Quando una sessione VPN IPsec o un tunnel è inattivo, viene generato un allarme e nel dashboard Allarmi o nella pagina della VPN dell'interfaccia utente di NSX Manager viene visualizzato il motivo dell'allarme Inattivo.

Soluzione

Utilizzare le tabelle seguenti per individuare il messaggio Motivo visualizzato nell'interfaccia utente di NSX Manager ed esaminare la possibile causa dell'allarme Inattivo. Per risolvere l'allarme, eseguire le azioni necessarie elencate per il messaggio Motivo specifico e le possibili cause dell'allarme Inattivo.

Tabella 1. Cause e soluzioni in caso di allarme Inattivo per una sessione VPN IPsec
Motivo dell'allarme Inattivo della sessione VPN IPsec Possibile causa Azioni necessarie per risolvere il messaggio di allarme
Autenticazione non riuscita La creazione di SA IKE tra i gateway VPN non è riuscita a causa di un errore di autenticazione. L'autenticazione di SA IKE dipende dai valori di chiave precondivisa, ID locale e ID remoto.
  • Verificare i valori di Local ID e Remote ID. Il valore dell'ID locale deve essere impostato come valore dell'ID remoto nel gateway VPN peer.
  • Verificare il valore Pre-shared Key. Deve corrispondere esattamente in entrambi i gateway VPN.
Non è stata scelta alcuna proposta La configurazione della trasformazione IKE nei file di configurazione locale e peer non coincide. Assicurarsi che le proprietà seguenti siano configurate nello stesso modo per entrambi i gateway.
  • DH groups
  • Digest and encryption algorithms
Il peer ha inviato un'eliminazione Il gateway peer ha avviato un caso di eliminazione. Viene ricevuto un payload ELIMINA per SA IKE. Per stabilire il motivo per cui il gateway peer ha inviato un payload ELIMINA, esaminare i syslog in NSX Edge e sul lato del gateway peer.
Il peer non risponde Negoziazione SA IKE scaduta.
  • Verificare che il gateway remoto sia attivo.
  • Verificare la connettività al gateway remoto.
Sintassi non valida
  • Le proposte o le trasformazioni IKE non vengono formate correttamente.
  • Sono presenti payload IKE non validi.
Per eseguire il debug della sintassi non valida, analizzare i syslog dell'Edge.
SPI non valido È stato ricevuto un valore SPI non valido nel payload IKE. Per eseguire il debug del valore SPI non valido, analizzare i syslog dell'Edge.
Configurazione non riuscita La realizzazione della configurazione della sessione non è riuscita in NSX Edge a causa di alcuni vincoli o criteri specifici. Il motivo è elencato nel dump della sessione in Session_Config_Fail_Reason. Risolvere l'errore utilizzando il motivo visualizzato nel dump della sessione in Session_Config_Fail_Reason.
Negoziazione non avviata La negoziazione SA IKE non è stata avviata.
  • Verificare che la proprietà Connection Initiation Mode nella configurazione della sessione sia impostata su Respond Only.
  • Verificare la configurazione della VPN di entrambi i gateway. Almeno uno dei gateway deve essere impostato su Initiator.
Servizio IPSec non abilitato Lo stato del servizio VPN utilizzato per la sessione non è attivo. Verificare se lo stato dell'amministratore nella configurazione del servizio VPN IPSec non è abilitato.
Sessione non abilitata L'amministratore non ha abilitato la sessione. Attivare la sessione per risolvere questo errore.
Lo stato di SR non è attivo SR si trova nello stato di standby. Verificare lo stato della sessione VPN nel nodo NSX Edge in cui SR del peer HA ha stato Attivo.
Tabella 2. Cause e soluzioni in caso di allarme Inattivo per un Tunnel VPN IPsec
Motivo dell'allarme Inattivo del Tunnel VPN IPsec Possibile causa Azioni necessarie per risolvere il messaggio di allarme
Il peer ha inviato un'eliminazione Il gateway peer ha inviato un payload ELIMINA per la SA IPSec. Per comprendere il motivo per cui il gateway peer ha inviato un payload ELIMINA, è necessario esaminare i syslog sul lato NSX Edge e sul lato del gateway peer.
Non è stata scelta alcuna proposta La configurazione della trasformazione ESP non è coerente nelle configurazioni per i gateway locale e peer. Assicurarsi che le proprietà seguenti siano configurate nello stesso modo per entrambi i gateway.
  • DH groups
  • Digest and encryption algorithms
  • Il PFS sia attivato o meno.
TS inaccettabile La configurazione di SA IPSec non è riuscita a causa di una mancata corrispondenza nella definizione della regola del criterio tra i gateway per la configurazione del tunnel. Controllare la configurazione della rete locale e remota in entrambi i gateway.
SA IKE inattiva La sessione di SA IKE è inattiva. Controllare innanzitutto il motivo dell'inattività della sessione nei syslog dell'Edge. Fare riferimento alla colonna Azioni necessarie nella tabella precedente per risolvere gli errori di inattività della sessione e quindi verificare se il motivo dell'inattività del tunnel persiste.
Sintassi non valida
  • Le proposte o le trasformazioni non vengono formate correttamente.
  • Sono presenti payload non validi.
Per eseguire il debug della sintassi non valida, analizzare i syslog dell'Edge.
SPI non valido È stato ricevuto un valore SPI non valido nel payload ESP. Per eseguire il debug del valore SPI non valido, analizzare i syslog dell'Edge.
Nessun peer IKE Tutti i peer IKE sono inattivi. Non sono rimasti gateway peer con cui provare a stabilire una connessione.
  • Controllare se il gateway remoto è attivo.
  • Controllare la connettività ai gateway peer configurati.
Negoziazione IPSec non avviata La negoziazione SA IPSec non è stata avviata. L'istanza di SA IKE non è ancora attiva. Controllare il motivo dell'inattività della sessione nei syslog dell'Edge e correggere gli errori.