CreateVpnConnection - 创建IPsec连接

调用CreateVpnConnection接口创建IPsec连接。

接口说明

  • 如果 VPN 网关实例支持创建双隧道模式的 IPsec-VPN 连接,则调用CreateVpnConnection接口时除支持配置必填参数外,还支持配置以下请求参数:

    ClientTokenNameEffectImmediatelyAutoConfigRouteTags 数组、TunnelOptionsSpecification 数组、EnableTunnelsBgp

    支持创建双隧道模式 IPsec-VPN 连接的地域和可用区信息,请参见IPsec-VPN 连接升级为双隧道模式

  • 如果 VPN 网关实例仅支持创建单隧道模式的 IPsec-VPN 连接,则调用CreateVpnConnection接口时除支持配置必填参数外,还支持配置以下请求参数:

    ClientTokenCustomerGatewayIdNameEffectImmediatelyIkeConfigIpsecConfigHealthCheckConfigAutoConfigRouteEnableDpdEnableNatTraversalBgpConfigRemoteCaCertificateTags 数组。

  • CreateVpnConnection 接口属于异步接口,即系统返回一个实例 ID,但该 IPsec 连接尚未创建成功,系统后台的创建任务仍在进行。您可以调用 DescribeVpnGateway 查询 VPN 网关实例的状态,来确定 IPsec 连接的创建状态:

    • 当 VPN 网关实例处于 updating 状态时,表示 IPsec 连接正在创建中。
    • 当 VPN 网关实例处于 active 状态时,表示 IPsec 连接创建成功。
  • CreateVpnConnection 接口不支持在同一 VPN 网关下并发创建 IPsec 连接。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
vpc:CreateVpnConnectioncreate
  • CustomerGateway
    acs:vpc:{#regionId}:{#accountId}:customergateway/{#CustomerGatewayId}
  • VpnConnection
    acs:vpc:{#regionId}:{#accountId}:vpnconnection/*
  • VpnGateway
    acs:vpc:{#regionId}:{#accountId}:vpngateway/{#VpnGatewayId}

请求参数

名称类型必填描述示例值
RegionIdstring

IPsec 连接所在的地域 ID。您可以通过调用 DescribeRegions 接口获取地域 ID。

cn-shanghai
ClientTokenstring

客户端 Token,用于保证请求的幂等性。

从您的客户端生成一个参数值,确保不同请求间该参数值唯一。ClientToken 只支持 ASCII 字符。

说明 若您未指定,则系统自动使用 API 请求的 RequestId 作为 ClientToken 标识。每次 API 请求的 RequestId 不一样。
02fb3da4-130e-11e9-8e44-001****
CustomerGatewayIdstring

创建单隧道模式的 IPsec-VPN 连接时支持配置该参数,且该参数必填。

用户网关的 ID。

cgw-p0w2jemrcj5u61un8****
VpnGatewayIdstring

VPN 网关实例 ID。

vpn-bp1q8bgx4xnkm****
Namestring

IPsec 连接的名称。

长度为 1~100 个字符,不能以http://https://开头。

IPsec
LocalSubnetstring

需要和本地数据中心互通的 VPC 侧的网段,用于第二阶段协商。

多个网段之间用半角逗号(,)分隔,例如:192.168.1.0/24,192.168.2.0/24。

关于 IPsec 连接路由模式的说明:

  • 如果 LocalSubnetRemoteSubnet 均输入为 0.0.0.0/0,则表示您使用目的路由模式。
  • 如果 LocalSubnetRemoteSubnet 均输入具体的网段,则表示您使用感兴趣流模式。
10.10.1.0/24,10.10.2.0/24
RemoteSubnetstring

需要和 VPC 互通的本地数据中心侧的网段,用于第二阶段协商。

多个网段之间用半角逗号(,)分隔,例如:192.168.3.0/24,192.168.4.0/24。

关于 IPsec 连接路由模式的说明:

  • 如果 LocalSubnetRemoteSubnet 均输入为 0.0.0.0/0,则表示您使用目的路由模式。
  • 如果 LocalSubnetRemoteSubnet 均输入具体的网段,则表示您使用感兴趣流模式。
10.10.3.0/24,10.10.4.0/24
EffectImmediatelyboolean

选择 IPsec 连接的配置是否立即生效。取值:

  • true:是,配置完成后系统立即进行 IPsec 协议协商。

  • false(默认值):否,当有流量进入时系统才进行 IPsec 协议协商。

false
IkeConfigstring

创建单隧道模式的 IPsec-VPN 连接时支持配置该参数。

第一阶段协商的配置信息:

  • IkeConfig.Psk:预共享密钥,用于 VPN 网关与本地数据中心之间的身份认证。

    • 密钥长度为 1~100 个字符,支持数字、大小写英文字母以及以下字符。~!\`@#$%^&*()_-+={}[]|;:',.<>/?

