錯誤碼（控制臺專用）

錯誤碼

（API專用）

錯誤信息

日志關(guān)鍵字

排查方法

鄰居不匹配

PeerMismatch

收到的協(xié)議報文與用戶網(wǎng)關(guān)信息不匹配

received UNSUPPORTED_CRITICAL_PAYLOAD error

1. 請排查IPsec連接關(guān)聯(lián)的用戶網(wǎng)關(guān)的IP地址與IPsec連接對端網(wǎng)關(guān)設(shè)備的IP地址是否相同，如果不相同，請操作修改以確保兩端IP地址相同。

2. 如果對端網(wǎng)關(guān)設(shè)備配置了多個IP地址，請確保用戶網(wǎng)關(guān)配置的IP地址為對端網(wǎng)關(guān)設(shè)備實際在用的IP地址。

算法不匹配

AlgorithmMismatch

加密算法或認證算法或DH分組參數(shù)不匹配

• HASH mismatched

• parsed INFORMATIONAL_V1 request

• packet lacks expected payload

• authentication failure

1. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備在IKE配置階段和IPsec配置階段配置的加密算法、認證算法、DH分組是否相同，如果不相同，請操作修改以確保兩端配置相同。

2. 如果對端網(wǎng)關(guān)設(shè)備在IKE配置階段和IPsec配置階段配置了多種加密算法、認證算法或DH分組，則建議修改對端網(wǎng)關(guān)設(shè)備的配置，使對端網(wǎng)關(guān)設(shè)備的加密算法、認證算法以及DH分組的配置與IPsec連接的配置相同。

   說明

   在阿里云側(cè)配置IPsec連接時，IKE配置階段和IPsec配置階段的加密算法、認證算法和DH分組均只支持指定一個值，不支持指定多個值。

加密算法不匹配

EncryptionAlgorithmMismatch

IPsec的加密算法不匹配

• invalid encryption algorithm

• trns_id mismatched

• rejected enctype

• authentication failure

1. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備在IPsec配置階段配置的加密算法是否相同，如果不相同，請操作修改以確保兩端配置相同。

2. 如果對端網(wǎng)關(guān)設(shè)備在IPsec配置階段配置了多種加密算法，則建議修改對端網(wǎng)關(guān)設(shè)備的配置，使對端網(wǎng)關(guān)設(shè)備的加密算法與IPsec連接的加密算法相同。

認證算法不匹配

AuthenticationAlgorithmMismatch

IKE認證算法不匹配

• authtype mismatched

• rejected hashtype

• authentication failure

1. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備在IKE配置階段配置的認證算法是否相同，如果不同，請操作修改以確保兩端配置相同。

2. 如果對端網(wǎng)關(guān)設(shè)備在IKE配置階段配置了多種認證算法，則建議修改對端網(wǎng)關(guān)設(shè)備的配置，使對端網(wǎng)關(guān)設(shè)備的認證算法與IPsec連接的認證算法相同。

DH分組不匹配

DhGroupMismatch

IKE一階段DH分組參數(shù)不匹配

• received KE type 14,expected 2

• failed to compute dh value

• rejected dh_group

• proposal mismatch, transform type:4

1. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備在IKE配置階段配置的DH分組是否相同，如果不同，請操作修改以確保兩端配置相同。

2. 如果對端網(wǎng)關(guān)設(shè)備在IKE配置階段配置了多種DH分組，則建議修改對端網(wǎng)關(guān)設(shè)備的配置，使對端網(wǎng)關(guān)設(shè)備的DH分組與IPsec連接的DH分組相同。

3. 如果您的使用場景中多個IPsec連接關(guān)聯(lián)了同一個用戶網(wǎng)關(guān)，則所有IPsec連接的IKE配置階段的所有配置（包含版本、協(xié)商模式、加密算法、認證算法、DH分組、SA生存周期（秒））需保持相同。

   同時每個IPsec連接側(cè)的LocalId需和IPsec連接對端網(wǎng)關(guān)設(shè)備的RemoteId相同；每個IPsec連接側(cè)的RemoteId需和對端網(wǎng)關(guān)設(shè)備的LocalId相同。

預(yù)共享密鑰不匹配

PskMismatch

預(yù)共享密鑰參數(shù)不匹配

• Decryption failed! mismatch of preshared secrets

• mismatch of preshared secrets

• invalid HASH_V1 payload length, decryption failed

• could not decrypt payloads

• authentication failure

1. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置的預(yù)共享密鑰是否相同，如果不同，請操作修改以確保兩端配置相同。

