VPN连接状态显示“未连接”

故障现象

在“虚拟专用网络 > 企业版-VPN连接”页面，VPN连接状态显示为“未连接”。

可能原因

• VPN连接两端的连接配置不正确。
• 华为云安全组和客户设备侧ACL配置不正确。
• IPsec-VPN连接协商失败或连接断连。

处理步骤

1. 重置VPN连接。

   如果重置VPN连接后仍无法解决该问题，请继续步骤2。

2. 检查VPN连接两端的连接配置。
   1. 确认两端配置的网关IP参数是否为镜像。
      1. VPN网关的主/备EIP可以选择“虚拟专用网络 > 企业版-VPN网关”，在网关IP栏下查看。
      2. 客户设备侧网关的公网IP可以选择“虚拟专用网络 > 企业版-对端网关”，在标识栏下查看。
         • 如果两端配置的网关IP参数不是镜像，请修改对应参数。
         • 如果两端配置的网关IP参数是镜像，请继续步骤b。
   2. 确认IKE策略、IPsec策略协商参数是否一致。

      IKE策略、IPsec策略协商参数可以选择“虚拟专用网络 > 企业版-VPN连接”，单击“修改策略配置”查看。

      如果IKE策略、IPsec策略协商参数不一致，请修改对应策略。

      如果IKE策略、IPsec策略协商参数一致，请继续步骤c。

   3. 确认预共享密钥是否一致。

      预共享密钥无法在云上直接查看。如果不确认预共享密钥，建议根据客户设备侧的预共享密钥对VPN连接的预共享密钥进行重置。

      可以选择“虚拟专用网络 > 企业版-VPN连接”，选择“更多 > 重置密钥”进行重置。

   4. 如果连接模式采用策略模式，请确认两端策略规则中的源网段和目的网段是否为镜像。

      策略规则可以选择“虚拟专用网络 > 企业版-VPN连接”，单击“修改连接信息”查看。

   5. 如果连接模式采用静态路由模式且云侧开启了NQA功能，请确认客户设备侧是否已经正确配置Tunnel隧道的IP地址。
      • 查看是否开启NQA功能，可以选择“虚拟专用网络 > 企业版-VPN连接”，单击VPN连接名称，在“基本信息”页签查看“检测机制”。
      • 客户设备侧在华为云VPN连接已设置的Tunnel隧道的IP地址，可以选择“虚拟专用网络 > 企业版-VPN连接”，单击“修改连接信息”，查看本端接口地址和对端接口地址。

        华为云VPN连接的本端接口地址和对端接口地址需要和客户设备的本端接口地址和对端接口地址互为镜像配置。

   6. 如果连接模式采用BGP路由模式，请确认两端的BGP ASN是否为镜像。
      • VPN网关的BGP ASN可以选择“虚拟专用网络 > 企业版-VPN网关”，单击VPN网关名称，在“基本信息”页签查看。
      • 客户设备侧网关的BGP ASN可以选择“虚拟专用网络 > 企业版-对端网关”，在BGP ASN栏下查看。
3. 检查华为云安全组和客户设备侧ACL配置。
   1. 确认华为云default安全组已经放通客户设备侧公网IP的端口。
   2. 华为云default安全组查看步骤如下：
      1. 选择“虚拟专用网络 > 企业版-VPN网关”，单击关联的VPC名称。
      2. 单击VPC对应的路由表。
      3. 单击路由表的名称。
      4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。
      5. 在“关联安全组”页签，检查端口放通情况。
   3. 确认客户设备侧ACL已经放通VPN网关主备EIP的端口。
4. 查看IPsec连接日志。
   1. 登录管理控制台。
   2. 在管理控制台左上角单击图标，选择区域和项目。
   3. 在页面左上角单击图标，选择“网络 > 虚拟专用网络 VPN”。
   4. 在左侧导航栏，选择“虚拟专用网络 > 企业版-VPN连接”。
   5. 在“VPN连接”界面，找到目标VPN连接，单击“查看日志”，查看相关日志信息。