    • 若您未指定预共享密钥,系统会随机生成一个 16 位的字符串作为预共享密钥。您可以调用 DescribeVpnConnection 接口查询系统自动生成的预共享密钥。

      说明 IPsec 连接侧的预共享密钥需和本地数据中心侧的认证密钥一致,否则本地数据中心和 VPN 网关之间无法建立连接。
  • IkeConfig.IkeVersion:IKE 协议的版本。取值:ikev1ikev2。默认值:ikev1

    相对于 IKEv1 版本,IKEv2 版本简化了 SA 的协商过程并且对于多网段的场景提供了更好的支持。

    如果 VPN 网关实例类型为国密型,则 IKE 版本仅支持 ikev1

  • IkeConfig.IkeMode:IKE 版本的协商模式。取值:mainaggressive。默认值:main

    • main:主模式,协商过程安全性高。
    • aggressive:野蛮模式,协商快速且协商成功率高。

    如果 VPN 网关实例类型为国密型,则协商模式仅支持 main

  • IkeConfig.IkeEncAlg:第一阶段协商的加密算法。

    如果 VPN 网关实例类型为普通型,则取值为 aesaes192aes256des3des。默认值:aes

    如果 VPN 网关实例类型为国密型,则取值为 sm4(默认值)。

  • IkeConfig.IkeAuthAlg:第一阶段协商的认证算法。

    如果 VPN 网关实例类型为普通型,则取值:md5sha1sha256sha384sha512。默认值:md5

    如果 VPN 网关实例类型为国密型,则取值为 sm3(默认值)。

  • IkeConfig.IkePfs:第一阶段协商使用的 Diffie-Hellman 密钥交换算法。取值:group1group2group5group14。默认值:group2

  • IkeConfig.IkeLifetime:第一阶段协商出的 SA 的生存周期。单位:秒。取值范围:0~86400。默认值:86400

  • IkeConfig.LocalId:VPN 网关的标识,长度限制为 100 个字符,默认值为 VPN 网关的 IP 地址。

  • IkeConfig.RemoteId:用户网关的标识,长度限制为 100 个字符,默认值为用户网关的 IP 地址。

{"Psk":"1234****","IkeVersion":"ikev1","IkeMode":"main","IkeEncAlg":"aes","IkeAuthAlg":"sha1","IkePfs":"group2","IkeLifetime":86400,"LocalId":"47.XX.XX.1","RemoteId":"47.XX.XX.2"}
IpsecConfigstring

创建单隧道模式的 IPsec-VPN 连接时支持配置该参数。

第二阶段协商的配置信息:

  • IpsecConfig.IpsecEncAlg:第二阶段协商的加密算法。

    如果 VPN 网关实例类型为普通型,则取值为 aesaes192aes256des3des。默认值:aes

    如果 VPN 网关实例类型为国密型,则取值为 sm4(默认值)。

  • IpsecConfig. IpsecAuthAlg:第二阶段协商的认证算法。

    如果 VPN 网关实例类型为普通型,则取值:md5sha1sha256sha384sha512。默认值:md5

    如果 VPN 网关实例类型为国密型,则取值为 sm3(默认值)。

  • IpsecConfig. IpsecPfs:第二阶段协商使用的 Diffie-Hellman 密钥交换算法。取值:disabledgroup1group2group5group14。默认值:group2

  • IpsecConfig. IpsecLifetime:第二阶段协商出的 SA 的生存周期。单位:秒。取值范围:0~86400。默认值:86400

{"IpsecEncAlg":"aes","IpsecAuthAlg":"sha1","IpsecPfs":"group2","IpsecLifetime":86400}
HealthCheckConfigstring

