问题背景

在阿里云VPN的IKEv2，感兴趣流模式的情况下（百度云不支持路由模式，只支持感兴趣流模式），如果对端有多个网段，理论上应该能协商出来多个IPSEC SA，但是在百度云与阿里云之间连接的时候，如果百度云有多个网段，也只能协商出来一个IPSEC SA，而不是每个网段一个，所以在百度云这段看来，只有一个网段的IPSEC SA协商成功，其他网段协商失败。如下图所示。

故障复现

假设百度云有两个网段，阿里云也有两个网段。百度云侧的网段是100.0.0.0/8,192.168.5.0/24，阿里云侧的网段是10.0.1.0/24。如果使用常规配置，则会出现上图中，百度侧显示一个网段协商失败的问题。

解决办法

针对上述问题，可以在阿里云侧配置多个IPSEC连接来搞定。如下图所示。

使用同一个VPN网关和用户网关分别创建两个IPSEC连接，每个IPSEC连接设置一个网段，如果百度云侧有两个网段，则创建两个IPSEC连接，如果有三个网段，则创建三个IPSEC连接，用此方法。百度云便可以协商出正确的IPSEC SA，如下图所示。