上看到的原因消息,并查看关闭警报的可能原因。要解决该警报,请执行为关闭警报的特定原因消息和可能原因列出的所需操作。

表 1. IPsec VPN 会话关闭警报的原因和解决方案
IPsec VPN 会话关闭警报的原因 可能的原因 解决警报消息所需的操作
身份验证失败 由于身份验证失败,在 VPN 网关之间建立 IKE SA 失败。IKE SA 身份验证取决于预共享密钥、本地 ID 和远程 ID 值。
  • 验证Local IDRemote ID 值。必须在对等 VPN 网关中将本地 ID 值设置为远程 ID 值。
  • 验证Pre-shared Key值。在两个 VPN 网关中,它必须完全匹配。
未选择建议 本地和对等体配置文件中的 IKE 转换配置不一致。 确保为两个网关配置的以下属性是相同的。
  • DH groups
  • Digest and encryption algorithms
对等体发送了删除 对等网关启动了删除操作。IKE SA 收到了 DELETE 负载。 要确定对等网关为何发送 DELETE 负载,请检查 NSX Edge 和对等网关端上的 syslog。
对等体没有响应 IKE SA 协商超时。
  • 验证远程网关是否已启动。
  • 验证到远程网关的连接。
语法无效
  • IKE 建议或转换格式不正确。
  • IKE 负载格式不正确。
要调试无效的语法,请分析 Edge syslog。
SPI 无效 在 IKE 负载中收到无效的 SPI 值。 要调试无效的 SPI 值,请分析 Edge syslog。
配置失败 由于某些限制或条件,NSX Edge 中的会话配置实现失败。将在会话转储中的 Session_Config_Fail_Reason 下面列出原因。 使用会话转储中的 Session_Config_Fail_Reason 下面显示的原因解决错误。
未启动协商 尚未启动 IKE SA 协商。
  • 验证会话配置中的 Connection Initiation Mode 属性是否设置为 Respond Only
  • 验证两个网关的 VPN 配置。必须至少将其中一个网关设置为 Initiator
未启用 IPsec 服务 用于会话的 VPN 服务未处于活动状态。 验证是否未启用 IPsec VPN 服务配置中的管理状态。
未启用会话 管理员未启用会话。 启用会话以解决该错误。
SR 未处于活动状态 SR 处于备用状态。 验证 HA 对等 SR 处于活动状态的 NSX Edge 节点上的 VPN 会话状态。
表 2. IPsec VPN 隧道关闭警报的原因和解决方案
IPsec VPN 隧道关闭警报的原因 可能的原因 解决警报消息所需的操作
对等体发送了删除 对等网关为 IPSEC SA 发送了 DELETE 负载。 要了解对等网关为何发送 DELETE 负载,您必须检查 NSX Edge 和对等网关端上的 syslog。
未选择建议 ESP 转换配置在本地和对等网关配置中不一致。 确保为两个网关配置的以下属性是相同的。
  • DH groups
  • Digest and encryption algorithms
  • 是否激活了 PFS
TS 不可接受 由于隧道配置的网关之间的策略规则定义不匹配,IPsec SA 设置失败。 检查两个网关上的本地和远程网络配置。
IKE SA 关闭 IKE SA 会话关闭。 首先,在 Edge syslog 中检查会话关闭原因。请参阅上表中的“所需的操作”列,以解决会话关闭错误,然后检查隧道关闭原因是否仍然存在。
语法无效
  • 建议或转换格式不正确。
  • 负载格式不正确。
要调试无效的语法,请分析 Edge syslog。
SPI 无效 在 ESP 负载中收到无效的 SPI 值。 要调试无效的 SPI 值,请分析 Edge syslog。
没有 IKE 对等体 所有 IKE 对等体处于不活动状态。没有剩下任何对等网关,无法尝试与之建立连接。
  • 检查远程网关是否已启动。
  • 检查到配置的对等网关的连接。
未启动 IPsec 协商 尚未启动 IPsec SA 协商。 尚未启动 IKE SA。在 Edge syslog 中检查会话关闭原因并解决这些错误。