F1000-AK防火墙做ipsec vpn，两端业务网段不通

参考：

1. 检查路由配置 

   确认两端防火墙的静态路由或策略路由是否将业务网段（PC1/PC2所在网段）的流量正确指向IPsec隧道接口。 

   检查PPPoE拨号端（分部）的默认路由是否指向拨号接口，确保回包路径正确。 

2. 验证IPsec流量匹配 

   检查IPsec策略中引用的安全ACL规则是否严格匹配实际业务流量（源/目的IP范围）。 

   重点检查ACL方向性：Device1的ACL应匹配source 151.1.0.0 → dest 152.2.0.0，Device2的ACL应匹配source 152.2.0.0 → dest 151.1.0.0，确保双向流量均被IPsec保护。 

3. NAT豁免配置 

   在出口NAT策略中，确认已排除业务网段流量（如：151.1.0.0/16 <→ 152.2.0.0/16）的NAT转换，避免流量因NAT后不匹配IPsec ACL规则。 

4. 野蛮模式ID类型匹配 

   野蛮模式需明确配置ID类型（如name或address）。 

   分部（PPPoE动态IP端）通常需配置ID类型为name（如域名或字符串），总部（固定IP端）需配置对应ID类型和值。 

5. 检查IPsec接口绑定 

   确认IPsec策略已正确绑定到公网接口（总部固定IP接口、分部PPPoE拨号接口）。 

   分部PPPoE接口IP可能变化，建议使用接口名称（如dialer1）而非IP地址绑定策略。 

6. MTU/MSS限制 

   检查PPPoE接口MTU值（通常为1492），IPsec隧道封装可能导致数据包超限。 

   建议在隧道接口或VPN配置中启用TCP MSS clamping（如设置MSS=1400）。 

7. 日志与调试分析 

   开启IKE和IPsec调试日志（如debugging ike/ipsec packet），观察流量触发时SA协商是否异常。 

   检查是否存在IPsec proposal mismatch或ACL deny等关键报错。 

8. DPD/NQA保活机制 

   确认两端配置了DPD（Dead Peer Detection）或NQA保活，避免因隧道超时中断导致流量不通。 

参考配置项（野蛮模式关键点）： 

分部（PPPoE端）配置示例： 

  ike identity address   //ID类型为IP地址（若总部允许） 

  或 

  ike identity name HOST-B   //ID类型为名称，需与总部配置匹配 

总部（固定IP端）配置示例： 

  ike remote-identity address 0.0.0.0   //接受任意对端IP（动态IP场景） 

  或 

  ike remote-identity name HOST-B      //指定分部ID名称 

若以上均无异常，建议抓包分析隧道接口数据，确认加密流量是否被正确封装/解封装。