本文匯總了建立IPsec-VPN串連時出現協商失敗、流量不通現象的常見原因並提供了相應的解決方案。
常見問題快捷連結
IPsec-VPN串連協商問題
IPsec-VPN串連連通性問題
IPsec串連狀態為“第一階段協商失敗”怎麼辦?
您可以根據VPN網關管理主控台提示的錯誤碼或者IPsec串連的日誌資訊自主排查問題。具體操作,請參見自主排查IPsec-VPN串連問題。
下表為您羅列幾個常見的IPsec串連對端網關裝置導致“第一階段協商失敗”的原因,供您快速查閱。
原因 | 解決方案 |
IPsec串連對端網關裝置工作異常。 | 請排查對端網關裝置。具體操作,請諮詢裝置所屬廠商。 |
IPsec串連對端網關裝置尚未添加IPsec-VPN配置。 | 請為對端網關裝置添加IPsec-VPN配置,需確保對端網關裝置的配置與IPsec串連的配置一致。具體操作,請參見本地網關配置。 |
IPsec串連對端網關裝置所應用的存取控制策略未允許存取UDP協議500及4500連接埠。 | 請排查對端網關裝置應用的存取控制策略,確保其滿足以下條件:
|
IPsec串連對端廠商限制,需要有資料流量時才能觸發IPsec協議協商。 | 請確認IPsec串連對端VPN網關是否存在此使用限制。 如果存在此限制,請向對端廠商諮詢如何觸發IPsec協議協商。 |
IPsec串連狀態為“第二階段協商失敗”怎麼辦?
您可以根據VPN網關管理主控台提示的錯誤碼或者IPsec串連的日誌資訊自主排查問題。具體操作,請參見自主排查IPsec-VPN串連問題。
IPsec串連狀態之前為“第二階段協商成功”,但現在一直顯示“第二階段協商失敗”怎麼辦?
產生當前問題的可能原因及解決方案請參見下表。
原因分類 | 原因 | 解決方案 |
網關裝置異常 | 阿里雲VPN網關執行個體欠費。 | 請您及時向相關帳號內儲值或為帳號添加新的支付方式。具體操作,請參見阿里雲支付方式介紹。 |
IPsec串連對端網關裝置異常。 | 排查對端網關裝置。具體操作,請諮詢裝置所屬廠商。 | |
對端網關裝置應用的存取控制策略有變更。 | 請排查對端網關裝置應用的存取控制策略,確保已允許本機資料中心與VPC之間流量互連。 | |
IPsec-VPN配置變更 | 對端網關裝置的IPsec-VPN配置被刪除。 | 重新為對端網關裝置添加IPsec-VPN配置,需確保對端網關裝置的配置與IPsec串連的配置一致。具體操作,請參見本地網關配置。 |
對端網關裝置的IPsec-VPN配置被修改,與IPsec串連的參數配置不一致。 | 請修改對端網關裝置的配置使其與IPsec串連的配置一致。 | |
對端網關裝置的IPsec-VPN配置中,某個參數被指定了多個值。 例如配置對端網關裝置時,指定IKE配置階段密碼編譯演算法的值為aes和aes192。 | 在阿里雲側配置IPsec串連時,每個參數僅支援指定一個值。請排查對端網關裝置的IPsec-VPN配置,確保每個參數也僅指定了一個值,且與IPsec串連的值相同。 | |
IPsec串連的配置被修改,與對端網關裝置不一致。 | 請排查IPsec串連的配置使其與對端網關裝置的配置一致。具體操作,請參見修改IPsec串連。 | |
IPsec串連關聯的VPC執行個體新配置了IPv4網關和網路ACL。 | 請排查VPC執行個體應用的IPv4網關、網路ACL的配置,使其允許本機資料中心與VPC執行個體之間流量互連。具體操作,請參見IPv4網關概述和網路ACL概述。 | |
對端網關裝置IP地址變更 | 對端網關裝置用於建立IPsec-VPN串連的IP地址發生了變更,導致阿里雲側使用者網關執行個體的IP地址與對端網關裝置使用的IP地址不一致。 | 請確保對端網關裝置用於建立IPsec-VPN串連的IP地址與阿里雲側使用者網關執行個體配置的IP地址相同。 |
對端網關裝置擁有多個IP地址,阿里雲側使用者網關執行個體的IP地址與對端網關裝置用於建立IPsec-VPN串連的IP地址不一致。 | 請確保對端網關裝置用於建立IPsec-VPN串連的IP地址與阿里雲側使用者網關執行個體配置的IP地址相同。 | |
對端網關裝置使用動態IP地址,阿里雲側使用者網關執行個體的IP地址與對端網關裝置用於建立IPsec-VPN串連的IP地址不一致。 | 請對端網關裝置需使用靜態IP地址建立IPsec-VPN串連,並確保對端網關裝置使用的靜態IP地址與阿里雲側使用者網關執行個體配置的IP地址相同。 |
IPsec串連狀態為“第二階段協商成功”,但IPsec串連協商狀態間歇性變為失敗怎麼辦?
