推荐点击下面图片,通过本站淘宝优惠价购买:
https://support.huawei.com/enterprise/zh/doc/EDOC1100127235/81393403
IPSEC/3/ENCPKTSETCPCARFAIL
日志信息
IPSEC/3/ENCPKTSETCPCARFAIL:Failed to set the CPCAR for IPSec encrypted packets due to insufficient resources, which may cause a loss of encrypted packets.
日志含义
由于ACL资源不足导致IPSEC加密报文CPCAR下发失败,可能导致加密报文被丢弃。
日志参数
| 参数名称 | 参数含义 |
|---|---|
| 无 | 无 |
可能原因
ACL资源不足导致IPSEC加密报文CPCAR下发失败。
处理步骤
使用命令display current-configuration查看配置,检查哪些配置导致ACL资源不足。
删除不必要的配置,释放ACL资源。
如果问题还存在,请联系技术支持人员。
IPSEC-VPN/5/IPSEC_TUNNEL_ESTABLISHED
日志信息
IPSEC-VPN/5/IPSEC_TUNNEL_ESTABLISHED:An IPSec tunnel is established. (PolicyName=[policy-name], IfIndex=[if-index], SeqNum=[seq-num], RuleNum=[rule-name], SrcIP=[src-ip], DstIP=[dst-ip], Slot=[slot-id], CpuID=[cpu-id], State=[state], Role=[Role])
日志含义
日志参数
| 参数名称 | 参数含义 |
|---|---|
| PolicyName | IPSec安全策略的名称。 |
| IfIndex | 接口索引。 |
| SeqNum | IPSec安全策略的序列号。 |
| RuleNum | ACL规则号。 |
| SrcIP | 源IP地址。 |
| DstIP | 目的IP地址。 |
| Slot | SPU(Service Processing Unit)板的槽位号。 |
| CpuID | CPU编号。 |
| State | IPSec隧道的状态:
|
| Role | SA协商时设备的角色:
|
可能原因
处理步骤
正常运行信息,无需处理。
IPSEC-VPN/5/IPSEC_TUNNEL_TEARED_DOWN
日志信息
IPSEC-VPN/5/IPSEC_TUNNEL_TEARED_DOWN:An IPSec tunnel is teared down. (PolicyName=[policy-name], IfIndex=[if-index], SeqNum=[seq-num], RuleNum=[rule-num], SrcIP=[src-ip], DstIP=[det-ip], InboundSPI=[inboundspi], Slot=[slot-id], CpuID=[cpu-id], OfflineReason=[offline-reason], State=[state])
日志含义
日志参数
| 参数名称 | 参数含义 |
|---|---|
| PolicyName | IPSec安全策略名称。 |
| IfIndex | 接口索引。 |
| SeqNum | IPSec安全策略序列号。 |
| RuleNum | ACL规则号。 |
| SrcIP | 源IP地址。 |
| DstIP | 目的IP地址。 |
| InboundSPI | 入方向的安全参数索引值。 |
| Slot | SPU(Service Processing Unit)板的槽位号。 |
| CpuID | CPU编号。 |
| OfflineReason | 隧道下线原因。 |
| State | IPSec隧道的状态:
|
可能原因
隧道下线原因:
dpd timeout:DPD探测超时。
peer request:对端发送删除消息。
config modify or manual offline:修改配置导致SA被删除或者手动清除SA。
phase1 hard expiry:第一阶段硬超时(没有新的SA协商成功)。
phase2 hard expiry:第二阶段硬超时。
heartbeat timeout:heartbeat探测超时。
modecfg address soft expiry:Remote端向Server端申请的IP地址租期到期。
re-auth timeout:重认证超时导致SA被删除。
aaa cut user:AAA模块强制用户下线导致SA被删除。
hard expiry triggered by port mismatch:NAT端口不匹配导致硬超时。
spi conflict:SPI冲突。
phase1 sa replace:新IKE SA替换老的IKE SA。
phase2 sa replace:新IPSec SA替换老的IPSec SA。
receive invalid spi notify:收到无效SPI通知。
dns resolution status change:DNS解析状态发生改变。
ikev1 phase1-phase2 sa dependent offline:设备删除IKEv1 SA时删除其关联的IPSec SA。
exchange timeout:报文交互超时。
处理步骤
原因:dpd timeout
请执行Ping操作检查链路是否可达,如果链路不可达,请排查链路和网络配置是否正确。
原因:heartbeat timeout
请执行Ping操作检查链路是否可达,如果链路不可达,请排查链路。
请检查两端的heartbeat配置是否正确,如果heartbeat配置不正确,请修改相应的配置。
原因:config modify or manual offline
请检查是否手动执行Reset SA操作,如果是,则无需处理。
请检查本端修改的IPSec配置是否正确,如果不正确,则请修改正确。
请检查手动取消IPSec策略是否合理,如果不合理,则请重新在接口上应用IPSec策略。
原因:phase1 hard expiry
