VPN 驗證錯誤通常是由 SDDC 和內部部署 VPN 端點之間的組態不相符引起的。雖然這些錯誤通常會阻止 VPN 在建立時啟動,但重新設定其中一個端點時也會斷開正常運作的 VPN。
問題
新 VPN 在建立後無法啟動,或者正常運作的 VPN 在更新或重新設定其中一個端點後出現故障。
原因
IKE 交涉分為兩個階段:
- 在階段 1 中,對等端點建立 IKE 安全性關聯 (SA),以便為端點之間的通訊提供安全通道。
- 在階段 2 中,端點使用 SA 透過建立 VPN 時輸入的預先共用金鑰交涉金鑰交換。
解決方案
- 驗證預先共用金鑰在兩端是否完全相同。請務必檢查金鑰字串兩端是否存在空格。
- 如果在預先共用金鑰中使用特殊字元,請嘗試使用不包含特殊字元的預先共用金鑰,以防一端無法正確解譯這些字元。
- 確保每一端的遠端識別碼與對等使用的本機識別碼相符。通常,這是公用 IP 位址,但當一端位於 NAT 路由器後面時,可能會改用其私人 IP,這需要在對等組態中手動將其輸入為遠端識別碼。此識別碼構成驗證的一部分,因此不相符將導致驗證錯誤。
- 確保已為兩個端點設定相同的 IKE 版本。VMware Cloud on AWS VPN 還提供 IKE FLEX 版本,該版本應與 IKEv1 或 IKEv2 相容。
- 確保已為兩個端點設定相同的 IKE 模式。VMware Cloud on AWS VPN 不支援 IKE 積極模式。