產生當前問題的可能原因及解決方案請參見下表。
原因分類 | 原因 | 解決方案 |
IPsec-VPN配置變更 | IPsec串連及其對端網關裝置在IPsec配置階段DH分組參數(部分本地網關裝置稱為PFS)的配置不一致。 | 請排查IPsec串連或者對端網關裝置在IPsec配置階段的DH分組參數(PFS)的配置,使兩端的DH分組參數(PFS)的值配置相同。關於如何修改IPsec串連的配置,請參見修改IPsec串連。 |
對端網關裝置的IPsec-VPN配置中,某個參數被指定了多個值。 例如配置對端網關裝置時,指定IKE配置階段密碼編譯演算法的值為aes、aes192。 | 在阿里雲側配置IPsec串連時,每個參數僅支援指定一個值。請排查對端網關裝置的IPsec-VPN配置,確保每個參數也僅指定了一個值,且與IPsec串連的值相同。 | |
對端網關裝置配置了基於流量的SA生存周期。 | 阿里雲側的IPsec串連不支援配置基於流量的SA生存周期,僅支援配置基於時間的SA生存周期。建議對端網關裝置不配置基於流量的SA生存周期或者將基於流量的SA生存周期配置為0位元組。 | |
網路品質不佳 | 由於IPsec串連和對端網關裝置之間的網路品質不佳,造成DPD協議報文、健全狀態檢查探測報文或IPsec協議報文丟失後逾時,導致IPsec-VPN串連中斷。 | 請排查IPsec-VPN串連停機時間點的網路連通性。 |
IPsec串連對端限制 | IPsec串連對端廠商限制,需要有資料流量時才能觸發IPsec協議協商。 | 請確認IPsec串連對端VPN網關是否存在此使用限制。 如果存在此限制,請向對端廠商諮詢如何觸發IPsec協議協商。 |
IPsec串連狀態為“第二階段協商成功”,但BGP路由協議的協商狀態為“異常”怎麼辦?
產生當前問題的可能原因及解決方案請參見下表。
原因分類 | 原因 | 解決方案 |
BGP配置不正確 | 對端網關裝置未配置正確的BGP IP地址。 | 請排查IPsec串連及其對端網關裝置的BGP配置,確保IPsec串連的BGP IP地址和對端網關裝置的BGP IP地址在相同的網段內,且互不衝突。 BGP IP地址所屬網段需是一個位於169.254.0.0/16網段內,子網路遮罩長度為30的網段。 |
IPsec-VPN串連相關問題 | 由於IPsec-VPN串連的連通性異常,導致IPsec串連側無法收到對端網關裝置的BGP協議報文。 | 請排查IPsec-VPN串連的連通性,並確認IPsec串連側是否有收到對端網關裝置的BGP協議報文。 您可以在IPsec串連下查看流量監控資料,如果當前系統並未監控到任何傳入流量記錄,則說明IPsec串連側未收到對端網關裝置的BGP協議報文。 |
IPsec串連協商狀態有中斷。 | 請根據IPsec串連的日誌排查IPsec串連是否一直處於“第二階段協商成功”的狀態。 如果IPsec串連協商狀態不穩定,請根據日誌資訊排查IPsec串連的問題。具體操作,請參見自主排查IPsec-VPN串連問題。 |
IPsec串連狀態為“第二階段協商成功”,但健全狀態檢查失敗怎麼辦?
