IPSEC_1.3.6.1.4.1.2011.6.122.26.6.14 hwIPSecNegoFail

告警解释

IPSEC/4/IPSECNEGOFAIL: OID [OID] IPSec tunnel negotiation fails. (Ifindex=[Ifindex], SeqNum=[SeqNum], Reason=[Reason], ReasonCode=[ReasonCode], PeerAddress=[PeerAddress], PeerPort=[PeerPort], VsysName=[vsys-name], InterfaceName=[InterfaceName])

IPSec隧道协商失败。

告警属性

告警ID	告警级别	告警类型
1.3.6.1.4.1.2011.6.122.26.6.14	Warning	通讯告警

告警参数

参数名称	参数含义
OID	该告警所对应的MIB节点的OID号。
Ifindex	IPSec隧道所对应的接口索引。
SeqNum	IPSec安全策略的顺序号。
Reason	IPSec隧道协商失败的原因。
ReasonCode	IPSec隧道协商失败原因码。 1：phase1 proposal mismatch 2：phase2 proposal or pfs mismatch 3：encapsulation mode mismatch 4：flow or peer mismatch 5：version mismatch 6：responder dh mismatch 7：initiator dh mismatch 12：peer address mismatch 13：config ID mismatch 14：construct local ID fail 15：authentication fail 16：rekey no find old sa 17：rekey fail 18：first packet limited 21：invalid cookie 24：invalid length 26：unsupported version 28：malformed payload 30：malformed message 31：cookie mismatch 32：exchange mode mismatch 33：unknown exchange type 34：critical drop 35：uncritical drop 36：route limit 39：local address mismatch 40：nat detection fail 41：ipsec tunnel number reaches limitation 42：dynamic peers number reaches limitation 46：flow confict 48：netmask mismatch 49：no policy applied on interface 50：fragment packet limit 51：fragment packet reassemble timeout
PeerAddress	对端的IP地址。
PeerPort	对端的UDP端口号。
vsys-name	IPSec策略所属的虚拟系统的名称。说明：设备不支持该参数。
InterfaceName	接口名称。

对系统的影响

IPSec隧道无法建立成功。

可能原因

IPSec隧道建立失败的常见原因如下所示：

phase1 proposal mismatch：两端IKE安全提议参数不匹配。
phase2 proposal or pfs mismatch：两端IPSec安全提议参数、PFS算法或Security ACL不匹配。
responder dh mismatch：响应方的DH算法不匹配。
initiator dh mismatch：发起方的DH算法不匹配。
encapsulation mode mismatch：封装模式不匹配。
flow or peer mismatch：两端Security ACL或IKE Peer地址不匹配。
version mismatch：两端IKE版本号不匹配。
peer address mismatch：两端的IKE Peer地址不匹配。
config ID mismatch：根据ID未找到匹配的IKE Peer。
exchange mode mismatch：两端的协商模式不匹配。
authentication fail：身份认证失败。
construct local ID fail：构造本端ID失败。
rekey no find old sa：重协商时找不到旧的SA。
rekey fail：重协商时旧的SA正在下线。
first packet limited：首包限速。
unsupported version：不支持的IKE版本号。
malformed message：畸形消息。
malformed payload：畸形载荷。
critical drop：未识别的critical载荷。
cookie mismatch：Cookie不匹配。
invalid cookie：无效Cookie。
invalid length：报文长度非法。
unknown exchange type：未知的协商模式。
uncritical drop：未识别的非critical载荷。
route limit：路由注入的数目达到规格。
local address mismatch：IKE协商时的本端IP地址和接口IP地址不匹配。
dynamic peers number reaches limitation：IKE对等体数达到规格。
ipsec tunnel number reaches limitation：IPSec隧道数达到规格。
netmask mismatch：开启IPSec掩码过滤功能后，掩码不匹配。
flow confict：数据流冲突。
no policy applied on interface：没有策略应用到接口上。
nat detection fail：NAT探测失败。
fragment packet limit：分片报文超规格。
fragment packet reassemble timeout：分片报文重组超时。

处理步骤

原因：phase1 proposal mismatch
请查看两端的IKE安全提议参数，并执行相应的命令将不匹配的参数修改一致。
原因：phase2 proposal or pfs mismatch
请查看两端的IPSec安全提议参数或PFS算法，并执行相应的命令将不匹配的参数修改一致。
原因：responder dh mismatch、initiator dh mismatch
请查看两端的DH算法，并执行相应的命令将DH算法修改一致。
原因：encapsulation mode mismatch
请查看两端的封装模式，并执行相应的命令将封装模式修改一致。
原因：peer address mismatch
请查看两端的IKE对等体地址，并执行相应的命令修改不匹配的IKE对等体地址。
原因：config ID mismatch
请查看身份认证参数，例如ID类型和ID值，执行相应的命令修改不匹配的参数。
原因：authentication fail
请查看两端的IKE安全提议参数或IKE对等体参数，并执行相应的命令将两端的参数修改一致。
原因：exchange mode mismatch
请查看两端的IKEv1阶段1协商模式，并执行相应的命令将两端的协商模式修改一致。
原因：route limit
请更换路由注入规格更高的设备，并合理规划网络。
原因：local address mismatch
请查看IKE协商时的本端IP地址和接口IP地址，并执行相应的命令将地址修改一致。
原因：ipsec tunnel number reaches limitation
请删除不必要的IPSec隧道或设备扩容。
原因：dynamic peers number reaches limitation
请设备扩容，并合理规划网络。
原因：flow confict
请查看两端的ACL规则，并执行相应的命令将ACL规则修改正确。
原因：netmask mismatch
请修改分支或总部保护的IPSec数据流范围，使得各分支和总部协商的数据流不存在交集。
原因：no policy applied on interface
请在接口上应用相应的IPSec策略。
原因：fragment packet limit
收到的分片报文数超过规格，请合理调整对端设备的MTU值。
原因：fragment packet reassemble timeout
请确保两端链路正常及设备状态正常。
非以上原因或问题仍未解决时，请收集相应的信息，并联系技术支持人员。