ikev2协商方式建立ipsec协商失败

如图

某局点用我司F1000系列防火墙和第三方设备对接ikev2建立ipsec隧道，对端涉及NAT穿越

用loopback0口代替内网用户；相关配置略

FW1主动带源ping触发，发现本端没有ikev2 sa，对端有ikev2 sa；

debug ikev2 all后报错为：

*Feb 23 14:55:26:019 2022 H3C IKEV2/7/ERROR: -COntext=1; vrf = 0, src = 1.1.1.1, dst = 1.1.1.2/500 Check match item failed for Peer's identity in profile 1, peer's policy verify failed. 

*Feb 23 14:55:26:019 2022 H3C IKEV2/7/ERROR: -COntext=1; vrf = 0, src = 1.1.1.1, dst = 1.1.1.2/500 Authentication failed. 

*Feb 23 14:55:26:019 2022 H3C IKEV2/7/PACKET: -COntext=1; vrf = 0, src = 1.1.1.1, dst = 1.1.1.2/500 Processed response with message id 1, requests can be sent from (2 ~ 2).

 *Feb 23 14:55:26:020 2022 H3C IKEV2/7/FSM: -COntext=1; vrf = 0, src = 1.1.1.1, dst = 1.1.1.2/500 Child SA(Msg ID 1) deleted. 

*Feb 23 14:55:26:020 2022 H3C IKEV2/7/FSM: -COntext=1; vrf = 0, src = 1.1.1.1, dst = 1.1.1.2/500 (Tunnel ID 7): IKE SA deleted. 

根据对端提供的配置，本端配置相同的协商参数

根据debug报错，是对端的身份标识有问题。

查看配置手册的说明

(3)      配置本端身份信息。

identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id-string }

缺省情况下，未配置本端身份信息。此时使用IP地址标识本端的身份，该IP地址为IPsec安全策略应用的接口的IP地址。

本端FW1中关于对端的身份标识配置成了NAT后的公网地址，导致收到对端的交互报文时身份识别出现错误，匹配不了ikev2 profile

将FW1中关于对端的身份信息相关的配置修改成对端的ipsec接口地址，或者是手动配置的identity address地址，本例中为10.1.1.1

ikev2 keychain中peer的identity配置和ikev2 profile中match remote的identity配置修改后，隧道能正常建立