IBM Cloud Docs

诊断 VPN 网关运行状况

诊断 VPN 网关运行状况

确定 VPN 网关的运行状况，提供故障原因，并建议恢复解决方案。

VPN 网关健康原因
代码	消息	信息
`cannot_create_vpc_route`	`VPN gateway cannot create the route (check for conflict and over_quota).`	此问题通常由路由表中的旧路由引起。如果 VPN 网关连接的远程 CIDR 中存在具有目标的路由，但创建者不是 VPN 网关，那么会发生此错误。要解决此问题，请删除冲突的 VPC 路由。请记住，一个 VPC 中最多有 15 条广告路线。如果发生 `over_quota`，那么 VPN 服务器在创建广告路由时将失败并产生此原因码。要解决此问题，请通过在路由表中将 `Advertise to` 选项切换为 `Off` 来删除任何不必要的广告路由。
`cannot_reserve_ip_address`	`IP address exhaustion (release addresses on the VPN's subnet).`	要分配的子网中没有可用的 IP 地址。通过删除关联资源（例如服务器、负载均衡器或端点网关）来释放 VPN 网关子网上的地址。
`internal_error`	`Internal error (contact IBM support).`	请联系 IBM 支持人员以分析并解决内部错误。

诊断 VPN 网关连接运行状况

确定 VPN 网关连接的运行状况，提供关闭原因，并建议要恢复的解决方案。

VPN 网关连接状态原因
代码	消息	信息
`cannot_authenticate_connection`	`Failed to authenticate a connection because of mismatched IKE ID and PSK (check IKE ID and PSK in peer VPN configuration).`	此错误通常由 VPN 两端之间的 IKE 标识和 PSK 不匹配导致。要解决此错误，请检查同级 VPN 配置中的 IKE 标识和 PSK，并解决不匹配的问题。 IBM VPN 网关使用其公共 IP 地址作为 IKE 本地身份，并将同级的公共 IP 地址指定为 IKE 同级身份。如果对等 VPN 网关位于 NAT 防火墙之后，并且对等的公共 IP 地址未与对等 VPN 网关接口相关联，那么必须调整对等 VPN 网关的配置以确保对等的公共 IP 地址用作 IKE 身份。
`ike_policy_mismatch`	`None of the proposed IKE crypto suites was acceptable (check the IKE policies on both sides of the VPN).`	此错误通常由 VPN 两端的 IKE 策略不匹配导致。比较 VPN 两侧的 IKE 策略并确保它们匹配。
`ike_v1_id_local_remote_cidr_mismatch`	`Invalid IKE ID or mismatched local CIDRs and remote CIDRs in IKE V1 (check the IKE ID or the local CIDRs and remote CIDRs in IKE V1 configuration).`	对于阶段 1，当 IKE 标识不匹配时，会发生此问题。检查内部部署端的 IKE 标识。 IBM 端仅支持公共 IP 地址作为 IKE 标识。对于阶段 2，本地/远程子网在 IKE V1中可能不匹配。请检查本地/远程子网，并确保它们在 IKE V1 配置中匹配。 IBM VPN 网关使用其公共 IP 地址作为 IKE 本地身份，并将同级的公共 IP 地址指定为 IKE 同级身份。如果对等 VPN 网关位于 NAT 防火墙之后，并且对等的公共 IP 地址未与对等 VPN 网关接口相关联，那么必须调整对等 VPN 网关的配置以确保对等的公共 IP 地址用作 IKE 身份。
`ike_v2_local_remote_cidr_mismatch`	`Mismatched local CIDRs and remote CIDRs in IKE V2 (check the local CIDRs and remote CIDRs in IKE V2 configuration).`	请检查本地/远程子网，并确保它们在 IKE V2 配置中匹配。
`ipsec_policy_mismatch`	`None of the proposed IPsec crypto suites was acceptable (check the IPsec policies on both sides of the VPN).`	此错误通常由 VPN 两侧的 IPsec 策略不匹配导致。比较 VPN 两侧的 IPsec 策略并确保它们匹配。
`peer_not_responding`	`No response from peer (check network ACL configuration, peer availability, and on-premises firewall configuration).`	没有来自同级的响应。检查网络 ACL 配置、对等可用性和内部防火墙配置。
`internal_error`	`Internal error. Contact IBM Support.`	请联系 IBM 支持人员以分析并解决内部错误。