H3C SecPath F1000-AK—问题

看能否通过域名进行隧道建立？设备上配置ddns

您的设备使用PPPoE拨号获取公网IP，且IP会随外网变化而变化，导致IPsec隧道建立失败，而同型号其他设备无此问题，可能原因如下：

1. **隧道发起方问题**：若对端为固定公网IP，必须由PPPoE侧（动态IP）主动发起隧道。若当前设备未主动发起或IKE协商超时，隧道无法建立。

2. **NAT-T配置缺失**：设备使用私网IP通过NAT映射到动态公网IP建隧道，必须启用NAT-T（NAT Traversal），并确保UDP 4500端口通透。请确认已开启NAT-T且防火墙未过滤相关端口。

3. **IKE模式配置不当**：建议采用**野蛮模式（Aggressive Mode）**，并使用对端固定公网IP或域名进行身份标识，便于动态端快速识别并建立隧道。

4. **SA刷新机制异常**：PPPoE重拨后，IP变化但SA未及时重建，需检查**DPD（Dead Peer Detection）** 是否启用，建议配置DPD（如interval 10，retry 3），确保链路感知与快速重连。

5. **ACL与感兴趣流配置**：确保感兴趣流（proxy-id）正确，且NAT ACL中**排除IPsec流量**，避免IPsec流量被NAT处理。

6. **对比正常设备差异**：检查正常设备是否配置了**动态DNS（DDNS）** 或更灵敏的重协商机制，建议在本设备配置DDNS，并绑定到IPsec对端地址。

**建议操作**：
- 开启NAT-T、DPD、野蛮模式；
- 配置DDNS，绑定动态公网IP；
- 确保隧道由PPPoE侧主动发起；
- 检查ACL排除IPsec流量，打印`ipsec sa`和`ike sa`确认协商状态。

若上述配置正确，仍无法恢复，请抓包分析IKE阶段1是否正常发起。