      查看IPsec连接日志的过程中，您可以根据日志关键字对照表 VPN未连接的常见原因中的错误码自主排查问题。

      表1 VPN未连接的常见原因

      分类	序号	错误信息	描述	处理步骤
      IPsec-VPN连接协商失败	1	phase1 proposal mismatch	两端IKE安全提议参数不匹配。仅隧道发起端可见。	请查看两端的IKE安全提议参数，并执行相应的命令将不匹配的参数修改一致。
      	2	phase1 proposal encryption algorithm mismatch	两端IKE安全提议加密算法参数不匹配。仅隧道接收端可见。
      	3	phase1 proposal authentication method mismatch	两端IKE安全提议认证方法参数不匹配。仅隧道接收端可见。
      	4	phase1 proposal authentication algorithm mismatch	两端IKE安全提议认证算法参数不匹配。仅隧道接收端可见。
      	5	phase1 proposal dh mismatch	两端IKE安全提议DH组参数不匹配。仅隧道接收端可见。
      	6	phase1 proposal integrity algorithm mismatch	两端IKE安全提议完整性算法参数不匹配。仅隧道接收端可见。
      	7	phase1 proposal prf mismatch	两端IKE安全提议PRF算法参数不匹配。仅隧道接收端可见。
      	8	phase2 proposal or pfs mismatch	两端IPSec安全提议参数、PFS算法或Security ACL不匹配。	请查看两端的IPsec安全提议参数或PFS算法，并执行相应的命令将不匹配的参数修改一致。
      	9	responder dh mismatch	响应方的DH算法不匹配。	请查看两端的DH算法，并执行相应的命令将DH算法修改一致。
      	10	initiator dh mismatch	发起方的DH算法不匹配。
      	11	encapsulation mode mismatch	封装模式不匹配。	请联系技术工程师进行处理。
      	12	flow mismatch	两端Security ACL不匹配。	请联系技术工程师进行处理。
      	13	version mismatch	两端IKE版本号不匹配。	请联系技术工程师进行处理。
      	14	peer address mismatch	两端的IKE Peer地址不匹配。	请查看两端的IKE对等体地址，并执行相应的命令修改不匹配的IKE对等体地址。
      	15	config ID mismatch	根据ID未找到匹配的IKE Peer。	请联系技术工程师进行处理。
      	16	exchange mode mismatch	两端的协商模式不匹配。	请查看两端的IKE协商模式，并执行相应的命令将两端的协商模式修改一致。
      	17	authentication fail	身份认证失败。	请查看两端的IKE安全提议参数或IKE对等体参数，并执行相应的命令将两端的参数修改一致。
      	18	construct local ID fail	构造本端ID失败。	请联系技术工程师进行处理。
      	19	rekey no find old sa	重协商时找不到旧的SA。	请联系技术工程师进行处理。
      	20	rekey fail	重协商时旧的SA正在下线。	请联系技术工程师进行处理。
      	21	first packet limited	首包限速。	请联系技术工程师进行处理。
      	22	unsupported version	不支持的IKE版本号。	请联系技术工程师进行处理。
      	23	malformed message	畸形消息。	请联系技术工程师进行处理。
      	24	malformed payload	畸形载荷。	请联系技术工程师进行处理。
      	25	malformed payload or psk mismatch	畸形载荷或两端预共享密钥不一致。	请联系技术工程师进行处理。
      	26	critical drop	未识别的critical载荷。	请联系技术工程师进行处理。
      	27	cookie mismatch	Cookie不匹配。	请联系技术工程师进行处理。
      	28	invalid cookie	无效Cookie。	请联系技术工程师进行处理。
      	29	invalid length	报文长度非法。	请联系技术工程师进行处理。
      	30	unknown exchange type	未知的协商模式。	请联系技术工程师进行处理。
      	31	short packet	超短包。	请联系技术工程师进行处理。
      	32	uncritical drop	未识别的非critical载荷。	请联系技术工程师进行处理。
      	33	route limit	路由注入的数目达到规格。	请更换路由注入规格更高的设备，并合理规划网络。
      	34	ip assigned fail	IP地址分配失败。	请确保AAA和IPsec的相关配置正确，例如IP Pool、AAA业务方案、为IKE用户分配的IP地址。
      	35	eap authentication timeout	EAP认证超时。	请确保客户端的用户名和密码正确，以及确保用户接入的相关配置正确。
      	36	eap authentication fail	EAP认证失败。
      	37	xauth authentication fail	XAUTH认证失败。
      	38	xauth authentication timeout	XAUTH认证超时。
      	39	license or specification limited	License限制。	请联系技术工程师进行处理。
      	40	local address mismatch	IKE协商时的本端IP地址和接口IP地址不匹配。	请查看IKE协商时的本端IP地址和接口IP地址，并执行相应的命令将地址修改一致。
      	41	dynamic peers number reaches limitation	IKE对等体数达到规格。	请联系技术工程师进行处理。
      	42	ipsec tunnel number reaches limitation	IPSec隧道数达到规格。	请联系技术工程师进行处理。
