HQY 一个和谐有爱的空间

https://support.huawei.com/enterprise/zh/doc/EDOC1100127235/81393403

IPSEC/3/ENCPKTSETCPCARFAIL

日志信息

IPSEC/3/ENCPKTSETCPCARFAIL:Failed to set the CPCAR for IPSec encrypted packets due to insufficient resources, which may cause a loss of encrypted packets.

日志含义

由于ACL资源不足导致IPSEC加密报文CPCAR下发失败，可能导致加密报文被丢弃。

日志参数

参数名称	参数含义
无	无

可能原因

ACL资源不足导致IPSEC加密报文CPCAR下发失败。

处理步骤

1. 使用命令display current-configuration查看配置，检查哪些配置导致ACL资源不足。

2. 删除不必要的配置，释放ACL资源。

3. 如果问题还存在，请联系技术支持人员。

IPSEC-VPN/5/IPSEC_TUNNEL_ESTABLISHED

日志信息

IPSEC-VPN/5/IPSEC_TUNNEL_ESTABLISHED:An IPSec tunnel is established. (PolicyName=[policy-name], IfIndex=[if-index], SeqNum=[seq-num], RuleNum=[rule-name], SrcIP=[src-ip], DstIP=[dst-ip], Slot=[slot-id], CpuID=[cpu-id], State=[state], Role=[Role])

日志含义

一条IPSec隧道成功建立。

日志参数

参数名称	参数含义
PolicyName	IPSec安全策略的名称。
IfIndex	接口索引。
SeqNum	IPSec安全策略的序列号。
RuleNum	ACL规则号。
SrcIP	源IP地址。
DstIP	目的IP地址。
Slot	SPU（Service Processing Unit）板的槽位号。
CpuID	CPU编号。
State	IPSec隧道的状态： Normal：主设备与对端设备建立的IPSec隧道。 Backup：备设备与对端设备建立的IPSec隧道。
Role	SA协商时设备的角色： Initiator：设备作为SA协商发起方。 Responder：设备作为SA协商响应方。

可能原因

流量或者自动协商触发IPSec建立隧道。

处理步骤

• 正常运行信息，无需处理。

IPSEC-VPN/5/IPSEC_TUNNEL_TEARED_DOWN

日志信息

IPSEC-VPN/5/IPSEC_TUNNEL_TEARED_DOWN:An IPSec tunnel is teared down. (PolicyName=[policy-name], IfIndex=[if-index], SeqNum=[seq-num], RuleNum=[rule-num], SrcIP=[src-ip], DstIP=[det-ip], InboundSPI=[inboundspi], Slot=[slot-id], CpuID=[cpu-id], OfflineReason=[offline-reason], State=[state])

日志含义

一条IPSec隧道被拆除。

日志参数

参数名称	参数含义
PolicyName	IPSec安全策略名称。
IfIndex	接口索引。
SeqNum	IPSec安全策略序列号。
RuleNum	ACL规则号。
SrcIP	源IP地址。
DstIP	目的IP地址。
InboundSPI	入方向的安全参数索引值。
Slot	SPU（Service Processing Unit）板的槽位号。
CpuID	CPU编号。
OfflineReason	隧道下线原因。
State	IPSec隧道的状态： Normal：主设备与对端设备建立的IPSec隧道。 Backup：备设备与对端设备建立的IPSec隧道。

可能原因

隧道下线原因：

• dpd timeout：DPD探测超时。

• peer request：对端发送删除消息。

• config modify or manual offline：修改配置导致SA被删除或者手动清除SA。

• phase1 hard expiry：第一阶段硬超时（没有新的SA协商成功）。

• phase2 hard expiry：第二阶段硬超时。

• heartbeat timeout：heartbeat探测超时。

• modecfg address soft expiry：Remote端向Server端申请的IP地址租期到期。

• re-auth timeout：重认证超时导致SA被删除。

• aaa cut user：AAA模块强制用户下线导致SA被删除。

• hard expiry triggered by port mismatch：NAT端口不匹配导致硬超时。

• spi conflict：SPI冲突。

• phase1 sa replace：新IKE SA替换老的IKE SA。

• phase2 sa replace：新IPSec SA替换老的IPSec SA。

• receive invalid spi notify：收到无效SPI通知。

• dns resolution status change：DNS解析状态发生改变。

• ikev1 phase1-phase2 sa dependent offline：设备删除IKEv1 SA时删除其关联的IPSec SA。

• exchange timeout：报文交互超时。

处理步骤

• 原因：dpd timeout

  
  

  请执行Ping操作检查链路是否可达，如果链路不可达，请排查链路和网络配置是否正确。

  
  

• 原因：heartbeat timeout

  
  

  
  

1. 请执行Ping操作检查链路是否可达，如果链路不可达，请排查链路。

2. 请检查两端的heartbeat配置是否正确，如果heartbeat配置不正确，请修改相应的配置。

• 原因：config modify or manual offline

  
  

  
  