   您也可以對IPsec連接及其對端網(wǎng)關(guān)設(shè)備的預(yù)共享密鑰同時進行修改，此操作會觸發(fā)IPsec協(xié)議重新協(xié)商，系統(tǒng)會再次檢查兩端的預(yù)共享密鑰是否匹配。

2. 在IPsec連接及其對端網(wǎng)關(guān)設(shè)備預(yù)共享密鑰相同的情況下，也請確保兩端在IKE配置階段和IPsec配置階段配置的加密算法、認證算法、DH分組均相同。

3. 如果對端網(wǎng)關(guān)設(shè)備在IKE配置階段和IPsec配置階段配置了多種加密算法、認證算法或DH分組，則建議修改對端網(wǎng)關(guān)設(shè)備的配置，使對端網(wǎng)關(guān)設(shè)備的加密算法、認證算法以及DH分組的配置與IPsec連接的配置相同。

PeerID不匹配

PeerIdMismatch

LocalID或RemoteID不匹配或者不兼容

• does not match peers id

• message lacks IDr payload

• Expecting IP address type in main mode,but FQDN

• Unknow peer id

• Parse PEERID failed

• received ID_I(xxx) does not match peers id

1. 請排查IPsec連接側(cè)的LocalId與對端網(wǎng)關(guān)設(shè)備的RemoteId是否相同；IPsec連接側(cè)的RemoteId與對端網(wǎng)關(guān)設(shè)備的LocalId是否相同。如果不同，請操作修改。

   • 在IPsec連接綁定VPN網(wǎng)關(guān)實例的場景下，阿里云VPN網(wǎng)關(guān)默認將VPN網(wǎng)關(guān)的IP地址作為IPsec連接的LocalId，將用戶網(wǎng)關(guān)的IP地址作為IPsec連接的RemoteId。

   • 在IPsec連接綁定轉(zhuǎn)發(fā)路由器實例的場景下，阿里云VPN網(wǎng)關(guān)默認將IPsec連接的網(wǎng)關(guān)IP地址作為IPsec連接的LocalId，將用戶網(wǎng)關(guān)的IP地址作為IPsec連接的RemoteId。

2. 如果IPsec連接的IKE版本為ikev1、協(xié)商模式為main，則LocalId和RemoteId僅支持IP地址格式，請確保LocalId和RemoteId的格式符合要求。

3. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置的協(xié)商模式是否相同，如果不相同，請操作修改以確保兩端配置相同。

   推薦兩端均配置為main（主模式），在main（主模式）下LocalId和RemoteId建議使用IP地址格式。

4. 如果IPsec連接的IKE版本為ikev2，且您已排查上述問題無誤，請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備在IKE配置階段和IPsec配置階段配置的加密算法、認證算法、DH分組是否相同，如果不相同，請操作修改以確保兩端配置相同。

DPD載荷順序兼容

DpdHashNotifyCompatibility

DPD載荷順序兼容

ignore information because the message has no hash payload

在IPsec連接開啟DPD功能的場景下，IPsec連接的DPD載荷順序默認為hash-notify，請排查對端網(wǎng)關(guān)設(shè)備的DPD載荷順序是否也為hash-notify，如果不是，請將對端網(wǎng)關(guān)設(shè)備的DPD載荷順序修改為hash-notify。

DPD超時

DpdTimeout

DPD報文超時

DPD: remote seems to be dead

1. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備是否均已開啟DPD功能，請確保兩端DPD功能的開啟狀態(tài)相同。

   說明

   DPD報文超時會導(dǎo)致IPsec協(xié)議重新協(xié)商。

2. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置之間的網(wǎng)絡(luò)質(zhì)量、路由配置，以確保IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置之間是可以連通的。

IKE版本不匹配

IkeVersionMismatch

IKE版本號參數(shù)不匹配，或協(xié)商模式不匹配

unknown ikev2 peer

1. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置的IKE版本是否相同，如果不同，請操作修改以確保兩端配置相同。

   • 如果對端網(wǎng)關(guān)設(shè)備支持自動選擇IKE版本或者對端網(wǎng)關(guān)設(shè)備同時支持IKEv1和IKEv2兩個版本，則建議為對端網(wǎng)關(guān)設(shè)備指定IKE版本，對端網(wǎng)關(guān)設(shè)備的IKE版本需和IPsec連接的IKE版本相同。

