IPSEC_1.3.6.1.4.1.2011.6.122.26.6.2 hwIPSecTunnelStop

告警解释

IPSEC/4/IPSECTUNNELSTOP: OID [oid] The IPSec tunnel is deleted. (Ifindex=[Ifindex], SeqNum=[SeqNum],TunnelIndex=[TunnelIndex], RuleNum=[RuleNum], DstIP=[DstIP], InsideIP=[InsideIP], RemotePort=[RemotePort], CpuID=[CpuID], SrcIP=[SrcIP], FlowInfo=[FlowInfo], OfflineReason=[offlinereason], VsysName=[vsys-name], InterfaceName=[InterfaceName], SlotID=[SlotID])

删除IPSec tunnel。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.6.122.26.6.2 Warning 通讯告警

告警参数

参数名称 参数含义
oid 该告警所对应的MIB节点的OID号。
Ifindex 接口索引。
SeqNum 策略号。
TunnelIndex 隧道索引。
RuleNum 规则号。
DstIP 隧道远端的IP地址。
InsideIP 隧道远端内网的IP地址。
RemotePort 隧道远端端口号。
CpuID CPU号。
SrcIP 隧道本端的IP地址。
FlowInfo 隧道的数据流信息,包括源地址、目的地址、ACL端口号、ACL协议号和DSCP。
offlinereason 隧道被删除的原因。

vsys-name

IPSec策略所属的虚拟系统的名称。

说明:

设备不支持该参数。
InterfaceName 接口名称。
SlotID Slot号。
说明:

设备不支持该参数。

对系统的影响

IPSec隧道被删除。

可能原因

隧道被删除原因:

  • dpd timeout:DPD探测超时。
  • peer request:对端发送删除消息。
  • config modify or manual offline:修改配置导致SA被删除或者手动清除SA。
  • phase1 hard expiry:第一阶段硬超时(没有新的SA协商成功)。
  • phase2 hard expiry:第二阶段硬超时。
  • heartbeat timeout:heartbeat探测超时。
  • re-auth timeout:重认证超时导致SA被删除。
  • aaa cut user:AAA模块强制用户下线导致SA被删除。
  • hard expiry triggered by port mismatch:NAT端口不匹配导致硬超时。
  • kick old sa with same flow:相同的流接入时删除老的SA。
  • spi conflict:SPI冲突。
  • phase1 sa replace:新IKE SA替换老的IKE SA。
  • phase2 sa replace:新IPSec SA替换老的IPSec SA。
  • receive invalid spi notify:收到无效SPI通知。
  • dns resolution status change:DNS解析状态发生改变。
  • ikev1 phase1-phase2 sa dependent offline:设备删除IKEv1 SA时删除其关联的IPSec SA。
  • exchange timeout:报文交互超时。

处理步骤

  • 原因:dpd timeout

    请执行Ping操作检查链路是否可达,如果链路不可达,请排查链路和网络配置是否正确。

  • 原因:heartbeat timeout

    1. 请执行Ping操作检查链路是否可达,如果链路不可达,请排查链路。

    2. 请检查两端的heartbeat配置是否正确,如果heartbeat配置不正确,请修改相应的配置。

  • 原因:config modify or manual offline

    1. 请检查是否手动执行Reset SA操作,如果是,则无需处理。
    2. 请检查本端修改的IPSec配置是否正确,如果不正确,则请修改正确。
    3. 请检查手动取消IPSec策略是否合理,如果不合理,则请重新在接口上应用IPSec策略。

  • 原因:phase1 hard expiry

    请检查IKE SA的生存周期是否合理,如果不合理,请修改IKE SA的生存周期。

  • 原因:phase2 hard expiry

    请检查IPSec SA的生存周期是否合理,如果不合理,请修改IPSec SA的生存周期。

  • 原因:hard expiry triggered by port mismatch

    请检查两端的NAT端口是否匹配,如果不匹配,请修改相应的NAT端口。

  • 原因:peer request

    请确认对端的日志信息,并根据其信息确认IPSec隧道故障的原因。

  • 原因:receive invalid spi notify

    如果频繁出现此现象,请检查对端设备状态、配置等是否异常。

  • 原因:dns resolution status change

    1. 请确保设备与DNS服务器链路正常。
    2. 请确保DNS服务器的服务正常。
    3. 请确保命令remote-address host-name配置的域名正确。

  • 原因:ikev1 phase1-phase2 sa dependent offline

    两端设备能正常重协商起新的IKE SA和IPSec SA时,无需处理此现象。如果两端设备无法重协商起新的IKE SA和IPSec SA,则建议在本端设备上执行命令undo ikev1 phase1-phase2 sa dependent配置IKEv1协商时IPSec SA的存在不依赖于IKE SA。

  • 原因:exchange timeout

    请确保链路正常、IPSec相关配置正确。

  • 原因:kick old sa with same flow

    请执行命令ipsec remote traffic-identical accept,使能保护相同数据流的新用户接入总部功能。

  • 原因:aaa cut user、re-auth timeout、phase1 sa replace、phase2 sa replace、spi conflict

    此现象无需处理。

参考信息

IPSec_1.3.6.1.4.1.2011.6.122.26.6.1 hwIPSecTunnelStart
父主题: IPSec
版权所有 © 华为技术有限公司