VPN 身份验证错误通常是由 SDDC 和内部部署 VPN 端点之间的配置不匹配引起的。虽然这些错误通常会阻止 VPN 在创建时启动,但重新配置其中一个端点时也会断开正常运行的 VPN。

问题

新 VPN 在创建后无法启动,或者正常运行的 VPN 在更新或重新配置其中一个端点后出现故障。

原因

IKE 协商分为两个阶段:
  • 在阶段 1 中,对等端点建立 IKE 安全关联 (SA),以便为端点之间的通信提供安全通道。
  • 在阶段 2 中,端点使用 SA 通过创建 VPN 时输入的预共享密钥协商密钥交换。
当远程 ID 和本地 ID 值不一致时,可能会出现阶段 1 错误。当对等端点配置了不同的预共享密钥时,可能会出现阶段 2 错误。

解决方案

  1. 验证预共享密钥在两端是否完全相同。请务必检查密钥字符串两端是否存在空格。
  2. 如果在预共享密钥中使用特殊字符,请尝试使用不包含特殊字符的预共享密钥,以防一端无法正确解释这些字符。
  3. 确保每一端的远程 ID 与对等体使用的本地 ID 相匹配。通常,这是公用 IP 地址,但当一端位于 NAT 路由器后面时,可能会改用其专用 IP,这需要在对等端配置中手动将其输入为远程 ID。此 ID 构成身份验证的一部分,因此不匹配将导致身份验证错误。
  4. 确保为两个端点配置了相同的 IKE 版本。VMware Cloud on AWS VPN 还提供 IKE FLEX 版本,该版本应与 IKEv1 或 IKEv2 兼容。
  5. 确保为两个端点配置了相同的 IKE 模式。VMware Cloud on AWS VPN 不支持 IKE 攻击性模式。