錯誤碼（控制臺專用）

錯誤碼

（API專用）

錯誤信息

日志關鍵字

排查方法

鄰居不匹配

PeerMismatch

收到的協議報文與用戶網關信息不匹配

received UNSUPPORTED_CRITICAL_PAYLOAD error

1. 請排查IPsec連接關聯的用戶網關的IP地址與IPsec連接對端網關設備的IP地址是否相同，如果不相同，請操作修改以確保兩端IP地址相同。

2. 如果對端網關設備配置了多個IP地址，請確保用戶網關配置的IP地址為對端網關設備實際在用的IP地址。

算法不匹配

AlgorithmMismatch

加密算法或認證算法或DH分組參數不匹配

• HASH mismatched

• parsed INFORMATIONAL_V1 request

• packet lacks expected payload

• authentication failure

1. 請排查IPsec連接及其對端網關設備在IKE配置階段和IPsec配置階段配置的加密算法、認證算法、DH分組是否相同，如果不相同，請操作修改以確保兩端配置相同。

2. 如果對端網關設備在IKE配置階段和IPsec配置階段配置了多種加密算法、認證算法或DH分組，則建議修改對端網關設備的配置，使對端網關設備的加密算法、認證算法以及DH分組的配置與IPsec連接的配置相同。

   說明

   在阿里云側配置IPsec連接時，IKE配置階段和IPsec配置階段的加密算法、認證算法和DH分組均只支持指定一個值，不支持指定多個值。

加密算法不匹配

EncryptionAlgorithmMismatch

IPsec的加密算法不匹配

• invalid encryption algorithm

• trns_id mismatched

• rejected enctype

• authentication failure

1. 請排查IPsec連接及其對端網關設備在IPsec配置階段配置的加密算法是否相同，如果不相同，請操作修改以確保兩端配置相同。

2. 如果對端網關設備在IPsec配置階段配置了多種加密算法，則建議修改對端網關設備的配置，使對端網關設備的加密算法與IPsec連接的加密算法相同。

認證算法不匹配

AuthenticationAlgorithmMismatch

IKE認證算法不匹配

• authtype mismatched

• rejected hashtype

• authentication failure

1. 請排查IPsec連接及其對端網關設備在IKE配置階段配置的認證算法是否相同，如果不同，請操作修改以確保兩端配置相同。

2. 如果對端網關設備在IKE配置階段配置了多種認證算法，則建議修改對端網關設備的配置，使對端網關設備的認證算法與IPsec連接的認證算法相同。

DH分組不匹配

DhGroupMismatch

IKE一階段DH分組參數不匹配

• received KE type 14,expected 2

• failed to compute dh value

• rejected dh_group

• proposal mismatch, transform type:4

1. 請排查IPsec連接及其對端網關設備在IKE配置階段配置的DH分組是否相同，如果不同，請操作修改以確保兩端配置相同。

2. 如果對端網關設備在IKE配置階段配置了多種DH分組，則建議修改對端網關設備的配置，使對端網關設備的DH分組與IPsec連接的DH分組相同。

3. 如果您的使用場景中多個IPsec連接關聯了同一個用戶網關，則所有IPsec連接的IKE配置階段的所有配置（包含版本、協商模式、加密算法、認證算法、DH分組、SA生存周期（秒））需保持相同。

   同時每個IPsec連接側的LocalId需和IPsec連接對端網關設備的RemoteId相同；每個IPsec連接側的RemoteId需和對端網關設備的LocalId相同。

預共享密鑰不匹配

PskMismatch

預共享密鑰參數不匹配

• Decryption failed! mismatch of preshared secrets

• mismatch of preshared secrets

• invalid HASH_V1 payload length, decryption failed

• could not decrypt payloads

• authentication failure

1. 請排查IPsec連接及其對端網關設備配置的預共享密鑰是否相同，如果不同，請操作修改以確保兩端配置相同。

   您也可以對IPsec連接及其對端網關設備的預共享密鑰同時進行修改，此操作會觸發IPsec協議重新協商，系統會再次檢查兩端的預共享密鑰是否匹配。

2. 在IPsec連接及其對端網關設備預共享密鑰相同的情況下，也請確保兩端在IKE配置階段和IPsec配置階段配置的加密算法、認證算法、DH分組均相同。

3. 如果對端網關設備在IKE配置階段和IPsec配置階段配置了多種加密算法、認證算法或DH分組，則建議修改對端網關設備的配置，使對端網關設備的加密算法、認證算法以及DH分組的配置與IPsec連接的配置相同。