请检查IKE SA的生存周期是否合理,如果不合理,请修改IKE SA的生存周期。
原因:phase2 hard expiry
请检查IPSec SA的生存周期是否合理,如果不合理,请修改IPSec SA的生存周期。
原因:hard expiry triggered by port mismatch
请检查两端的NAT端口是否匹配,如果不匹配,请修改相应的NAT端口。
原因:peer request
请确认对端的日志信息,并根据其信息确认IPSec隧道故障的原因。
原因:receive invalid spi notify
如果频繁出现此现象,请检查对端设备状态、配置等是否异常。
原因:dns resolution status change
请确保设备与DNS服务器链路正常。
请确保DNS服务器的服务正常。
请确保命令remote-address host-name配置的域名正确。
原因:ikev1 phase1-phase2 sa dependent offline
两端设备能正常重协商起新的IKE SA和IPSec SA时,无需处理此现象。如果两端设备无法重协商起新的IKE SA和IPSec SA,则建议在本端设备上执行命令undo ikev1 phase1-phase2 sa dependent配置IKEv1协商时IPSec SA的存在不依赖于IKE SA。
原因:exchange timeout
请确保链路正常、IPSec相关配置正确。
原因:kick old sa with same flow
请执行命令ipsec remote traffic-identical accept,使能保护相同数据流的新用户接入总部功能。
原因:aaa cut user、modecfg address soft expiry、re-auth timeout、phase1 sa replace、phase2 sa replace、spi conflict
此现象无需处理。
IPSEC/4/IPSEC_ROUTE_REACH_MAX
日志信息
IPSEC/4/IPSEC_ROUTE_REACH_MAX:The number of routes generated by IPSec has reached the maximum value ([ULONG]).
日志含义
IPSec路由达到最大规格。
日志参数
| 参数名称 | 参数含义 |
|---|---|
| ULONG | IPSec路由最大值。 |
可能原因
配置IPSec动态路由注入功能后,设备上IPSec生成的路由已经达到最大值。
处理步骤
请根据实际情况减少接入的IPSec协商隧道数。
IPSec/5/IPSEC_INBOUND_SA_MISS
日志信息
IPSec/5/IPSEC_INBOUND_SA_MISS: The device failed to decrypt the received IPSec-encrypted packet (Source address=[source-address], Destination address=[destination-address], SPI=[spi], Protocol=[protocol]) because no inbound SA was found.
日志含义
由于找不到Inbound SA,设备无法解密收到的IPSec加密报文。
日志参数
| 参数名称 | 参数含义 |
|---|---|
Source address | 报文的源地址。 |
Destination address | 报文的目的地址。 |
SPI | SA的SPI值。 |
Protocol | SA的协议值。 |
可能原因
收到对端的IPSec加密报文时,设备无法解密对端的IPSec加密报文。
处理步骤
设备上执行命令ipsec invalid-spi-recovery enable,开启IPSec无效SPI恢复功能。当设备无法解密对端的IPSec加密报文时,通知对端删除此SA。
IPSEC/6/IPSEC_RECV_ADP_NOTIFY
日志信息
IPSEC/6/IPSEC_RECV_ADP_NOTIFY: IPSec receive adp notify event. (Slot=[slot-id], CpuID=[cpu-id], Notification remote=[notification-remote],, Notification type=[notification-type])
日志含义
IPSec收到ADP模块的通知事件。
日志参数
| 参数名称 | 参数含义 |
|---|---|
Slot | SPU(Service Processing Unit)板的槽位号。 |
CpuID | CPU编号。 |
Notification remote | 是否通知对端:
|
Notification type | 通知类型:
|
可能原因
hash gene adjusted:Hash因子调整。
cpu table updated:CPU表更新。
cpu smooth transit:CPU平滑切换。
处理步骤
正常运行信息,无需处理。
IPSEC/5/IPSEC_SMART_LINK_SWITCH
日志信息
IPSEC/5/IPSEC_SMART_LINK_SWITCH: IPSec policy received a link switching event. (PolicyName=[STRING], SeqNum=[ULONG], ProfileName=[STRING], IfIndex= [ULONG], LocalAddr=[STRING], RemoteAddr=[STRING])
日志含义
IPSec策略收到链路切换通知。
日志参数
| 参数名称 | 参数含义 |
|---|---|
PolicyName | IPSEC策略名 |
SeqNum | 序列号 |
ProfileName | 安全框架名称 |
IfIndex | 接口索引 |
LocalAddr | 本端地址 |
RemoteAddr | 对端地址 |
可能原因
手动切换链路,或者链路经过探测自动切换到更优的链路。
处理步骤
正常运行信息,无需处理。
本文链接:https://hqyman.cn/post/5760.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下,本站随机推荐观看栏目:
