IPsec VPN 隧道第 1 阶段协商由于对等标识不匹配而失败。

• 对于 IKEv2：IPsec 隧道 IKE 响应程序* 的系统日志将显示以下消息：

2023/02/13 10:10:46 info     vpn            ike-gen 0  received ID_I (type ipaddr [172.16.1.1]) does not match peers id

• 对于 IKEv1：其中一个对等体的 IPsec 隧道的系统日志将显示以下消息：

2023/11/03 09:24:03 critical vpn     Gatewa ike-neg 0  IKE phase-1 negotiation is failed. Peer's ID payload 172.16.36.240 (type ipaddr) does not match a configured IKE gateway.

*IKE 响应者： IKE 发起方是启动 IKE VPN 隧道协商请求的设备，IKE 响应方是接收建立 IKE VPN 隧道请求的设备。

• IPsec 隧道

1. 确保在 IPsec 隧道的两端正确配置了 IKE 网关对等标识。
   1. 在 UI 下查看：
      1. 对于独立防火墙：导航到 “网络”>“网络配置文件”>“IKE 网关”。
      2. 对于“Panorama managed firewall： Navigate to Templates > NETWORK”，选择正确的模板，然后在 “Network Profiles”>“IKE Gateways”下查看。
      3. 对于 Strata Cloud Manager 托管防火墙： 导航到 Manage > Configuration > NGFW and Prisma Access，选择正确的 配置范围 ，然后在 IPsec 隧道>设备设置下查看。
   2. 检查由于 IKE 网关对等标识不匹配而关闭的隧道的 IKE 网关配置：

3. 确保一个对等方的 本地标识 的类型和值与另一个对 等方的对等方标识 类型和值匹配。

请参阅 Azure 中具有 VM 防火墙的 IPSec IKE 站点到站点 VPN 中的对等地址与对等标识，以检查在将 NAT 应用于隧道的其中一个对等方（终结点）的 IP 地址时如何正确配置对等方标识。

请参阅具有动态 IP 地址的对等体的 IPSec VPN 隧道，以检查当对等体 IP 地址为动态时如何正确配置对等体标识。

如果您不确定要检查的 IKE 网关配置，请首先检查为受影响的隧道配置了哪个 IKE 网关（检测到由于 IKE 网关对等标识不匹配而关闭的隧道），方法是在 UI： 下找到的隧道的 IPsec 配置下。

1. 对于独立防火墙：导航到 NETWORK > IPsec 隧道，搜索正确的隧道，并通过单击隧道名称查看其配置或单击 IKE 信息超链接来检查正在使用的 IKE 网关。
2. 对于 Panorama managed firewall： Navigate to Templates > NETWORK，选择正确的模板，然后在 IPsec 隧道下查找，搜索正确的隧道，并通过单击隧道名称查看其配置来检查正在使用的 IKE 网关。