自主排查IPsec-VPN連接問題
在您使用IPsec-VPN連接過程中,如果IPsec-VPN連接異常,您可以根據(jù)VPN網(wǎng)關(guān)管理控制臺提示的錯誤碼和IPsec連接的日志信息自主排查問題。
背景信息
本文匯總了IPsec-VPN連接常見錯誤及排查方法,您可以通過VPN網(wǎng)關(guān)管理控制臺提示的錯誤碼和IPsec連接的日志信息,對照本文的匯總表自主排查,幫助您快速解決問題。
如何查看IPsec-VPN連接錯誤碼,請參見查看錯誤碼。
如何查看IPsec連接的日志信息,請參見查看IPsec連接日志。
查看錯誤碼
在IPsec連接綁定VPN網(wǎng)關(guān)實例的場景下,如果VPN網(wǎng)關(guān)實例是在2019年03月21日之前創(chuàng)建的,且VPN網(wǎng)關(guān)實例未進行過升級,則當前IPsec-VPN連接不支持查看錯誤碼。您可以將VPN網(wǎng)關(guān)實例升級到最新的版本再查看錯誤碼。具體操作,請參見升級VPN網(wǎng)關(guān)。
錯誤碼當前僅支持中文和英文,暫不支持其他語言。
VPN網(wǎng)關(guān)管理控制臺展示的錯誤碼是系統(tǒng)在最近3分鐘內(nèi)對IPsec-VPN連接的檢查結(jié)果。在您查看錯誤碼前,您可以在IPsec-VPN連接兩端對IPsec-VPN連接進行重置以觸發(fā)IPsec協(xié)議重新協(xié)商,然后刷新頁面,查看最新的錯誤碼。
在阿里云側(cè)您可以修改IPsec連接下立即生效的值,保存后再將立即生效修改為原配置值,以此觸發(fā)IPsec協(xié)議重新開始協(xié)商。
單隧道模式IPsec-VPN連接
如果您創(chuàng)建的是單隧道模式的IPsec-VPN連接,請按照以下步驟查看IPsec-VPN連接的錯誤碼。
- 登錄VPN網(wǎng)關(guān)管理控制臺。
在左側(cè)導(dǎo)航欄,選擇 。
在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,在連接狀態(tài)列查看錯誤碼。
您可以在錯誤碼后單擊查看詳情,然后在錯誤詳情面板,查看具體的錯誤信息和解決方法。錯誤詳情面板中提供的解決方法與本文匯總表中的排查方法相同。
雙隧道模式IPsec-VPN連接
如果您創(chuàng)建的是雙隧道模式的IPsec-VPN連接,請按照以下步驟查看錯誤碼,支持查看不同隧道的錯誤碼。
- 登錄VPN網(wǎng)關(guān)管理控制臺。
在左側(cè)導(dǎo)航欄,選擇 。
在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
在Tunnel頁簽的連接狀態(tài)列,查看主隧道或備隧道的錯誤碼。
您可以在錯誤碼后單擊查看詳情,然后在錯誤詳情面板,查看具體的錯誤信息和解決方法。錯誤詳情面板中提供的解決方法與本文匯總表中的排查方法相同。
IPsec-VPN連接常見錯誤及排查方法匯總
在您獲取IPsec-VPN連接的錯誤碼以及日志信息后,您可以在下表中查找對應(yīng)的錯誤碼或在下表中匹配日志關(guān)鍵字,然后查看對應(yīng)的排查方法。
如果您通過調(diào)用DiagnoseVpnConnections接口對IPsec-VPN連接進行了診斷,則錯誤碼請參見下表的錯誤碼(API專用)列。
錯誤碼(控制臺專用) | 錯誤碼 (API專用) | 錯誤信息 | 日志關(guān)鍵字 | 排查方法 |
鄰居不匹配 | PeerMismatch | 收到的協(xié)議報文與用戶網(wǎng)關(guān)信息不匹配 |
|
|
算法不匹配 | AlgorithmMismatch | 加密算法或認證算法或DH分組參數(shù)不匹配 |
|
|
加密算法不匹配 | EncryptionAlgorithmMismatch | IPsec的加密算法不匹配 |
|
|
認證算法不匹配 | AuthenticationAlgorithmMismatch | IKE認證算法不匹配 |
|
|
DH分組不匹配 | DhGroupMismatch | IKE一階段DH分組參數(shù)不匹配 |
|
|