PeerID不匹配

PeerIdMismatch

LocalID或RemoteID不匹配或者不兼容

• does not match peers id

• message lacks IDr payload

• Expecting IP address type in main mode,but FQDN

• Unknow peer id

• Parse PEERID failed

• received ID_I(xxx) does not match peers id

1. 請排查IPsec連接側的LocalId與對端網關設備的RemoteId是否相同；IPsec連接側的RemoteId與對端網關設備的LocalId是否相同。如果不同，請操作修改。

   • 在IPsec連接綁定VPN網關實例的場景下，阿里云VPN網關默認將VPN網關的IP地址作為IPsec連接的LocalId，將用戶網關的IP地址作為IPsec連接的RemoteId。

   • 在IPsec連接綁定轉發路由器實例的場景下，阿里云VPN網關默認將IPsec連接的網關IP地址作為IPsec連接的LocalId，將用戶網關的IP地址作為IPsec連接的RemoteId。

2. 如果IPsec連接的IKE版本為ikev1、協商模式為main，則LocalId和RemoteId僅支持IP地址格式，請確保LocalId和RemoteId的格式符合要求。

3. 請排查IPsec連接及其對端網關設備配置的協商模式是否相同，如果不相同，請操作修改以確保兩端配置相同。

   推薦兩端均配置為main（主模式），在main（主模式）下LocalId和RemoteId建議使用IP地址格式。

4. 如果IPsec連接的IKE版本為ikev2，且您已排查上述問題無誤，請排查IPsec連接及其對端網關設備在IKE配置階段和IPsec配置階段配置的加密算法、認證算法、DH分組是否相同，如果不相同，請操作修改以確保兩端配置相同。

DPD載荷順序兼容

DpdHashNotifyCompatibility

DPD載荷順序兼容

ignore information because the message has no hash payload

在IPsec連接開啟DPD功能的場景下，IPsec連接的DPD載荷順序默認為hash-notify，請排查對端網關設備的DPD載荷順序是否也為hash-notify，如果不是，請將對端網關設備的DPD載荷順序修改為hash-notify。

DPD超時

DpdTimeout

DPD報文超時

DPD: remote seems to be dead

1. 請排查IPsec連接及其對端網關設備是否均已開啟DPD功能，請確保兩端DPD功能的開啟狀態相同。

   說明

   DPD報文超時會導致IPsec協議重新協商。

2. 請排查IPsec連接及其對端網關設備配置之間的網絡質量、路由配置，以確保IPsec連接及其對端網關設備配置之間是可以連通的。

IKE版本不匹配

IkeVersionMismatch

IKE版本號參數不匹配，或協商模式不匹配

unknown ikev2 peer

1. 請排查IPsec連接及其對端網關設備配置的IKE版本是否相同，如果不同，請操作修改以確保兩端配置相同。

   • 如果對端網關設備支持自動選擇IKE版本或者對端網關設備同時支持IKEv1和IKEv2兩個版本，則建議為對端網關設備指定IKE版本，對端網關設備的IKE版本需和IPsec連接的IKE版本相同。

   • 推薦兩端均使用為IKEv2版本。

2. 請排查IPsec連接及其對端網關設備配置的協商模式是否相同，如果不同，請操作修改以確保兩端配置相同。

協商模式不匹配

NegotiationModeMismatch

協商模式不匹配

• in Identity not acceptable Aggressive mode

• not acceptable Identity Protection mode

1. 請排查IPsec連接及其對端網關設備配置的協商模式是否相同，如果不同，請操作修改以確保兩端配置相同。

   推薦兩端均使用main（主模式）。

2. 如果在兩端均為main（主模式）的場景下IPsec連接依舊協商不成功（部分極端場景下會出現當前問題），請嘗試將兩端的協商模式修改為aggressive（野蠻模式）。

NAT-T不匹配

NatTMismatch

NAT穿越不匹配

ignore the packet, received unexpecting payload type 130

請排查IPsec連接及其對端網關設備的NAT穿越功能狀態是否相同，如果不同，請操作修改以確保兩端配置相同。

如果對端網關設備在NAT網關之后，則建議IPsec連接及其對端網關設備均開啟NAT穿越功能。

SA生存周期時間不匹配

LifetimeMismatch

Lifetime參數不匹配

long lifetime proposed

請排查IPsec連接及其對端網關設備在IKE配置階段和IPsec配置階段配置的SA生存周期（秒）是否相同，如果不同，請操作修改以確保兩端配置相同。

IPsec連接及其對端網關設備配置的SA生存周期（秒）不強制要求相同，但由于不同網關設備所屬廠商不同，為確保IPsec-VPN連接的穩定性，推薦兩端配置相同的SA生存周期（秒）。

