Lorsqu'une session ou un tunnel VPN IPsec est inactif, une alarme est déclenchée et la raison de l'alarme Inactif s'affiche dans le tableau de bord Alarmes ou sur la page VPN de l'interface utilisateur de NSX Manager.

Solution

Utilisez les tableaux suivants pour localiser le message Raison qui s'affiche sur l'interface utilisateur de NSX Manager et examinez la cause possible de l'alarme Inactif. Pour résoudre l'alarme, effectuez les actions nécessaires répertoriées pour le message Raison spécifique et la cause possible de l'alarme Inactif.

Tableau 1. Causes et solutions d'une alarme Session VPN IPsec inactive
Raison de l'alarme Session VPN IPsec inactive Cause possible Actions nécessaires pour résoudre le message d'alarme
Échec de l'authentification L'établissement de la SA IKE entre les passerelles VPN a échoué en raison d'un échec de l'authentification. L'authentification de la SA IKE dépend des valeurs Clé prépartagée, ID local et ID distant.
  • Vérifiez les valeurs Local ID et Remote ID. La valeur ID local doit être définie comme la valeur ID distant dans la passerelle VPN homologue.
  • Vérifiez la valeur Pre-shared Key. Elle doit correspondre exactement dans les deux passerelles VPN.
Aucune proposition choisie La configuration de transformation IKE dans le fichier de configuration local et homologue est incohérente. Assurez-vous que les propriétés suivantes sont configurées de la même façon pour les deux passerelles.
  • DH groups
  • Digest and encryption algorithms
Suppression de l'homologue envoyé La passerelle homologue a lancé un cas de suppression. Une charge utile DELETE est reçue pour la SA IKE. Pour déterminer la raison pour laquelle la passerelle homologue a envoyé une charge utile DELETE, examinez les journaux Syslog sur le dispositif NSX Edge et du côté de la passerelle homologue.
L'homologue ne répond pas La négociation de la SA IKE a expiré.
  • Vérifiez que la passerelle distante est active.
  • Vérifiez la connectivité à la passerelle distante.
Syntaxe non valide
  • Les propositions ou les transformations IKE ne sont pas correctement formées.
  • Il existe des charges utiles IKE malformées.
Pour déboguer la syntaxe non valide, analysez les journaux Syslog sur le dispositif Edge.
SPI non valide Une valeur SPI non valide a été reçue dans la charge utile IKE. Pour déboguer la valeur SPI non valide, analysez les journaux Syslog du dispositif Edge.
Échec de la configuration La réalisation de la configuration de la session a échoué dans NSX Edge en raison de contraintes ou de certains critères. La raison est répertoriée dans le vidage de session sous Session_Config_Fail_Reason. Résolvez l'erreur à l'aide de la raison affichée dans le vidage de session sous Session_Config_Fail_Reason.
Négociation non démarrée La négociation de la SA IKE n'a pas démarré.
  • Vérifiez que la propriété Connection Initiation Mode de la configuration de la session est définie sur Respond Only.
  • Vérifiez la configuration VPN des deux passerelles. Au moins une des passerelles doit être définie sur Initiator.
Service IPsec non activé L'état du service VPN utilisé pour la session n'est pas actif. Vérifiez si le statut administratif dans la configuration du service VPN IPsec est désactivé.
Session non activée L'administrateur n'a pas activé la session. Activez la session pour résoudre cette erreur.
L'état de la SR n'est pas actif SR est en état de veille. Vérifiez l’état de la session VPN sur le nœud NSX Edge sur lequel la SR homologue HA est dans l'état actif.
Tableau 2. Causes et solutions d'une alarme Tunnel VPN IPsec inactif
Raison de l'alarme Tunnel VPN IPsec inactif Cause possible Actions nécessaires pour résoudre le message d'alarme
Suppression de l'homologue envoyé La passerelle homologue a envoyé une charge utile DELETE pour la SA IPSEC. Pour comprendre pourquoi la passerelle homologue a envoyé une charge utile DELETE, examinez les journaux Syslog de NSX Edge et sur la passerelle homologue.
Aucune proposition choisie La configuration de la transformation ESP n'est pas cohérente dans les configurations pour les passerelles locales et homologues. Assurez-vous que les propriétés suivantes sont configurées de la même façon pour les deux passerelles.
  • DH groups
  • Digest and encryption algorithms
  • PFS est activé ou non.
TS inacceptable La configuration de la SA IPsec a échoué en raison d'une incompatibilité dans la définition de la règle de stratégie entre les passerelles pour la configuration du tunnel. Vérifiez la configuration du réseau local et distant sur les deux passerelles.
SA IKE inactive La session SA IKE est inactive. Tout d'abord, vérifiez la raison de l'inactivité de la session dans les journaux Syslog Edge. Reportez-vous à la colonne Actions nécessaires du tableau précédent pour résoudre les erreurs de mise hors service de la session, puis vérifiez si la raison de l'arrêt du tunnel persiste.
Syntaxe non valide
  • Les propositions ou les transformations ne sont pas correctement formées.
  • Il existe des charges utiles malformées.
Pour déboguer la syntaxe non valide, analysez les journaux Syslog sur le dispositif Edge.
SPI non valide Une valeur SPI non valide a été reçue dans la charge utile ESP. Pour déboguer la valeur SPI non valide, analysez les journaux Syslog du dispositif Edge.
Aucun homologue IKE Tous les homologues IKE sont inactifs. Il n'y a aucune passerelle homologue disposant d'une connexion pour tenter d'établir une connexion.
  • Vérifiez si la passerelle distante est active.
  • Vérifiez la connectivité aux passerelles homologues configurées.
La négociation IPsec n'a pas démarré La négociation de la SA IPSec n'a pas démarré. La SA IKE n'est pas encore active. Vérifiez la raison de l'inactivité de la session dans les journaux Syslog du dispositif Edge et corrigez les erreurs.