預(yù)共享密鑰不匹配 | PskMismatch | 預(yù)共享密鑰參數(shù)不匹配 |
|
|
PeerID不匹配 | PeerIdMismatch | LocalID或RemoteID不匹配或者不兼容 |
|
|
DPD載荷順序兼容 | DpdHashNotifyCompatibility | DPD載荷順序兼容 |
| 在IPsec連接開啟DPD功能的場景下,IPsec連接的DPD載荷順序默認為 |
DPD超時 | DpdTimeout | DPD報文超時 |
|
|
IKE版本不匹配 | IkeVersionMismatch | IKE版本號參數(shù)不匹配,或協(xié)商模式不匹配 |
|
|
協(xié)商模式不匹配 | NegotiationModeMismatch | 協(xié)商模式不匹配 |
|
|
NAT-T不匹配 | NatTMismatch | NAT穿越不匹配 |
| 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備的NAT穿越功能狀態(tài)是否相同,如果不同,請操作修改以確保兩端配置相同。 如果對端網(wǎng)關(guān)設(shè)備在NAT網(wǎng)關(guān)之后,則建議IPsec連接及其對端網(wǎng)關(guān)設(shè)備均開啟NAT穿越功能。 |
SA生存周期時間不匹配 | LifetimeMismatch | Lifetime參數(shù)不匹配 |
| 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備在IKE配置階段和IPsec配置階段配置的SA生存周期(秒)是否相同,如果不同,請操作修改以確保兩端配置相同。 IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置的SA生存周期(秒)不強制要求相同,但由于不同網(wǎng)關(guān)設(shè)備所屬廠商不同,為確保IPsec-VPN連接的穩(wěn)定性,推薦兩端配置相同的SA生存周期(秒)。 |
安全協(xié)議不匹配 | SecurityProtocolMismatch | 安全協(xié)議參數(shù)不匹配 |
| 請排查對端網(wǎng)關(guān)設(shè)備使用的安全協(xié)議是否為ESP(Encapsulating Security Payload),如果不是,請修改為ESP。 對于IPsec-VPN連接使用的安全協(xié)議,阿里云VPN網(wǎng)關(guān)僅支持ESP,不支持AH(Authentication Header)。 |
封裝模式不匹配 | EncapsulationModeMismatch | 封裝模式不匹配 |
| 請排查對端網(wǎng)關(guān)設(shè)備使用的封裝模式是否為隧道模式,如果不是,請修改為隧道模式。 對于IPsec-VPN連接使用的封裝模式,阿里云VPN網(wǎng)關(guān)僅支持隧道模式,不支持傳輸模式。 |
算法兼容性 | AlgorithmCompatibility | 算法兼容性 | 無 | IPsec連接及其對端網(wǎng)關(guān)設(shè)備在IKE配置階段和IPsec配置階段配置的認證算法不兼容,建議兩端使用其他認證算法,例如md5。 |
感興趣流不匹配 | TrafficSelectorMismatch | 感興趣流網(wǎng)段參數(shù)不匹配 |
|
|
PFS不匹配 | PfsMismatch | IPsec二階段DH分組參數(shù)不匹配 |
| 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備IPsec配置階段PFS功能的配置狀態(tài)是否相同,如果不同,請操作修改以確保兩端配置相同。
推薦IPsec連接及其對端網(wǎng)關(guān)設(shè)備均開啟PFS功能。 |
commit位不匹配 | CommitMismatch | commit位不匹配 | 無 | 請排查對端網(wǎng)關(guān)設(shè)備的提交位(commit)是否為開啟狀態(tài),如果是,請關(guān)閉提交位(commit)。 提交位(commit)是用于確保在發(fā)送被保護的數(shù)據(jù)之前完成IPsec協(xié)議的協(xié)商,阿里云VPN網(wǎng)關(guān)不支持配置提交位(commit)。 |
