F1000-AK120 IPSec

这种情况先搞清楚2端设备型号和软件版本以及登录账号权限吧

结合日志或命令输出定位吧

版本问题，可能有的设备不支持。

1.1.54  sa trigger-mode

sa trigger-mode命令用来配置触发建立IPsec SA的模式。

undo sa trigger-mode命令用来恢复缺省情况。

【缺省情况】

触发建立IPSec SA的模式为流量触发。

【参数】

auto：自动触发模式，完成IPsec的基本配置后设备自动触发协商建立IPsec SA。

traffic-based：流量触发模式，当存在符合IPsec安全策略条件的数据流时才会触发IPSec SA协商。

【使用指导】

·     此功能只适用于IKE协商方式的IPsec安全策略。

·     自动触发模式下，无论是否有流量需要保护，都会在配置条件满足的情况下触发建立IPsec SA，这在一定程度上占用了系统资源；而流量触发模式只在有流量需要保护时才会触发建立IPsec SA，相对于自动模式，系统资源占用率较低，但IPsec SA成功建立之前的流量不会受到保护。

·     IPsec隧道两端的设备上并不要求配置一致的触发建立IPsec SA的模式。

·     修改模式，对当前已经存在的IPsec SA无影响。如果已经配置了auto模式，IPsec SA建立完成后，建议修改为traffic-based模式。

【举例】

# 配置序号为10的IPsec安全策略policy1触发建立IPsec SA的模式为自动触发。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 isakmp

[Sysname-ipsec-policy-isakmp-policy1-10] sa trigger-mode auto