如何IPsec隧道故障排查呢？

在IPSecVPN无论采用哪种具体的应用方案配置IPSec隧道建设主要有两种可能的故障：一种是IPSec隧道建设不成功，二是虽然IPSec隧道建设成功，但两端仍无法通信。本文仅针对基础ACL手工建立方法IPSec在隧道配置方案中，以上两种典型故障介绍了具体的消除思路。

一、IPSec排除隧道建设不成功的故障  这种故障现象是最常见的，但手工建立的IPSec所有用于建立最终隧道配置方案的方案IPSecSA参数是手工配置的，所以如果一切都按要求配置，IPSec隧道是肯定可以建立起来的。

下面介绍这种故障的排除方法。

1、两端或一端未成功接入互联网  因为IPSecVPN通常在公网——互联网构建虚拟隧道实现远程网络连接，前提是两端必须成功连接互联网，并且IPSec连接到隧道两端的公共网络和私人网络路由都是连接的。 排除方法是从一端内网主机开始ping另一端IPSec公网侧接口设备IP地址，能ping通则证明两端都成功接入互联网，两端的路由配置也是正确的，否则检查互联网到达对端公网和私网的路由配置(包括源/目的主机的网关配置)。

2、两端的IPSec配置不正确  排除线路和路由问题后，检查两端IPSec这里最容易出现配置问题，因为配置时要特别注意的地方很多。以下任何配置都可能不符合要求IPSecSA不能建立，就算IPSec隧道建设不成功。

 (1)看两端IPSec安全提议配置是否一致  可在两端的IPSec设备上执行displayipsecproposal命令(输出如下所示)需要两端最终显示的封装模式（Encapsulationmode）、使用的安全协议（Transform），以及所选安全协议中使用的认证或加密算法(只选择加密算法ESP协议中有)配置必须完全一致。IPSec安全提议名称（IPsecproposalname）和序号（Numberofproposals）可不一样。