3.1.3.3.隧道建立失败可能的原因

如果能够熟悉，并看懂debug那是最好不过。对debug熟悉的调试者，打开debug信息， 几乎能够一眼看出那个地方配置出现问题。不过，即使对debug信息不熟悉，也没有关系，IPSec的debug信息很多，但是需要我们注意的关键字却很少。也可以从下面说的几个方面 来检查配置。

3.1.3.3.1.确保两个VPN网关之间的IP层是互通的

原因不言自明。自从冲击波出来以后，很多运营商都将ping给过滤了，可以用telnet来测试IP层的连通性，对于VPN3020，他不支持telnet，但是支持SSH和HTTPS，其知名 端口是22和443，可以尝试登陆一下。

3.1.3.3.2.两端所要保护的数据流配置是否相匹配

这个是最常出现的配置问题，计算反掩码存在计算错误的可能性，尤其是在划分非常小 的子网情况下;另一方面，配置访问列表，有可能敲错了键。当两端访问列表不匹配的时候， 出现的现象是第一阶段的SA能够建立成功，但是第二阶段的SA无法建立成功。

当两端都是配置的静态加密映射的时候，要求两端的数据流是完全匹配的。我们再看看 演示环境中的MP1761和MP2691其访问列表的配置。

MP1761的源网络与MP2691的目的网络一致，MP1761的目的网络与MP2691的源网 络一致。

不过，如果有一端是动态加密映射，那就方便多了，在路由器上面，动态加密映射，可 以不配置数据流。其要保护的数据流完全根据下端的数据流，因此，一般不会存在问题。

3.1.3.3.3.IKE和IPSec的技术参数配置是否一致

这个排错起来应该很简单，通过查看配置，比较两端的加密算法、验证算法等是否一致 就可以。一般情况下，请参考配置脚本。主要体现在变换集合上面的。我们再看看演示环境 中的MP1761和MP2691的变换集合的配置。他们两端的配置是一致的。

crypto ipsec transform-set tr1esp-des esp-md5-hmac mode tunnel
exit