1、根据系统故障日志调整配置
1.1 过滤DLAN日志看是第一阶段还是第二阶段对接不成功,根据DLAN日志调整配置
![]()
核对两端设备配置、参数需保持一直,查看系统故障日志的DLAN日志、是哪部分参数对接不上,根据日志调整参数
如系统故障日志量过多不好看,可以取/logfs/sfvpn/ipsec_vpn/的日志查看
2、检查VPN配置需要一致
2.1 建立ipsec的外网线路必须勾选“与ipsec vpn 出口线路匹配”,保证vpn服务正常运行
![]()
2.2 检查第一阶段参数配置是否和对端一致(如果遇到第一阶段选不到线路,就需要检测一下vpn服务是否在运行中)
VPN配置需要核对的参数
3、可以尝试改变主动连接方向
如本端主动的可以关闭AF主动连接、让对方主动发起连接,再来看DLAN日志调整配置
3.1 日志提示,发起和网关x.x.x.x进行野蛮模式协商,这种日志为我方设备主动发起协商,对方设备被动响应,如下图:
![]()
3.2
日志提示响应网关x.x.x.x的野蛮模式协商,一般来说被动响应的情况下,对方发过来的参数和我们设备进行比较,所以我们设备上的日志信息会比较精准,如下图:界面关闭主动连接如下图:
4、检查路由和网关MAC地址是否学习正常
4.1 确保对应包能收到
4.1.1 检查默认路由与策略路由,确保路由配置正确4.3.2 需要对应的外网接口能匹配出去的路由;可以通过路由测试来验证回包路由
4.1.2 检查AF是否正常学到网关的MAC地址