安全協議不匹配

SecurityProtocolMismatch

安全協議參數不匹配

proto_id mismatched

請排查對端網關設備使用的安全協議是否為ESP（Encapsulating Security Payload），如果不是，請修改為ESP。

對于IPsec-VPN連接使用的安全協議，阿里云VPN網關僅支持ESP，不支持AH（Authentication Header）。

封裝模式不匹配

EncapsulationModeMismatch

封裝模式不匹配

encmode mismatched

請排查對端網關設備使用的封裝模式是否為隧道模式，如果不是，請修改為隧道模式。

對于IPsec-VPN連接使用的封裝模式，阿里云VPN網關僅支持隧道模式，不支持傳輸模式。

算法兼容性

AlgorithmCompatibility

算法兼容性

無

IPsec連接及其對端網關設備在IKE配置階段和IPsec配置階段配置的認證算法不兼容，建議兩端使用其他認證算法，例如md5。

感興趣流不匹配

TrafficSelectorMismatch

感興趣流網段參數不匹配

• traffic selector mismatch

• invalid-id-information

• traffic selector unacceptable

• can't find matching selector

• received INVALID_ID_INFORMATION error notify

• received Notify type TS_UNACCEPTABLE

1. 請根據IPsec連接使用的IKE版本排查感興趣流的網段配置，確保符合以下原則：

   • 如果IPsec連接使用的IKE版本為ikev1，則感興趣流僅支持配置單個網段。

   • 如果IPsec連接使用的IKE版本為ikev2，則感興趣流支持配置多個網段。

     說明

     在IPsec連接配置多網段的場景下，由于IPsec連接與對端網關設備IPsec協議的協商機制不同，可能會導致部分網段通信正常，部分網段無法通信，您可以參見常見問題查看解決方案。

2. 請排查IPsec連接及其對端網關設備配置的感興趣流是否相同，確保：

   • IPsec連接側的本端網段與對端網關設備的對端網段相同。

   • IPsec連接側對端網段與對端網關設備的本端網段相同。

PFS不匹配

PfsMismatch

IPsec二階段DH分組參數不匹配

• pfs group mismatched

• message lacks KE payload

請排查IPsec連接及其對端網關設備IPsec配置階段PFS功能的配置狀態是否相同，如果不同，請操作修改以確保兩端配置相同。

• 如果IPsec連接側IPsec配置階段DH分組配置為了disabled，則表示IPsec連接側未開啟PFS功能，則需要確保對端網關設備的PFS功能也關閉。

• 如果IPsec連接側IPsec配置階段DH分組配置為disabled以外的值，則表示IPsec連接側開啟了PFS功能，則需要確保對端網關設備的PFS功能也為開啟狀態。

推薦IPsec連接及其對端網關設備均開啟PFS功能。

commit位不匹配

CommitMismatch

commit位不匹配

無

請排查對端網關設備的提交位（commit）是否為開啟狀態，如果是，請關閉提交位（commit）。

提交位（commit）是用于確保在發送被保護的數據之前完成IPsec協議的協商，阿里云VPN網關不支持配置提交位（commit）。

提議不匹配

ProposalMismatch

提議不匹配

• no proposal chosen

• received NO_PROPOSAL_CHOSEN

• no suitable proposal found

• failed to get valid proposal

• none of my proposal matched

• no matching proposal found, sending NO_PROPOSAL_CHOSEN

• proposal mismatch

• couldn't find configuaration

• ignore the packet,expecting the packet encrypted

1. 請排查IPsec連接及其對端網關設備配置的IKE版本是否相同，如果不相同，請操作修改以確保兩端配置相同。

   推薦兩端均使用IKEv2版本。

2. 請排查IPsec連接及其對端網關設備IKE配置階段的所有配置是否相同，如果不相同，請操作修改以確保兩端配置滿足以下條件：

   • 關于版本、協商模式、加密算法、認證算法、DH分組、SA生存周期（秒）參數的配置，兩端需保持相同。

   • IPsec連接側的LocalId需和對端網關設備的RemoteId相同；IPsec連接側的RemoteId需和對端網關設備的LocalId相同。

3. 請排查IPsec連接及其對端網關設備IPsec配置階段的所有配置是否相同，如果不相同，請操作修改以確保兩端配置相同（包含加密算法、認證算法、DH分組、SA生存周期（秒）、NAT穿越）。

