Alarme, wenn eine IPsec-VPN-Sitzung oder ein Tunnel inaktiv ist

Wenn eine IPsec-VPN-Sitzung oder ein Tunnel inaktiv ist, wird ein Alarm ausgelöst. Der Grund für den Alarm Inaktiv wird auf dem Dashboard „Alarme“ oder auf der VPN-Seite auf der NSX Manager-Benutzeroberfläche angezeigt.

Lösung

Verwenden Sie die folgenden Tabellen, um die Grund-Meldung zu finden, die Sie auf der NSX Manager-Benutzeroberfläche sehen, und überprüfen Sie die mögliche Ursache für den Alarm Inaktiv. Um den Alarm zu beheben, führen Sie die erforderlichen Aktionen aus, die für die jeweilige Grund-Meldung und die mögliche Ursache für den Alarm Inaktiv aufgelistet sind.

Tabelle 1. Ursachen und Lösungen für den Alarm „IPsec-VPN-Sitzung ist inaktiv“
Grund für den Alarm „IPsec-VPN-Sitzung ist inaktiv“	Mögliche Ursache	Notwendige Aktionen zum Beheben der Alarmmeldung
`Authentifizierung fehlgeschlagen`	Der IKE-SA-Aufbau zwischen den VPN-Gateways ist aufgrund eines Authentifizierungsfehlers fehlgeschlagen. Die Authentifizierung der IKE-SA richtet sich nach den Werten für den vorinstallierten Schlüssel, die lokale ID und die Remote-ID.	Überprüfen Sie die Werte für `Local ID` und `Remote ID`. Der Wert für die lokale ID muss als Wert für die Remote-ID im Peer-VPN-Gateway festgelegt werden. Überprüfen Sie den Wert für `Pre-shared Key`. Er muss in beiden VPN-Gateways exakt übereinstimmen.
`Kein Vorschlag ausgewählt`	Die Konfiguration der IKE-Transformation in der Datei für die lokale Konfiguration und die Peer-Konfiguration ist inkonsistent.	Stellen Sie sicher, dass die folgenden Eigenschaften für beide Gateways identisch konfiguriert sind. `DH groups` `Digest and encryption algorithms`
`Löschfall von Peer gesendet`	Das Peer-Gateway hat einen Löschfall initiiert. Die Nutzlast `LÖSCHEN` wird für die IKE-SA empfangen.	Um zu ermitteln, warum das Peer-Gateway die Nutzlast `LÖSCHEN` gesendet hat, überprüfen Sie die Protokolle im NSX Edge und auf dem Peer-Gateway.
`Peer reagiert nicht`	Zeitüberschreitung bei der IKE-SA-Verhandlung.	Stellen Sie sicher, dass das Remote-Gateway aktiv ist. Überprüfen Sie die Verbindung zum Remote-Gateway.
`Ungültige Syntax`	Die IKE-Vorschläge oder -Transformationen sind nicht wohlgeformt. Es gibt falsch formatierte IKE-Nutzlasten.	Um die ungültige Syntax zu debuggen, analysieren Sie die Protokolle.
`Ungültiger SPI`	In der IKE-Nutzlast wurde ein ungültiger SPI-Wert empfangen.	Um den ungültigen SPI-Wert zu debuggen, analysieren Sie die Protokolle.
`Konfiguration fehlgeschlagen`	Die Realisierung der Sitzungskonfiguration ist in NSX Edge aufgrund einiger Einschränkungen oder bestimmter Kriterien fehlgeschlagen. Der Grund ist im Speicherabbild der Sitzung unter `Session_Config_Fail_Reason` aufgeführt.	Beheben Sie den Fehler mit dem im Speicherabbild der Sitzung unter `Session_Config_Fail_Reason` angezeigten Grund.
`Verhandlung nicht gestartet`	Die IKE-SA-Verhandlung wurde nicht gestartet.	Stellen Sie sicher, dass die `Connection Initiation Mode`-Eigenschaft in der Sitzungskonfiguration auf `Responder` festgelegt ist. Stellen Sie sicher, dass für die Peer-Konfiguration mindestens ein Gateway auf `Initiator` festgelegt ist. .
`IPsec-Dienst ist nicht aktiv`	Der Status des VPN-Dienstes, der für die Sitzung verwendet wird, ist nicht aktiv.	Überprüfen Sie, ob der Administratorstatus in der Konfiguration des IPsec-VPN-Dienstes deaktiviert ist.
`Sitzung deaktiviert`	Der Administrator hat die Sitzung deaktiviert.	Aktivieren Sie die Sitzung, um diesen Fehler zu beheben.
`SR-Status ist nicht aktiv`	SR befindet sich im Standby-Modus.	Vergewissern Sie sich, dass die VPN-Sitzung auf dem NSX Edge-Knoten stattfindet, auf dem sich HA-Peer-SR im aktiven Zustand befindet.

Tabelle 2. Ursachen und Lösungen für den Alarm „IPsec-VPN-Tunnel ist inaktiv“
Grund für den Alarm „IPsec-VPN-Tunnel ist inaktiv“	Mögliche Ursache	Notwendige Aktionen zum Beheben der Alarmmeldung
`Löschfall von Peer gesendet`	Das Peer-Gateway hat die Nutzlast `LÖSCHEN` für die IPsec-SA gesendet.	Um zu verstehen, warum das-Peer-Gateway die Nutzlast `LÖSCHEN` gesendet hat, müssen Sie die Protokolle im NSX Edge und auf dem Peer-Gateway überprüfen.
`Kein Vorschlag ausgewählt`	Die Konfiguration der ESP-Transformation ist in den Konfigurationen sowohl für die lokalen als auch für die Peer-Gateways nicht konsistent.	Stellen Sie sicher, dass die folgenden Eigenschaften für beide Gateways identisch konfiguriert sind. `DH groups` `Digest and encryption algorithms` `PFS` ist aktiviert oder nicht.
`TS unzulässig`	Das IPsec-SA-Setup ist aufgrund einer Nichtübereinstimmung in der Richtlinienregeldefinition zwischen den Gateways für die Tunnelkonfiguration fehlgeschlagen.	Überprüfen Sie die Konfiguration des lokalen und des Remote-Netzwerks auf beiden Gateways.
`IKE-SA`	Die IKE-SA-Sitzung ist inaktiv.	Überprüfen Sie den in den Protokollen aufgeführten Grund für die Sitzungsinaktivität und beheben Sie die Fehler.
`Ungültige Syntax`	Die Vorschläge oder Transformationen sind nicht wohlgeformt. Es gibt falsch formatierte Nutzlasten.	Um die ungültige Syntax zu debuggen, analysieren Sie die Protokolle.
`Ungültiger SPI`	In der ESP-Nutzlast wurde ein ungültiger SPI-Wert empfangen.	Um den ungültigen SPI-Wert zu debuggen, analysieren Sie die Protokolle.
`Keine IKE-Peers`	Alle IKE-Peers sind inaktiv. Es sind keine Peer-Gateways übrig, mit denen versucht werden kann, eine Verbindung herzustellen.	Stellen Sie sicher, dass das Remote-Gateway aktiv ist. Überprüfen Sie die Verbindung zu den konfigurierten Peer-Gateways.
`IPsec-Verhandlung wurde nicht gestartet`	Die IPsec-SA-Verhandlung wurde nicht gestartet.	Die IKE-SA ist noch nicht aktiv. Überprüfen Sie den in den Protokollen aufgeführten Grund für die Sitzungsinaktivität und beheben Sie die Fehler.