   • 推薦兩端均使用為IKEv2版本。

2. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置的協(xié)商模式是否相同，如果不同，請操作修改以確保兩端配置相同。

協(xié)商模式不匹配

NegotiationModeMismatch

協(xié)商模式不匹配

• in Identity not acceptable Aggressive mode

• not acceptable Identity Protection mode

1. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置的協(xié)商模式是否相同，如果不同，請操作修改以確保兩端配置相同。

   推薦兩端均使用main（主模式）。

2. 如果在兩端均為main（主模式）的場景下IPsec連接依舊協(xié)商不成功（部分極端場景下會出現(xiàn)當前問題），請嘗試將兩端的協(xié)商模式修改為aggressive（野蠻模式）。

NAT-T不匹配

NatTMismatch

NAT穿越不匹配

ignore the packet, received unexpecting payload type 130

請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備的NAT穿越功能狀態(tài)是否相同，如果不同，請操作修改以確保兩端配置相同。

如果對端網(wǎng)關(guān)設(shè)備在NAT網(wǎng)關(guān)之后，則建議IPsec連接及其對端網(wǎng)關(guān)設(shè)備均開啟NAT穿越功能。

SA生存周期時間不匹配

LifetimeMismatch

Lifetime參數(shù)不匹配

long lifetime proposed

請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備在IKE配置階段和IPsec配置階段配置的SA生存周期（秒）是否相同，如果不同，請操作修改以確保兩端配置相同。

IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置的SA生存周期（秒）不強制要求相同，但由于不同網(wǎng)關(guān)設(shè)備所屬廠商不同，為確保IPsec-VPN連接的穩(wěn)定性，推薦兩端配置相同的SA生存周期（秒）。

安全協(xié)議不匹配

SecurityProtocolMismatch

安全協(xié)議參數(shù)不匹配

proto_id mismatched

請排查對端網(wǎng)關(guān)設(shè)備使用的安全協(xié)議是否為ESP（Encapsulating Security Payload），如果不是，請修改為ESP。

對于IPsec-VPN連接使用的安全協(xié)議，阿里云VPN網(wǎng)關(guān)僅支持ESP，不支持AH（Authentication Header）。

封裝模式不匹配

EncapsulationModeMismatch

封裝模式不匹配

encmode mismatched

請排查對端網(wǎng)關(guān)設(shè)備使用的封裝模式是否為隧道模式，如果不是，請修改為隧道模式。

對于IPsec-VPN連接使用的封裝模式，阿里云VPN網(wǎng)關(guān)僅支持隧道模式，不支持傳輸模式。

算法兼容性

AlgorithmCompatibility

算法兼容性

無

IPsec連接及其對端網(wǎng)關(guān)設(shè)備在IKE配置階段和IPsec配置階段配置的認證算法不兼容，建議兩端使用其他認證算法，例如md5。

感興趣流不匹配

TrafficSelectorMismatch

感興趣流網(wǎng)段參數(shù)不匹配

• traffic selector mismatch

• invalid-id-information

• traffic selector unacceptable

• can't find matching selector

• received INVALID_ID_INFORMATION error notify

• received Notify type TS_UNACCEPTABLE

1. 請根據(jù)IPsec連接使用的IKE版本排查感興趣流的網(wǎng)段配置，確保符合以下原則：

   • 如果IPsec連接使用的IKE版本為ikev1，則感興趣流僅支持配置單個網(wǎng)段。

   • 如果IPsec連接使用的IKE版本為ikev2，則感興趣流支持配置多個網(wǎng)段。

     說明

     在IPsec連接配置多網(wǎng)段的場景下，由于IPsec連接與對端網(wǎng)關(guān)設(shè)備IPsec協(xié)議的協(xié)商機制不同，可能會導(dǎo)致部分網(wǎng)段通信正常，部分網(wǎng)段無法通信，您可以參見常見問題查看解決方案。

2. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置的感興趣流是否相同，確保：

   • IPsec連接側(cè)的本端網(wǎng)段與對端網(wǎng)關(guān)設(shè)備的對端網(wǎng)段相同。

   • IPsec連接側(cè)對端網(wǎng)段與對端網(wǎng)關(guān)設(shè)備的本端網(wǎng)段相同。

PFS不匹配

PfsMismatch

IPsec二階段DH分組參數(shù)不匹配

• pfs group mismatched

• message lacks KE payload

請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備IPsec配置階段PFS功能的配置狀態(tài)是否相同，如果不同，請操作修改以確保兩端配置相同。

