可能原因

IPSec隧道建立失败的常见原因如下所示：

• phase1 proposal mismatch：两端IKE安全提议参数不匹配。
• phase2 proposal or pfs mismatch：两端IPSec安全提议参数、PFS算法或Security ACL不匹配。
• responder dh mismatch：响应方的DH算法不匹配。
• initiator dh mismatch：发起方的DH算法不匹配。
• encapsulation mode mismatch：封装模式不匹配。
• flow or peer mismatch：两端Security ACL或IKE Peer地址不匹配。
• version mismatch：两端IKE版本号不匹配。
• peer address mismatch：两端的IKE Peer地址不匹配或配置IKE协商时指定的VPN实例的名称与协商IPSec隧道的物理接口上绑定的VPN实例不同。
• config ID mismatch：根据ID未找到匹配的IKE Peer。
• exchange mode mismatch：两端的协商模式不匹配。
• authentication fail：身份认证失败。
• construct local ID fail：构造本端ID失败。
• rekey no find old sa：重协商时找不到旧的SA。
• rekey fail：重协商时旧的SA正在下线。
• first packet limited：首包限速。
• unsupported version：不支持的IKE版本号。
• malformed message：畸形消息。
• malformed payload：畸形载荷。
• critical drop：未识别的critical载荷。
• cookie mismatch：Cookie不匹配。
• invalid cookie：无效Cookie。
• invalid length：报文长度非法。
• unknown exchange type：未知的协商模式。
• uncritical drop：未识别的非critical载荷。
• route limit：路由注入的数目达到规格。
• ip assigned fail：IP地址分配失败。
• local address mismatch：IKE协商时的本端IP地址和接口IP地址不匹配。
• dynamic peers number reaches limitation：IKE对等体数达到规格。
• ipsec tunnel number reaches limitation：IPSec隧道数达到规格。
• in disconnect state：在disconnect状态拆除IPSec隧道。
• netmask mismatch：开启IPSec掩码过滤功能后，掩码不匹配。
• flow confict：数据流冲突。
• proposal mismatch or use sm in ikev2：IPSec安全提议不匹配或者IKEv2使用SM算法。
• ikev2 not support sm in ipsec proposal ikev2：IKEv2不支持IPSec安全提议的SM算法。
• no policy applied on interface：没有策略应用到接口上。
• none of user's interface is selected：根据对端ID选取用户表中Tunnel接口失败。
• nat detection fail：NAT探测失败。
• fragment packet limit：分片报文超规格。
• fragment packet reassemble timeout：分片报文重组超时。