1、故障现象：

    2台设备之间ipsec建立不成功

2、故障可能原因：

    1、链路不通；（端口被占用）

    2、2台设备之间加密算法和超时时间不一致；

    3、2台设备间感兴趣流不配对；如果配置多条隧道，感兴趣流有包含关系，则会出现隧道起来但是加密数据和解密数据都是0的情况。

    4、来回路径不一致；

    5、PFS问题；

    6、感兴趣流没有从NAT中删除；

    7.  看下对端设备是否使用的是ike v2我们只支持v1.

3、故障处理步骤：

ipsec vpn建立不起来主要是排查第一阶段还是第二阶段建立不起来。

查看第一阶段和第二阶段状态的命令如下：

sh  crypto  isakmp  sa

sh  cryto    ipsec    sa

首先要确认下客户的环境，比如两端都是固定ip，或者总部是固定ip，分部是拨号，或者都是拨号。

如果两端都是固定ip，按照我们总部和分部的配置即可，如果总部是拨号，总部本身采用动态图，等待分部主动拨入来触发隧道，分部此时填写peer时，需要通过host 域名来实现。

如果两端都是拨号，也是一样的道理，分部填写域名即可。具体的配置如下：

Ruijie(config)#crypto isakmp key 0 ruijie hostname www.ruijie.com

Ruijie(config)#crypto map ruijie 1 ipsec-isakmp

Ruijie(config-crypto-map)#set peer www.ruijie.com

VPN建立失败基本排查思路：

a、第一阶段建立失败：

   检查VPN的两台设备之前的连通性是否可达，两台设备互ping看是否连通，若不通，先检查网络连通性。

   检查IKE协商配置：IKE策略是否一致（加密算法和认证算法）、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致；

   另外在命令行下查看相关参数命令如下：

   1. sh  crypto  isakmp  policy（查看第一阶段的参数）。如下图主要是encryption+hash+dh group另外需要主要第一阶段的超时时间是86400s，需要和对端一致才可以。

   对于总部或者分部多线路的情况，需要注意，有时候由于选路问题，会出现第一阶段建立失败，原因主要是协商报文被随机发到外网口导致对端没有收全协商信息，导致协商失败。

   此时可以手动添加到对端地址的静态路由，走一个口测试。

b、若第一阶段建立成功，第二阶段建立失败：

   检查IPSec协商配置：安全策略是否配置正确，是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称；

   1. sh  crypto   ipsec   tran，主要查看第二阶段的参数。

   2. sh  crypto  dynamic，主要查看当前的动态图，需要注意的一个参数是sa  lifetime  我们默认是3600s 4608000kb。

   3.sh  access-list 查看感兴趣流

   4. 查看对端设备是否配置pfs

4、故障信息收集：

若还是不能解决，收集以下信息，请登录在线客服咨询或致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。

sh  run

sh  ver

sh  log

sh  crypto   isakmp   sa

sh  crypto   isakmp   pol

sh  crypto   ipsec     sa

sh  crypto   ipsec     tran

sh  crypto   map

sh  crypto   dynamic

sh  access-lists

sh ip f f | in x.x.x.x（本机ip和对端ip）

以下方式慎用，要根据客户的网络复杂度和客户的业务来评估，如果业务量大有可能会使客户网络中断。

debug crypto isakmp

debug  crypto  ipsec