Wenn eine IPsec-VPN-Sitzung oder ein Tunnel inaktiv ist, wird ein Alarm ausgelöst. Der Grund für den Alarm Inaktiv wird auf dem Dashboard „Alarme“ oder auf der VPN-Seite auf der NSX Manager-Benutzeroberfläche angezeigt.

Lösung

Verwenden Sie die folgenden Tabellen, um die Grund-Meldung zu finden, die Sie auf der NSX Manager-Benutzeroberfläche sehen, und überprüfen Sie die mögliche Ursache für den Alarm Inaktiv. Um den Alarm zu beheben, führen Sie die erforderlichen Aktionen aus, die für die jeweilige Grund-Meldung und die mögliche Ursache für den Alarm Inaktiv aufgelistet sind.

Tabelle 1. Ursachen und Lösungen für den Alarm „IPsec-VPN-Sitzung ist inaktiv“
Grund für den Alarm „IPsec-VPN-Sitzung ist inaktiv“ Mögliche Ursache Notwendige Aktionen zum Beheben der Alarmmeldung
Authentifizierung fehlgeschlagen Der IKE-SA-Aufbau zwischen den VPN-Gateways ist aufgrund eines Authentifizierungsfehlers fehlgeschlagen. Die Authentifizierung der IKE-SA richtet sich nach den Werten für den vorinstallierten Schlüssel, die lokale ID und die Remote-ID.
  • Überprüfen Sie die Werte für Local ID und Remote ID. Der Wert für die lokale ID muss als Wert für die Remote-ID im Peer-VPN-Gateway festgelegt werden.
  • Überprüfen Sie den Wert für Pre-shared Key. Er muss in beiden VPN-Gateways exakt übereinstimmen.
Kein Vorschlag ausgewählt Die Konfiguration der IKE-Transformation in der Datei für die lokale Konfiguration und die Peer-Konfiguration ist inkonsistent. Stellen Sie sicher, dass die folgenden Eigenschaften für beide Gateways identisch konfiguriert sind.
  • DH groups
  • Digest and encryption algorithms
Löschfall von Peer gesendet Das Peer-Gateway hat einen Löschfall initiiert. Die Nutzlast LÖSCHEN wird für die IKE-SA empfangen. Um zu ermitteln, warum das Peer-Gateway die Nutzlast LÖSCHEN gesendet hat, überprüfen Sie die Syslogs im NSX Edge und auf dem Peer-Gateway.
Peer reagiert nicht Zeitüberschreitung bei der IKE-SA-Verhandlung.
  • Stellen Sie sicher, dass das Remote-Gateway aktiv ist.
  • Überprüfen Sie die Verbindung zum Remote-Gateway.
Ungültige Syntax
  • Die IKE-Vorschläge oder -Transformationen sind nicht wohlgeformt.
  • Es gibt falsch formatierte IKE-Nutzlasten.
Um die ungültige Syntax zu debuggen, analysieren Sie die Syslogs.
Ungültiger SPI In der IKE-Nutzlast wurde ein ungültiger SPI-Wert empfangen. Um den ungültigen SPI-Wert zu debuggen, analysieren Sie die Syslogs.
Konfiguration fehlgeschlagen Die Realisierung der Sitzungskonfiguration ist in NSX Edge aufgrund einiger Einschränkungen oder bestimmter Kriterien fehlgeschlagen. Der Grund ist im Speicherabbild der Sitzung unter Session_Config_Fail_Reason aufgeführt. Beheben Sie den Fehler mit dem im Speicherabbild der Sitzung unter Session_Config_Fail_Reason angezeigten Grund.
Verhandlung nicht gestartet Die IKE-SA-Verhandlung wurde nicht gestartet.
  • Stellen Sie sicher, dass die Connection Initiation Mode-Eigenschaft in der Sitzungskonfiguration auf Respond Only festgelegt ist.
  • Überprüfen Sie die VPN-Konfiguration beider Gateways. Mindestens eines der Gateways muss auf Initiator festgelegt sein.
IPsec-Dienst ist nicht aktiviert Der Status des VPN-Dienstes, der für die Sitzung verwendet wird, ist nicht aktiv. Überprüfen Sie, ob der Administratorstatus in der Konfiguration des IPsec-VPN-Diensts nicht aktiviert ist.
Sitzung nicht aktiviert Administrator hat die Sitzung nicht aktiviert. Aktivieren Sie die Sitzung, um diesen Fehler zu beheben.
SR-Status ist nicht aktiv SR befindet sich im Standby-Modus. Vergewissern Sie sich, dass die VPN-Sitzung auf dem NSX Edge-Knoten stattfindet, auf dem sich HA-Peer-SR im aktiven Zustand befindet.
Tabelle 2. Ursachen und Lösungen für den Alarm „IPsec-VPN-Tunnel ist inaktiv“
Grund für den Alarm „IPsec-VPN-Tunnel ist inaktiv“ Mögliche Ursache Notwendige Aktionen zum Beheben der Alarmmeldung
Löschfall von Peer gesendet Das Peer-Gateway hat die Nutzlast LÖSCHEN für die IPsec-SA gesendet. Um zu verstehen, warum das-Peer-Gateway die Nutzlast LÖSCHEN gesendet hat, müssen Sie die Syslogs im NSX Edge und auf dem Peer-Gateway überprüfen.
Kein Vorschlag ausgewählt Die Konfiguration der ESP-Transformation ist in den Konfigurationen sowohl für die lokalen als auch für die Peer-Gateways nicht konsistent. Stellen Sie sicher, dass die folgenden Eigenschaften für beide Gateways identisch konfiguriert sind.
  • DH groups
  • Digest and encryption algorithms
  • PFS ist aktiviert oder nicht.
TS unzulässig Das IPsec-SA-Setup ist aufgrund einer Nichtübereinstimmung in der Richtlinienregeldefinition zwischen den Gateways für die Tunnelkonfiguration fehlgeschlagen. Überprüfen Sie die Konfiguration des lokalen und des Remote-Netzwerks auf beiden Gateways.
IKE-SA Die IKE-SA-Sitzung ist inaktiv. Überprüfen Sie zuerst den Grund für den Ausfall der Sitzung in den Edge-Syslogs. In der Spalte „Notwendige Aktionen“ in der vorherigen Tabelle finden Sie Informationen zum Beheben der Fehler aufgrund inaktiver Sitzungen. Überprüfen Sie dann, ob der Grund für den Tunnelausfall weiterhin besteht.
Ungültige Syntax
  • Die Vorschläge oder Transformationen sind nicht wohlgeformt.
  • Es gibt falsch formatierte Nutzlasten.
Um die ungültige Syntax zu debuggen, analysieren Sie die Syslogs.
Ungültiger SPI In der ESP-Nutzlast wurde ein ungültiger SPI-Wert empfangen. Um den ungültigen SPI-Wert zu debuggen, analysieren Sie die Syslogs.
Keine IKE-Peers Alle IKE-Peers sind inaktiv. Es sind keine Peer-Gateways übrig, mit denen versucht werden kann, eine Verbindung herzustellen.
  • Stellen Sie sicher, dass das Remote-Gateway aktiv ist.
  • Überprüfen Sie die Verbindung zu den konfigurierten Peer-Gateways.
IPsec-Verhandlung wurde nicht gestartet Die IPsec-SA-Verhandlung wurde nicht gestartet. Die IKE-SA ist noch nicht aktiv. Überprüfen Sie den in den Edge-Syslogs aufgeführten Grund für die Sitzungsinaktivität und beheben Sie die Fehler.