Cuando una sesión o un túnel de VPN de IPsec están inactivos, se activa la alarma Inactivo y se muestra el motivo en el panel de control Alarmas o en la página de la VPN en la interfaz de usuario de NSX Manager.
Solución
Utilice las siguientes tablas para localizar el mensaje Motivo que se muestra en la interfaz de usuario de NSX Manager y revise la posible causa de la alarma Inactivo. Para resolver la alarma, realice las acciones necesarias que se indican en el mensaje Motivo y las posibles causas de la alarma Inactivo.
Motivo de la alarma Inactivo de la sesión de VPN de IPsec | Causa posible | Acciones necesarias para resolver la alarma |
---|---|---|
Se produjo un error en la autenticación | Se produjo un error en el establecimiento de la SA de IKE entre las puertas de enlace de VPN debido a un error de autenticación. La autenticación de la SA de IKE depende de los valores de la clave compartida previamente, el identificador local y el identificador remoto. |
|
Ninguna propuesta seleccionada | La configuración de la transformación de IKE en el archivo de configuración local y del mismo nivel es incoherente. | Asegúrese de que las siguientes propiedades estén configuradas igual en las dos puertas de enlace.
|
Elemento del mismo nivel envió eliminar | La puerta de enlace del mismo nivel inició un caso de eliminación. Se recibió una carga útil DELETE para la SA de IKE. | Para determinar por qué la puerta de enlace del mismo nivel envió una carga útil DELETE, examine los syslogs en NSX Edge y en el lado de la puerta de enlace del mismo nivel. |
Elemento del mismo nivel no responde | Se agotó el tiempo de espera de la negociación de la SA de IKE. |
|
Sintaxis no válida |
|
Para depurar la sintaxis no válida, analice los syslogs de Edge. |
SPI no válido | Se recibió un valor de SPI no válido en la carga útil de IKE. | Para depurar el valor de SPI no válido, analice los syslogs de Edge. |
Error al configurar | Se produjo un error en la realización de la configuración de la sesión en NSX Edge debido a algunas restricciones o a ciertos criterios. El motivo se muestra en el volcado de sesión en Session_Config_Fail_Reason. | Resuelva el error usando el motivo que se muestra en el volcado de sesión en Session_Config_Fail_Reason. |
Negociación no iniciada | No se inició la negociación de la SA de IKE. |
|
El servicio de IPsec no está habilitado | El estado del servicio de VPN utilizado para la sesión no está activo. | Compruebe si el estado de administración en la configuración del servicio de VPN de IPsec no está habilitado. |
Sesión no habilitada | El administrador no habilitó la sesión. | Habilite la sesión para resolver este error. |
El estado de SR no está activo | SR está en estado de espera. | Compruebe que la sesión de VPN en el nodo de NSX Edge en el que está el par de alta disponibilidad esté en estado Activo. |
Motivo de la alarma Inactivo del túnel de VPN de IPsec | Causa posible | Acciones necesarias para resolver la alarma |
---|---|---|
Elemento del mismo nivel envió eliminar | La puerta de enlace del mismo nivel envió una carga útil DELETE para la SA de IPSEC. | Para comprender por qué la puerta de enlace del mismo nivel envió una carga útil DELETE, debe comprobar los syslogs en NSX Edge y en el lado de la puerta de enlace del mismo nivel. |
Ninguna propuesta seleccionada | La configuración de la transformación ESP no es coherente en las configuraciones de las puertas de enlace local y del mismo nivel. | Asegúrese de que las siguientes propiedades estén configuradas igual en las dos puertas de enlace.
|
TS no aceptable | Se produjo un error en la configuración de SA de IPsec por la falta de coincidencia en la definición de reglas de directiva entre las puertas de enlace para la configuración del túnel. | Compruebe la configuración de red local y remota en ambas puertas de enlace. |
SA de IKE inactiva | La sesión de SA de IKE está inactiva. | En primer lugar, compruebe el motivo de la inactividad de la sesión en los syslogs de Edge. Consulte la columna Acciones necesarias de la tabla anterior para resolver los errores de sesión inactiva y, a continuación, compruebe si el motivo de la inactividad del túnel persiste. |
Sintaxis no válida |
|
Para depurar la sintaxis no válida, analice los syslogs de Edge. |
SPI no válido | Se recibió un valor de SPI no válido en la carga útil de ESP. | Para depurar el valor de SPI no válido, analice los syslogs de Edge. |
Ningún elemento del mismo nivel de IKE | Todos los elementos del mismo nivel de IKE están inactivos. No quedan puertas de enlace del mismo nivel con las que intentar establecer una conexión. |
|
Negociación de IPsec no iniciada | No se inició la negociación de SA de IPsec. | La SA de IKE aún no está activa. Compruebe el motivo de inactividad de la sesión que aparece en los syslogs de Edge y resuelva los errores. |