Wenn eine IPsec-VPN-Sitzung oder ein Tunnel inaktiv ist, wird ein Alarm ausgelöst. Der Grund für den Alarm Inaktiv wird auf dem Dashboard „Alarme“ oder auf der VPN-Seite auf der NSX Manager-Benutzeroberfläche angezeigt.
Lösung
Verwenden Sie die folgenden Tabellen, um die Grund-Meldung zu finden, die Sie auf der NSX Manager-Benutzeroberfläche sehen, und überprüfen Sie die mögliche Ursache für den Alarm Inaktiv. Um den Alarm zu beheben, führen Sie die erforderlichen Aktionen aus, die für die jeweilige Grund-Meldung und die mögliche Ursache für den Alarm Inaktiv aufgelistet sind.
Grund für den Alarm „IPsec-VPN-Sitzung ist inaktiv“ | Mögliche Ursache | Notwendige Aktionen zum Beheben der Alarmmeldung |
---|---|---|
Authentifizierung fehlgeschlagen | Der IKE-SA-Aufbau zwischen den VPN-Gateways ist aufgrund eines Authentifizierungsfehlers fehlgeschlagen. Die Authentifizierung der IKE-SA richtet sich nach den Werten für den vorinstallierten Schlüssel, die lokale ID und die Remote-ID. |
|
Kein Vorschlag ausgewählt | Die Konfiguration der IKE-Transformation in der Datei für die lokale Konfiguration und die Peer-Konfiguration ist inkonsistent. | Stellen Sie sicher, dass die folgenden Eigenschaften für beide Gateways identisch konfiguriert sind.
|
Löschfall von Peer gesendet | Das Peer-Gateway hat einen Löschfall initiiert. Die Nutzlast LÖSCHEN wird für die IKE-SA empfangen. | Um zu ermitteln, warum das Peer-Gateway die Nutzlast LÖSCHEN gesendet hat, überprüfen Sie die Protokolle im NSX Edge und auf dem Peer-Gateway. |
Peer reagiert nicht | Zeitüberschreitung bei der IKE-SA-Verhandlung. |
|
Ungültige Syntax |
|
Um die ungültige Syntax zu debuggen, analysieren Sie die Protokolle. |
Ungültiger SPI | In der IKE-Nutzlast wurde ein ungültiger SPI-Wert empfangen. | Um den ungültigen SPI-Wert zu debuggen, analysieren Sie die Protokolle. |
Konfiguration fehlgeschlagen | Die Realisierung der Sitzungskonfiguration ist in NSX Edge aufgrund einiger Einschränkungen oder bestimmter Kriterien fehlgeschlagen. Der Grund ist im Speicherabbild der Sitzung unter Session_Config_Fail_Reason aufgeführt. | Beheben Sie den Fehler mit dem im Speicherabbild der Sitzung unter Session_Config_Fail_Reason angezeigten Grund. |
Verhandlung nicht gestartet | Die IKE-SA-Verhandlung wurde nicht gestartet. |
|
IPsec-Dienst ist nicht aktiv | Der Status des VPN-Dienstes, der für die Sitzung verwendet wird, ist nicht aktiv. | Überprüfen Sie, ob der Administratorstatus in der Konfiguration des IPsec-VPN-Dienstes deaktiviert ist. |
Sitzung deaktiviert | Der Administrator hat die Sitzung deaktiviert. | Aktivieren Sie die Sitzung, um diesen Fehler zu beheben. |
SR-Status ist nicht aktiv | SR befindet sich im Standby-Modus. | Vergewissern Sie sich, dass die VPN-Sitzung auf dem NSX Edge-Knoten stattfindet, auf dem sich HA-Peer-SR im aktiven Zustand befindet. |
Grund für den Alarm „IPsec-VPN-Tunnel ist inaktiv“ | Mögliche Ursache | Notwendige Aktionen zum Beheben der Alarmmeldung |
---|---|---|
Löschfall von Peer gesendet | Das Peer-Gateway hat die Nutzlast LÖSCHEN für die IPsec-SA gesendet. | Um zu verstehen, warum das-Peer-Gateway die Nutzlast LÖSCHEN gesendet hat, müssen Sie die Protokolle im NSX Edge und auf dem Peer-Gateway überprüfen. |
Kein Vorschlag ausgewählt | Die Konfiguration der ESP-Transformation ist in den Konfigurationen sowohl für die lokalen als auch für die Peer-Gateways nicht konsistent. | Stellen Sie sicher, dass die folgenden Eigenschaften für beide Gateways identisch konfiguriert sind.
|
TS unzulässig | Das IPsec-SA-Setup ist aufgrund einer Nichtübereinstimmung in der Richtlinienregeldefinition zwischen den Gateways für die Tunnelkonfiguration fehlgeschlagen. | Überprüfen Sie die Konfiguration des lokalen und des Remote-Netzwerks auf beiden Gateways. |
IKE-SA | Die IKE-SA-Sitzung ist inaktiv. | Überprüfen Sie den in den Protokollen aufgeführten Grund für die Sitzungsinaktivität und beheben Sie die Fehler. |
Ungültige Syntax |
|
Um die ungültige Syntax zu debuggen, analysieren Sie die Protokolle. |
Ungültiger SPI | In der ESP-Nutzlast wurde ein ungültiger SPI-Wert empfangen. | Um den ungültigen SPI-Wert zu debuggen, analysieren Sie die Protokolle. |
Keine IKE-Peers | Alle IKE-Peers sind inaktiv. Es sind keine Peer-Gateways übrig, mit denen versucht werden kann, eine Verbindung herzustellen. |
|
IPsec-Verhandlung wurde nicht gestartet | Die IPsec-SA-Verhandlung wurde nicht gestartet. | Die IKE-SA ist noch nicht aktiv. Überprüfen Sie den in den Protokollen aufgeführten Grund für die Sitzungsinaktivität und beheben Sie die Fehler. |