创建单隧道模式的 IPsec-VPN 连接时支持配置该参数。

健康检查配置信息:

  • HealthCheckConfig.enable:是否开启健康检查,取值:truefalse(默认值)。

  • HealthCheckConfig.dip:健康检查的目的 IP 地址。

  • HealthCheckConfig.sip:健康检查的源 IP 地址。

  • HealthCheckConfig.interval:健康检查的重试间隔时间,单位:秒。默认值:3

  • HealthCheckConfig.retry:健康检查的重试发包次数。默认值:3

{"enable":"true","dip":"192.168.10.1","sip":"10.10.1.1","interval":"3","retry":"3"}
AutoConfigRouteboolean

是否自动配置路由。取值:

  • true(默认值):自动配置路由。

  • false:不自动配置路由。

true
EnableDpdboolean

创建单隧道模式的 IPsec-VPN 连接时支持配置该参数。

是否开启 DPD(对等体存活检测)功能。取值:

  • true(默认值):开启 DPD 功能。IPsec 发起端会发送 DPD 报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec 将删除 ISAKMP SA 和相应的 IPsec SA,安全隧道同样也会被删除。

  • false:不开启 DPD 功能,IPsec 发起端不会发送 DPD 探测报文。

true
EnableNatTraversalboolean

创建单隧道模式的 IPsec-VPN 连接时支持配置该参数。

是否开启 NAT 穿越功能。取值:

  • true(默认值):开启 NAT 穿越功能。开启后,IKE 协商过程会删除对 UDP 端口号的验证过程,同时实现对 VPN 隧道中 NAT 网关设备的发现功能。

  • false:不开启 NAT 穿越功能。

true
BgpConfigstring

创建单隧道模式的 IPsec-VPN 连接时支持配置该参数。

BGP 的配置信息:

  • BgpConfig.EnableBgp:是否开启 BGP 功能。取值:truefalse(默认值)。

  • BgpConfig.LocalAsn:阿里云侧的自治系统号。自治系统号取值范围:1~4294967295。默认值:45104

    支持按照两段位的格式进行输入,即:前 16 位比特.后 16 位比特。每个段位使用十进制输入。

    例如输入 123.456,则表示自治系统号:123*65536+456=8061384。

  • BgpConfig.TunnelCidr:IPsec 隧道网段。该网段需是一个在 169.254.0.0/16 内的掩码长度为 30 的网段。

    说明 一个 VPN 网关实例下每个 IPsec 连接的 IPsec 隧道网段需保持唯一。
  • LocalBgpIp:阿里云侧的 BGP 地址。该地址为 IPsec 隧道网段内的一个 IP 地址。

说明
  • 在添加 BGP 配置前,建议您先了解 BGP 动态路由功能的工作机制和使用限制。更多信息,请参见VPN 网关支持 BGP 动态路由公告
  • 建议您使用自治系统号的私有号码与阿里云建立 BGP 连接。自治系统号的私有号码范围请自行查阅文档。
  • {"EnableBgp":"true","LocalAsn":"45104","TunnelCidr":"169.254.11.0/30","LocalBgpIp":"169.254.11.1"}
    RemoteCaCertificatestring

    创建单隧道模式的 IPsec-VPN 连接时支持配置该参数。

    如果当前 VPN 网关实例为国密型 VPN 网关,您需要配置对端的 CA 证书。

    • 对于国密型 VPN 网关,创建 IPsec 连接时,此项必填。

    • 对于普通型 VPN 网关,此项需要为空。

    -----BEGIN CERTIFICATE----- MIIB7zCCAZW**** -----END CERTIFICATE-----
    Tagsarray<object>

    IPsec 连接待添加的标签列表。

    一次最多支持为 IPsec 连接添加 20 个标签。

    object

    标签信息。

    Keystring

    标签键。一旦输入该值,则不允许为空字符串。

    最多支持 64 个字符,不能以aliyunacs:开头,不能包含http://或者https://

    一次最多支持输入 20 个标签键。

    TagKey
    Valuestring

    标签值。

    标签值最多支持 128 个字符,可以为空字符串,不能以aliyunacs:开头,不能包含http://或者https://

    一个标签键对应一个标签值。一次最多支持输入 20 个标签值。

    TagValue
    TunnelOptionsSpecificationarray<object>

    配置隧道。

    • 创建双隧道模式的 IPsec-VPN 连接时支持配置 TunnelOptionsSpecification 数组下的参数。
    • 创建双隧道模式的 IPsec-VPN 连接时,您必须同时为 IPsec-VPN 连接添加主隧道和备隧道的配置。一个 IPsec-VPN 连接下仅支持添加主备两条隧道。
    object

