华为云首页用户手册

华为乾坤-ALM-303046743 删除IPSec tunnel:处理步骤

时间：2023-11-17 10:33:10

华为乾坤

处理步骤

原因：dpd timeout
请执行Ping操作检查链路是否可达，如果链路不可达，请排查链路和网络配置是否正确。
原因：heartbeat timeout
1. 请执行Ping操作检查链路是否可达，如果链路不可达，请排查链路。
2. 请检查两端的heartbeat配置是否正确，如果heartbeat配置不正确，请修改相应的配置。
原因：config modify or manual offline
1. 请检查是否手动执行Reset SA操作，如果是，则无需处理。
2. 请检查本端修改的IPSec配置是否正确，如果不正确，则请修改正确。
3. 请检查手动取消IPSec策略是否合理，如果不合理，则请重新在接口上应用IPSec策略。
原因：phase1 hard expiry
请检查IKE SA的生存周期是否合理，如果不合理，请修改IKE SA的生存周期。
原因：phase2 hard expiry
请检查IPSec SA的生存周期是否合理，如果不合理，请修改IPSec SA的生存周期。
原因：hard expiry triggered by port mismatch
请检查两端的NAT端口是否匹配，如果不匹配，请修改相应的NAT端口。
原因：peer request
请确认对端的日志信息，并根据其信息确认IPSec隧道故障的原因。
原因：receive invalid spi notify
如果频繁出现此现象，请检查对端设备状态、配置等是否异常。
原因：dns resolution status change
1. 请确保设备与DNS服务器链路正常。
2. 请确保DNS服务器的服务正常。
3. 请确保命令remote-address host-name配置的域名正确。
原因：ikev1 phase1-phase2 sa dependent offline
两端设备能正常重协商起新的IKE SA和IPSec SA时，无需处理此现象。如果两端设备无法重协商起新的IKE SA和IPSec SA，则建议在本端设备上执行命令undo ikev1 phase1-phase2 sa dependent配置IKEv1协商时IPSec SA的存在不依赖于IKE SA。
原因：exchange timeout
请确保链路正常、IPSec相关配置正确。
原因：kick old sa with same flow
请执行命令ipsec remote traffic-identical accept，使能保护相同数据流的新用户接入总部功能。
原因：aaa cut user、re-auth timeout、phase1 sa replace、phase2 sa replace、spi conflict
此现象无需处理。