產生當前問題的可能原因及解決方案請參見下表。
原因分類 | 原因 | 解決方案 |
健全狀態檢查目標IP地址問題 | 健全狀態檢查目標IP地址無法訪問。 | 請在目標IP地址關聯的主機上使用目標IP地址通過 如果目標IP地址無法正常訪問源IP地址,請確認目標IP地址是否配置正確。 |
健全狀態檢查目標IP地址關聯的主機工作異常,無法及時響應IPsec串連發出的探測報文(ICMP報文)。 | 請排查目標IP地址關聯的主機是否正常。具體操作,請諮詢網關裝置所屬廠商。 | |
健全狀態檢查目標IP地址關聯的路由配置和安全性原則有變更。 比如安全性原則未允許存取健全狀態檢查的源IP地址、目標IP地址或ICMP協議類型的報文。 | 請在對端網關裝置側排查目標IP地址關聯的路由配置以及安全性原則,確保:
| |
健全狀態檢查目標IP地址並未從原路徑(指目標IP地址接收探測報文的路徑)對健全狀態檢查的探測報文做出響應。 | 請通過 | |
IPsec-VPN串連相關問題 | IPsec串連協商狀態有中斷。 | 請根據IPsec串連的日誌排查IPsec串連是否一直處於“第二階段協商成功”的狀態。 如果IPsec串連協商狀態不穩定,請根據日誌資訊排查IPsec串連的問題。具體操作,請參見自主排查IPsec-VPN串連問題。 說明 IPsec串連健全狀態檢查失敗後系統會重設IPsec隧道,在非主備IPsec-VPN連線應用程式情境下,不推薦您為IPsec串連配置健全狀態檢查,您可以為IPsec串連開啟DPD功能來探測對端的連通性。 關於主備IPsec-VPN連線應用程式情境,請參見基於多個公網IP地址建立高可用的IPsec-VPN串連(主備鏈路)和高可用-雙使用者網關。 |
為什麼IPsec串連狀態為“第二階段協商成功”,但VPC內的ECS執行個體無法訪問本機資料中心內的伺服器?
原因
VPC的路由配置、安全性群組規則或本機資料中心的路由配置、存取控制策略未允許VPC內的ECS執行個體訪問本機資料中心內的伺服器。
解決方案
請參見以下資訊排查相關配置:
VPC
排查VPC路由表中的路由配置。確保VPC路由表內已配置了相關路由使ECS執行個體可以訪問本機資料中心的伺服器。
排查VPC應用的安全性群組規則。確保安全性群組規則允許ECS執行個體和伺服器之間互相訪問。
本機資料中心
排查本機資料中心的路由配置。確保本機資料中心已配置了相關路由使伺服器可以對ECS執行個體做出應答。
排查本機資料中心的存取控制策略。確保本機資料中心允許ECS執行個體和伺服器互相訪問。
如果本機資料中心記憶體在將公網IP地址作為私人IP地址使用的情況,您需要將公網IP的網段設定為VPC的使用者網段,以確保VPC可以訪問到該公網網段。關於使用者網段的更多資訊,請參見什麼是使用者網段?和如何配置使用者網段?。
為什麼IPsec串連狀態為“第二階段協商成功”,但本機資料中心內的伺服器無法訪問VPC內的ECS執行個體?
原因
VPC的路由配置、安全性群組規則或本機資料中心的路由配置、存取控制策略未允許本機資料中心內的伺服器訪問VPC內的ECS執行個體。
解決方案
請參見以下資訊排查相關配置:
VPC
排查VPC路由表中的路由配置。確保VPC路由表內已配置了相關路由使ECS執行個體可以對伺服器的訪問做出應答。
排查VPC應用的安全性群組規則。確保安全性群組規則允許ECS執行個體和伺服器之間互相訪問。
本機資料中心
排查本機資料中心的路由配置。確保本機資料中心已配置了相關路由使伺服器可以通過IPsec-VPN串連訪問ECS執行個體。
排查本機資料中心的存取控制策略。確保本機資料中心允許ECS執行個體和伺服器互相訪問。
為什麼IPsec串連狀態為“第二階段協商成功”,但是多網段情境下部分網段通訊正常,部分網段通訊不正常?
原因
在使用IPsec-VPN串連實現本機資料中心和VPC(Virtual Private Cloud)互連的情境中,如果VPN網關與思科、華三、華為等傳統廠商的裝置對接,在IPsec串連使用感興趣流的路由模式且配置了多網段的情況下,僅一個網段可以互連,其餘網段不通。
當前現象是阿里雲VPN網關與思科、華三、華為等傳統廠商的裝置對接時,兩端IPsec協議不相容導致的。在IPsec串連配置多網段的情況下,阿里雲VPN網關使用一個SA(Security Association)與對端的網關裝置協商,而對端的網關裝置在多網段的情況下會使用多SA與VPN網關協商。
解決方案
請參見多網段配置方案推薦。
為什麼IPsec串連狀態為“第二階段協商成功”,可ping通但業務訪問不通或部分連接埠號碼訪問不通?