1. 请检查是否手动执行Reset SA操作，如果是，则无需处理。

2. 请检查本端修改的IPSec配置是否正确，如果不正确，则请修改正确。

3. 请检查手动取消IPSec策略是否合理，如果不合理，则请重新在接口上应用IPSec策略。

• 原因：phase1 hard expiry

  请检查IKE SA的生存周期是否合理，如果不合理，请修改IKE SA的生存周期。

• 原因：phase2 hard expiry

  请检查IPSec SA的生存周期是否合理，如果不合理，请修改IPSec SA的生存周期。

• 原因：hard expiry triggered by port mismatch

  请检查两端的NAT端口是否匹配，如果不匹配，请修改相应的NAT端口。

• 原因：peer request

  请确认对端的日志信息，并根据其信息确认IPSec隧道故障的原因。

• 原因：receive invalid spi notify

  如果频繁出现此现象，请检查对端设备状态、配置等是否异常。

• 原因：dns resolution status change

  
  

  
  

1. 请确保设备与DNS服务器链路正常。

2. 请确保DNS服务器的服务正常。

3. 请确保命令remote-address host-name配置的域名正确。

• 原因：ikev1 phase1-phase2 sa dependent offline

  
  

  两端设备能正常重协商起新的IKE SA和IPSec SA时，无需处理此现象。如果两端设备无法重协商起新的IKE SA和IPSec SA，则建议在本端设备上执行命令undo ikev1 phase1-phase2 sa dependent配置IKEv1协商时IPSec SA的存在不依赖于IKE SA。

  
  

• 原因：exchange timeout

  
  

  请确保链路正常、IPSec相关配置正确。

  
  

• 原因：kick old sa with same flow

  
  

  请执行命令ipsec remote traffic-identical accept，使能保护相同数据流的新用户接入总部功能。

  
  

• 原因：aaa cut user、modecfg address soft expiry、re-auth timeout、phase1 sa replace、phase2 sa replace、spi conflict

  
  

  此现象无需处理。

  
  

IPSEC/4/IPSEC_ROUTE_REACH_MAX

日志信息

IPSEC/4/IPSEC_ROUTE_REACH_MAX:The number of routes generated by IPSec has reached the maximum value ([ULONG]).

日志含义

IPSec路由达到最大规格。

日志参数

参数名称	参数含义
ULONG	IPSec路由最大值。

可能原因

配置IPSec动态路由注入功能后，设备上IPSec生成的路由已经达到最大值。

处理步骤

1. 请根据实际情况减少接入的IPSec协商隧道数。

IPSec/5/IPSEC_INBOUND_SA_MISS

日志信息

IPSec/5/IPSEC_INBOUND_SA_MISS: The device failed to decrypt the received IPSec-encrypted packet (Source address=[source-address], Destination address=[destination-address], SPI=[spi], Protocol=[protocol]) because no inbound SA was found.

日志含义

由于找不到Inbound SA，设备无法解密收到的IPSec加密报文。

日志参数

参数名称	参数含义
Source address	报文的源地址。
Destination address	报文的目的地址。
SPI	SA的SPI值。
Protocol	SA的协议值。

可能原因

收到对端的IPSec加密报文时，设备无法解密对端的IPSec加密报文。

处理步骤

• 设备上执行命令ipsec invalid-spi-recovery enable，开启IPSec无效SPI恢复功能。当设备无法解密对端的IPSec加密报文时，通知对端删除此SA。

IPSEC/6/IPSEC_RECV_ADP_NOTIFY

日志信息

IPSEC/6/IPSEC_RECV_ADP_NOTIFY: IPSec receive adp notify event. (Slot=[slot-id], CpuID=[cpu-id], Notification remote=[notification-remote],, Notification type=[notification-type])

日志含义

IPSec收到ADP模块的通知事件。

日志参数

参数名称	参数含义
Slot	SPU（Service Processing Unit）板的槽位号。
CpuID	CPU编号。
Notification remote	是否通知对端： yes：表示通知对端。 no：表示不通知对端。
Notification type	通知类型： hash gene adjusted：Hash因子调整。 cpu table updated：CPU表更新。 cpu smooth transit：CPU平滑切换。

可能原因

• hash gene adjusted：Hash因子调整。

• cpu table updated：CPU表更新。

• cpu smooth transit：CPU平滑切换。

处理步骤

• 正常运行信息，无需处理。

IPSEC/5/IPSEC_SMART_LINK_SWITCH

日志信息

IPSEC/5/IPSEC_SMART_LINK_SWITCH: IPSec policy received a link switching event. (PolicyName=[STRING], SeqNum=[ULONG], ProfileName=[STRING], IfIndex= [ULONG], LocalAddr=[STRING], RemoteAddr=[STRING])

日志含义

IPSec策略收到链路切换通知。

日志参数

参数名称	参数含义
PolicyName	IPSEC策略名
SeqNum	序列号
ProfileName	安全框架名称
IfIndex	接口索引
LocalAddr	本端地址
RemoteAddr	对端地址

可能原因

手动切换链路，或者链路经过探测自动切换到更优的链路。

处理步骤

• 正常运行信息，无需处理。

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://hqyman.cn/post/5760.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

休息一下~~