在IPSec VPN的应用方案配置中，无论采用哪种具体的IPSec隧道建立方式，都主要存在两种可能的故障情形：一是IPSec隧道建立不成功，二是虽然IPSec隧道建立成功了，但两端仍不能通信。本文仅针对基于ACL方式的手工建立IPSec隧道的配置方案中，以上两种典型故障介绍具体的排除思路。

一、IPSec隧道建立不成功的故障排除

这种故障现象最常见，但由于在手工方式建立IPSec隧道的配置方案中，所有用于建立最终的IPSec SA参数都是手工配置的，所以如果一切按照要求配置了，IPSec隧道是肯定可以建立起来的。下面介绍这种故障的排除方法。

1、两端或其中一端没有成功接入Internet

因为IPSec VPN通常是在公网——Internet上构建虚拟隧道来实现远程网络连接的，所以其前提就是两端必须已成功接入到了Internet，并且IPSec隧道两端所连接的公网、私网路由都是通的。

排除方法是首先从一端内网主机ping另一端IPSec设备的公网侧接口IP地址，能ping通则证明两端都已成功接入Internet，且两端的路由配置也是正确的，否则检查Internet接入和两端到达对端公网、私网的路由配置（包括源/目的主机的网关配置）。

2、两端的IPSec配置不正确

排除了线路和路由的问题后，再来检查两端的IPSec配置，这里最容易出问题，因为有许多地方在配置时要特别注意。以下任何其中一条配置不符合要求都可能造成IPSec SA建立不了，也就使IPSec隧道建立不成功。

（1）看两端的IPSec安全提议配置是否一致

可在两端的IPSec设备上执行display ipsec proposal命令（输出类似如下所示），要求两端最终显示出的封装模式（Encapsulation mode）、所使用的安全协议（Transform），以及所选安全协议所使用的认证或加密算法（加密算法仅在选择ESP协议时有）配置必须完全一致。IPSec安全提议名称（IPsec proposal name）和序号（Number of proposals）可不一样。