    配置隧道信息。

    CustomerGatewayIdstring

    隧道关联的用户网关 ID。

    说明
  • 创建双隧道模式 IPsec-VPN 连接时本参数必填。
  • 创建双隧道模式的 IPsec-VPN 连接时支持配置 TunnelOptionsSpecification 数组下的参数。
  • 创建双隧道模式的 IPsec-VPN 连接时,您必须同时为 IPsec-VPN 连接添加主隧道和备隧道的配置。一个 IPsec-VPN 连接下仅支持添加主备两条隧道。
  • cgw-p0wy363lucf1uyae8****
    EnableDpdboolean

    是否为隧道开启 DPD(对等体存活检测)功能。取值:

    • true(默认值):开启 DPD 功能。IPsec 发起端会发送 DPD 报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec 将删除 ISAKMP SA 和相应的 IPsec SA,安全隧道同样也会被删除。

    • false:不开启 DPD 功能,IPsec 发起端不会发送 DPD 探测报文。

    true
    EnableNatTraversalboolean

    是否为隧道开启 NAT 穿越功能。取值:

    • true(默认值):开启 NAT 穿越功能。开启后,IKE 协商过程会删除对 UDP 端口号的验证过程,同时实现对隧道中 NAT 网关设备的发现功能。

    • false:不开启 NAT 穿越功能。

    true
    RemoteCaCertificatestring

    如果当前 VPN 网关实例为国密型 VPN 网关,您需要为隧道配置对端的 CA 证书。

    • 对于国密型 VPN 网关,此项必填。

    • 对于普通型 VPN 网关,此项需要为空。

    -----BEGIN CERTIFICATE----- MIIB7zCCAZW**** -----END CERTIFICATE-----
    Rolestring

    隧道的角色。取值:

    • master:表示当前隧道为主隧道。
    • slave:表示当前隧道为备隧道。
    master
    TunnelBgpConfigobject

    为隧道添加 BGP 配置。

    LocalAsnlong

    隧道本端(阿里云侧)的自治系统号。自治系统号取值范围:1~4294967295。默认值:45104

    说明
  • 当您为 IPsec 连接开启 BGP 功能后(即指定 EnableTunnelsBgp 参数的值为 true)需要配置该参数。
  • 在添加 BGP 配置前,建议您先了解 BGP 动态路由功能的工作机制和使用限制。更多信息,请参见VPN 网关支持 BGP 动态路由公告
  • 建议您使用自治系统号的私有号码与阿里云建立 BGP 连接。自治系统号的私有号码范围请自行查阅文档。
  • 65530
    LocalBgpIpstring

    隧道本端(阿里云侧)的 BGP 地址。该地址为 BGP 网段内的一个 IP 地址。

    169.254.10.1
    TunnelCidrstring

    隧道的 BGP 网段。该网段需是一个在 169.254.0.0/16 内的掩码长度为 30 的网段。

    说明 在一个 VPN 网关实例下,每个隧道的 BGP 网段需保持唯一。
    169.254.10.0/30
    TunnelIkeConfigobject

