VPN 的失败与错误 '未知的 ikev2 同级'

概述

两个设备之间的 VPN 隧道失败与错误"未知的 ikev2 同级，"即使所有加密配置文件、预 shared 键和代理 Id 匹配。 这篇文章的特点原因此错误消息的详细的信息

问题

通常，构建与微软 Azure 隧道时，将出现此错误。然而，它并不局限于只是微软 Azure 和可以与任何 VPN 等设备。所示的 beliw 是如何在帕洛阿尔托网络防火墙上看到的错误消息：

"未知的 ikev2 同行"意味着 VPN 同行之间 IKE 版本不匹配。同行之一使用 IKEv1，和另一个同伴使用 IKEv2。这可以通过数据包捕获验证，如下所示。

注: 默认情况下, Microsoft Azure 使用 IKEv2 版本, 除非指定, 并且是此错误的常见原因.

一个同行 IKEv2 消息发送：

另一个对等发送 IKEv1 消息：

解决办法

若要修复此问题，应在两端匹配 IKE 版本。

注意: 在版本7.0 之前, 帕洛阿尔托网络防火墙不支持 IKEv2 版本因此, 您需要在 VPN 对等点上更改 IKE 版本 v1. 从泛 OS 7.0 开始，您可以控制从帕洛阿尔托网络防火墙本身的 IKE 版本。

有关如何更改帕洛阿尔托网络防火墙的 IKE 版本的详细信息, 请单击此处