在 IPsec VPN 会话或隧道关闭时,将引发警报,并在 NSX Manager 用户界面上的警报仪表板或 VPN 页面上显示关闭警报的原因。
解决方案
可以使用下表以查找在 NSX Manager 用户界面上看到的原因消息,并查看关闭警报的可能原因。要解决该警报,请执行为关闭警报的特定原因消息和可能原因列出的所需操作。
| IPsec VPN 会话关闭警报的原因 | 可能的原因 | 解决警报消息所需的操作 |
|---|---|---|
| 身份验证失败 | 由于身份验证失败,在 VPN 网关之间建立 IKE SA 失败。IKE SA 身份验证取决于预共享密钥、本地 ID 和远程 ID 值。 |
|
| 未选择建议 | 本地和对等体配置文件中的 IKE 转换配置不一致。 | 确保为两个网关配置的以下属性是相同的。
|
| 对等体发送了删除 | 对等网关启动了删除操作。IKE SA 收到了 DELETE 负载。 | 要确定对等网关为何发送 DELETE 负载,请检查 NSX Edge 和对等网关端上的 syslog。 |
| 对等体没有响应 | IKE SA 协商超时。 |
|
| 语法无效 |
|
要调试无效的语法,请分析 Edge syslog。 |
| SPI 无效 | 在 IKE 负载中收到无效的 SPI 值。 | 要调试无效的 SPI 值,请分析 Edge syslog。 |
| 配置失败 | 由于某些限制或条件,NSX Edge 中的会话配置实现失败。将在会话转储中的 Session_Config_Fail_Reason 下面列出原因。 | 使用会话转储中的 Session_Config_Fail_Reason 下面显示的原因解决错误。 |
| 未启动协商 | 尚未启动 IKE SA 协商。 |
|
| 未启用 IPsec 服务 | 用于会话的 VPN 服务未处于活动状态。 | 验证是否未启用 IPsec VPN 服务配置中的管理状态。 |
| 未启用会话 | 管理员未启用会话。 | 启用会话以解决该错误。 |
| SR 未处于活动状态 | SR 处于备用状态。 | 验证 HA 对等 SR 处于活动状态的 NSX Edge 节点上的 VPN 会话状态。 |
| IPsec VPN 隧道关闭警报的原因 | 可能的原因 | 解决警报消息所需的操作 |
|---|---|---|
| 对等体发送了删除 | 对等网关为 IPSEC SA 发送了 DELETE 负载。 | 要了解对等网关为何发送 DELETE 负载,您必须检查 NSX Edge 和对等网关端上的 syslog。 |
| 未选择建议 | ESP 转换配置在本地和对等网关配置中不一致。 | 确保为两个网关配置的以下属性是相同的。
|
| TS 不可接受 | 由于隧道配置的网关之间的策略规则定义不匹配,IPsec SA 设置失败。 | 检查两个网关上的本地和远程网络配置。 |
| IKE SA 关闭 | IKE SA 会话关闭。 | 首先,在 Edge syslog 中检查会话关闭原因。请参阅上表中的“所需的操作”列,以解决会话关闭错误,然后检查隧道关闭原因是否仍然存在。 |
| 语法无效 |
|
要调试无效的语法,请分析 Edge syslog。 |
| SPI 无效 | 在 ESP 负载中收到无效的 SPI 值。 | 要调试无效的 SPI 值,请分析 Edge syslog。 |
| 没有 IKE 对等体 | 所有 IKE 对等体处于不活动状态。没有剩下任何对等网关,无法尝试与之建立连接。 |
|
| 未启动 IPsec 协商 | 尚未启动 IPsec SA 协商。 | 尚未启动 IKE SA。在 Edge syslog 中检查会话关闭原因并解决这些错误。 |