    第一阶段协商的配置信息。

    IkeAuthAlgstring

    第一阶段协商的认证算法。

    如果 VPN 网关实例类型为普通型,则取值:md5sha1sha256sha384sha512。默认值:md5

    如果 VPN 网关实例类型为国密型,则取值为 sm3(默认值)。

    md5
    IkeEncAlgstring

    第一阶段协商的加密算法。

    如果 VPN 网关实例类型为普通型,则取值为 aesaes192aes256des3des。默认值:aes

    如果 VPN 网关实例类型为国密型,则取值为 sm4(默认值)。

    aes
    IkeLifetimelong

    第一阶段协商出的 SA 的生存周期。单位:秒。

    取值范围:0~86400。默认值:86400

    86400
    IkeModestring

    IKE 版本的协商模式。取值:mainaggressive。默认值:main

    • main:主模式,协商过程安全性高。
    • aggressive:野蛮模式,协商快速且协商成功率高。

    如果 VPN 网关实例类型为国密型,则协商模式仅支持 main

    main
    IkePfsstring

    第一阶段协商使用的 Diffie-Hellman 密钥交换算法。默认值:group2
    取值:group1group2group5group14

    group2
    IkeVersionstring

    IKE 协议的版本。取值:ikev1ikev2。默认值:ikev1

    相对于 IKEv1 版本,IKEv2 版本简化了 SA 的协商过程并且对于多网段的场景提供了更好的支持。

    如果 VPN 网关实例类型为国密型,则 IKE 版本仅支持 ikev1

    ikev1
    LocalIdstring

    隧道本端(阿里云侧)的标识,用于第一阶段的协商。长度限制为 100 个字符。默认值为隧道的 IP 地址。

    LocalId 支持 FQDN 格式,如果您使用 FQDN 格式,协商模式建议选择为 aggressive(野蛮模式)。

    47.21.XX.XX
    Pskstring

    预共享密钥,用于隧道与隧道对端之间的身份认证。

    • 密钥长度为 1~100 个字符,支持数字、大小写英文字母以及以下字符。~!\`@#$%^&*()_-+={}[]|;:',.<>/?

    • 若您未指定预共享密钥,系统会随机生成一个 16 位的字符串作为预共享密钥。您可以调用 DescribeVpnConnection 接口查询系统自动生成的预共享密钥。

    说明 隧道及隧道对端的预共享密钥需一致,否则系统无法正常建立隧道。
    123456****
    RemoteIdstring

    隧道对端的标识,用于第一阶段的协商。长度限制为 100 个字符。默认值为隧道关联的用户网关的 IP 地址。

    RemoteId 支持 FQDN 格式,如果您使用 FQDN 格式,协商模式建议选择为 aggressive(野蛮模式)。

    47.42.XX.XX
    TunnelIpsecConfigobject

    第二阶段协商的配置信息。

    IpsecAuthAlgstring

    第二阶段协商的认证算法。

    如果 VPN 网关实例类型为普通型,则取值:md5sha1sha256sha384sha512。默认值:md5

    如果 VPN 网关实例类型为国密型,则取值为 sm3(默认值)。

    md5
    IpsecEncAlgstring

    第二阶段协商的加密算法。

    如果 VPN 网关实例类型为普通型,则取值为 aesaes192aes256des3des。默认值:aes

    如果 VPN 网关实例类型为国密型,则取值为 sm4(默认值)。

    aes
    IpsecLifetimelong

    第二阶段协商出的 SA 的生存周期。单位:秒。

    取值范围:0~86400。默认值:86400

    86400
    IpsecPfsstring

    第二阶段协商使用的 Diffie-Hellman 密钥交换算法。默认值:group2

    取值:disabledgroup1group2group5group14

    group2
    EnableTunnelsBgpboolean

    创建双隧道模式的 IPsec-VPN 连接时支持配置该参数。

    是否为隧道开启 BGP 功能。取值:truefalse(默认值)。

    true

    返回参数

    名称类型描述示例值
    object

    返回结果。

    RequestIdstring

    请求 ID。

    082AD562-B8DB-4BB2-861F-DA1FCA01FD76
    VpnConnectionIdstring

    IPsec 连接的 ID。

    vco-bp15oes1py4i6****
    Namestring

    IPsec 连接的名称。

    test
    CreateTimelong

    IPsec 连接的创建时间戳。单位:毫秒。

    时间戳的格式采用 Unix 时间戳,表示从格林威治时间 1970 年 01 月 01 日 00 时 00 分 00 秒至创建 IPsec 连接时的总时长。

    1544666102000

    示例

    正常返回示例

    JSON格式

    {
      "RequestId": "082AD562-B8DB-4BB2-861F-DA1FCA01FD76",
      "VpnConnectionId": "vco-bp15oes1py4i6****",
      "Name": "test",
      "CreateTime": 1544666102000
    }