• 如果IPsec連接側(cè)IPsec配置階段DH分組配置為了disabled，則表示IPsec連接側(cè)未開啟PFS功能，則需要確保對端網(wǎng)關(guān)設(shè)備的PFS功能也關(guān)閉。

• 如果IPsec連接側(cè)IPsec配置階段DH分組配置為disabled以外的值，則表示IPsec連接側(cè)開啟了PFS功能，則需要確保對端網(wǎng)關(guān)設(shè)備的PFS功能也為開啟狀態(tài)。

推薦IPsec連接及其對端網(wǎng)關(guān)設(shè)備均開啟PFS功能。

commit位不匹配

CommitMismatch

commit位不匹配

無

請排查對端網(wǎng)關(guān)設(shè)備的提交位（commit）是否為開啟狀態(tài)，如果是，請關(guān)閉提交位（commit）。

提交位（commit）是用于確保在發(fā)送被保護的數(shù)據(jù)之前完成IPsec協(xié)議的協(xié)商，阿里云VPN網(wǎng)關(guān)不支持配置提交位（commit）。

提議不匹配

ProposalMismatch

提議不匹配

• no proposal chosen

• received NO_PROPOSAL_CHOSEN

• no suitable proposal found

• failed to get valid proposal

• none of my proposal matched

• no matching proposal found, sending NO_PROPOSAL_CHOSEN

• proposal mismatch

• couldn't find configuaration

• ignore the packet,expecting the packet encrypted

1. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置的IKE版本是否相同，如果不相同，請操作修改以確保兩端配置相同。

   推薦兩端均使用IKEv2版本。

2. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備IKE配置階段的所有配置是否相同，如果不相同，請操作修改以確保兩端配置滿足以下條件：

   • 關(guān)于版本、協(xié)商模式、加密算法、認證算法、DH分組、SA生存周期（秒）參數(shù)的配置，兩端需保持相同。

   • IPsec連接側(cè)的LocalId需和對端網(wǎng)關(guān)設(shè)備的RemoteId相同；IPsec連接側(cè)的RemoteId需和對端網(wǎng)關(guān)設(shè)備的LocalId相同。

3. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備IPsec配置階段的所有配置是否相同，如果不相同，請操作修改以確保兩端配置相同（包含加密算法、認證算法、DH分組、SA生存周期（秒）、NAT穿越）。

   同時需確保IPsec連接及其對端網(wǎng)關(guān)設(shè)備配置的感興趣流滿足以下條件：

   • IPsec連接側(cè)的本端網(wǎng)段與對端網(wǎng)關(guān)設(shè)備的對端網(wǎng)段相同。

   • IPsec連接側(cè)對端網(wǎng)段與對端網(wǎng)關(guān)設(shè)備的本端網(wǎng)段相同。

4. 如果您的使用場景中多個IPsec連接關(guān)聯(lián)了同一個用戶網(wǎng)關(guān)，則所有IPsec連接的IKE配置階段的所有配置（包含版本、協(xié)商模式、加密算法、認證算法、DH分組、SA生存周期（秒））需保持相同。

   同時每個IPsec連接側(cè)的LocalId需和當前IPsec連接對端網(wǎng)關(guān)設(shè)備的RemoteId相同；每個IPsec連接側(cè)的RemoteId需和當前IPsec連接對端網(wǎng)關(guān)設(shè)備的LocalId相同。

5. 嘗試對IPsec-VPN連接進行重置以觸發(fā)IPsec協(xié)議重新協(xié)商。

協(xié)商失敗

NegotiationFailed

協(xié)議協(xié)商失敗

phase2 negotiation failed due to time up waiting for phase1

請重置IPsec-VPN連接以觸發(fā)IPsec協(xié)議重新協(xié)商，系統(tǒng)會再次進行檢查。

一階段協(xié)商超時

Phase1NegotiationTimeout

無法收到一階段協(xié)議報文超時協(xié)商失敗

• phase1 negotiation failed due to time up

• ignore information because ISAKMP-SA has not been established

1. 請排查對端網(wǎng)關(guān)設(shè)備是否可以正常接收或發(fā)送IPsec協(xié)議報文。

2. 請排查IPsec連接關(guān)聯(lián)的用戶網(wǎng)關(guān)的IP地址與IPsec連接對端網(wǎng)關(guān)設(shè)備的IP地址是否相同，如果不相同，請操作修改以確保兩端IP地址相同。