提議不匹配 | ProposalMismatch | 提議不匹配 |
|
|
協(xié)商失敗 | NegotiationFailed | 協(xié)議協(xié)商失敗 |
| 請重置IPsec-VPN連接以觸發(fā)IPsec協(xié)議重新協(xié)商,系統(tǒng)會再次進行檢查。 |
一階段協(xié)商超時 | Phase1NegotiationTimeout | 無法收到一階段協(xié)議報文超時協(xié)商失敗 |
|
|
二階段協(xié)商超時 | Phase2NegotiationTimeout | 無法收到二階段報文超時協(xié)商失敗 | 無 |
|
無法收到對端協(xié)議應(yīng)答報文 | NoResponse | 對端網(wǎng)關(guān)不響應(yīng) |
|
|
收到對端的delete報文 | ReceiveDeleteNotify | 收到對端的delete報文 |
| IPsec連接側(cè)收到對端網(wǎng)關(guān)設(shè)備發(fā)送的 |
未診斷出協(xié)商異常原因 | NoExceptionFound | 未診斷出協(xié)商異常原因 | 無 | 當前結(jié)果有可能是IPsec-VPN連接并未開始協(xié)商導(dǎo)致的,請在阿里云側(cè)或?qū)Χ司W(wǎng)絡(luò)設(shè)備側(cè)對IPsec-VPN連接進行重置。 在阿里云側(cè)您可以修改IPsec連接下立即生效的值,保存后再將立即生效修改為原配置值,以此觸發(fā)IPsec協(xié)議開始協(xié)商,然后刷新當前頁面,查看檢查結(jié)果。 |
相關(guān)操作說明
以下為您提供排查IPsec-VPN連接問題時可能會用到的操作文檔及相關(guān)說明:
修改IPsec連接配置,請參見修改IPsec連接的配置和修改隧道的配置。
由于用戶網(wǎng)關(guān)創(chuàng)建后僅支持修改名稱和描述信息,因此在排查IPsec-VPN連接問題過程中,如果您需要修改IPsec連接關(guān)聯(lián)的用戶網(wǎng)關(guān)的配置,請參見以下步驟。根據(jù)IPsec連接綁定資源的類型,操作步驟會有所不同。
IPsec連接綁定了VPN網(wǎng)關(guān)
新創(chuàng)建一個用戶網(wǎng)關(guān),確保新創(chuàng)建的用戶網(wǎng)關(guān)的配置信息為修改后的信息。具體操作,請參見創(chuàng)建用戶網(wǎng)關(guān)。
刪除IPsec連接。具體操作,請參見刪除IPsec連接。
重新創(chuàng)建IPsec連接,使新創(chuàng)建的IPsec連接關(guān)聯(lián)新的用戶網(wǎng)關(guān)。具體操作,請參見創(chuàng)建IPsec連接。
刪除之前的用戶網(wǎng)關(guān)。具體操作,請參見刪除用戶網(wǎng)關(guān)。
IPsec連接綁定了轉(zhuǎn)發(fā)路由器實例或IPsec連接未綁定任何資源
新創(chuàng)建一個用戶網(wǎng)關(guān),確保新創(chuàng)建的用戶網(wǎng)關(guān)的配置信息為修改后的信息。具體操作,請參見創(chuàng)建用戶網(wǎng)關(guān)。
修改IPsec連接關(guān)聯(lián)的用戶網(wǎng)關(guān)為您新創(chuàng)建的用戶網(wǎng)關(guān)。具體操作,請參見修改IPsec連接。
刪除之前的用戶網(wǎng)關(guān)。具體操作,請參見刪除用戶網(wǎng)關(guān)。
在排查IPsec-VPN連接問題的過程中,如果您需要修改對端網(wǎng)關(guān)設(shè)備的配置,請咨詢網(wǎng)關(guān)設(shè)備所屬廠商。
相關(guān)文檔
DiagnoseVpnConnections:診斷IPsec-VPN連接。