    错误码

    HTTP status code错误码错误信息描述
    400Resource.QuotaFullThe quota of resource is full资源配额已达上限。
    400InvalidVpnConnection.AlreadyExistsVpn connection already exists.VPN 连接已经存在,不用再次添加。
    400VpnGateway.ConfiguringThe specified service is configuring.服务正在配置中,请您稍后再试。
    400VpnGateway.FinancialLockedThe specified service is financial locked.该服务已欠费,请您先充值再操作。
    400VpnGateway.IpsecVpnDisabledThe vpn gateway does not enable IPSec VPN.Vpn网关没有开启IPsec VPN功能
    400VpnRouteEntry.AlreadyExistsThe specified route entry is already exist.该路由已存在。
    400VpnRouteEntry.ConflictThe specified route entry has conflict.路由条目存在冲突。
    400NotSupportVpnConnectionParameter.IpsecPfsThe specified vpn connection ipsec Ipsec Pfs is not support.IPsec连接中指定的Pfs参数不支持
    400NotSupportVpnConnectionParameter.IpsecAuthAlgThe specified vpn connection ipsec Auth Alg is not support.IPsec连接中指定的认证算法不支持
    400VpnRouteEntry.ConflictSSLThe specified route entry has conflict with SSL client.路由条目与SSL客户端冲突。
    400VpnRouteEntry.BackupRouteValidate backup route entry failed.主备路由条目校验失败。
    400VpnRouteEntry.InvalidWeightInvalid route entry weight value.路由权重值不合法
    400InvalidParameter.VpnConnectionNameThe specified vpn connection name is invalid.指定的VPN连接名称不合规范。
    400OperationUnsupported.SetDPDCurrent version of the VPN does not support setting DPD.当前VPN网关版本不支持DPD功能。
    400OperationUnsupported.SetNatTraversalCurrent version of the VPN does not support setting NAT traversal.当前VPN网关版本不支持NAT穿越功能。
    400QuotaExceeded.PolicyBasedRouteThe maximum number of policy-based routes is exceeded. Existing routes: %s. Routes to be created: %s. Maximum routes: %s.策略路由条数已达上限,当前已有%s条,本次将创建%s条,上限为%s条。
    400MissingParameter.TunnelCidrThe parameter TunnelCidr is mandatory when BGP is enabled.开启BGP时,隧道CIDR参数是必填项
    400OperationUnsupported.EnableBgpCurrent version of the VPN does not support enable BGP.当前版本的VPN不支持开启BGP
    400MissingParam.CustomerGatewayAsnAsn of customer gateway is mandatory when BGP is enabled.开启BGP时,客户网关的自治系统号不可以为空。
    400IllegalParam.LocalAsnThe specified LocalAsn is invalid.本端自治系统号不合法。
    400IllegalParam.BgpConfigThe specified BgpConfig is invalid.指定的BGP配置不合法
    400IllegalParam.EnableBgpVPN connection must enable BGP when VPN gateway has enabled BGP.当 VPN 网关启用 BGP 时,VPN 连接必须启用 BGP。
    400IllegalParam.TunnelCidrThe specified TunnelCidr is invalid.参数TunnelCidr不合法。
    400InvalidLocalBgpIp.MalformedThe specified LocalBgpIp is malformed.指定的本端BGP的IP异常
    400IllegalParam.LocalBgpIpThe specified LocalBgpIp is invalid.本端BGP地址不合法。
    400IllegalParam.LocalSubnetThe specified "LocalSubnet" (%s) is invalid.本端网段(%s)不合法。
    400IllegalParam.RemoteSubnetThe specified "RemoteSubnet" (%s) is invalid.对端网段(%s)不合法。
    400OperationFailed.MissCertificateThe VPN gateway has not associated any certificates.VPN网关没有绑定任何证书。
    400MissingParam.RemoteIdThe remote ID is mandatory when creating national standard VPN connection.当创建国密VPN连接时,对端ID是必填参数。
    400OperationFailed.CenLevelNotSupportWhen the VPC to which the VPN gateway belongs is attached to a FULL-mode CEN, the VPN gateway cannot enable BGP.当VPN网关所属VPC加入到的云企业网且开启了路由同步时,VPN网关不能开启BGP。
    400CustomerGateway.ConflictRouteEntryThe specified customer gateway has conflict with route entry.当前用户网关和路由存在冲突。