原因
VPC應用的安全性群組規則或本機資料中心應用的存取控制策略未允許存取對應的IP地址、協議類型和連接埠號碼。
解決方案
請參見以下資訊排查相關配置:
排查VPC應用的安全性群組規則。確保安全性群組規則已允許存取本機資料中心和VPC之間需要互連的IP地址、協議類型和連接埠號碼。
排查本機資料中心應用的存取控制策略。確保存取控制策略已允許存取本機資料中心和VPC之間需要互連的IP地址、協議類型和連接埠號碼。
如果本機資料中心側有業務策略、網域名稱解析等配置建議一併排查。確保本機資料中心和VPC之間需要互連的IP地址、協議類型和連接埠號碼已允許存取。
為什麼IPsec串連狀態為“第二階段協商成功”,但私網訪問時出現丟包現象,且時通時不通?
產生當前問題的可能原因及解決方案請參見下表。
原因分類 | 原因 | 解決方案 |
IPsec-VPN串連相關問題 | IPsec串連協商狀態有中斷。 | 請根據IPsec串連的日誌資訊排查IPsec串連是否一直處於“第二階段協商成功”的狀態。 如果IPsec串連協商狀態不穩定,隧道頻繁重新協商導致網路間歇性中斷,請根據日誌資訊排查IPsec串連的問題。具體操作,請參見自主排查IPsec-VPN串連問題。 |
MTU相關問題 | 本機資料中心使用者MTU配置超過1300位元組(不包含1300位元組)。 | 對於2021年04月01日之前建立的VPN網關,如果配置本機資料中心的使用者MTU大於1300位元組(不包含1300位元組),則可能存在IPsec-VPN串連不通的問題,建議您將VPN網關升級至最新版本以規避該問題。關於如何升級VPN網關,請參見升級VPN網關。 |
在流量傳輸過程中,流量報文過大超過了傳輸路徑中的MTU值,導致報文被分區傳輸。 | VPN網關只支援傳輸已經分區的資料包,不支援對資料包分區及資料包分區重組。推薦使用者MTU設定為1399位元組。更多資訊,請參見MTU配置說明。 |
為什麼IPsec串連狀態為“第二階段協商成功”,私網訪問正常但轉寄延遲高?
產生當前問題的可能原因及解決方案請參見下表。
原因分類 | 原因 | 解決方案 |
網路品質不佳 | 由於IPsec串連和對端網關裝置之間的網路品質不佳,造成流量互連過程中網路延遲大以及丟包。 | 請使用 若探測到網路延遲高,可分段式探測快速縮小探查範圍。若探測到公網鏈路品質不佳,建議使用雲企業網等其他雲產品。 |
為什麼雲上雲下配置的感興趣流不一樣,IPsec-VPN串連也能協商成功?
原因
如下圖所示,本地網關裝置配置的感興趣流網段和IPsec串連配置的感興趣流網段存在內含項目關聯性,且兩端均使用IKEv2版本,則在進行IPsec協商時,阿里雲VPN網關會認為兩端的感興趣流匹配,如果本地網關裝置也支援內含項目關聯性(即認為存在內含項目關聯性的感興趣流互相匹配),則會產生雲上雲下配置的感興趣流不一樣,但IPsec-VPN串連也能協商成功的現象。
例如本地網關裝置1支援內含項目關聯性,本地網關裝置1和IPsec串連1、IPsec串連2進行協商時,本地網關裝置1上的本端網段10.55.0.0/16包含IPsec串連1的對端網段10.55.193.0/24、IPsec串連2的對端網段10.55.0.0/16;本地網關裝置1的對端網段10.66.88.0/22包含IPsec串連1的本端網段10.66.90.0/24、IPsec串連2的本端網段10.66.89.0/24,則本地網關裝置1、阿里雲VPN網關均會認為感興趣流互相匹配,本地網關裝置1和IPsec串連1、IPsec串連2均能協商成功。
如果本地網關裝置不支援內含項目關聯性(即認為存在內含項目關聯性的感興趣流不互相匹配),則IPsec-VPN串連無法協商成功。請和本地網關裝置所屬廠商確認本地網關裝置是否支援內含項目關聯性。
如果本地網關裝置和IPsec串連均使用IKEv1版本,則兩端的感興趣流必須完全一致(不能存在內含項目關聯性),IPsec-VPN串連才能協商成功。
可能的影響