   同時需確保IPsec連接及其對端網關設備配置的感興趣流滿足以下條件：

   • IPsec連接側的本端網段與對端網關設備的對端網段相同。

   • IPsec連接側對端網段與對端網關設備的本端網段相同。

4. 如果您的使用場景中多個IPsec連接關聯了同一個用戶網關，則所有IPsec連接的IKE配置階段的所有配置（包含版本、協商模式、加密算法、認證算法、DH分組、SA生存周期（秒））需保持相同。

   同時每個IPsec連接側的LocalId需和當前IPsec連接對端網關設備的RemoteId相同；每個IPsec連接側的RemoteId需和當前IPsec連接對端網關設備的LocalId相同。

5. 嘗試對IPsec-VPN連接進行重置以觸發IPsec協議重新協商。

協商失敗

NegotiationFailed

協議協商失敗

phase2 negotiation failed due to time up waiting for phase1

請重置IPsec-VPN連接以觸發IPsec協議重新協商，系統會再次進行檢查。

一階段協商超時

Phase1NegotiationTimeout

無法收到一階段協議報文超時協商失敗

• phase1 negotiation failed due to time up

• ignore information because ISAKMP-SA has not been established

1. 請排查對端網關設備是否可以正常接收或發送IPsec協議報文。

2. 請排查IPsec連接關聯的用戶網關的IP地址與IPsec連接對端網關設備的IP地址是否相同，如果不相同，請操作修改以確保兩端IP地址相同。

3. 請排查對端網關設備是否有異常（例如故障重啟）。

4. 請排查對端網關設備和IPsec連接之間是否可以互相訪問。

   嘗試在對端網關設備上使用ping、mtr或traceroute命令訪問VPN網關IP地址或IPsec連接的網關IP地址，確認兩端可以互相訪問。

5. 當前VPN網關不支持創建跨境的IPsec-VPN連接，如果您需要創建跨境連接，請使用云企業網產品。更多信息，請參見什么是云企業網。

6. 嘗試對IPsec-VPN連接進行重置以觸發IPsec協議重新協商。

二階段協商超時

Phase2NegotiationTimeout

無法收到二階段報文超時協商失敗

無

1. 請排查IPsec連接及其對端網關設備IPsec配置階段的參數配置是否相同（包含加密算法、認證算法、DH分組、SA生存周期（秒）），如果不相同，請操作修改以確保兩端IPsec配置階段的參數配置相同。

2. 請排查IPsec連接及其對端網關設備NAT穿越功能的狀態是否相同。請確保兩端的NAT穿越功能同時開啟或者同時關閉。

3. 嘗試修改IPsec連接及其對端網關設備使用的IKE版本，同時修改為IKEv1或同時修改為IKEv2。

無法收到對端協議應答報文

NoResponse

對端網關不響應

• sending retransmit 1 of request message ID 0, seq 1

• retransmission count exceeded the limit

1. 請排查對端網關設備是否可以正常接收或發送IPsec協議報文。

2. 請排查IPsec連接關聯的用戶網關的IP地址與IPsec連接對端網關設備的IP地址是否相同，如果不相同，請操作修改以確保兩端IP地址相同。

3. 請排查對端網關設備是否有異常（例如故障重啟）。

4. 請排查對端網關設備和IPsec連接之間是否可以互相訪問。

   嘗試在對端網關設備上使用ping、mtr或traceroute命令訪問VPN網關IP地址或IPsec連接的網關IP地址，確認兩端可以互相訪問。

5. 請排查對端網關設備應用的訪問控制策略，確認其是否滿足以下條件：

   • 放開UDP協議500及4500端口。

   • 放行VPN網關實例的IP地址或IPsec連接網關IP地址。

6. 嘗試對IPsec-VPN連接進行重置以觸發IPsec協議重新協商。

收到對端的delete報文

ReceiveDeleteNotify

收到對端的delete報文

received DELETE IKE_SA

IPsec連接側收到對端網關設備發送的delete notify報文，請在對端網關設備側排查原因。

未診斷出協商異常原因

NoExceptionFound

未診斷出協商異常原因

無

當前結果有可能是IPsec-VPN連接并未開始協商導致的，請在阿里云側或對端網絡設備側對IPsec-VPN連接進行重置。

在阿里云側您可以修改IPsec連接下立即生效的值，保存后再將立即生效修改為原配置值，以此觸發IPsec協議開始協商，然后刷新當前頁面，查看檢查結果。