IPsec VPN セッションまたはトンネルが停止すると、アラームが発生し、停止アラームの理由が、NSX Manager ユーザー インターフェイスの [アラーム] ダッシュボードまたは [VPN] ページに表示されます。
解決方法
次の表で、NSX Manager ユーザー インターフェイスに表示された理由メッセージを調べて、停止アラームが発生した原因を確認してください。アラームを解決するには、特定の理由メッセージと、停止アラームについて考えられる原因を確認し、必要なアクションを行ってください。
IPsec VPN セッションの停止アラームの理由 | 考えられる原因 | アラーム メッセージを解決するために必要なアクション |
---|---|---|
Authentication failed | 認証に失敗したため、VPN ゲートウェイ間で IKE SA の確立に失敗しました。IKE SA の認証は、Pre-shared Key、Local ID、Remote ID の値によって異なります。 |
|
No proposal chosen | ローカルとピアの両方の構成ファイルで IKE 変換構成が一致していません。 | 両方のゲートウェイで、次のプロパティが同じ構成になっていることを確認します。
|
Peer sent delete | ピア ゲートウェイが削除ケースを開始しました。IKE SA の DELETE ペイロードを受信しました。 | ピア ゲートウェイが DELETE ペイロードを送信した理由を確認するには、NSX Edge とピア ゲートウェイ側の Syslog を確認します。 |
Peer not responding | IKE SA ネゴシエーションがタイムアウトしました。 |
|
Invalid syntax |
|
無効な構文をデバッグするには、Edge Syslog を分析します。 |
Invalid spi | IKE ペイロードで無効な SPI 値を受信しました。 | 無効な SPI 値をデバッグするには、Edge Syslog を分析します。 |
Configuration failed | 一部の制約または条件のため、NSX Edge でセッション構成の認識に失敗しました。理由は Session_Config_Fail_Reason のセッション ダンプに示されています。 | Session_Config_Fail_Reason のセッション ダンプに表示されている理由を参照して、エラーを解決します。 |
Negotiation not started | IKE SA ネゴシエーションが開始していません。 |
|
IPsec service not enabled | セッションで使用されている VPN サービスの状態がアクティブではありません。 | IPsec VPN サービス構成の管理状態が有効になっていないかどうかを確認します。 |
Session not enabled | 管理者がセッションを有効にしていません。 | このエラーを解決するには、セッションを有効にします。 |
SR state is not Active | SR がスタンバイ状態です。 | HA ピア SR がアクティブ状態になっている NSX Edge ノードで VPN セッションの状態を確認します。 |
IPsec VPN トンネルの停止アラームの理由 | 考えられる原因 | アラーム メッセージを解決するために必要なアクション |
---|---|---|
Peer sent delete | ピア ゲートウェイが IPSEC SA の DELETE ペイロードを送信しました。 | ピア ゲートウェイが DELETE ペイロードを送信した理由を確認するには、NSX Edge とピア ゲートウェイ側の Syslog を確認する必要があります。 |
No proposal chosen | ローカル ゲートウェイとピア ゲートウェイの両方で、ESP 変換構成が一致していません。 | 両方のゲートウェイで、次のプロパティが同じ構成になっていることを確認します。
|
TS unacceptable | トンネル構成で、ゲートウェイ間のポリシー ルールの定義が一致していないため、IPsec SA の設定に失敗しました。 | 両方のゲートウェイで、ローカルとリモートのネットワーク構成を確認します。 |
IKE SA down | IKE SA セッションが停止しています。 | まず、Edge Syslog でセッション停止の理由を確認します。前の表の [必要なアクション] 列を参照してセッション停止エラーを解決し、トンネル停止の理由がまだ解決していないかどうかを確認します。 |
Invalid syntax |
|
無効な構文をデバッグするには、Edge Syslog を分析します。 |
Invalid spi | ESP ペイロードで無効な SPI 値を受信しました。 | 無効な SPI 値をデバッグするには、Edge Syslog を分析します。 |
No IKE peers | すべての IKE ピアが停止しています。接続の確立先にピア ゲートウェイがありません。 |
|
IPsec negotiation not started | IPsec SA ネゴシエーションが開始していません。 | IKE SA がまだ稼動していません。Edge Syslog でセッション停止の理由を確認し、エラーを解決します。 |