华为云首页用户手册

华为乾坤-ALM-4285734925 IPSec隧道协商失败:处理步骤

时间：2023-11-17 10:33:35

华为乾坤

处理步骤

原因：phase1 proposal mismatch
请查看两端的IKE安全提议参数，并执行相应的命令将不匹配的参数修改一致。
原因：phase2 proposal or pfs mismatch
请查看两端的IPSec安全提议参数或PFS算法，并执行相应的命令将不匹配的参数修改一致。
原因：responder dh mismatch、initiator dh mismatch
请查看两端的DH算法，并执行相应的命令将DH算法修改一致。
原因：encapsulation mode mismatch
请查看两端的封装模式，并执行相应的命令将封装模式修改一致。
原因：eap authentication timeout、eap authentication fail、xauth authentication fail、xauth authentication timeout
请确保客户端的用户名和密码正确，以及确保用户接入的相关配置正确。
原因：ip assigned fail
请确保AAA和IPSec的相关配置正确，例如IP Pool、AAA业务方案、为IKE用户分配的IP地址。
原因：peer address mismatch
请查看两端的IKE对等体地址，并执行相应的命令修改不匹配的IKE对等体地址。
原因：config ID mismatch
请查看身份认证参数，例如ID类型和ID值，执行相应的命令修改不匹配的参数。
原因：authentication fail
请查看两端的IKE安全提议参数或IKE对等体参数，并执行相应的命令将两端的参数修改一致。
原因：license or specification limited
请根据需要申请License或扩容。
原因：exchange mode mismatch
请查看两端的IKEv1阶段1协商模式，并执行相应的命令将两端的协商模式修改一致。
原因：route limit
请更换路由注入规格更高的设备，并合理规划网络。
原因：local address mismatch
请查看IKE协商时的本端IP地址和接口IP地址，并执行相应的命令将地址修改一致。
原因：ipsec tunnel number reaches limitation
请删除不必要的IPSec隧道或设备扩容。
原因：dynamic peers number reaches limitation
请设备扩容，并合理规划网络。
原因：none of user's interface is selected
请查看IKE用户表中ID类型和ID值、IKE用户关联的接口，并执行相应的命令修改不匹配的参数。
原因：in disconnect state
请用户根据IPSec链路探测结果检查链路或设备是否正常。
原因： proposal mismatch or use sm in ikev2、ikev2 not support sm in ipsec proposal
请查看IPSec安全提议中IKEv2使用的算法，并执行相应的命令将算法修改正确。
原因：flow confict
请查看两端的ACL规则，并执行相应的命令将ACL规则修改正确。
原因：netmask mismatch
请修改分支或总部保护的IPSec数据流范围，使得各分支和总部协商的数据流不存在交集。
原因：no policy applied on interface
请在接口上应用相应的IPSec策略。
原因：fragment packet limit
收到的分片报文数超过规格，请合理调整对端设备的MTU值。
原因：fragment packet reassemble timeout
请确保两端链路正常及设备状态正常。
非以上原因或问题仍未解决时，请收集相应的信息，并联系技术支持人员。