如上圖所示,如果在一個VPN網關執行個體下存在多個IPsec串連,多個IPsec串連的感興趣流網段存在內含項目關聯性,則可能會導致流量無法按照期望的路徑轉寄。
對於配置了感興趣流模式的IPsec串連,在IPsec串連建立完成後,系統預設會在VPN網關執行個體的策略路由表下添加相關路由,每條路由的策略優先順序相同。上圖情境中系統將在VPN網關執行個體的策略路由表下預設添加以下路由:
路由條目名稱 | 源網段 | 目標網段 | 下一跳 | 權重 | 策略優先順序 |
路由條目1 | 10.66.90.0/24 | 10.55.193.0/24 | IPsec串連1 | 100 | 10 |
路由條目2 | 10.66.89.0/24 | 10.55.0.0/16 | IPsec串連2 | 100 | 10 |
路由條目3 | 10.66.90.0/24 | 10.55.178.0/24 | IPsec串連3 | 100 | 10 |
路由條目4 | 10.66.88.0/24 | 10.55.0.0/16 | IPsec串連4 | 100 | 10 |
根據策略路由匹配規則,在策略優先順序相同的情境下,系統會按照策略路由的順序逐條匹配路由,一旦能夠匹配到策略路由,立即按照當前策略路由轉寄流量。策略路由的順序由策略路由被下發至系統的時間決定。通常是先配置的策略路由被優先下發至系統,但當前情況無法完全保證,因此有可能存在後配置的策略路由被優先下發至系統,造成後配置的策略路由的優先順序高於先配置的策略路由的優先順序。
按照上圖情境,有可能會出現本機資料中心通過IPsec-VPN串連1向VPC發送請求報文,VPC通過IPsec-VPN串連4向本機資料中心發送回複報文,因為路由條目4可能會被優先下發至系統,導致路由條目4的優先順序高於路由條目1。
解決方案
避免為本地網關裝置和IPsec串連添加存在內含項目關聯性的感興趣流網段,推薦為兩端添加完全符合的感興趣流網段,該方式可以提高IPsec-VPN串連的穩定性。
建立IPsec串連時,盡量添加精確的感興趣流網段,確保VPN網關執行個體下的多個IPsec串連的感興趣流網段沒有重疊。
為每條策略路由配置不同的策略優先順序和權重值以保證流量僅可匹配到一條策略路由。
如果您的VPN網關執行個體不支援配置策略優先順序,可對VPN網關執行個體進行升級,升級後的VPN網關執行個體預設支援為策略路由配置策略優先順序。具體操作,請參見升級VPN網關。
本機資料中心通過雙隧道模式IPsec-VPN串連訪問CLB執行個體不通怎麼辦?
如下圖所示,VPC執行個體下的資源通過私網CLB執行個體對外提供服務,本機資料中心通過雙隧道模式的IPsec-VPN串連連通VPC執行個體,主備隧道均為可用狀態。在本機資料中心通過IPsec-VPN串連的備隧道訪問CLB執行個體時,出現訪問失敗的現象。
原因
產生當前問題的原因是CLB執行個體預設支援會話保持,即本機資料中心通過備隧道訪問CLB執行個體,CLB執行個體預設也會通過備隧道向本機資料中心發送回複報文。但在主備隧道均可用的情境下,VPN網關執行個體預設僅通過主隧道轉寄阿里雲去往本機資料中心的流量。因此VPN網關執行個體不支援轉寄CLB執行個體向備隧道發送的回複報文,導致本機資料中心無法收到從阿里雲側發來的回複報文,進而導致訪問失敗。
解決方案
如果IPsec-VPN串連使用靜態路由,請在本機資料中心側修改相關路由配置,使本機資料中心訪問CLB執行個體的流量通過主隧道進行傳輸。
如果IPsec-VPN串連使用BGP動態路由,請在本機資料中心側修改BGP配置,使本機資料中心訪問CLB執行個體的流量通過主隧道進行傳輸。
說明在IPsec-VPN串連使用BGP動態路由的情況下,如果您的網路環境無法通過修改BGP配置來修改流量的傳輸路徑,您可以不啟用IPsec-VPN串連的備隧道,預設僅通過主隧道傳輸本機資料中心和VPC執行個體之間的流量。同時您可以在本機資料中心和VPN網關之間建立多個IPsec-VPN串連來確保鏈路的高可用性,多個IPsec-VPN串連均只啟用主隧道即可。