    400VpnTask.CONFLICTVpn task has conflict.Vpn操作存在冲突,请稍后重试。
    400Forbidden.TagKey.DuplicatedThe specified tag key already exists.标签资源重复
    400SizeLimitExceeded.TagNumThe maximum number of tags is exceeded.标签数量超限
    400InvalidParameter.TagValueThe specified parameter TagValue is invalid.指定的参数TagValue不合规范。
    400InvalidParameter.TagKeyThe specified parameter TagKey is invalid.指定的参数TagKey不合规范。
    400Duplicated.TagKeyThe specified parameter TagKey is duplicated.指定的参数TagKey重复。
    400InternalErrorThe request processing has failed due to some unknown error, exception or failure.内部错误
    400InvalidTunnelCidr.MalformedThe specified TunnelCidr is malformed.指定的隧道CIDR异常
    400VpnConnectionParamInvalid.SameVpnAndCgwDifferentIkeConfigsIPSec connections associated with the same user gateway and VPN gateway should have the same pre-shared key and IKE configuration.检测到多个IPsec连接关联了相同的VPN网关和用户网关,多个IPsec连接的预共享密钥和IKE阶段的配置参数需保持相同。
    400VpnConnectionParamInvalid.SameVpnAndCgwTrafficSelectorOverlapTraffic selectors of IPSec connections associated with the same user gateway and VPN gateway should not overlap.检测到多个IPsec连接关联了相同的VPN网关和用户网关,多个IPsec连接的感兴趣流网段不能重叠。
    400CustomerGateway.ConflictVpnIpThe customer gateway associated with the IPSec connection should not have the same IP address as the VPN gateway.IPSec连接关联的用户网关与VPN网关不应该有相同的网关IP地址。
    400VpnGateway.IPsecServerAndVpnConnectionConflictThe IPSec connection and IPSec server cannot be configured on the same VPN gateway at the same time.一个VPN网关不支持同时配置IPSec服务端与IPSec连接。
    400InvalidSslVpnServerCertId.NotFoundThe parameter is incorrect. The corresponding SSL VPN server certificate cannot be found.参数不正确,未找到相应的SSL VPN 服务端的证书。
    400MissingParameter.TunnelOptionsSpecificationThe required parameters are missing when creating a tunnel for dual-tunnel VPN.双隧道VPN在创建隧道时,必填参数缺失。
    400CreateDbrRoutesQuotaFull.QuotaFullThe number of created destination routes exceeds the quota limit.创建目的路由数量超过配额限制。
    400CreatePbrRoutesQuotaFull.QuotaFullThe number of policy routes exceeds the quota limit.策略路由数量超过配额限制。
    400CreateVpnConnectionsQuotaFull.QuotaFullThe number of VPN connections exceeds the quota limit.VPN连接数量超过配额限制。
    400Resource.QuotaFullThe resources you are operating have reached the upper limit of the quota. Please increase the quota or use other solutions to avoid it according to the VPN operation document.您现在所操作的资源目前已经达到了配额的上限,请参考VPN操作文档,进行配额提升或者使用其他方案进行规避。
    403Forbbiden.SubUserUser not authorized to operate on the specified resource as your account is created by another user.您没有权限操作该资源,请您申请操作权限后再试。
    403ForbiddenUser not authorized to operate on the specified resource.您没有权限操作指定资源,请申请权限后再操作。
    404InvalidCustomerGatewayInstanceId.NotFoundThe specified customer gateway instance id does not exist.指定的用户网关实例不存在,请您检查用户网关实例ID是否正确。
    404InvalidVpnGatewayInstanceId.NotFoundThe specified vpn gateway instance id does not exist.指定的 VPN 网关不存在,请您检查 VPN 网关是否正确。

    访问错误中心查看更多错误码。

    变更历史

    变更时间变更内容概要操作
    2024-01-04OpenAPI 错误码发生变更查看变更详情
    2023-10-19OpenAPI 描述信息更新、OpenAPI 去除了 deprecated 标记、OpenAPI 错误码发生变更查看变更详情
    2023-08-21OpenAPI 错误码发生变更查看变更详情
    2023-08-02OpenAPI 错误码发生变更查看变更详情
    2023-06-30OpenAPI 错误码发生变更、OpenAPI 入参发生变更查看变更详情
    2023-05-04OpenAPI 错误码发生变更查看变更详情