      	43	netmask mismatch	开启IPSec掩码过滤功能后，掩码不匹配。	请联系技术工程师进行处理。
      	44	flow confict	数据流冲突。	请联系技术工程师进行处理。
      	45	proposal mismatch or use sm in ikev2	IPSec安全提议不匹配或者IKEv2使用SM算法。	请查看IPsec安全提议中IKEv2使用的算法，并执行相应的命令将算法修改正确。
      	46	ikev2 not support sm in ipsec proposal ikev2	IKEv2不支持IPSec安全提议的SM算法。
      	47	no policy applied on interface	没有策略应用到接口上。	请联系技术工程师进行处理。
      	48	nat detection fail	NAT探测失败。	请联系技术工程师进行处理。
      	49	fragment packet limit	分片报文超规格。	请联系技术工程师进行处理。
      	50	fragment packet reassemble timeout	分片报文重组超时。	请确保两端链路正常及设备状态正常。
      	51	peer cert is expired	对端证书过期。	请联系技术工程师进行处理。
      	52	peer cert is revoked by CRL	对端证书被吊销。	请联系技术工程师进行处理。
      	53	sa with same user exists	相同用户已存在sa。	请联系技术工程师进行处理。
      	54	max transmit reached	重传报文达到最大次数。	请联系技术工程师进行处理。
      IPsec-VPN连接断连	1	dpd timeout	DPD探测超时。	请执行Ping操作检查链路是否可达，如果链路不可达，请排查链路和网络配置是否正确。
      	2	peer request	对端发送删除消息。	请确认对端的日志信息，并根据其信息确认IPSec隧道故障的原因。
      	3	config modify or manual offline	修改配置导致SA被删除或者手动清除SA。	请检查是否手动执行Reset SA操作，如果是，则无需处理。 请检查本端修改的IPsec配置是否正确，如果不正确，则请修改正确。 请检查手动取消IPsec策略是否合理，如果不合理，则请重新在接口上应用IPsec策略。
      	4	phase1 hard expiry	第一阶段硬超时（没有新的SA协商成功）。	请检查IKE SA的生存周期是否合理，如果不合理，请修改IKE SA的生存周期。
      	5	phase2 hard expiry	第二阶段硬超时。	请检查IPsec SA的生存周期是否合理，如果不合理，请修改IPsec SA的生存周期。
      	6	heartbeat timeout	heartbeat探测超时。	请联系技术工程师进行处理。
      	7	re-auth timeout	重认证超时导致SA被删除。	无需处理。
      	8	aaa cut user	AAA模块强制用户下线导致SA被删除。	无需处理。
      	9	ip address syn failed	IP地址同步失败。	请确保链路正常、IPsec相关配置正确。
      	10	hard expiry triggered by port mismatch	NAT端口不匹配导致硬超时。	请联系技术工程师进行处理。
      	11	kick old sa with same flow	相同的流接入时删除老的SA。	请联系技术工程师进行处理。
      	12	cpu table updated	插拔SPU板时删除非本CPU的SA。	无需处理。
      	13	flow overlap	加密流中的IP地址与对端的IP地址冲突。	请检查两端配置的Security ACL信息，修改流冲突的ACL规则。
      	14	spi conflict	SPI冲突。	无需处理。
      	15	admin down	VPN隧道的管理down。	请联系技术工程师进行处理。
      	16	peer address switch	对端地址变化。	请联系技术工程师进行处理。
      	17	forward down	fwd群组down。	请联系技术工程师进行处理。
      	18	sa with same user exists	相同用户已存在sa。	请联系技术工程师进行处理。
      	19	reset sa by ike user	用户重置sa下线。	请联系技术工程师进行处理。
      	20	phase1 sa replace	新IKE SA替换老的IKE SA。	无需处理。
      	21	phase2 sa replace	新IPSec SA替换老的IPSec SA。	无需处理。
      	22	manual offline	手动下线。	请联系技术工程师进行处理。
      	23	nhrp notify	NHRP通知删除SA。	无需处理。
      	24	receive backup delete info	备机收到主机的SA备份删除消息。	无需处理。
      	25	eap delete old sa	对端设备重复进行EAP认证时本端设备删除老的SA。	无需处理。
      	26	receive invalid spi notify	收到无效SPI通知。	如果频繁出现此现象，请检查对端设备状态、配置等是否异常。
      	27	dns resolution status change	DNS解析状态发生改变。	请确保DNS服务器的服务正常。 请确保配置的域名正确。 如果上述操作仍然无法解决问题，请联系技术工程师进行处理。
      	28	ikev1 phase1-phase2 sa dependent offline	设备删除IKEv1 SA时删除其关联的IPSec SA。	请联系技术工程师进行处理。
      	29	exchange timeout	报文交互超时。	请确保链路正常、IPsec相关配置正确。
      	30	hash gene adjusted	Hash因子调整导致IPSec隧道被删除。	请联系技术工程师进行处理。
      	31	ipsec tunnel recover	隧道自愈重建。	无需处理。
      	32	hash except	Hash分流算法调整导致IPsec隧道被删除。	请联系技术工程师进行处理。

如果上述场景均正确且异常仍然存在，请提交工单联系华为工程师。