Quando una sessione VPN IPsec o un tunnel è inattivo, viene generato un allarme e nel dashboard Allarmi o nella pagina della VPN dell'interfaccia utente di NSX Manager viene visualizzato il motivo dell'allarme Inattivo.

Soluzione

Utilizzare le tabelle seguenti per individuare il messaggio Motivo visualizzato nell'interfaccia utente di NSX Manager ed esaminare la possibile causa dell'allarme Inattivo. Per risolvere l'allarme, eseguire le azioni necessarie elencate per il messaggio Motivo specifico e le possibili cause dell'allarme Inattivo.

Tabella 1. Cause e soluzioni in caso di allarme Inattivo per una sessione VPN IPsec
Motivo dell'allarme Inattivo della sessione VPN IPsec Possibile causa Azioni necessarie per risolvere il messaggio di allarme
Autenticazione non riuscita La creazione di SA IKE tra i gateway VPN non è riuscita a causa di un errore di autenticazione. L'autenticazione di SA IKE dipende dai valori di chiave precondivisa, ID locale e ID remoto.
  • Verificare i valori di Local ID e Remote ID. Il valore dell'ID locale deve essere impostato come valore dell'ID remoto nel gateway VPN peer.
  • Verificare il valore Pre-shared Key. Deve corrispondere esattamente in entrambi i gateway VPN.
Non è stata scelta alcuna proposta La configurazione della trasformazione IKE nei file di configurazione locale e peer non coincide. Assicurarsi che le proprietà seguenti siano configurate nello stesso modo per entrambi i gateway.
  • DH groups
  • Digest and encryption algorithms
Il peer ha inviato un'eliminazione Il gateway peer ha avviato un caso di eliminazione. Viene ricevuto un payload ELIMINA per SA IKE. Per determinare il motivo per cui il gateway peer ha inviato un payload ELIMINA, esaminare i registri in NSX Edge e sul lato del gateway peer.
Il peer non risponde Negoziazione SA IKE scaduta.
  • Verificare che il gateway remoto sia attivo.
  • Verificare la connettività al gateway remoto.
Sintassi non valida
  • Le proposte o le trasformazioni IKE non vengono formate correttamente.
  • Sono presenti payload IKE non validi.
Per eseguire il debug della sintassi non valida, analizzare i registri.
SPI non valido È stato ricevuto un valore SPI non valido nel payload IKE. Per eseguire il debug del valore SPI non valido, analizzare i registri.
Configurazione non riuscita La realizzazione della configurazione della sessione non è riuscita in NSX Edge a causa di alcuni vincoli o criteri specifici. Il motivo è elencato nel dump della sessione in Session_Config_Fail_Reason. Risolvere l'errore utilizzando il motivo visualizzato nel dump della sessione in Session_Config_Fail_Reason.
Negoziazione non avviata La negoziazione SA IKE non è stata avviata.
  • Verificare che la proprietà Connection Initiation Mode nella configurazione della sessione sia impostata su Responder
  • Verificare che nella configurazione peer almeno uno dei gateway sia impostato su Initiator.
.
Servizio IPSec non attivo Lo stato del servizio VPN utilizzato per la sessione non è attivo. Verificare che lo Stato amministratore nella configurazione del servizio VPN IPsec sia disabilitato.
Sessione disabilitata L'amministratore ha disabilitato la sessione. Attivare la sessione per risolvere questo errore.
Lo stato di SR non è attivo SR si trova nello stato di standby. Verificare che la sessione VPN nel nodo NSX Edge in cui si trova SR del peer HA sia nello stato Attivo.
Tabella 2. Cause e soluzioni in caso di allarme Inattivo per un Tunnel VPN IPsec
Motivo dell'allarme Inattivo del Tunnel VPN IPsec Possibile causa Azioni necessarie per risolvere il messaggio di allarme
Il peer ha inviato un'eliminazione Il gateway peer ha inviato un payload ELIMINA per la SA IPSec. Per comprendere il motivo per cui il gateway peer ha inviato un payload ELIMINA, è necessario esaminare i registri sia sul lato NSX Edge sia sul lato del gateway peer.
Non è stata scelta alcuna proposta La configurazione della trasformazione ESP non è coerente nelle configurazioni per i gateway locale e peer. Assicurarsi che le proprietà seguenti siano configurate nello stesso modo per entrambi i gateway.
  • DH groups
  • Digest and encryption algorithms
  • Il PFS sia attivato o meno.
TS inaccettabile La configurazione di SA IPSec non è riuscita a causa di una mancata corrispondenza nella definizione della regola del criterio tra i gateway per la configurazione del tunnel. Controllare la configurazione della rete locale e remota in entrambi i gateway.
SA IKE inattiva La sessione di SA IKE è inattiva. Controllare i motivi dell'inattività della sessione elencati nei registri e risolvere gli errori.
Sintassi non valida
  • Le proposte o le trasformazioni non vengono formate correttamente.
  • Sono presenti payload non validi.
Per eseguire il debug della sintassi non valida, analizzare i registri.
SPI non valido È stato ricevuto un valore SPI non valido nel payload ESP. Per eseguire il debug del valore SPI non valido, analizzare i registri.
Nessun peer IKE Tutti i peer IKE sono inattivi. Non sono rimasti gateway peer con cui provare a stabilire una connessione.
  • Controllare se il gateway remoto è attivo.
  • Controllare la connettività ai gateway peer configurati.
Negoziazione IPSec non avviata La negoziazione SA IPSec non è stata avviata. L'istanza di SA IKE non è ancora attiva. Controllare i motivi dell'inattività della sessione elencati nei registri e risolvere gli errori.