3. 請排查對端網(wǎng)關(guān)設(shè)備是否有異常（例如故障重啟）。

4. 請排查對端網(wǎng)關(guān)設(shè)備和IPsec連接之間是否可以互相訪問。

   嘗試在對端網(wǎng)關(guān)設(shè)備上使用ping、mtr或traceroute命令訪問VPN網(wǎng)關(guān)IP地址或IPsec連接的網(wǎng)關(guān)IP地址，確認兩端可以互相訪問。

5. 當前VPN網(wǎng)關(guān)不支持創(chuàng)建跨境的IPsec-VPN連接，如果您需要創(chuàng)建跨境連接，請使用云企業(yè)網(wǎng)產(chǎn)品。更多信息，請參見什么是云企業(yè)網(wǎng)。

6. 嘗試對IPsec-VPN連接進行重置以觸發(fā)IPsec協(xié)議重新協(xié)商。

二階段協(xié)商超時

Phase2NegotiationTimeout

無法收到二階段報文超時協(xié)商失敗

無

1. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備IPsec配置階段的參數(shù)配置是否相同（包含加密算法、認證算法、DH分組、SA生存周期（秒）），如果不相同，請操作修改以確保兩端IPsec配置階段的參數(shù)配置相同。

2. 請排查IPsec連接及其對端網(wǎng)關(guān)設(shè)備NAT穿越功能的狀態(tài)是否相同。請確保兩端的NAT穿越功能同時開啟或者同時關(guān)閉。

3. 嘗試修改IPsec連接及其對端網(wǎng)關(guān)設(shè)備使用的IKE版本，同時修改為IKEv1或同時修改為IKEv2。

無法收到對端協(xié)議應(yīng)答報文

NoResponse

對端網(wǎng)關(guān)不響應(yīng)

• sending retransmit 1 of request message ID 0, seq 1

• retransmission count exceeded the limit

1. 請排查對端網(wǎng)關(guān)設(shè)備是否可以正常接收或發(fā)送IPsec協(xié)議報文。

2. 請排查IPsec連接關(guān)聯(lián)的用戶網(wǎng)關(guān)的IP地址與IPsec連接對端網(wǎng)關(guān)設(shè)備的IP地址是否相同，如果不相同，請操作修改以確保兩端IP地址相同。

3. 請排查對端網(wǎng)關(guān)設(shè)備是否有異常（例如故障重啟）。

4. 請排查對端網(wǎng)關(guān)設(shè)備和IPsec連接之間是否可以互相訪問。

   嘗試在對端網(wǎng)關(guān)設(shè)備上使用ping、mtr或traceroute命令訪問VPN網(wǎng)關(guān)IP地址或IPsec連接的網(wǎng)關(guān)IP地址，確認兩端可以互相訪問。

5. 請排查對端網(wǎng)關(guān)設(shè)備應(yīng)用的訪問控制策略，確認其是否滿足以下條件：

   • 放開UDP協(xié)議500及4500端口。

   • 放行VPN網(wǎng)關(guān)實例的IP地址或IPsec連接網(wǎng)關(guān)IP地址。

6. 嘗試對IPsec-VPN連接進行重置以觸發(fā)IPsec協(xié)議重新協(xié)商。

收到對端的delete報文

ReceiveDeleteNotify

收到對端的delete報文

received DELETE IKE_SA

IPsec連接側(cè)收到對端網(wǎng)關(guān)設(shè)備發(fā)送的delete notify報文，請在對端網(wǎng)關(guān)設(shè)備側(cè)排查原因。

未診斷出協(xié)商異常原因

NoExceptionFound

未診斷出協(xié)商異常原因

無

當前結(jié)果有可能是IPsec-VPN連接并未開始協(xié)商導(dǎo)致的，請在阿里云側(cè)或?qū)Χ司W(wǎng)絡(luò)設(shè)備側(cè)對IPsec-VPN連接進行重置。

在阿里云側(cè)您可以修改IPsec連接下立即生效的值，保存后再將立即生效修改為原配置值，以此觸發(fā)IPsec協(xié)議開始協(xié)商，然后刷新當前頁面，查看檢查結(jié)果。